q16marvin
May 04, 2017
view2972
view15
0
Goto Top

Anbindung einer filiale über vpn als "langes netzwerkkabel"

GermanQuestionLAN, WAN, WirelessNetworks
hallo,

ich habe eine Verständnisfrage

wir sollen eine Filiale mit ca. 10 Arbeitsplätzen und unsere "Zentrale" anschließen.
Ist es möglich diese Filiale via VPN anzuschliessen und das „selbe“ Netz zu nutzen? Wir wollen kein neuen DHCP / Active Directory etc in der Filiale aufbauen.

Ist das irgendwie möglich?`
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 336858

Url: https://administrator.de/contentid/336858

Printed on: April 25, 2024 at 12:04 o'clock

15 Comments
Latest comment
Goto Top
Member: ArnoNymous
ArnoNymous May 04, 2017 updated at 13:57:35 (UTC)
Goto Top
Moin,

was du suchst nennt sich Site-to-Site VPN.
Was für eine Firewall habt ihr im Einsatz?

Gruß
Member: Kraemer
Kraemer May 04, 2017 at 13:58:22 (UTC)
Goto Top
Zitat von @ArnoNymous:
was du suchst nennt sich Site-to-Site VPN.
Das ist richtig. Für dich noch als Suchbegriff: Standortvernetzung
Member: q16marvin
q16marvin May 04, 2017 at 14:17:14 (UTC)
Goto Top
ja site-to-site ist mir bekannt und nutzen wir auch in anderen fällen. dort sind es ja dann aber unterschiedliche netze,bsp: zentrale hat 192.168.1.0/24 und filiale hat 192.168.2.0/24...

mein ziel ist aber das die rechner in der filiale das selbe netz wie in der zentrale nutzen, also so als ob es ein sehr langes netzwerkkabel und ein switch in dem standort... mehr nicht face-smile
Member: Kraemer
Kraemer May 04, 2017 at 14:18:56 (UTC)
Goto Top
Zitat von @q16marvin:

ja site-to-site ist mir bekannt und nutzen wir auch in anderen fällen. dort sind es ja dann aber unterschiedliche netze,bsp: zentrale hat 192.168.1.0/24 und filiale hat 192.168.2.0/24...

mein ziel ist aber das die rechner in der filiale das selbe netz wie in der zentrale nutzen, also so als ob es ein sehr langes netzwerkkabel und ein switch in dem standort... mehr nicht face-smile
keine Chance! Damit die Daten geroutet werden können, müssen diese in verschiedenen Netzen liegen
Member: q16marvin
q16marvin May 04, 2017 at 14:27:28 (UTC)
Goto Top
okay ich dachte es gibt da irgendeine möglichkeit... wenn ich einzelne arbeitsplätze mit openvpn anbinde gehts ja auch...
Member: aqui
aqui May 04, 2017 updated at 14:40:04 (UTC)
Goto Top
Ist es möglich diese Filiale via VPN anzuschliessen und das „selbe“ Netz zu nutzen?
Theoretisch ja, sollte man aber als verantwortungsvoller Netzwerker niemals machen weil dann beide gekoppelten Netze mit ihrer gesamten Broad- und Multicast Last den VPN Tunnel erheblich belasten und in der Performance massiv einschränken.
Immer ein NoGo in einer VPN WAN Vernetzung.
Stichwort ist hier also in jedem Falle immer Routing.
Wir wollen kein neuen DHCP / Active Directory etc in der Filiale aufbauen.
Das ist auch Blödsinn und muss man nicht, denn der ist natürlich auch über ein geroutetes IP Netzwerk aus dem Standort problemlos zu erreichen.
Diese Aussage lässt eher die Befürchtung aufkommen das du nicht wirklich weisst worum es geht.
Aber egal. Wie solche VPN Designs in der Praxis aussehen zeigt die wie immer dieses Forums Tutorial:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Oder natürlich auch mit OpenVPN:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router

P.S.: Deine Shift Taste ist defekt.
Member: Lochkartenstanzer
Lochkartenstanzer May 04, 2017, updated at May 06, 2017 at 12:20:04 (UTC)
Goto Top
Zitat von @Kraemer:

Zitat von @q16marvin:

mein ziel ist aber das die rechner in der filiale das selbe netz wie in der zentrale nutzen, also so als ob es ein sehr langes netzwerkkabel und ein switch in dem standort... mehr nicht face-smile
keine Chance! Damit die Daten geroutet werden können, müssen diese in verschiedenen Netzen liegen

Da muß ich widersprechen. Mit einem Level 2 Tunneling Protocol sollte das kein Thema sein. Allerdings muß man dann in Kauf nehmen, daß Broadcasts und anderer "Schmutz" über das VPN gepustet wird.

Eine andere Alternative ist es mit 1.1 NAT mit Zwischennetzen auf beiden Seiten zu arbeiten, wenn man auf Level 3 arbeiten will. Ist aber deutlich aufwendiger und fehleranfälliger.

Am besten vergebt Ihr den Auftrag an jemanden, der sich damit auskennt.

lks

Edit: Typos
Member: Looser27
Looser27 May 04, 2017 at 14:46:51 (UTC)
Goto Top
Bei 10 Arbeitsplätzen würde ich eh einen RODC hinstellen, der dann in einem DNS und DHCP macht. Damit erübrigen sich dann auch manche "wilden" Konstrukte.

Gruß Looser
Member: Kraemer
Kraemer May 04, 2017 at 14:51:28 (UTC)
Goto Top
Zitat von @Lochkartenstanzer:
Da muß ich wiedersprechen. Mit einem Level 2 Tunneling Protocol sollte das kein Thema sein. Allerdings muß man dnn in lauf nehmen, daß Broadcasts und anderer "Schmutz" über das VPN gepustet wird.
das kannte ich noch nicht. Wieder was dazu gelernt. Danke dir. (erklärt aber auch ein wenig, warum ich kein Netzwerker geworden bin face-wink )

Eine andere Alternative ist es mit 1.1 NAT mit zwoschennetzen auf beiden Seiten zu arbeiten, wenn man auf Level 3 arbeiten will. Iist aber deutlich aufwendiger und Fehleranfälliger.
klar mit nem Transfernetzt ist das machbar - damit hat man aber streng genommen wieder verschiedene Netzte.
Mitglied: 108012
108012 May 04, 2017 at 16:26:19 (UTC)
Goto Top
bsp: zentrale hat 192.168.1.0/24 und filiale hat 192.168.2.0/24...
Bitte nicht vergessen, das man das zwar hinbekommen kann, aber dann immer mit einer Mittellösung oder einem WorkAround
leben muss und wenn noch einmal etwas anderes aufgebaut werden soll, kann das dann immer wieder in einer Speziallösung
enden und dann "geht" bzw. funktioniert irgend wann gar nichts mehr wie es soll!


Gruß
Dobby
Member: Pjordorf
Pjordorf May 04, 2017 at 20:52:59 (UTC)
Goto Top
Hallo,

Zitat von @q16marvin:
Ist es möglich diese Filiale via VPN anzuschliessen und das „selbe“ Netz zu nutzen?
Unüblich, aber möglich. Bridge anstelle von Routing. z.B. die Sophos RED kann das https://community.sophos.com/kb/zh-cn/116573

Wir wollen kein neuen DHCP / Active Directory etc in der Filiale aufbauen.
Ein AD ist dort nicht nötig und auch ein DHCP nicht, obwohl DHCP ja schon jeder Router kann. Das AD vom Hauptstandort kann selbstverständlich mitgenutzt werden, auch wenn keine Standorte definiert sind im AD bzw. in eurem L2 IP Netz (haben ja alle das gleiche)

Sophos RED macht es euch leicht.....RED = Remote Ethernet Device = langes Kabel face-smile

Gruß,
Peter
Member: Dani
Dani May 06, 2017 at 12:09:00 (UTC)
Goto Top
@Looser27
Damit erübrigen sich dann auch manche "wilden" Konstrukte.
Dafür braucht man keine wilde Konstrukte. Bei einer L2 Verbindung zwischen den beiden Standorten stellst du einfach einen L3 Switch an die Außenstelle. So kannst du ein Transfernetz zwischen Außenstelle und Hauptstelle aufbauen - kein Multi/Broadcastproblem, oder?


Gruß,
Dani
Member: aqui
aqui May 06, 2017 at 13:30:51 (UTC)
Goto Top
So kannst du ein Transfernetz zwischen Außenstelle und Hauptstelle aufbauen
Das wäre natürlich die Ideallösung. Bekäme man aber auch mit 2 VPN Routern hin. Es gibt eben viele Wege das sauber und schnell zu realisieren. Leider lässt aber die Fragestellung des TOs vermuten das er damit vermutlich überfordert ist.
Member: Enygma
Enygma May 09, 2017 at 11:05:52 (UTC)
Goto Top
Hallo Marvin,

mal abgesehen von den Vorschlägen meiner Vorredner, gäbe es noch die Möglichkeit einen
Ethernet Connect von der Telekom schalten zu lassen (falls an den Standorten verfügbar).

Allerdings ist der sehr teuer, da ist die Frage ob man das viele Geld für 10 Arbeitsplätze ausgeben möchte...
Dann hättest du aber alles in einem Netzwerk.

Trotz der hohen Kosten, dachte ich ich werf das mal in den Raum.

Grüsse
Member: aqui
aqui May 09, 2017 at 11:50:26 (UTC)
Goto Top
Routen muss bzw. sollte er aber auch immer bei Ethernet Connect, da das ja auch nur eine Layer 2 Kopplung ist.
GermanQuestionLAN, WAN, WirelessNetworks
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 5 CommentsjstrickerWireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 Comments