Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Site-toSite VPN Umsetzung

Frage Netzwerke Router & Routing

Mitglied: the-buccaneer

the-buccaneer (Level 2) - Jetzt verbinden

11.06.2013 um 00:28 Uhr, 3975 Aufrufe, 12 Kommentare

Hallo allerseits!

Ist Situation:

Standort A: SBS 2008 R2 als Dateiserver für die Dokumente etc. pp., VDSL, Speedport.

Standort B: 3 Clients, die per VPN Einwahl auf den SBS zugreifen. ADSL FritzBox, kein Server.

Individuelle VPN Einwahl ist dem Kunden zu umständlich. (Es fehlt das Verständnis, dass interne Mails nur bei Verbindung zum Exchange abgerufen werden können...) Es hängt aber auch immer wieder was beim WSUS und dem Status der Clients.

Angedachte Lösung: Site-to-Site VPN.
Die FritzBox kann vieles, das kann sie (nach meinem Kenntnisstand) nicht.

Also Monowall oder PfSense angedacht.

Fragen:

Macht es Sinn, 2 Boxen zu nehmen oder reicht es, eine an Standort B zu installieren, die die VPN Einwahl zum SBS realisiert?

Ist es möglich, das mit der FritzBox als Router zu realisieren?

M.E. nein, denn ich denke: FritzBox als Modem --> intern 192.168.178.1, --> WAN Port PfSense 192.168.178.2 , Gateway 192.168.178.1 --> LAN Port PfSense 192.168.1.1 --> zusätzlicher Switch --> Clients.

Oder geht das doch mit FritzBox Modem/Router 192.168.178.1 --> PfSense LAN Port 192.168.178.2 Standardgateway 192.168.178.1 und VPN IP Adresse 192.168.2.x (Standort A) und das ganze Standort B Routing macht nach wie vor die FritzBox mit statischer Route auf 192.168.178.2 für das LAN 192.168.2.0???????????

Kommt mir irgendwie seltsam vor, ne PfSense an nur einem LAN Port zu betreiben... Jedenfalls ist sie dafür nicht gedacht...

Dafür sollte Minimalhardware ausreichen. Alix? Alternativen?

Evtl. sollte man aber auch die PfSense als Firewall anbieten/schmackhaft machen, was meint ihr?

Grüße vom Buc





Mitglied: matthew77
11.06.2013 um 00:59 Uhr
FritzBox kann die Standorte über VPN-IPsec miteinander verbinden !

http://service.avm.de/support/de/SKB/FRITZ-Box-7390/5:VPN-Verbindung-zw ...

Gruß
m
Bitte warten ..
Mitglied: orcape
11.06.2013 um 05:38 Uhr
Hi the-buccaneer,

Evtl. sollte man aber auch die PfSense als Firewall anbieten/schmackhaft machen, was meint ihr?
...sinnvoller wie auf einer Seite mit einem Speedport herum zu experimentieren.
Dafür sollte Minimalhardware ausreichen. Alix?
Eine Möglichkeit.
Die Geschwindigkeit des Tunnels ist auch von der eingesetzten CPU des Routers abhängig.
Also wenn Du viel Datenverkehr über den Tunnel geplant hast, sollte man schon die entsprechende Hardware einsetzen.
Für private Zwecke reicht natürlich ein ALIX.
Aqui hat das bestens beschrieben, wie das geht....
http://www.administrator.de/wissen/preiswerte-vpn-f%C3%A4hige-firewall- ...

Gruß orcape
Bitte warten ..
Mitglied: Hitman4021
11.06.2013 um 07:16 Uhr
Hallo,

was spricht dagegen die pfSense als Firewall zu betreiben und die FritzBox zum Modem zu degradieren?
Dann würdest du dir auch die statische Route auf den Clients ersparen da die Fritzbox dann sowieso das Gateway ist.

Gruß
Bitte warten ..
Mitglied: aqui
11.06.2013 um 08:38 Uhr
Dagegen spricht nichts ! Es macht dann auch die Port Forwarding Frickelei am Router obsolet.
Es ist zusätzlich aber besser den Speedport Schrottrouter als Modem zu degradieren (PPPoE Passthrough aktivieren) und dort die pfSense zu plazieren.
Am Standort A ist das eh erforderlich, da dort keinerlei VPN Hardware vorhanden ist.
Wie man die pfSense am VDSL zum Laufen bringt erklärt detailiert dieses Tutorial:
http://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...

Dann hast du 2 Optionen:
1.) Entweder die Fritzbox per IPsec die VPN LAN zu LAN Kopplung mit der pfSense zu realisieren !
Entgegen deinen Informationen supportet die Fritzbox sehr wohl IPsec VPNs:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/index.php?p ...
2.) Du plazierst dort auch einen neuen VPN Router oder pfSense.

Letzteres wäre nur dann wirklich erforderlich wenn dein FB Modell kein VPN Support hat !

Wie du die FB oder auch andere Router (Mikrotik etc.) per IPsec VPN koppelst kannst du im Detail in diesem Tutorial nachlesen:
http://www.administrator.de/contentid/115798

Damit ist diese durchaus sinnvolle Site to Site Kopplung dann ein Kinderspiel.
Bitte warten ..
Mitglied: the-buccaneer
11.06.2013 um 09:10 Uhr
Jungs, schlaft ihr auch mal? Hier hat man ja schon um 07:00 Uhr die ersten Antworten...

O.k. FritzBox kanns also, aber nur mit 2 Fritzen. Müsste also Standort A auch ne FritzBox bekommen. Vorteil: Einfach zu konfigurieren.Kostengünstiger als PfSense. Evtl. sogar am entfernten Standort per Fernwartung zu konfigurieren. Nachteile?

Den Beitrag von aqui kenne ich natürlich. Wenn das Alix da schon gerne in die Knie geht, muss was stärkeres her. Vorschläge oder Erfahrungen?

Leider war keine Antwort auf meine erste Frage dabei. Reicht es, von Standort B per PfSense die Einwahl auf den Server zu realisieren? (Quasi zentral das, was die Clients jetzt jeder für sich machen)

Oder sollte man bei Site-toSite die Verbindung immer zwischen 2 entsprechend konfigurierten Kästen herstellen?

@ Hitman: So seh ich das ja auch, allein schon wegen der Übersichtlichkeit....

Der Buc
Bitte warten ..
Mitglied: Grobi81
11.06.2013 um 12:06 Uhr
Es geht auch mit D-Link Router. Einfach DD-WRT installieren und konfigurieren.
Bitte warten ..
Mitglied: goscho
11.06.2013 um 13:00 Uhr
Mahlzeit
Zitat von the-buccaneer:
Jungs, schlaft ihr auch mal? Hier hat man ja schon um 07:00 Uhr die ersten Antworten...
Du hattest schon um 1 und um halb 6 die ersten Antworten. Das Forum schläft fast nie.
O.k. FritzBox kanns also, aber nur mit 2 Fritzen. Müsste also Standort A auch ne FritzBox bekommen.
Falsch!
Du kannst mit Fritzens Boxen auch zu allen anderen IPSec-fähigen Geräten VPN-Tunnel aufbauen.
Vorteil: Einfach zu
konfigurieren.Kostengünstiger als PfSense.
Evtl. sogar am entfernten Standort per Fernwartung zu konfigurieren.
Fast mit jeder VPN-Hardware kann man dies remote konfigurieren, mit Fritzboxen eher ein bisschen schlechter, weil man eine Konfig-Datei einspielen muss. Dabei wird die Verbindung getrennt, weil die Box neugestartet wird.

Oder sollte man bei Site-toSite die Verbindung immer zwischen 2 entsprechend konfigurierten Kästen herstellen?
Wäre mein Vorschlag und habe ich bisher auch immer so realisiert (VPN-Router hinter Modem)
Bitte warten ..
Mitglied: the-buccaneer
12.06.2013 um 10:37 Uhr
Super, erstmal vielen Dank an alle!

Das AVM Tutorial klang so, als ginge das ausschliesslich mit 2 Fritzens. Die haben ja auch so nen proprietären VPN Client. Um so besser.

Wenn ich das richtig verstanden habe, rät mir niemand, das VPN per Portweiterleitung direkt auf dem SBS zu realisieren? Geht nicht oder unsicher / instabil oder ? Das VPN macht der SBS nämlich bisher ganz zuverlässig.

Hintergrund dieser "Fernwartung" ist einfach, dass Standort B 600 km weg von mir ist, und der Kunde sicher keine Lust hat, die Anfahrt zu bezahlen...

Also lautet der Plan: Standort A Speedi als VDSL Modem --> PfSense--> VPN -->Fritze an Standort B.
PfSense routet Netz A, Fritz routet Netz B (bzw. B zu A)

AVM sagt, beide Standorte benötigen DynDNS Account. Ist das hier auch so?

Dann muss aber noch aus anderen Netzen (Heimarbeitsplatz) wie bisher eine VPN Einwahl auf Standort A möglich sein. Sollte gehen, oder?

Wichtig ist i.A. nur, dass die grundsätzliche Planung stimmt. Habe hier 2 PfSense und ne alte FritzBox mit denen ich das dann in Ruhe austesten kann, bevor es installiert wird.

Gruß
Der Buc
Bitte warten ..
Mitglied: goscho
12.06.2013 um 14:48 Uhr
Zitat von the-buccaneer:
Super, erstmal vielen Dank an alle!

Das AVM Tutorial klang so, als ginge das ausschliesslich mit 2 Fritzens. Die haben ja auch so nen proprietären VPN Client.
Auch den muss man nicht nehmen. Bspw. ist der freie Shrew-Client wesentlich besser.

Wenn ich das richtig verstanden habe, rät mir niemand, das VPN per Portweiterleitung direkt auf dem SBS zu realisieren? Geht
nicht oder unsicher / instabil oder ? Das VPN macht der SBS nämlich bisher ganz zuverlässig.
Bestimmt auch noch per PPTP, oder?

Der einfachste Grund, warum der SBS nicht auch noch als VPN-Server herhalten sollte ist der, dass dieser eh mit Diensten vollgestopft (überfüllt) ist, die er ausführen muss.
Es ist auch leichter in der Konfiguration/Wartung, wenn der Endpunkt deines Netzes (Router/Firewall) das VPN aufbaut.
Bei einem Netzwerkproblem auf oder mit dem SBS kannst du trotzdem von außen in das Netz, was sonst nicht ohne weiteres klappt.

Hintergrund dieser "Fernwartung" ist einfach, dass Standort B 600 km weg von mir ist, und der Kunde sicher keine Lust
hat, die Anfahrt zu bezahlen...
Dann richte das vernüfntig ein und man kann es auch ohne Fahrtkosten zum "Fliegen" bekommen.
Vorausgesetzt an diesem Standort ist jemand, der neuverschickte Hardware aufbauen und nach deiner Anleitung anschließen kann.

AVM sagt, beide Standorte benötigen DynDNS Account. Ist das hier auch so?
Ich sage, dass beide besser eine feste öffentliche IP-Adresse benötigen. DynDNS ist etwas für Heimanwender und Bastler aber nicht für eine richtige LAN-LAN-Kopplung bei Firmen.
Dann muss aber noch aus anderen Netzen (Heimarbeitsplatz) wie bisher eine VPN Einwahl auf Standort A möglich sein. Sollte
gehen, oder?
Ja, geht.
Wichtig ist i.A. nur, dass die grundsätzliche Planung stimmt. Habe hier 2 PfSense und ne alte FritzBox mit denen ich das dann
in Ruhe austesten kann, bevor es installiert wird.
Solltest du,
Für das Testen reichen auch DynDNS-Accounts.
Bitte warten ..
Mitglied: aqui
12.06.2013, aktualisiert um 15:21 Uhr
@buc
Na ja das eine FB kostengünstiger ist als eine pfSense auf Alix ist ne Milchmädchenrechnung. Zudem kannst du es auch nicht vergleichen. Von der Ausstattung her ist das so wie Dacia zu Mercedes.

Die pfSense bzw. Das ALIX Mainboard hat ausserdem einen Crypto Chip an Bord die die Verschlüsselung in Hardware erledigt, was die FB NICHT hat. Dort muss also das gesamte VPN Tunneling in Software passieren.
Die ALIX Hardware skaliert also erheblich besser in Bezug auf Performance !
Falls auch das nicht reicht installiert man die pfSense auf sowas:
http://www.ebay.de/itm/1HE-Supermicro-Server-Celeron-1-6GHz-512MB-80GB- ...
Deshalb hat eine FB in einem Firmenumfeld auch nichts zu suchen weil sie einfach nicht skaliert mit einer Site to Site VPN Kopplung !
Das ist was für den Heimnutzer wenn er mal ein bischen daddeln will mit Kumpels und sich lokal die Musik vom NAS laden will aber nicht mehr ! Vergiss das also... !
Dein o.a. Weg ist dann also schon richtig !
Wenn du auf beiden Standorten dynmaische IPs hast dann muss wenigstens ein Standort einen DynDNS Account (z.B. bei noip.com da ist er z.Zt. noch kostenlos) haben !
Einer reicht aber. Kostenlose bergen aber wie Kollege goscho richtig bemerkt das Risiko das du bei Ausfall keinen Support hast. Wenn von der VPN Verbindung unternehmenskritische Anwendungen abhängen musst du das Risiko selber tragen. Besser ist es dann wenigstens am Hauptstandort eine feste IP beim Provider zu beantragen. Das sind ein paar popelige Euro mehr schaffen aber Sicherheit ! Es reicht wie gesagt eine feste IP für den VPN Server Router.
Alle anderen Grundlagen zur VPN Vernetzung mit IPsec zeigt dir dieses Tutorial:
http://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense ...
Bitte warten ..
Mitglied: the-buccaneer
17.06.2013 um 23:45 Uhr
Sorry für die späte Antwort, hatte viel anderes um die Ohren...

Sehr aufschlussreiche Beiträge, besonders von goscho und aqui. Nochmals merci.

"FritzBox hat einem Firmenumfeld nichts zu suchen" halte ich aber für reine Theorie oder Wunschdenken aus Admin-Sicht. Der Kunde hats stehen ( wie auch die Speedports etc.) und praktisch arbeiten wir doch täglich auf der Basis. (Ich bin auch der Ansicht, dass die in normalen SOHO Umgebungen ganz brauchbar sind... selbst Aliceboxen lassen sich mit dem richtigen Login ordentlich konfigurieren )

Standort A hat jedenfalls ne feste IP, das hatte ich vor Monaten mal erreicht. Somit sollte die FritzBox an Standort B sich von dort auf eine PfSense, die mit dem Argument bessere Firewall - Virenschutz - Blacklisting genehmigt wurde verbinden können. Werde mal versuchen, mit Sicherheits-/ Performanceargumenten noch ne 2. PfSense durchzukriegen. Als UTM ist Alix aber nix, das weiss ich. Habe gerade testweise ein Intelboard D2500 CCE und 2 GB RAM geordert, mal sehen, wie sich das in dem micro-ATX Gehäuse so macht... Kann das Ergebnis ja mal posten.
Mit No-IP habe ich seit einiger Zeit positive Erfahrungen. Witzigerweise klicken die Kunden lieber regelmässig auf den Link um den Account zu verlängern, als dafür im Jahr 30 Euro zu bezahlen, nun gut.)

@ goscho: PPTP lässt sich über EAP mit Zertifikat absichern. Das verwende ich selber ohne Sicherheitsbedenken oder habe ich da noch was verpasst?

So long
der buc
Bitte warten ..
Mitglied: goscho
18.06.2013, aktualisiert um 14:34 Uhr
Zitat von the-buccaneer:
Sorry für die späte Antwort, hatte viel anderes um die Ohren...
no problem
Sehr aufschlussreiche Beiträge, besonders von goscho und aqui. Nochmals merci.
bitte gerne doch
"FritzBox hat einem Firmenumfeld nichts zu suchen" halte ich aber für reine Theorie oder Wunschdenken aus
Admin-Sicht. Der Kunde hats stehen ( wie auch die Speedports etc.) und praktisch arbeiten wir doch täglich auf der Basis.
So ist es und gerade bei kleinen Kunden ist so eine Fritzbox gar nicht so schlecht.

@ goscho: PPTP lässt sich über EAP mit Zertifikat absichern. Das verwende ich selber ohne Sicherheitsbedenken oder
habe ich da noch was verpasst?
Schau mal: Der Todesstoß für PPTP
Ob das mit Zertifikaten sicherer ist, weiß ich nicht zu beurteilen.
Ich richte bevorzugt IPSEC-VPN ein.
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Firewall
gelöst VPN Site to Site von IPFire zu Sophos UTM (19)

Frage von touro411 zum Thema Firewall ...

Router & Routing
Site to Site VPN zwischen Sonicwall und Fritzbox (5)

Frage von Kiste zum Thema Router & Routing ...

Linux Netzwerk
Host-to-Site VPN zwischen Openswan und Fritzboxen (2)

Frage von ThePcSwagTogether zum Thema Linux Netzwerk ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (12)

Frage von Motte990 zum Thema Microsoft Office ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...