4
VPN (site-to-site?) - IP-Telefonie
Hallo ich wende mich wieder einmal an euch, da ich mich bezgl. VPN leider nicht gut genug auskenne.
Folgende Situation:
Zwei Mitarbeiter sollen von zu Hause arbeiten. Da sie auch auf das Firmennetzwerk zugreifen müssen und auch mit IP-Telefonen auf die Telefonanalge zugreifen sollen, bin ich dir Meinung, dass dies (gede wegen der IP-Telefonie) nur über site-to-site funktioniert. Sehe ich das richtig? Oder ginge das auch anders?
Jetzt ist in der Firma der bintec R3502 vorhanden und für die beiden Mitarbeiter der Netgear FVS338. Die IP Telefone sind die aastra 6773ip.
Nun kommen die blöden Fragen:
Beide Mitarbeiter haben ja zuhause schon ein bestehendes Netzwerk. Können die Netgear's einfach konfiguriert werden und dann in das bestehende Netzwerk gepackt werden? Weil das private Netzwerk soll ja nicht von der Firma erreichbar sein und das normale Surfen und private Netzwerkverkehr der Mitarbeiter soll ja auch nicht über den Tunnel laufen. Wie kann ich das am besten realisieren?
Eigentlich war mein Wunsch eine end-to-site VPN-Verbindung aufzubauen. Wäre ja mit den Firmen-PCs die dann im privaten Netzwerk gewesen wären einfach gegangen. Problem ist dabei nur das IP-Telefon.
Leider habe ich mich glaube ich nicht schlauer gelesen. Ich hoffe Ihr könnt mir bei meinen Fagen helfen. Vielen Dank im Voraus für eure Hilfe.
Folgende Situation:
Zwei Mitarbeiter sollen von zu Hause arbeiten. Da sie auch auf das Firmennetzwerk zugreifen müssen und auch mit IP-Telefonen auf die Telefonanalge zugreifen sollen, bin ich dir Meinung, dass dies (gede wegen der IP-Telefonie) nur über site-to-site funktioniert. Sehe ich das richtig? Oder ginge das auch anders?
Jetzt ist in der Firma der bintec R3502 vorhanden und für die beiden Mitarbeiter der Netgear FVS338. Die IP Telefone sind die aastra 6773ip.
Nun kommen die blöden Fragen:
Beide Mitarbeiter haben ja zuhause schon ein bestehendes Netzwerk. Können die Netgear's einfach konfiguriert werden und dann in das bestehende Netzwerk gepackt werden? Weil das private Netzwerk soll ja nicht von der Firma erreichbar sein und das normale Surfen und private Netzwerkverkehr der Mitarbeiter soll ja auch nicht über den Tunnel laufen. Wie kann ich das am besten realisieren?
Eigentlich war mein Wunsch eine end-to-site VPN-Verbindung aufzubauen. Wäre ja mit den Firmen-PCs die dann im privaten Netzwerk gewesen wären einfach gegangen. Problem ist dabei nur das IP-Telefon.
Leider habe ich mich glaube ich nicht schlauer gelesen. Ich hoffe Ihr könnt mir bei meinen Fagen helfen. Vielen Dank im Voraus für eure Hilfe.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 247346
Url: https://administrator.de/contentid/247346
Printed on: April 20, 2024 at 02:04 o'clock
4 Comments
Latest comment
Hallo, im prinzip würde ich den Netgear hinter die lokalen Router hängen.
Also VPN Ports auf z.B. Fritz!Box weiterleiten auf den Netgear.
Aber genau kann ich es Dir nicht sagen weil ich nicht weiß wie es mit den VPN gelöst wurde, dynamische Adressen usw. und sofort.
Interessant, lass mich mal spinnen, du verbindest dich mit end-to-site und steckst eine zusätliche Netzwerkkarte in den Rechner mit einen crossover Kabel,
wenn du da noch ein bisschen mit den Routen zauberst, könnte es klappen, ABER WIE GESAGT EINE SPINNEREI, aber die läßt sich recht simpel im "Labor" nachbauen und testen ...
Gruß ALex
Also VPN Ports auf z.B. Fritz!Box weiterleiten auf den Netgear.
Aber genau kann ich es Dir nicht sagen weil ich nicht weiß wie es mit den VPN gelöst wurde, dynamische Adressen usw. und sofort.
Interessant, lass mich mal spinnen, du verbindest dich mit end-to-site und steckst eine zusätliche Netzwerkkarte in den Rechner mit einen crossover Kabel,
wenn du da noch ein bisschen mit den Routen zauberst, könnte es klappen, ABER WIE GESAGT EINE SPINNEREI, aber die läßt sich recht simpel im "Labor" nachbauen und testen ...
Gruß ALex
VPN leider nicht gut genug auskenne.
Grundsätzlich keine gute Grundlage so ein Projekt anzugehen 
nur über site-to-site funktioniert. Sehe ich das richtig? Oder ginge das auch anders?
Das siehst du grundsätzlich richtig...es sei denn die VoIP Funktion ist als Softphone auf dem Mitarbeiter Laptop z.B. realisiert.Dann reicht auch ein simples Client VPN mit deinen VPN Client auf dem Laptop.
Sind die Telefone dedizierte VoIP Telefone geht es nur mit Site to Site....logisch, denn du musst ja mehrer Netzkomponenten ins VPN bringen.
Nun kommen die blöden Fragen:
Gibts nicht nur böde Antworten !Können die Netgear's einfach konfiguriert werden und dann in das bestehende Netzwerk gepackt werden?
Ja das geht wobei du schon mit der Wahl von Netgear VPN Komponenten sehr wenig Fachkenntniss bewiesen hat denn im IPsec Bereich sind die das Übelste was einem passieren kann. Wichtig ist hier immer die aktuellste Firmware auf den Systemen zu haben aber in manchen Konstellationen rettet dich das auch nicht wie die zahllosen Leidensthreads hier zeigen.Kann sein das du da viel Spaß bekommen wirst.... Am Bintec wird es zu 99% nicht liegen.
Ganz wichtig: Die privaten IP netze der Mitarbeiter müssen immer unterschiedlich sein wie auch das Firmennetzwerk ! Kann man nur hoffen das du das schon in weiser Voraussicht geplant hast und nicht überall sowas wie das dümmliche 192.168.1.0 /24 installiert ist ?!
Bei einem Site to Site VPN geht der private Verkehr immer lokal raus ! Nur der Verkehr für die Firmen IP netze wird in den Tunnel geroutet !
Du solltest hier allerdiringenst dein VPN KnowHow auffrischen !!
war mein Wunsch eine end-to-site VPN-Verbindung aufzubauen
Keine gute Lösung wenn du dedizierte Telefone hast wie die Aastras ! Wie soll das gehen, denn die Telefone haben ja keinen IPsec VPN Client an Bord ! "Problem" hast du ja selber erkannt ! Außerdem ist sowas Blödsinn, denn es skaliert nicht. Demnächst kommt da dann noch ein Drucker dazu und und und... Bringt dich also in einen Sackgasse dein Wunschdenken. Also Site to Site. Zeigt wieder dein leider rudimentäres Wissen zu VPN Technik, sorry Leider habe ich mich glaube ich nicht schlauer gelesen
Glauben heisst nicht wissen !....Dieses Tutorial hier beantwortet alle deine Fragen auch in einem heterogenen IPsec VPN Umfeld wie du es anstrebst:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Beachte dazu besonders das Kapitel "Allgemeine Tipps zum VPN Design" was deine IP Adressplanung anbetrifft !
Dort findest du auch grundlegendes zum IPsec VPN Protokoll was du ja vermutlich verwendest ?! Gesagt hast du ja dazu auch leider nix....
1
Also Variante 1 (war ca. 5 Jahre bei mir im Einsatz und ist jetzt noch aktiv als backup VPN):
IP Fire (http://www.ipfire.org/) mit installiertem Open VPN)
Variante 2 (aktive seid 1 Jahr):
MS Direct Access (http://technet.microsoft.com/de-de/library/dd637827(v=ws.10).aspx)
Diese Variante läuft stabil und vor allem sicher. Solange eure VOIP Lösung IPV6 fähig ist sollte es keine Probleme geben.
IP Fire (http://www.ipfire.org/) mit installiertem Open VPN)
Variante 2 (aktive seid 1 Jahr):
MS Direct Access (http://technet.microsoft.com/de-de/library/dd637827(v=ws.10).aspx)
Diese Variante läuft stabil und vor allem sicher. Solange eure VOIP Lösung IPV6 fähig ist sollte es keine Probleme geben.
Bei der umständlichen Konfiguration bei IPFire besser immer die Finger von IPFire lassen.
Bei der pfSense
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
ist das erheblich einfacher und angenehmer im Web GUI zu konfigurieren da besser und professioneller gelöst.
Mit OpenVPN aber, und da hast du absolut Recht, ist das ein Kinderspiel das umzusetzen:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Nebenbei: Es ist übrigens technisch vollkommen irrelevant ob die VoIP Lösung v6 fähig ist oder nicht. Beide protoklle werden unterstützt. Mal ganz abgeshen davon das das überwigende Gros der VoIP Anlagen ausschliesslich über IPv4 kommuniziert.
Eine Protokollabhängikeit bei VoIP ist technischer Blödsinn in einem Dual Stack.
Bei der pfSense
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
ist das erheblich einfacher und angenehmer im Web GUI zu konfigurieren da besser und professioneller gelöst.
Mit OpenVPN aber, und da hast du absolut Recht, ist das ein Kinderspiel das umzusetzen:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Nebenbei: Es ist übrigens technisch vollkommen irrelevant ob die VoIP Lösung v6 fähig ist oder nicht. Beide protoklle werden unterstützt. Mal ganz abgeshen davon das das überwigende Gros der VoIP Anlagen ausschliesslich über IPv4 kommuniziert.
Eine Protokollabhängikeit bei VoIP ist technischer Blödsinn in einem Dual Stack.
1
