Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Hardware-Lösungen (Gateway, Firewall, Router) für VPN Tunnel gleichzeitig über mehrere DSL oder Kabel Anschlüsse gesucht (VPN-Trunking)

Frage Netzwerke Router & Routing

Mitglied: da-Rob

da-Rob (Level 1) - Jetzt verbinden

31.08.2014 um 16:38 Uhr, 8498 Aufrufe, 18 Kommentare

Hallo liebe Administrator.de Gemeinde,

nachdem ich schon viele Jahre sehr dankbarer Leser des Forums hier bin, habe ich mich nun hier angemeldet. Ich hoffe hier vielleicht eine Antwort auf folgende Frage zu bekommen:

Gibt es eine Hardware Lösung zur Vernetzung zweier Standorte in einem Klein(-st)-Unternehmen über einen VPN Tunnel, der dabei mehrere DSL oder Kabelanschlüsse nutzt?

Ich habe jetzt einige Stunden recherchiert und auch viele Beiträge hier gelesen, diese Frage in der Form aber nicht gefunden oder beantwortet gesehen. Ebenso erscheint die Lage bei der Google-Suche.

Zum Hintergrund: Ich bin kein Netzwerk-Spezialist und wünsche mir daher eine Lösung, die ich bis jetzt so nur bei Draytek gefunden habe. Bei deren Lösung bin ich aber auf Grund einiger negativer Rezensionen zum jetzigen Firmwarestand (1.0.8.2 31.8.2014) der betreffenden Geräte (z.B. Vigor 2960 bzw. Vigor 3900) verunsichert. Die Firma preist eine Funktion namens "VPN-Trunking" an, welche das verspricht, was ich mir vorstelle:

Beispielszenario:

Hauptstandort: 1x ADSL 16000 von Vodafone (vormals Arcor) und 1x ADSL 6000 der Telekom (T-Com)
hier steht ein Windows 2003 Server, auf dem z.B. ein ERP System und ein Tobit David Server läuft.

Nebenstandort: 1x ADSL 16000 von Vodafone, optionale Ausbauidee z.B. NetCologne Internetanschluss über Kabel.

Die Rechner am Nebenstandort sollen so mit dem Netzwerk des Hauptstandortes verbunden sein, dass Sie das ERP System und das David benutzen können.

Zur Steigerung der Bandbreite und der Ausfallsicherheit möchte ich gerne den VPN Tunnel nicht nur auf jeweils einer der Standortanbindungen sondern parallel benutzen. Gegenwärtig ist dies nicht möglich, da ich in den jetzt eingesetzten Firewall Routern nur eine IPSec VPN Policy in das Zielnetzwerk gleichzeitig aktiv schalten kann.

Welche Hersteller beziehungsweise Geräte bieten eine vergleichbare Funktionalität (s.o. Draytek)?

Vielen Dank schon einmal für die Ratschläge, ich bin sehr gespannt

Lieben Gruß

Rob

PS: Die Grundidee der Firma Viprinet mit einer Anbindung in ein Rechenzentrum ist aus Kostengründen leider ungünstig.
Bei einem sehr kleinen Unternehmen <5 MA sind Betriebskosten von einigen Hundert Euro pro Monat nicht wirklich durchsetzbar. Daher auch der Ansatz quasi "Consumer" Internet im Sinne von ADSL, VDSL oder Kabel zu benutzen und eben keine SDSL / Standleitung o.Ä..
Mitglied: griddi
31.08.2014 um 16:47 Uhr
Hallo Rob,

Ich würde immer Lancom Router empfehlen. Die unterstützen mehrere Gateways fur VPN. Nachteil ganz klar der Preis!
Mit ein wenig Recherche bekommt du die Einrichtung relativ schnell hin.

Gruß griddi
Bitte warten ..
Mitglied: aqui
31.08.2014, aktualisiert um 17:24 Uhr
Oder einen Cisco 886va
http://www.administrator.de/wissen/konfiguration-cisco-886va-mit-adsl-o ...
mit dem das ebenso möglich ist.
Generell können alle VPN fähigen Dual WAN Balancing Router das leisten. Bekannte Beispiele außer den oben bereits genannten sind Draytek Vigor 29xx und Linksys LRT-224 z.B u.a.
Falls du selbst Hand anlegen will supportet eine pfSense Firewall solch ein Konstrukt ebenso:
http://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
Aufgrund deiner nicht ganz trivialen Anforderung solltest du aber renomierten Router Herstellern wie Cisco oder Lancom klar den Vorzug geben wenn es dir auf Verlässlichkeit und Zuverlässigkeit in der Firmen Kommunikation ankommt und du nicht nur auf den Preis schielst. Sich wegen 50 Euro jede Woche zu ärgern um dann am Ende doch was anderes zu kaufen sollte ja nicht das Ziel sein....
Bitte warten ..
Mitglied: da-Rob
31.08.2014 um 17:30 Uhr
Bei den LANCOM Geräten verstehe ich noch nicht ganz, wie viele "WAN" Ports die können, weil da ein ADSL Anschluss und ein Switch drin ist. Kann man die ETHs separat als WAN Port nutzen?
Bitte warten ..
Mitglied: da-Rob
31.08.2014 um 17:32 Uhr
Bei der Anschaffung eines guten Gerätes sind 50 Euro nicht das Problem. Aber ebenso wenig wie ich 250€+ in den monatlichen Kosten rechtfertigen kann, kann ich auch schwerlich Geräte mit einem Preis >500€ Pro Standort durchsetzen.
Bitte warten ..
Mitglied: griddi
31.08.2014, aktualisiert um 17:38 Uhr
Ja du kannst eth ports zu wan ports unkonfigurieren. Das ist grindlegend 1 klick.

Das problem mit dem preis bei deinen anforderungen ist mit "gut und günstig" aber auch schwer realisierbar!

Geuß griddi
Bitte warten ..
Mitglied: aqui
31.08.2014, aktualisiert um 17:50 Uhr
Aller Geräte kosten je unter 300 Euro wenn man sie weise einkauft !
Du musst für dich und die Firma entscheiden wo die Schwerpunkte liegen bzw. was wirklich für die Firma und deren Umsätze wichtig ist. Danach entscheidet man doch das Budget.
Was kostet es wenn die Firma einen Tag stillsteht weil der presiwerte Taiwan Plasterouter schlapp macht oder einen Firmware Bug hat ?! Wiegt das die Mehrkosten auf, Ja oder Nein ? Diese Fragen kannst nur DU beantworten.
So oder so ist das alles in deinem gesteckten Rahmen mit der genannten HW zu realisieren !
Bitte warten ..
Mitglied: Dobby
31.08.2014 um 17:45 Uhr
Zitat von da-Rob:

Bei der Anschaffung eines guten Gerätes sind 50 Euro nicht das Problem.
Ne klar aber verstehe bitte auch auf der anderen Seite, dass es eben für
kleines Geld nicht alle Leistungen und/oder Funktionen aus dem Enterprisesegment
gibt, ergo entweder Du musst Geld für den ISP wie Viprinet lassen oder aber Geld
ausgeben und Dir einen gescheiten Router kaufen der auch das umsetzen kann
was Du benötigst bzw. was Du hier beschreibst.

Aber ebenso wenig wie ich 250€+ in den monatlichen Kosten rechtfertigen kann,
Ok rechne mal 4 Monate zu 250 € sind auch tausend Euronen, und da gibt man
dann eben schon lieber 500 € pro Standort aus und hat Ruhe, aber wenn man auch
die nicht rausrücken möchte kommen eben zwar noch OpenSource alternativen
mit ins Spiel nur auch dafür muss Hardware angeschafft werden und wenn das
alles zu viel ist wird es eben auch nichts und das sollte auch mal einer dazu sagen
dürfen.

Alix APU mit pfSense vorinstalliert sind dann aber auch ca. 200 € (je nach Ausstattung)
von Nöten oder aber man nimmt einen 30 € Router mit DD-WRT und beschwert sich
nachher immer mal wieder über den lausigen VPN Durchsatz.

kann ich auch schwerlich Geräte mit einem Preis >500€ Pro Standort
durchsetzen.
Ne aber deren einfache Handhabung und Funktionsvielfalt lassen die sich
eben auch genau so bezahlen wie die ISPs die solche Funktionen anbieten,
klar warum auch nicht.


Gruß
Dobby
Bitte warten ..
Mitglied: da-Rob
31.08.2014 um 18:12 Uhr
Ich hoffe, ich war jetzt nicht total missverständlich: Ich mag eher einmalig je (2x) 450€ ausgeben für eine Hardware, die dann mindestens 2 WAN Ports auf jeder Seite anbindet und beide Standorte über VPN darüber vernetzt. Auch die Kosten von insgesamt 4 ADSL Leitungen sind okay. Was eben nicht geht sind geräte der Kategorie 1500€+ und das zwei mal. Leider bin ich eben nicht versiert genug, um jetzt selbst mit OpenSource Lösungen und Hardware rum zu experimentieren, da ich dafür schlicht nicht die Zeit habe. Es soll also auch keine Lösung sein, die "billig um jeden Preis" sein muss.
Ich schaue mir gerade die vorgeschlagenen Sachen von LANCOM und Cisco an. Bei LANCOM scheint die Kategorie 1781 das richtige Gerät zu sein, oder? Der 831 macht kein VPN. Wäre der 1631 eine Alternative?

Die Cisco geräte habe ich in der Bucht neu für unter 200€ gesehen, das ist natürlich auch eine gute Idee. Wenn die integrierte Modems haben, sind die heutzutage automatisch VDSL und ADSL kompatibel? Was wäre, wenn ich einen Kabelanbieter wählen würde und da ein externes Modem anschließen wollen würde?
Bitte warten ..
Mitglied: griddi
31.08.2014 um 18:48 Uhr
Ok. Habe ich dann falsch verstanden ...
Ja der 1781 ist der etwas performantere und die richte wahl.
Bei den ciscos kann ich dir leider nicht helfen.

Gruß griddi
Bitte warten ..
Mitglied: sk
01.09.2014, aktualisiert um 02:28 Uhr
Hallo Rob,

die Viprinet-Lösung sollte sich auch bei Deinem Szenario einsetzen lassen. Substituiere einfach das Rechenzentrum durch Deinen Hauptstandort.

Ansonten kann ich Dir als Alternative zu DrayDreck noch zu einer aktuellen ZyWALL oder ZyWALL USG raten. Auch hier ist es möglich, GRE-Tunnel über die IPSec-Tunnel zu legen und hierauf ein Loadbalancing zu fahren. Siehe ftp://ftp.zyxel.com/USG210/application_note/USG210_1.pdf
Wie gut das funktioniert, kann ich allerdings mangels eigener praktischer Erfahrungen (noch) nicht sagen.

Gruß
Steffen
Bitte warten ..
Mitglied: hertli
01.09.2014, aktualisiert um 11:44 Uhr
Wir arbeiten mit Netgear-Geräten.

Der FVS336G unterstützt 2 WAN-Leitungen (100 MBit), der SRX5308 unterstützt 4 WAN-Leitungen (1 GBit).

Eine Übersicht der Netgear-Geräte findest Du hier: http://www.netgear.de/business/products/security/vpn-firewalls.aspx#tab ...

Mit Deinen Leitungen kommst Du aktuell mit dem 2-Port-WAN-Modell aus. Sobald Du planst auf eine Leitung mit mehr wie 100 MBit umzusteigen, müsstest Du das 4-Port-WAN-Modell favorisieren.

Wir setzen das selbe Szenario ein wie Du.
Am Hauptstandort 1x Fibre 150 MBit und 1x SDSL 2 MBit über SRX 5308 im Loadbalancing-Mode.
Am Nebenstandort 2x ADSL 16 MBit über FVS336G im Loadbalancing-Mode.

Als Alternative bietet sich noch die Sophos UTM (ehemals Astaro) als virtuelle Maschine an, von der es eine kostenlose Version gibt.
http://www.sophos.com/de-de/products/unified-threat-management.aspx
Bitte warten ..
Mitglied: Digi-Quick
01.09.2014 um 12:20 Uhr
von den kleinen Ciscos kann ich in deinem Szenario nur abraten
VPN geht nur, wenn mindestens 1 Standort eine statische IP Adresse hat.
VPN hinter einem NAT-Router geht gar nicht, Die Cisco-Router müssen für VPN direkt am Internet hängen!

z.B. Bei KD bekommt man aktuell meist eine Fritzbox, die keinen Bridge/Modem Betrieb zulässt (von KD nicht freigeschaltet obwohl die Fritzbox selber es könnte).

Inwieweit man 2 VPN Verbindungen über getrennte Internetleitungen trunken kann, entzieht sich meiner Kenntnis.
So wie ich das sehe wird da genauso wie beim Port-Trunking die einzelne Anwendung/Verbindung keine höhere Geschwindigkeit erreichen.
16MBit+6Mbit =!22Mbit
Das Load Balancing Vetreilt nur die einzelnen Datenverbindungen - wie gut oder schlecht das Klappt, habe ich noch nicht ausprobiert, da ich kein loadbalancing verwende.
Ich habe mehrere Netgear FVS336G im Einsatz mit dynamischen IP-Adressen (mit DynDNS) und zum Teil hinter NAT-Routern der Provider (KD und Vodafone). Die beiden WAN Zugänge laufen im Autofailover, die IPSec-VPNs werden jeweils auf die andere WAN-Schnittstelle "mitgenommen"
Bitte warten ..
Mitglied: Dani
01.09.2014 um 20:49 Uhr
Hallo aqui,
Zur Steigerung der Bandbreite und der Ausfallsicherheit möchte ich gerne den VPN Tunnel nicht nur auf jeweils einer der Standortanbindungen sondern parallel benutzen.
Dual WAN Balancing ist doch die eine Seite. Aber wie bauen die z.B. Draytek parallel zwei VPN-Tunnel auf und wie wird der VPN-Traffic (IP Hash, MAC-Hash?) auf beide Leitungen verteilt. Grundvorraussetzung ist doch in jedem Fall an allen Anschlüssen statische IP-Adressen bzw. evtl. reicht es an der Zentrale. Erleuchte mich mal bitte...


Gruß,
Dani
Bitte warten ..
Mitglied: da-Rob
01.09.2014 um 22:39 Uhr
Hallo und danke an alle erst einmal.

@ ..sk.. Viprinet ist leider die kleine Serie schon wirklich arg teuer, daher war die, obwohl schon vor 1-2 Jahren ins Auge gefallen, genauso wieder raus gefallen.

@ hertli: Könntest Du mir das genauer erklären, wie der VPN im Minium als Failover konfiguriert werden muss? Ist dafür der SRX nötig? Ich habe hier einige Netgear Gurken rumfliegen *duck*: FVX538, FVS336G, FVS338, FVS318 etc. Ich würde es dann einmal ausprobieren. Bis jetzt bin ich daran gescheitert (oder habe halt durch längere Abstinenz an dem Thema die passende Firmware verschlafen).

@ Digi-Quick ähnliche Frage an Dich: Wie konfiguriert man dieses "Mitnehmen". Es wäre zumindest eine minimale Erfüllung meiner Idee: Der VPN Tunnel soll im Fall das eine von idealer Weise vier Leitungen sich verabschiedet irgendwie und automatisch aufrecht werden.

Allgemein hatte ich "Load Balancing" immer so verstanden, dass der Traffic ins Internet aufgeteilt wird. Dass die VPN Tunnel das automatisch auch können ist mir neu. Wie konfiguriert man die, so dass sie zumindest erkennen das der Tunnel auf Grund einer fehlerhaften Verbindung nicht funktioniert und dann gemäß eines "Backup-Plans" eine andere VPN Verbindung aufbauen?+

Schönen Gruß

Robert
Bitte warten ..
Mitglied: Dobby
01.09.2014 um 22:46 Uhr
Ich habe hier einige Netgear Gurken rumfliegen *duck*: FVX538, FVS336G, FVS338, FVS318 etc.
Alles außer der SRX5308 und der FVS336Gv2 oder v3 bzw. der UTMN Serie kannst Du gleich
in die Tonne kloppen.

Gruß
Dobby
Bitte warten ..
Mitglied: Digi-Quick
01.09.2014 um 23:13 Uhr
FVS336G:
Wan Mode = Auto-Rollover using WAN port: WAN1 oder WAN2, (der jeweils andere ist die Backupleitung
Nehmen wir also an , daß WAN 1 die Hauptleitung ist.

man erstellt mit dem Assi (wizzard) eine Site zu Site Verbindung für WAN 1 (gateway).
man editiere danach die VPN-Policys und setzen den Haken bei "enable Rollover", damit wird die IPSec-/VPN-Policy auch für WAN2 gültig

Bei mir gibt es eine kleine Downtime (2-3 Minuten) der VPN Verbindung, weil erst die DNS Namen aktualisiert werden müssen (dynamische IPs) dies wird von DynDNS Updatern hinter den VPN Gateways erledigt.

Man kann dusseligerweise nur für eine WAN Schnittstelle den DynDNSClient im Netgear aktivieren, intellenter wäre es, wenn im Failoverbrtrieb der DynDNSClient für beide WAN-Schnittstellen aktiv wäre - mit dem gleichen Datensatz.
Bitte warten ..
Mitglied: goscho
02.09.2014 um 08:41 Uhr
Zitat von Digi-Quick:
Man kann dusseligerweise nur für eine WAN Schnittstelle den DynDNSClient im Netgear aktivieren, intellenter wäre es,
wenn im Failoverbrtrieb der DynDNSClient für beide WAN-Schnittstellen aktiv wäre - mit dem gleichen Datensatz.
Kann es sein, dass bei WAN-Mode "Auto-Rollover" auch nur der DynDNS-Client des jeweilig aktiven WAN-Ports aktiv ist?
Beim anderen macht das ja keinen Sinn, da dort keine Verbindung zum Internet besteht.
Bitte warten ..
Mitglied: Digi-Quick
02.09.2014 um 10:47 Uhr
Ja, man kann nur für den gerade aktiven Wan Port Dyndns konfigurieren und einschalten.
Der Dyndnsclient für den jeweils anderen WAN-Port ist deaktiviert und bleibt auch im Failover-Fall deaktiviert!

Ein DynDNS-Client ohne Verbindung zum Internet hat nichts zu tun, so lange bis Verbindung da ist.
Ein deaktivierter DynDNS-Client kann nichts tun!
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Router & Routing
TP-Link Router VPN Verbindung Router Oberfläche nicht erreichbar (3)

Frage von D46505Pl zum Thema Router & Routing ...

Firewall
Suche nach NAT-Gateway-Firewall-Lösung (9)

Frage von marcinomel zum Thema Firewall ...

LAN, WAN, Wireless
Neuer Google-Router: Google Wifi bietet mehrere Wifi Points

Link von runasservice zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...