VPN mit 16 kleinen Außenstellen

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
eisback
Beiträge: 22
Registriert: 09 Feb 2017, 19:33

VPN mit 16 kleinen Außenstellen

Beitrag von eisback »

Hallo, an einen zentralen Standort mit einem Lancom 1906VA sollen 16 Mini-Außenstellen angebunden werden. In jeder Außenstelle sind nur ein oder zwei Personen tätig und es gibt pro Außenstelle nur ein Laptop und einen Multi-Netzwerkdrucker. Überall sind Digitalisierungsboxen im Einsatz und die müssen wohl auch leider als Gateway in den Netzwerken stehen bleiben. Die Außenstellen haben allesamt dynamische IPs. Nun sollen aber alle Außenstellen via VPN mit der Zentrale verbunden werden damit zum Einen die Zentrale auf den Netzwerkdruckern in den Außenstellen drucken kann und zum Anderen damit die Drucker in den Außenstellen in eine SMB-Freigabe in der Zentrale scannen können. Meine konkreten Fragen sind nun:

1. Pro Außenstelle einen kleinen Lancom (z.B. das Modell 1640E) kaufen und hinter die Digibox klemmen oder VPN zwischen Digibox und Lancom konfigurieren? Wenn ich den Lancom Router dahinter klemme muss ich ja div. Ports an den Lancom weiterleiten ... andererseits wäre die VPN Konfig viel einfacher als zwischen Digibox und Lancom
2. Eigentlich möchte ich, dass der VPN Tunnel nur bei Bedarf aufgebaut wird - also entweder wenn in der Außenstelle der Drucker auf die SMB-Freigabe in der Zentrale zugreift oder wenn Jemand von der Zentrale in einer Außenstelle drucken möchte ... kriegt man das so konfiguriert? Der Assistent fragt ja immer welche Seite die Verbindung aktiv aufbauen soll ... aber in meinem Szenario müsste es mal die eine und mal die andere Seite sein ... wenn das nicht geht dann muss die Verbindung eben dauerhaft aufgebaut sein.
3. Für IKEv2 ist DynDNS in den Außenstelle erforderlich, oder?

Danke!
jueRgenB
Beiträge: 97
Registriert: 08 Apr 2019, 12:01

Re: VPN mit 16 kleinen Außenstellen

Beitrag von jueRgenB »

Hi,

bei den Stichworten Digitalisierungsbox, LANCOM 1906VA etc... denke ich ja meist an Business Zugänge...
Wird in den Außenstellen ein Telekom Business Anschluss genutzt?

Dann könnte doch recht einfach die Option Feste IP gebucht werden,
die kostest meist nix und ist in den Business Tarifen dabei.

Ansonsten würde ich mit der Digitalisierungsbox und dem LANCOM 1906VA 16 kleine Site2Site VPN´s aufbauen.
Hier muss man dann 16 verschiedene Subnetze erstellen.

Bei Youtube findet sich auch ein Tutorial dazu ... (Site-to-Site VPN zwischen LANCOM und Digitalisierungsbox)

Mit DynDns sollte aber auch gehen (dann mit IKEv2) oder eben mit IKEv1.

Ich würde keine 16 1640E kaufen, das kost doch nur wieder Geld und macht das ganze kompliziert.
Dann lieber 16 NUC´s als VPN eingesetzt und man kann noch so viel schöne Dinge mehr damit machen...

Gruß

Jürgen
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: VPN mit 16 kleinen Außenstellen

Beitrag von GrandDixence »

jueRgenB hat geschrieben: 16 Apr 2021, 20:13Ich würde keine 16 1640E kaufen, das kost doch nur wieder Geld und macht das ganze kompliziert.
Dann lieber 16 NUC´s als VPN eingesetzt und man kann noch so viel schöne Dinge mehr damit machen...
Ja, dem kann ich nur zustimmen: Das Zeitalter, wo man für eine Firewall und einen VPN-Server/-Endpunkt Spezialhardware eingesetzt hat, ist definitiv vorbei. Um Kosten zu sparen und der "End-of-Life"-Problematik zu entgegen (-> LCOS-Lifecycle), sollte für Neuanschaffungen nach Möglichkeit COTS-Hardware eingekauft werden.
https://de.wikipedia.org/wiki/Commercial_off-the-shelf

Zur "End-of-Life"-Problematik beim Einsatz von LANCOM-Produkten siehe:
fragen-zur-lancom-systems-routern-und-g ... 18761.html

Beispiele von COTS-Hardware sind:

- Raspberry Pi (https://de.wikipedia.org/wiki/Raspberry_Pi)
- Intel NUC (https://de.wikipedia.org/wiki/Next_Unit_of_Computing)
- Prime Mini 5 (ein lüfterloser Intel NUC) -> https://primecomputer.ch/
- Jegliche Serverhardware mit Intel- oder AMD-Prozessoren für den Einbau in 19-Zoll-Racks (https://de.wikipedia.org/wiki/Rack und https://de.wikipedia.org/wiki/Server)

Diese COTS-Hardware ist mit einer zweiten Netzwerkkarte zu versehen, damit ein Netzwerkanschluss als WAN-Port und der andere als LAN-Port betrieben werden kann. Das Netzwerkkabel am LAN-Port der COTS-Hardware verbindet man mit einem VLAN-fähigen Switch.
fragen-zur-lancom-systems-routern-und-g ... tml#p90529

Die COTS-Hardware ist anhand der Ansprüche an die Performance zu wählen: Für Gigabit-Glasfaseranschlüsse ist der Einsatz von leistungsfähiger Serverhardware angebracht. Für langsame Internetanschlüsse < 75 MBit/s sollte ein Raspberry Pi 4 genügen. Beim Einsatz eines VPN-Server ist das Thema "Hardware-Krypto-Beschleuniger" zu beachten:
lancom-feature-wuensche-f22/wireguard-t18159.html

Als Betriebssystem auf dieser COTS-Hardware setzt man dann irgendein LTS Linux (zum Beispiel: Ubuntu Server, SUSE Linux Enterprise Server, Red Hat Enterprise Linux) ein. Für dieses LTS Linux sollte optionaler, kostenpflichtiger Hotline-Support angeboten werden.

Für LTS Linux, Raspberry Pi und Prime Mini 5 siehe auch:
fragen-zur-lancom-systems-routern-und-g ... ml#p101750
jueRgenB
Beiträge: 97
Registriert: 08 Apr 2019, 12:01

Re: VPN mit 16 kleinen Außenstellen

Beitrag von jueRgenB »

Hi,

die PrimeMini sehen ja nett aus, es fehlen aber wieder 2 LAN Ports.
Was kostet denn so ein PrimeMini, wenn er als VPN Router genutzt werden soll?
Die Distris wollen alle wieder ein Enquire .. heißt, ham wir nicht auf Lager, können wir aber besorgen.

Ich fand ja die Fitlet2 ganz prima,
aber die gibt es wohl nicht mehr in Europa zu kaufen, minidis scheint der letzte Anbieter zu sein.
Die gängigen Anbieter haben keine Infos oder haben die nicht mehr im Programm.

Und ich finde eine Linux Distribution bietet besseren Support als die Hardware Lösungen mancher Anbieter.
Benutzeravatar
hyperjojo
Beiträge: 801
Registriert: 26 Jul 2009, 02:26

Re: VPN mit 16 kleinen Außenstellen

Beitrag von hyperjojo »

hi,

ich würde in den 16 Filialen unterschiedliche Netze anlegen und dann die VPNs von den bestehenden Digiboxen zur Zentrale mit IKEv2 aufbauen. Was spricht dagegen, dass die VPNs immer aufgebaut bleiben?

Gruß hyperjojo
eisback
Beiträge: 22
Registriert: 09 Feb 2017, 19:33

Re: VPN mit 16 kleinen Außenstellen

Beitrag von eisback »

Danke für Ihre Ideen und Anregungen! Dann werde ich in einer Außenstelle ein VPN zwischen Digibox und Lancom konfiguieren und wenn das gut klappt auf die anderen Außenstellen ausweiten. Danke nochmals! Nico
5624
Beiträge: 865
Registriert: 14 Mär 2012, 12:36

Re: VPN mit 16 kleinen Außenstellen

Beitrag von 5624 »

Normalerweise würde ich hyperjojo bei der Verwendung von IKEv2 zustimmen, aber die Digitalisierungsboxen kommen von bintec, die eine eigenartige IKEv2-Implementation haben. Normal sieht IKEv2 ja die Nutzung von beliebigen Kombinationen aus Zertifikaten, PSK und EAP vor, wobei jede Seite der beiden Seiten etwas anderes nutzen kann, solange beide Seiten über Kreuz korrekt konfiguriert sind (z.B. Zertifikat auf der Seite der Zentrale, PSK in den Filialen). Aber auch unterschiedliche PSK pro Seite gehen.

Als ich das letzte Mal versucht habe, eine IKEv2-Verbindung mit Bintec-Geräten aufzubauen, ist mir aufgefallen, dass bintec eben diese Konstruktion nicht anbietet. Auch wenn man LANCOM-seitig beide PSK (Remote und Local) identisch setzt, wollte es bei mir nicht klappen. Da es nur ein Test war, hab ich mich nicht weiter damit beschäftigt.

Daher würde ich bei bintec-Geräten und damit auch bei den Digitalisierungsboxen (alle außer der Basic, die kommt von Zyxel), zur Frustvermeidung IKEv1 nehmen.

Die Kombination aus bintec und LANCOM per IKEv1 funktioniert aber, lange Zeit haben wir diese Kombination genutzt. bintec<=>bintec war da schon interessanter ;-D

Das sind meine Erfahrungen, die ich bis vor einigen Jahren gesammelt habe, aber da bintec keine großen Sprünge bei den Firmwareversionen gemacht hat, könnte ich mir vorstellen, dass das noch immer da ist.
LCS NC/WLAN
Benutzeravatar
hyperjojo
Beiträge: 801
Registriert: 26 Jul 2009, 02:26

Re: VPN mit 16 kleinen Außenstellen

Beitrag von hyperjojo »

Hallo,

IKEv2 zwischen LANCOM und Digibox funktioniert bei mir problemlos. Kann bei Bedarf eine Anleitung zur Verfügung stellen...

Gruß hyperjojo
Antworten