Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

VPN Lösung für Netzwerk zu Netzwerk und ext. einzel Zugriff

Frage Netzwerke LAN, WAN, Wireless

Mitglied: vBurak

vBurak (Level 1) - Jetzt verbinden

18.12.2013 um 20:28 Uhr, 6687 Aufrufe, 21 Kommentare, 5 Danke

Hallo,

wir benötigen eine VPN Lösung um primär externen Zugriff (Client-to-Size) zu ermöglichen. Desweiteren soll es auch möglich sein eine "Site-to-Site" Lösung zu erstellen (also zwischen zwei Standorten eine VPN Verbindung dauerhaft zu ermöglichen). Der externe Zugriff beschränkt sich auf 5-10 Personen und mit dem Site-to-Size sollen ca. 40 Personen zugreifen (nicht zwingend gleichzeitig).

Das Budget für die Hardware für einen Standort beträgt ca. 500€.

Leider habe ich noch nicht viel Erfahrungen mit "professionellen" VPN Lösungen. Ich nutze beruflich unter anderem OpenVPN. Wir hatten auch mal ein paar TP Link Router aber die Möglichkeiten hierbei sind wirklich gering (z.B. kann nur 1 Tunnel erstellt werden bei dem sich alle Nutzer das PW teilen - ???).

Also sozusagen meine Fragen:

1. Welche Hardware sind da zu empfehlen? Ich persönlich kenne nur LANCOM und Cisco. Kann beides sehr teuer sein, wobei LANCOM ja einige VPN Geräte in der Preisklasse besitzt. LANCOM 1781EF+ ist mir z. B. ins Auge gefallen. Deckt das die Anforderungen ab?

2. Welche VPN Protokolle sollen da genutzt werden? IPsec mit L2TP ? Der LANCOM scheint ja auch IPSec over HTTPS anzubieten. Der HTTPS Port 443 wird aber bereits von einem Exchange Server genutzt. Wird hierbei dann eine Reverse Proxy benötigt um z.B. den Zugriff auf subdomain1.example.org:443 auf Server A und subdomain2.example.org:443 auf Server B zu leiten?

Für Tipps und Anmerkungen wäre ich sehr dankbar!

Vielen Dank

Gruß,

Burak
Mitglied: spacyfreak
18.12.2013, aktualisiert um 21:50 Uhr
Ich schwör ja für kleine Lokationen auf Sophos UTM Appliances, die können alles und sind kinderleicht zu bedienen, mit ner übersichtlichen GUI.
Firewall, Proxy, Mailproxy, VPN-Gateway, Remote Access Gateway in einem, und es läuft stabil.
Da geht Site-to-Site VPN (da nimmt man in aller Regel IPSEC VPN) und auch Remote Access (verschiedene Varianten, auch SSL-VPN).
Allerdings kosten die regelmässig Geld wg. Lizensierung....
Muss man halt schauen ob man mit Billigkram über die Runden kommt, was Support, Stabilität und Performance angeht, Ansichtssache.
Bitte warten ..
Mitglied: vBurak
18.12.2013 um 22:09 Uhr
Hallo,

die Produktseite von Sophos werbt ja schon mit einigen Dingen und sieht sehr nett aus! In was für einem Preisbereich befindet sich das ungefähr?
Bitte warten ..
Mitglied: keine-ahnung
18.12.2013, aktualisiert um 22:48 Uhr
Moin,

LANCOM deckt die Anforderungen ohne Probleme ab. In den 178x-Geräten hast Du ab Werk 5 konkurrierende VPN-Zugriffe freigeschalten, heisst, Du hast Platz für die LAN-LAN-Kopplung und vier weitere VPN bspw. über die VPN-Clientsoftware. Per Softwaredongle ist das aber auf 25 Zugriffe aufzubohren, wenn's nicht reicht.

Geht mit BINTEC-Geräten ähnlich, ich finde aber das GUI von BINTEC noch übler als das von Lancom ... aber ich bin halt Laie.

LG, Thomas
Bitte warten ..
Mitglied: tikayevent
18.12.2013 um 22:58 Uhr
Bei LANCOM gibts einen ganz simplen Trick für Standortvernetzungen. Du packst beide Router ins LANconfig, nimmst den Filialrouter und ziehst den auf den Zentralrouter. Beim ersten mal fragt der Assistent noch zwei oder drei Informationen ab, beim zweiten mal ist das VPN dann schon fertig.

Für den Fernzugriff kannst du entweder auf den kostenpflichtigen LANCOM Advanced VPN-Client zurückgreifen, da erzeugt dann LANconfig mittels Assistent gleich die Konfiguration auf Router und für den VPN Client. Alternativ kannst du den kostenfreien Shrewsoft VPN Client nehmen.

IPSec over HTTPS ist eine Technik, mit der es ermöglicht wird, eine VPN-Verbindung aufzubauen, auch wenn IPSec von der Firewall auf der Clientseite (z.B. öffentliche WLAN-Hotspots) geblockt wird. Die IPSec-Pakete werden dann in HTTPS-Pakete gekapselt und rutschen durch die Firewall durch.

Im Idealfall nimmt man IPSec pur, da hier eine sehr hohe Sicherheit gegeben ist, aber der Overhead auch am geringsten. Mischformen wie L2TP over IPSec sind für Sonderfälle gedacht.

LANCOM hat zur Zeit einen enormen Vorteil im Heimatmarkt, da es sich um einen der wenigen Hersteller handelt, die mit Ausnahme der Elektronikbauteile, komplett in Deutschland entwickelt und gefertigt werden. Das deutsche Recht sieht auch keine Hintertüren vor.
Bitte warten ..
Mitglied: orcape
19.12.2013 um 05:21 Uhr
Hi,
...und wenn die Folgekosten das Problem sind, dann tut es auch ein ALIX 2D13 mit einer pfSense drauf. Ein Switch an die LAN-NIC und gut ist.
Da hast Du vom Budget her reichlich 300 €uronen gespart und die Folgekosten halten sich auch in Grenzen,,,
Aqui hat auch schon die Anleitung dazu geschrieben.....
http://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
...oder ein Mikrotik tut es auch, sieht zwar etwas "spartanisch" aus, bringt aber alles mit was Du benötigst.
Da Du ja bereits OpenVPN nutzt, dürfte das kein Problem werden.

Gruß orcape
Bitte warten ..
Mitglied: Rudbert
19.12.2013 um 07:15 Uhr
Hi,


die schon genannte Sophos UTM (in der zentrale) erlauben dir eine einfache Einrichtung von site-to-site mit RED-Geräten in den Außenstellen. Außerdem kannst du per SSLVPN Anwendungen freigeben.

Das gleiche mit SonicWALLs. Einfache Einrichtung von site-to-site und grundlegende SSLVPN-Funktionalität.

Kostet natürlich beides Geld und ist auch von anderen Herstellern verfügbar (Watchguard, Cisco, ...).


Die SonicWALL-Lösung sollte mit den kleinsten Geräten gerade noch in deinem Budget liegen.


Warum greifen site-to-site nur "Personen" zu? Sind das Einzelpersonen? Dann könnte man das doch komplett über SSLVPN abbilden? Da gibts z.B. von SonicWALL die SRA oder von Barracuda Networks die SSLVPN Geräte.


Mit freundlichen Grüßen
Bitte warten ..
Mitglied: goscho
19.12.2013 um 08:55 Uhr
Moin,

ich bringe folgendes Gerät ins Spiel:

Netgear SRX5308

Das ist ein Quad-WAN GBit VPN-Router, der genau in deine Preisvorstellungen passt, 125 IPSEC-VPN-Tunnel und 50 SSL-VPN-Tunnel erlaubt.
Bitte warten ..
Mitglied: vBurak
19.12.2013 um 10:03 Uhr
Hallo,

danke für die Beiträge. Ich lese die mir später in alle Ruhe mal durch, ich bin gerade etwas ein Eile !

Eine ganz kurze Frage vor ab habe ich noch: Wird zwingend ein VPN Client benötigt, sei es bei Sophos, LANCOM, Netgear oder SonicWALL? Oder kann man z. B. auch über Windows oder Mac OS X direkt eine VPN Verbindung mit den Geräten herstellen?
Bitte warten ..
Mitglied: goscho
19.12.2013 um 10:18 Uhr
Zitat von vBurak:
Eine ganz kurze Frage vor ab habe ich noch: Wird zwingend ein VPN Client benötigt, sei es bei Sophos, LANCOM, Netgear oder
SonicWALL? Oder kann man z. B. auch über Windows oder Mac OS X direkt eine VPN Verbindung mit den Geräten herstellen?
Jain,

SSL-VPN kannst du ohne Client einrichten.
Wenn du aber IPSEC-VPN einrichtest, solltest du einen Client nutzen. Ich empfehle den kostenlosen Shrew-Client,
Bitte warten ..
Mitglied: aqui
19.12.2013 um 12:00 Uhr
Weitere Tutorials zur Entscheidungsfindung:
http://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense ...
bzw. mit SSL Protokoll:
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
Wenn du IPsec basierte VPNs realisierst musst du immer eine zusätzliche SW installieren wie z.B. den kostenlosen und bekannten Shrew Client: https://www.shrew.net
Ausnahme ist du realisierst dein Client VPN auf Basis des L2TP Protokolls. Das haben fast alle Clients wie Linux, MacOS, Windows und die Masse aller Smartphones gleich so mit an Bord.
Das o.a. Tutorial beschreibt die Realisierung eines L2TP Client VPNs.
Bitte warten ..
Mitglied: vBurak
19.12.2013 um 20:59 Uhr
Hallo,

also LANCOM hört sich ja schonmal ganz interessant an. Anscheinend habe ich hierbei ja nur erstmal die Hardware Kosten und evtl. Zusatzkosten für VPN Tunnel Erweiterungen bzw. Client Software (oder man nimmt die kostenlose Variante).

Wenn ich es richtig verstanden habe, sollte man für die Site-to-Site VPN Verbindung IPsec only benutzen. Für den Fernzugriff als Client-to-Site z.B. SSL oder L2TP over IPsec. Wenn hier also L2TP over IPsec für den Fernzugriff nehme, sollte ich ohne weitere SOftware am Client mit Windows oder Mac OS X eine Verbindung aufbauen? die Site-to-Site Verbindung wird dann sowieso über die Geräte ausgehandelt und ist dann für alle Nutzer automatisch verfügbar.

Eine "Eigenbau-Lösung" will ich ehrlich gesagt hier vermeiden. Ich habe schon so oft versucht, irgendwie eine Eigenbau-Lösung in verschiedenen Sachen durchzuführen und bin teilweise immer wieder auf die Nase gefallen. Diesmal will ich mir das nicht antun und hier dann gleich was "fertiges" kaufen. Wenn das Budget für teure Lösungen wie mit Sophos oder LANCOM nicht ausreicht, kann man immer noch gucken ob man wegen den Folgekosten noch was machen kann. Ich meine, es wird ja seinen Grund haben, warum es Folgekosten gibt.

Sophos bietet eine Testversion an, welche man auf einem Rechner oder VM installieren kann. Ich habe das mal getestet und muss schon sagen, die Übersicht ist wirklich super und die Konfigurationsmöglichkeiten überwältigt mich. Die Frage ist - ob so eine UTM von Sophos nicht oversized ist. Die UTM bietet ja nicht nur die VPN Lösungen an sondern auch andere Sicherheitspunkte wie Web, Mail, Network etc. Aber man muss ja anscheinend das was man nicht Nutzen will auch nicht kaufen. Da kontaktiere ich nochmal mit Sophos für ein Angebot.

Momentan würde ich Sophos bevorzugen. Mal schauen wie viel das ganze dann auch in Folge kosten wird.

Vielen Dank für die Antworten! Falls jemand noch Anmerkungen hat kann er diese gerne teilen !

Gruß,

Burak
Bitte warten ..
Mitglied: Dani
19.12.2013, aktualisiert 21.02.2014
@Rudbert
ich möchte dir nicht zu Nahe treten, aber DELL Sonicwall ist seit Monaten nicht mehr das gelbe von Ei. Bugs noch und nöcher... Firmware läuft nicht rund und der Support ist unter aller Kanone. Unter einer stabliler Firewall verstehe ich etwas anderes. So günstig die auch sind so viel Zeit und Nerven kann es dich hinterher kosten.

@vBurak
Wenn das Budget für teure Lösungen wie mit Sophos oder LANCOM nicht ausreicht,
Hmm... dann mach ich dir mit meinen Favorit Barrauda NG Firewall sicher keine Freunde. Bietet den Support in Deutsch an, da die Jungs gleich in Österreich sitzen und sind sehr fit. Fixes lassen in der Regel keine Woche auf sich warten.


Grüße,
Dani
Bitte warten ..
Mitglied: Rudbert
20.12.2013, aktualisiert um 08:40 Uhr
Hi,

@Dani kein Problem - hab mit dem Support keine Erfahrungen, wir setzen die nur für dumme VPN Tunnel ein da laufen die und laufen und laufen

Wenn ich ehrlich bin, haben wir sogar die Barracuda SSLVPN anstatt die SonicWALL SRA für unsere Remote-User gekauft, da die SonicWALL einige nervige Bugs aufwies

Gruß
Bitte warten ..
Mitglied: Dobby
20.12.2013 um 12:39 Uhr
Hallo vBurak,

- die Netgear SRX5308 ist seit langem auf dem Markt und bringt es für unter 500 €
- Lancom ist natürlich teurer, aber gegen eine zusätzliche Gebühr kann man meist weitere VPN Verbindungen
frei schalten und somit die Router länger nutzen was ja auch nicht zu verachten ist
- Die pfSense von @aqui´s Anleitung ist hier schon um die hundert Mal nachgebaut und erfolgreich in
Betrieb genommen worden, also keine Angst davor und wenn die VPN Verbindungen ansteigen kann man
sogar noch eine Soekris vpn1401 mini PCI Karte einbauen und dann steigt der VPN Durchsatz recht steil an.

So hier noch einen von mir oben auf, den Draytek Vigor3900, der ist auch nicht billig aber ist eben auch
ein Router den man nicht umsonst als VPN Konzentrator bezeichnet, ob das nicht schon einer zu viel
des Guten ist musst Du selber entscheiden, aber die lässt sich wenigstens noch zu einer HA Lösung
ausbauen und lässt auch keine Wünsche offen.

Du benötigst eigentlich nur einen VPN fähigen Router oder eine Firewall, denn die UTM Geräte ziehen
immer Folgekosten nach sich, für die Lizenzen.

Das Budget für die Hardware für einen Standort beträgt ca. 500€.
Sag mal lieber wie viele VPN insgesamt anfallen werden und danach sollte sich das Budget
dann auch immer richten.

Gruß
Dobby
Bitte warten ..
Mitglied: Dani
20.12.2013, aktualisiert 21.02.2014
@Dobby
Kostenlose Firewall und Support sind zwei Paarstiefel. Am Ende ist eben die Frage, was passiert wenn Bugs auftreten? Was passiert bei einem Ausfall? Etc...
Wir haben auch lange überlegt, ob wir pfSense als Cluster einsetzen sollen. Am Ende haben wir uns dagegen entschieden. Wir haben sicherlich ein gewisses Maß an Wissen im Haus. Aber wenn die Firmware streikt, Fehler auftreten, etc... wer steht einem am Wochenende oder Nachts zur Verfügung? Das muss man einfach auch beachten und für sich entscheiden. Bei Ausfällen steht meistens einen Geldwert entegegen.


Grüße,
Dani
Bitte warten ..
Mitglied: Dobby
21.12.2013 um 12:24 Uhr
Hallo @Dani,

Kostenlose Firewall und Support sind zwei Paarstiefel.
Ich habe das eher im Verhältnis von normaler Firewall oder normalem Router zu einer UTM gemeint!
Denn dort fallen ja danach immer noch Lizenzkosten an und auf die hatte ich angesprochen, also
Lizenzen für Antivirus, Antispam, Antimalware und zusätzlichen Support.

Am Ende ist eben die Frage, was passiert wenn Bugs auftreten? Was passiert bei einem Ausfall? Etc...
Nun ja man kann ja auch bei einer normalen Firewall oder einem normalen Router Support mit einkaufen, oder?

Wir haben auch lange überlegt, ob wir pfSense als Cluster einsetzen sollen. Am Ende haben wir uns dagegen entschieden.
Jo würde ich bei Eurer Firmengröße auch machen wollen, denn das mit dem pfSync (ARB Balance over CARP) ist eine
schöne Sache allerdings nur unter OpenBSD, denn nur dort funktioniert das sauber soweit ich informiert bin. Leider.

Wir haben sicherlich ein gewisses Maß an Wissen im Haus. Aber wenn die Firmware streikt, Fehler auftreten, etc... wer steht einem am Wochenende oder Nachts zur Verfügung? Das muss man einfach auch beachten und für sich entscheiden. Bei Ausfällen steht meistens einen Geldwert entegegen.
Auf der einen Seite gebe ich Dir recht aber das war auch eher mit der Anspielung auf das vom TO angesprochene "auf die Nase
gefallen mit solchen Selbstbauversuchen"
denn funktionieren tut die Sache mit der pfSense ja wenn man sich die Resonanz
einmal anschaut, klar die sind nicht zertifiziert und der Support kostet bestimmt auch richtig Geld, da kann man dann auch gleich
zu einem kommerziellen Anbieter gehen.

Gruß
Dobby
Bitte warten ..
Mitglied: Dani
26.12.2013 um 17:43 Uhr
Hi Dobby,
Nun ja man kann ja auch bei einer normalen Firewall oder einem normalen Router Support mit einkaufen, oder?
Bestimmt...

Ich habe das eher im Verhältnis von normaler Firewall oder normalem Router zu einer UTM gemeint! Denn dort fallen ja danach immer noch Lizenzkosten an und auf die hatte ich angesprochen, also Lizenzen für Antivirus, Antispam, Antimalware und zusätzlichen Support.
Kann dir folgen... aber wann willst du die Daten aus/von VPN-Verbindungen stammen auf Malware und Viren prüfen? Am Besten direkt auf dem Gateway am Hauptstandort.

Jo würde ich bei Eurer Firmengröße auch machen wollen,
Arbeiten wir im gleichen Unternehmen?

Auf der einen Seite gebe ich Dir recht aber das war auch eher mit der Anspielung auf das vom TO angesprochene "auf die Nase gefallen mit solchen Selbstbauversuchen" denn funktionieren tut die Sache mit der pfSense ja wenn man sich die Resonanz einmal anschaut, klar die sind nicht zertifiziert und der Support kostet bestimmt auch richtig Geld, da kann man dann auch gleich zu einem kommerziellen Anbieter gehen.
Die Ideen sind alle richtig... weil wir nicht wissen wie SICHER die Intrastruktur und der VPN-Zugang sein sollen.


Grüße,
Dani
Bitte warten ..
Mitglied: Dobby
26.12.2013 um 19:21 Uhr
@Dani

Arbeiten wir im gleichen Unternehmen?
Ich habe das einmal aus Deinen übrigen Beiträgen abgeleitet.

Gruß und schöne Weihnachtsfeiertage
Dobby
Bitte warten ..
Mitglied: Dani
26.12.2013 um 19:32 Uhr
@D.o.b.b.y
Aso... Wäre nicht das erste Mal.

Danke, wünsch ich dir auch noch.
Dani
Bitte warten ..
Mitglied: Dobby
27.12.2013 um 22:38 Uhr
Hallo,

wenn es das dann bitte noch schnell einen Beitrag ist erledigt dran und gut ist es, Danke.

Gruß
Dobby
Bitte warten ..
Mitglied: vBurak
29.12.2013, aktualisiert um 23:02 Uhr
Hallo,

hat etwas länger bei mir hier gedauert.

Danke nochmal für die Anmerkungen. Wir haben uns nun erstmal für den LANCOM 1781EF+ entschieden, da es erstmal die günstige Variante ist. Wenn man dann zur kompletten Standortvernetzung kommt, wo auch Unified Threat Management in Frage kommt, kann man sich dann noch Sophos anschauen.

Bzgl. der Eigenbau-Sache: Da muss ich Dani recht geben mit

Kostenlose Firewall und Support sind zwei Paarstiefel. Am Ende ist eben die Frage, was passiert wenn Bugs auftreten? Was passiert bei einem Ausfall? Etc...

Ich will mir das ehrlich gesagt nicht an tun, wenn es nicht mehr funktioniert, Probleme auftreten oder sonst was und ich keinen richtigen Support habe. Außerdem habe ich persönlich auch nicht soviel Know-How in dem Bereich und würde eine, ich sage mal "fertige" Lösung, bevorzugen (ich weis das man hierbei natürlich auch noch Planen & Konfigurieren muss).

Trotzdem vielen Dank und einen guten Rutsch!

Gruß,
Burak
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(3)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Netzwerkgrundlagen
Einfache VPN Lösung für Backup Verkehr gesucht (8)

Frage von SPAGHETTI zum Thema Netzwerkgrundlagen ...

Router & Routing
VPN-Verbindung zu Fritzbox - Kein Zugriff auf andere Netzwerkgeräte (3)

Frage von mabue88 zum Thema Router & Routing ...

LAN, WAN, Wireless
VPN: Client - Draytek und kein Zugriff auf lokale Ressourcen

Frage von MichaelOr zum Thema LAN, WAN, Wireless ...

Router & Routing
Zugriff auf Netzwerk ohne public-IP (14)

Frage von tr1plx zum Thema Router & Routing ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...