[Kaufberatung] VPN Hardware für Außenstelle gesucht

UsAs

Moderator Mr. Carbon,Be-King
Hardwareluxx Team
Thread Starter
Mitglied seit
23.12.2007
Beiträge
8.602
Guten Tag zusammen,

Ich erbitte Tipps aus der Praxis.

Ausgangssituation:

Eine Firma mit Hauptgebäude:

DSLer und Serverinfrastruktur

Eine Außenstelle:

Ein Client und ein Drucker sollen dorthin. Nur DSL per FRITZ!Box.

Es soll per RDP auf einer Datenbank Anwendung gearbeitet werden und Ausdrucke vor Ort erfolgen.

Ich suche nun preisbewusst ein Gateway für die Haupstelle und eine Box als Peer für die Außenstelle.

Soll per Ipsec abgebildet werden.

Ich habe schon TP Link Omada da gehabt, taugte aber schon in der Einrichtung nicht.

Hat noch jemand Tipps für bezahlbare Hardware?

Das Ganze ist nicht Trafficlastig.

Soll nur stabil laufen und bezahlbar sein.

Danke für Tipps!
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Servus,
Welche Firewall ist in der Hauptstelle im Einsatz?

Grüße
maxblank
 
Die Frage ist, was noch alles da ist.

Grundsätzlich braucht es einen VPN.
Entweder Site2Site, macht aber nur Sinn, wenn mehr als ein Client bzw. nonPC-Client dort deployt werden.
Und da gehts dann im speziellen um den Drucker, wie wird der gemanaget.

Sprich also, willst du sich im Remotenetz so bewegen als wäre es nicht remote und das aus beiden Sichten betrachtet.

Ansonsten, was hat die Hauptstelle für nen Gateway?
Unterstützt das VPN? Gibt es für das Gateway einen (PC)Client?

Ansonsten, wenn du was solides willst, kann ich aus 20Jahren Erfahrung Draytek empfehlen, im Idealfall auf beiden Seiten.
Ich habe Privat einen Vigor3910...
 
Danke für die Rückmeldung.

Dort steht auch eine FRITZ!Box.

Ich gucke mir den Vigor mal an, danke.
 
Früher (*tm) habe ich die Netgear ProSafe VPN Gateways genutzt, die ProSafe Serie ist aber vor einigen Jahren eingestampft worden.
Das so genannte Nachfolgeprodukt "BR200 – Insight Managed Business Router" überzeugt mich nicht gerade....
TP-Link hat nach meiner Einschätzung im Businessumfeld nicht wirklich was zu suchen - auch wenn ich derzeit selber einen "TL-ER604W" im Einsatz habe

Daher Draytek!!!! (Falls nicht sowieso schon eine Firewall mit VPN löppt)

Nachtrag: das VPN der FB könnte man natürlich auch nutzen, ansonsten geht das mit Draytek auch hinter der FB....
(Cisco und Linksys bekommen das gerade bei den billigeren SoHo/SB Routern/Gateways nicht hin - und schon gar nicht mit dynamischen IPs, die via DynDNS aufgelöst werden)
 
Zuletzt bearbeitet:
Nein, was in der Zentrale für nen Gateway ist.
Das hat, oder auch nicht, bestimmte Features, die man sich zu nutze machen kann.

Außerdem sollte man auch noch den Rest betrachten.
Also wie sieht das Netz aus, wie wird geroutet, wie wird das externe Netz an das lokale Netzangebunden.
Was laufen sonst noch für MGMT-Sachen.

Ich persönlich würde entweder den PC selber dazu verdonnern der VPN-Client nen full redirect in die Zentrale zu machen oder eben das ganze Netz.
Sofern es eben mehr als nur ein Gerät dort gibt. Denn dann kannst du die internen Mechanismen für Internet nutzen etc.

Den Vigor3910 ist für ne Remotesite dezent oversized.
Da gibt es kleine und günstige Varianten.
Der 3910 wäre maximal etwas für die Zentrale. Aber das ist ne Frage der Infrastruktur.

Bei so einer Anfrage kann man eigentlich keine seriöse Aussage machen.
 
Dort steht kein Gateway. Nur die FRITZ!Box. Wäre also eine Anschaffung für beide Sites.

Und die Remote Site hat eben wirklich nur einen PC und einen Drucker.

Simpel.

Der Client soll per RDP auf einem TS arbeiten und die Drucke sollen über den Tunnel auf dem Drucker vor Ort rausfallen.

Alles sehr simpel konstruiert.
 
Und wenn man einfach die FBs Site2Site macht?

Kenn mich damit nicht aus, aber wenn beide Netze in den FBs geroutet werden, dann wars das eigentlich schon. Das ist dann so, als wenn die Remotesite bei euch im Haus sitzt, nur eben mit anderen IPs. (letzteres unbedingt vorher anpassen, also 192.168.178.0/24 und 192.168.179.0/24)
 
Da würde ich dann wirklich über eine VPN-Verbindung über die FRITZ!Boxen nachdenken und umsetzen, wenn die sowieso im Einsatz sind.
 
Auch wenn ich kein Fan der FBs bin. Das Zeug ist da, ist ggf. beim Provider im Support und kann das, was benötigt wird - 0815 Site2Site.
Wenn die FBs bisher ausgereicht haben, besonders @primary, muss man da nicht groß dran rumfummeln.
Wenn etwas gegen die FBs spricht, dann ggf. anpassen, aber das sollte auch ne Anforderung sein.

Bei Draytek würde ich das so machen:
Primary:
https://www.draytek.de/vigor2927-serie.html (für die Bauform gabs mal 19" Rahmen)
oder
https://www.draytek.de/vigor2962.html als native 19"
(wenn 19" Sinn macht)
Remote:
Für mobiles Arbeiten dann:

EDIT:
Ist das deine Selbständigkeitsoperation?
 
Danke für den Input.

Nein, das Ganze ist für einen Kumpel und sein Unternehmen privat. Die haben jetzt eine kleine Außenstelle und das soll dann einfach möglichst kostengünstig angebunden werden:)
 
Ich würde dir ja eine PN schreiben wenn du nicht alles ausblenden würdest ^^

Falls du was brauchst hätte ich noch 2 x Vigor 2925 und 1 Vigor 2926, die ich nicht mehr benötigen würde. Zustand natürlich 1a und auf dem aktuellen Patchlevel. Bei einem oder 2 (nicht sicher) sind auch die 19 Zoll Einschübe (verhältnismäßig teuer die Dinger) vorhanden.
Die sollten für deine Zwecke ausreichend sein.
Wenn du Interesse hast PN

Gruß
 
Zuletzt bearbeitet:
Nein, das Ganze ist für einen Kumpel und sein Unternehmen privat. Die haben jetzt eine kleine Außenstelle und das soll dann einfach möglichst kostengünstig angebunden werden:)
Da würde ich keine großen Faxen machen, sondern in der Tat einfach das Fritz-eigene VPN nutzen. Das funktioniert. Wenn die Perfomance dann wider Erwarten doch nicht ausreicht, kann man immer noch mit anderer Hardware "aufbohren". Ich würde allerdings kein IPSec mehr verwenden, sondern wireguard.
 
Was man nochmal bedenken sollte, dass dann beide Netze permanent verbunden sind.
Kommt also ein Gast zum Kumpel, dann hat der auf Zugriff beim anderen Kumpel.

Da sollte man nochmal drüber nachdenken, ggf. auch später, wenn sich der Prozess selber als positiv geeignet rausstellt.
 
Ich hab mich mal bei butcher1de gemeldet und werde das wahrscheinlich über Vigors abbilden.

Da hat es mehr Restriktionsmöglichkeit. Ich melde mich dann nochmals, wenn ich mehr weiß.

Erstmal danke für eure Hilfe!
 
Auf jeden Fall bist du mit den Vigors IT-technisch besser aufgestellt.
Ich würde das Produktivsystem auf ein separates (v)Interface legen und das Routing unterbinden.
So sind die Produktivsysteme von den Heimsystemen getrennt.
Dann einen Tunnel aufziehen und dann nur zwischen den ProduktivLANs eine Interaktion ermöglichen.
Der Tunnel wirkt also nur prod1<->prod2.

Achja, wie sieht das mit den öffentlichen IPs aus? Carriergrade NAT? IPv4/IPv6 usw.
 
Zuletzt bearbeitet:
Hat alles geklappt?
 
Bin ich komplett drüber weg gekommen, zu viel um die Ohren. Läuft alles vor sich hin und er ist zufrieden :wink:
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh