Moin, ich hoffe ihr könnt mir helfen. Ich suche einen VPN Router um unseren Server mit mehreren Standorten zu verbinden ähnlich der LAN-LAN kopplung von AVM. Insgesamt müssen aktuell 10 Standort miteinander verbunden werden und es werden noch mehr. Gleichzeitig sollen mobile Endgeräte via VPN auf das Netzwerk zugreifen können. Das Gerät soll selbst nicht als Modem fungieren sondern wirklich nur das VPN bereitstellen. Richtig genial wäre es, wenn die Authentifizierung für die VPN Verbindung mit der Active Directory gekoppelt werden kann. Ich hoffe, dass ihr da ein paar Produktempfehlungen für mich habt. Preislich habe ich mir so bis zu 400€ vorgestellt. Wenn das mit der AD schwer wird, ist das schade, aber macht dann auch nichts. Wichtig ist wirklich eine gute, stabile und durchsatzstarke VPN Verbinung zwischen den Standorten und den Mobilgeräten. Was ich bisher gefunden habe ist folgendes Gerät: https://www.linksys.com/de/p/P-LRT224/ Von von mir aus, sieht der ganz gut aus, er hat nur keine AD Anbindung. Schade, aber OK,... aber vielleicht habt ihr bessere Vorschläge, kennt das Gerät und könnt mir was dazu sagen usw. Ich hoffe auf eure Meinungen und danke vielmals für jede Hilfe.
Wenn du etwas willst, das wirklich funktioniert, kann ich nur eine Sophos SG (nicht XG!) mit den entsprechenden RED Devices für die Aussenstellen empfehlen. Allerdings reichen da deine 400€ nicht.
Gibt es einen zentralen Standort, zu dem sich alle verbinden, oder kann/soll da auch jeder mit jedem?
Ich habe aktuell durchaus gute und performante Erfahrungen mit Lancom gemacht. Allerdings reichen auch da die 400EUR nicht einmal ansatzweise.
Holger schrieb: > mehreren Standorten zu verbinden ähnlich der LAN-> LAN kopplung von AVM. Genau die können das! Du kannst mehrere vpn pro Router eintragen. Wenn das AVM-logo stört, mach einen Sticker drüber.
Danke für eure Antworten! Reinhard S. schrieb: > Gibt es einen zentralen Standort, zu dem sich alle verbinden, oder > kann/soll da auch jeder mit jedem? Jeder soll nur mit dem Netz des Servers verbunden sein. Mehr nicht. Also alles soll Zentral zusammen laufen. Guest schrieb: > Wenn du etwas willst, das wirklich funktioniert, kann ich nur eine > Sophos SG (nicht XG!) mit den entsprechenden RED Devices für die > Aussenstellen empfehlen. > > Allerdings reichen da deine 400€ nicht. An die hatte ich auch schon gedacht, da ist aber wirklich der Preis recht hoch. Wir sind ein gemeinnütziger Verein und betreuen Kinder. Leider wirft der Staat und die Spenden nicht so viel ab, dass wir uns eine richtig große gute Infrastruktur leisten können. Elektronigger schrieb: > Genau die können das! Du kannst mehrere vpn pro Router eintragen. Wenn > das AVM-logo stört, mach einen Sticker drüber. Aktuell sind die Standorte mit den Fritzboxen verbunden. Aber die Performence lässt stark nach. Zudem AVM nur 8 Verbindungen garantiert. Aktuell sind es 9 + X Endgeräte, da wird es manchmal problematisch.
Hallo. Mein Tipp wäre auch ubnt. Der neue Edgerouter 6 ca 240€. Der neue 4er ist auch gut aber kaum zu bekommen. Der hat dann aber als WAN nur Ethernet und kein eingebautes DSL Modem. Die Frage ist welchen Durchsatz muss die Zentrale schaffen und welche Art von VPN ist gewünscht (SSL oder IPSec). AVM macht IPSec aber schafft niemals 100MBit. SSL VPN wird zunehmend von den Firmen eingesetzt aber hat Protokolloverhead. Also für site-to-site eher nicht so dolle. OpenVPN 8(zB in pfsense) würde auch auf einem "normalen" PC mit zwei Netzwerkkarten laufen und schafft damit richtigen Durchsatz (GBit). Martin
Holger schrieb: > An die hatte ich auch schon gedacht, da ist aber wirklich der Preis > recht hoch. Wir sind ein gemeinnütziger Verein und betreuen Kinder. > Leider wirft der Staat und die Spenden nicht so viel ab, dass wir uns > eine richtig große gute Infrastruktur leisten können. Nimm mal mit einem Sophos Distributor in deiner Nähe Kontakt auf. Als NPO oder EDU gilt die offizielle Preisliste nicht.
Sollte bei Unifi sogar noch günstiger möglich sein, mit dem Unifi Security Gateway. Wobei ich nichts zur maximalen Anzahl Verbindungen gefunden habe, aber denke wenn es eine sehr kleine Zahl wäre würden sie es irgendwo hinschreiben. EdgeRouter hat natürlich weitaus mehr Einstellungsmöglichkeiten, und generell gilt bei US Produkten: eventuell mit staatlich zertifizierter Backdoor. https://help.ubnt.com/hc/en-us/articles/360002426234-UniFi-Configuring-Site-to-Site-VPN-on-USG
Unter 400€ pro Stück liegt beispielsweise der Bintec RS353. Die setzen wir betrieblich mit IPsec für Standortverbindung ein und sie funktionieren zuverlässig. Einen mobilen Client gibts auch, den kenne ich aber nicht selbst. Wenn es günstig sein soll: Ich habe privat unlängst eine OpenVPN Kopplung mit einem Mikrotik-Router durchgeführt, mit einem RasPi auf der anderen Seite. IPsec kann er auch, OpenVPN ist aber im NAT-Bereich hinter einem Zugangsrouter angenehmer. Die liegen teils weit unter 100€. Auch hier liegt mir keine Erfahrung mit Mobilgeräten vor, OpenVPN-Lösungen gibts aber. Eine feste IP ist bei OpenVPN nicht nötig, der Server kann per Name angesprochen werden (der Server sitzt bei mir hinter normalem DSL ohne feste IP). Langzeiterfahrungen mit Mikrotik liegen mir noch nicht vor, OpenVPN macht der nur über TCP, nicht UDP. Generell betrachtet ist TCP über TCP nicht notwendigerweise die beste Strategie. AD ist m.W. nicht vorgesehen. Zertifikate oder Key.
:
Bearbeitet durch User
Martin schrieb: > Mein Tipp wäre auch ubnt. Der neue Edgerouter 6 ca 240€. Der neue 4er > ist auch gut aber kaum zu bekommen. > Der hat dann aber als WAN nur Ethernet und kein eingebautes DSL Modem. > Die Frage ist welchen Durchsatz muss die Zentrale schaffen und welche > Art von VPN ist gewünscht (SSL oder IPSec). > AVM macht IPSec aber schafft niemals 100MBit. > SSL VPN wird zunehmend von den Firmen eingesetzt aber hat > Protokolloverhead. Also für site-to-site eher nicht so dolle. > OpenVPN 8(zB in pfsense) würde auch auf einem "normalen" PC mit zwei > Netzwerkkarten laufen und schafft damit richtigen Durchsatz (GBit). WAN als Ethernet macht mir nichts, ein Modem ist ja vorhanden. 100 MBit sollten die auf jeden Fall schaffen, damit unser Upload gut genutzt wird vom Server. Als Site-to-Site wollte ich weiterhin IPSec einsetzen. Für die Mobilgeräte würde ich am liebsten die Windows Boardmittel nutzen können (Bequemlichkeit für die Anwender bei ggf. Heimarbeit usw.), aber ein eigener Client macht auch nichts. Von UniFi habe ich schon viel gehört aber eher im Bezug auf Meshed WLAN. Werde ich mir auf jeden Fall genauer ansehen! Soweit ich das sehe können die sehr viel was wir brauchen für einen erschwinglichen Preis. Guest schrieb: > Nimm mal mit einem Sophos Distributor in deiner Nähe Kontakt auf. > Als NPO oder EDU gilt die offizielle Preisliste nicht. Ich werde es mal versuchen, vielleicht ist das ja wie bei MS Statt 260€ zahlen wir auch knapp 80€ für eine Windows Lizenz dank EDU Status. Ich hab da noch eine Idee inkl. Frage, wie sieht es mit dem internen VPN Server vom MS Server aus? Vielleicht macht es ja sinn, einen Server in der Hyper-V zu installieren und den als VPN Server für die mobilen Geräte zu nutzen, dann könnte ich auch die AD verwenden. Wie kommt die mit ca. 30-40 Verbindungen gleichzeitig zurecht (Internet-Bandbreite jetzt mal außen vor gelassen)? So würde sich das Problem theoretisch schon mal erledigen und ich muss mich nur noch auf eine vernünftige Site-to-Site Lösung kümmern.
Holger schrieb: > Frage, wie sieht es mit dem internen VPN Server vom MS Server aus? Du kannst das Remotedesktop Gateway nutzen und hast damit auch AD-Integration: https://technet.microsoft.com/de-de/library/hh708743.aspx Sofern die Authentifizierung aber nur mit Username/Kennwort erfolgt, ist das nicht besonders sicher. Wer eine gültige Kombi kennt, kommt ohne weitere Hürden rein.
Holger schrieb: > Elektronigger schrieb: >> Genau die können das! Du kannst mehrere vpn pro Router eintragen. Wenn >> das AVM-logo stört, mach einen Sticker drüber. > > Aktuell sind die Standorte mit den Fritzboxen verbunden. Aber die > Performence lässt stark nach. Zudem AVM nur 8 Verbindungen garantiert. > Aktuell sind es 9 + X Endgeräte, da wird es manchmal problematisch. Man kann auch die Außenstellen weiterhin mit einer Fritzbox ausstatten und den zentralen Server mit einer besseren Hardware. In diesem Fall sollte das ausreichend sein. Ein "normaler" Computer mit zwei Netzwerkkarten und Linux kann das(Server) bereits mit Boardmitteln, sofern der Administrator was von seinem Handwerk versteht. Allerdings: Billig, Schnell und Idiotensicher gibt es nicht zusammen. Passen immer nur zwei von den drei Wünschen zusammen.
Martin schrieb: > OpenVPN 8(zB in pfsense) würde auch auf einem "normalen" PC mit zwei > Netzwerkkarten laufen und schafft damit richtigen Durchsatz (GBit). nur wenn der Prozessor die Verschlüsselung in Hardware unterstützt. Die ganz billigen CPUs können das teilweise nicht.
vergiss windows hyper-v und vergiss windows vpn. wenn es billig sein soll, kiste mit pfsense - leistungund durchsatz skaliert mit der hardware darunter, läuft bei mir seit jahren 100% stabil mit ssl site to site vpn. ansonsten gebraucht fortinet firewalls ab 60D auf ebay. der buchstabe hinten gibt die generation an und die zahl ist die leistungsklasse. unter 60 würde ich nicht gehen und unter D auch nicht. da geht auch client to site ssl oder ipsec vpn mit AD integration oder auch radius oder TACACS+.
Schreiber schrieb: > nur wenn der Prozessor die Verschlüsselung in Hardware unterstützt. Die > ganz billigen CPUs können das teilweise nicht. Wobei das bei einem Stern allenfalls in der Zentrale interessiert, in der alle VPNs auflaufen. Eine einfache VPN schafft auch der Prozessor ohne Hardware-Unterstützung. Und mehr Bits/s, als die dort angeschlossene Leitung hergibt, muss auch der zentrale Knoten nicht können.
:
Bearbeitet durch User
Bei Hardware-Support sollte man auch darauf achten, wofür der jeweils gilt. Da kann es schon mal sein, dass IPsec über Hardware geht, manche anderen Protokolle aber über Software.
Icke ®. schrieb: > Sofern die Authentifizierung aber nur mit Username/Kennwort erfolgt, ist > das nicht besonders sicher. Wer eine gültige Kombi kennt, kommt ohne > weitere Hürden rein. Die Nutzer selbst kommen nur bei bedarf ran bei dieser Methode. Da bin ich mit der Planung aber noch nicht ganz fertig. Schreiber schrieb: > Man kann auch die Außenstellen weiterhin mit einer Fritzbox ausstatten > und den zentralen Server mit einer besseren Hardware. In diesem Fall > sollte das ausreichend sein. Hatte ich auch schon drüber nachgedacht, aber ich weiß nicht ob sich AVM da vielleicht wie Apple benimmt und die Verbindung dann vielleicht nicht akzeptiert. Das könnte man zumindest für den Anfang versuchen. Wenn es klappt, hat man Geld gespart, wenn nicht, muss man halt dazu kaufen. Ist zumindest eine Option. Da die Zweigstellen max. 10 Rechner haben ist das vielleicht ganz sinnvoll. > Ein "normaler" Computer mit zwei Netzwerkkarten und Linux kann > das(Server) bereits mit Boardmitteln, sofern der Administrator was von > seinem Handwerk versteht. Einen Computer haben wir aber nicht über und dann einen PC kaufen der auch noch mehr Strom braucht, wärme und Lärm macht ist dann vielleicht nicht ganz angemessen sofern man sich in dem Preissegment bewegt finde ich. Unser Server hat zwar 2 NICs und eine recht starke CPU aber der soll in Zukunft noch andere Aufgaben erledigen. > Allerdings: > Billig, Schnell und Idiotensicher gibt es nicht zusammen. Passen immer > nur zwei von den drei Wünschen zusammen. Da stimme ich dir zu. Trotzdem kann ich nicht mehr ausgeben weil mein Budget nicht mehr hergibt. Ich danke erstmal sehr für die guten Tips und Ideen. Ich werde mich mal näher mit dem UbiQuitti (UniFi) auseinandersetzen, denn ich denke die könnten noch andere Probleme bei uns lösen zu einem akzeptablen Preis.
Holger schrieb: >> Allerdings: >> Billig, Schnell und Idiotensicher gibt es nicht zusammen. Passen immer >> nur zwei von den drei Wünschen zusammen. > Da stimme ich dir zu. Trotzdem kann ich nicht mehr ausgeben weil mein > Budget nicht mehr hergibt. Da muss man halt das eine dem anderen anpassen. Holger schrieb: > Hatte ich auch schon drüber nachgedacht, aber ich weiß nicht ob sich AVM > da vielleicht wie Apple benimmt und die Verbindung dann vielleicht nicht > akzeptiert. Das könnte man zumindest für den Anfang versuchen. ist problemlos. IPsec wird unterstützt, hatte damit auch noch nie Probleme. OpenVPN wird NICHT unterstützt Mehr dazu: https://avm.de/service/vpn/tipps-tricks/fritzbox-mit-einem-firmen-vpn-verbinden/
Holger schrieb: > Einen Computer haben wir aber nicht über und dann einen PC kaufen der > auch noch mehr Strom braucht, wärme und Lärm macht ist dann vielleicht > nicht ganz angemessen sofern man sich in dem Preissegment bewegt finde > ich. Naja, so viel Strom brauchen die auch nicht. Da reicht ja sogar ein Intel Atom oder eine vergleichbare Wanderdüne, solange die AES-Hardwarbeschleunigung hat...
Wanderdüne ist schön... ;-) Ich hab' hier einen alten Compaq Deskpro Pentium 450MHz als "once in a while" Backup System. Der ist aus dem letzten Jahrzehnt^H Jahrhundert^H Jahrtausend. Die lahmar...igen Festplatten sind AES verschlüsselt (Prozessor hat keine Hardware Unterstützung) und können über Netzwerk trotzdem mit > 30MBit/s beschrieben werden. (Gemessen mit 'nc', 'pv', 'dd') Also sollte im Grunde genommen ein gebrauchter Sub-100€ PC ausreichend sein als VPN Server.
Warum willst du nicht gleich VPN im DSL-Modem? Ansonsten musst du mit Port-Forwarding "ein Loch" in deine Firewall bis zum VPN-Endpoint machen ... ungünstig. Mein Vorschlag: Direktes VPN von Router zu Router. Prinzipiell kann das fast jedes DSL-Kombigerät (Lancom, AVM, Draytek, TP-Link ...) Wenn außer der direkten Verbindung zwischen den Standorten noch Mobilgeräte sich einklinken können sollen, gilt es, einen Blick auf die Kompatibilität zu werfen. Bei den Routern würde ich unbedingt alles baugleiche Geräte, mindestens aber vom gleichen Hersteller wählen. Ich finde es von großem Vorteil, wenn man auf den Endgeräten keine extra Fremdsoftware benötigt ("VPN-Client"), sondern die Verbindung quasi mit Bordmitteln aufbauen kann. Das klappt z.B. bei Draytek für Windows, Mac OSX und iOS hervorragend (L2TP über IPSec), Arndoid benötigt einen Client. Bei AVM z.B. können alle, außer Windows (hängt mit der IKE-Variante zusammen), ohne zus. Software ... Am flexibelsten sind m.E. Geräte von Lancom, da kann man dutzende Typen von VPN in jeder nur erdnklicjen Variante konfigurieren, so dass am Ende alle ohne zus. Clienten können. Das ist eine ziemlich mühsame Angelegenheit, die sich aber am Ende lohnt.
:
Bearbeitet durch User
Viele nicht zu Ende gedachte Ansätze... Frank E. schrieb: > Warum willst du nicht gleich VPN im DSL-Modem? Ansonsten musst du mit > Port-Forwarding "ein Loch" in deine Firewall bis zum VPN-Endpoint machen > ... ungünstig. > > Mein Vorschlag: Direktes VPN von Router zu Router. Prinzipiell kann das > fast jedes DSL-Kombigerät (Lancom, AVM, Draytek, TP-Link ...) Weil diese Kombi Kisten in den seltensten Fällen die notwendige Leistung aufbringen können um eine solche Anzahl an Tunneln bei vernünftigem Durchsatz vernünftig zu verschlüsseln. Ab AES256 bei unverändert hohem Durchsatz wird es interessant. Wie sieht die Softwarepflege im Bezug auf Sicherheitslücken bei diesen Herstellen aus? Ich würde entweder gleich auf eine aktiv gepflegte Open Source Lösung gehen (pfsense) oder auf eine Hardware Firewall eines renommierten Herstellers wie Checkpoint, Sophos (Red), Cisco ASA, Fortinet, ... Nachdem das Budget nichts hergibt, würde ich einen PC mit pfsense nehmen. Laut und stromfressend sind die nicht mehr (vielleicht wenn er von 2004 ist). > > Wenn außer der direkten Verbindung zwischen den Standorten noch > Mobilgeräte sich einklinken können sollen, gilt es, einen Blick auf die > Kompatibilität zu werfen. Android und iOS können beide IPSEC, L2TP over IPSEC und PPTP (Gott bewahre). Einige Hersteller wie Fortinet bieten auch einen SSL VPN Client für iOS und Android an. Die meisten großen Hersteller haben VPN Clients für alle möglichen Betriebssysteme. > > Bei den Routern würde ich unbedingt alles baugleiche Geräte, mindestens > aber vom gleichen Hersteller wählen. Das macht die Verwaltung einfacher. Wenn alle IPSEC sprechen, kann man die Geräte auch mischen. Alle namhaften Hersteller können miteinander IPSEC Tunnel aufbauen. > > Ich finde es von großem Vorteil, wenn man auf den Endgeräten keine extra > Fremdsoftware benötigt ("VPN-Client"), sondern die Verbindung quasi mit > Bordmitteln aufbauen kann. Das klappt z.B. bei Draytek für Windows, Mac > OSX und iOS hervorragend (L2TP über IPSec), Arndoid benötigt einen > Client. Mit Windows hast du halt die A*****karte. Windows konnte IPSEC noch nie richtig. SSL VPN können sie auch nicht, nur deren proprietäres SSTP. L2TP ist ein bisschen so, wie Kinder fressen. > Am flexibelsten sind m.E. Geräte von Lancom, da kann man dutzende Typen > von VPN in jeder nur erdnklicjen Variante konfigurieren, so dass am Ende > alle ohne zus. Clienten können. Das ist eine ziemlich mühsame > Angelegenheit, die sich aber am Ende lohnt. Es mag an meinen persönlichen Präferenzen liegen aber irgendwie bekomm ich die LANCOM Kisten nicht aus der "Spielzeug" Ecke heraus. Und dann denk ich mir, wenn schon Spielzeug, dann wenigstens Open Source -> pfsense.
Netgear FVS 318, 325 bzw. deren Nachfolger blaue Business Reihe. Waren aber LAN Router.
Frank E. schrieb: > Warum willst du nicht gleich VPN im DSL-Modem? Im DSL-Modem??? > Port-Forwarding "ein Loch" in deine Firewall bis zum VPN-Endpoint machen > ... ungünstig. Bei IPsec ist das möglich, aber ungünstig. Das ist bei Protokollen wie OpenVPN einfacher. > Bei den Routern würde ich unbedingt alles baugleiche Geräte, mindestens > aber vom gleichen Hersteller wählen. Ist einfacher so, aber IPsec funktioniert mittlerweile auch ganz gut zwischen verschiedenen Herstellern. Wenn auch nicht immer in allen Varianten.
:
Bearbeitet durch User
A. K. schrieb: > Frank E. schrieb: >> Warum willst du nicht gleich VPN im DSL-Modem? > > Im DSL-Modem??? Damit meine ich (verkürzt) das "Anschluss-Kombigerät" aka Fritz, Vigor oder Lancom, natürlich nicht das Modem direkt. >> Port-Forwarding "ein Loch" in deine Firewall bis zum VPN-Endpoint machen >> ... ungünstig. > > Bei IPsec ist das möglich, aber ungünstig. Das ist bei Protokollen wie > OpenVPN einfacher. Wo ist der Unterschied, für welchen Port ich das Loch mache? > Ist einfacher so, aber IPsec funktioniert mittlerweile auch ganz gut > zwischen verschiedenen Herstellern. Wenn auch nicht immer in allen > Varianten. Da widerspreche ich aus eigener Erfahrung entschieden. IPSec ist eben nicht gleich IPSec. Für die einzelnen Phasen und Verschlüsselungen gibt es zig Varianten, die längst nicht jeder Beteiligte genau so umsetzt. Im Gegenteil, es herrscht eine haarsträubende Vielfalt. Oben genanntes Beispiel AVM vs. Draytek. Beide machen L2TP über IPSec. Während ich mit einem Windows-Gerät (7,8,10...) zum Draytek ohne spez. Client-Software verbinden kann, geht das mit einer Fritzbox nicht. Usache: Unterschiedliche IKE-Varianten ...
Sorry, letzten Post nicht genau gelesen, ich widerspreche nicht, ich stimme zu. :-)
Frank schrieb: >> Im DSL-Modem??? > > Damit meine ich (verkürzt) das "Anschluss-Kombigerät" aka Fritz, Vigor > oder Lancom, natürlich nicht das Modem direkt. Gemeinhin als DSL-Router bekannt. ;-) >> Bei IPsec ist das möglich, aber ungünstig. Das ist bei Protokollen wie >> OpenVPN einfacher. > > Wo ist der Unterschied, für welchen Port ich das Loch mache? Bei IPsec machst du eigentlich 3 Löcher (ESP,500,4500) und hast exakt ein von aussen ansprechbares Gerät als mögliche Ansprechstelle. Es ist beispielsweise nicht möglich, sowohl Fritzbox-IPsec zu verwenden, als auch eine interne Gegenstelle, weil entweder Fritz oder die interne Node per IPsec ansprechbar sein kann, nicht aber beide. Bei IPsec muss man sich auch über ein beteiligtes NAT Gedanken machen. Bei Protokollen, die wie OpenVPN über einen simplen TCP- oder UDP-Tunnel arbeiten, entfallen diese Aspekte. > Da widerspreche ich aus eigener Erfahrung entschieden. Ich habe im letzten Jahrzehnt mit keiner Gegenstelle zu tun gehabt, mit der ich keine site-to-site Verbindung per IPsec geschafft hätte. Und da ist auf der anderen Seite ein ziemlicher Gemüsegarten dabei, von einer hausgebackenen Linux-Lösung bis zu Fortinet. > IPSec ist eben nicht gleich IPSec. Für die einzelnen Phasen und > Verschlüsselungen gibt es zig Varianten, die längst nicht jeder > Beteiligte genau so umsetzt. Ja. Wenn man da nicht endlos rumprobieren will, dann einigt man sich vorneweg auf die Phase1/2 Profile. Weshalb die IPsec Implementierungen meist flexible Profile anbieten, also pro Verbindung wählbar. Allerdings beziehe ich mich auf den professionellen Sektor, nicht auf Fritzboxen.
:
Bearbeitet durch User
A. K. schrieb: > Ich habe im letzten Jahrzehnt mit keiner Gegenstelle zu tun gehabt > (meist andere Firmen), mit der ich keine site-to-site Verbindung per > IPsec geschafft hätte. Und da ist auf der anderen Seite ein ziemlicher > Gemüsegarten dabei, von einer hausgebackenen Linux-Lösung bis zu > Fortinet. > >> IPSec ist eben nicht gleich IPSec. Für die einzelnen Phasen und >> Verschlüsselungen gibt es zig Varianten, die längst nicht jeder >> Beteiligte genau so umsetzt. > > Ja. Wenn man da nicht endlos rumprobieren will, dann einigt man sich > vorneweg auf die Phase1/2 Profile. Weshalb die IPsec Implementierungen > meist flexible Profile anbieten. Allerdings beziehe ich mich auf den > professionellen Sektor, nicht auf Fritzboxen. This. Wer behauptet mit IPSec gibts Probleme, der hat nur mit Kindergartenhardware gearbeitet.
L. N. schrieb: > Wer behauptet mit IPSec gibts Probleme, der hat nur mit > Kindergartenhardware gearbeitet. Lancom und Netgear sprechen auch nicht die gleiche Sprache ohne nachzuhelfen. Insbesondere wenn im Shared Kay Umlaute oder Sonderzeichen enthalten sind, wie es ja ausdrücklich auch sein soll. Auch bei 2 gleichen Netgear FVS318 V2 und V3 da gleiche Theater. Das ist für mich keine Kindergartenhardware. Für Cisco habe ich keine Zeit, jede Woche neue Lücken entdeckt.....
Mikrotik wurde glaub noch nicht genannt: https://mikrotik.com/products/group/ethernet-routers Von denen laufen hier zig Router, Accesspoints und Switches seit Jahren problemlos. Können IPSec und OpenVPN und irrsinnig viel mehr. Kosten sind vergleichsweise niedrig. Guter Einstieg: https://www.youtube.com/playlist?list=PLnzEbgyK52GvvgQ4L2s_kskQcFmTPVCX3
Stephan H. schrieb: > L. N. schrieb: >> Wer behauptet mit IPSec gibts Probleme, der hat nur mit >> Kindergartenhardware gearbeitet. > > Lancom und Netgear sprechen auch nicht die gleiche Sprache ohne > nachzuhelfen. Insbesondere wenn im Shared Kay Umlaute oder Sonderzeichen > enthalten sind, wie es ja ausdrücklich auch sein soll. Auch bei 2 > gleichen Netgear FVS318 V2 und V3 da gleiche Theater. Das ist für mich > keine Kindergartenhardware. Für Cisco habe ich keine Zeit, jede Woche > neue Lücken entdeckt..... Lancom und vor allem Netgear keine Kindergartenhardware. Alles klar xD xD
foo schrieb: > Mikrotik wurde glaub noch nicht genannt: > > https://mikrotik.com/products/group/ethernet-routers > > Von denen laufen hier zig Router, Accesspoints und Switches seit Jahren > problemlos. > Können IPSec und OpenVPN und irrsinnig viel mehr. > Kosten sind vergleichsweise niedrig. > > Guter Einstieg: > > https://www.youtube.com/playlist?list=PLnzEbgyK52GvvgQ4L2s_kskQcFmTPVCX3 jo, mikrotik soll wohl ganz gut sein, konnte damit aber noch keine erfahrungen sammeln
Stephan H. schrieb: > Insbesondere wenn im Shared Kay Umlaute oder Sonderzeichen > enthalten sind, wie es ja ausdrücklich auch sein soll. Sonderzeichen ok. Aber Umlaute? Da fordert man die Probleme regelrecht heraus.
L. N. schrieb: > jo, mikrotik soll wohl ganz gut sein, konnte damit aber noch keine > erfahrungen sammeln Ich habe nun seit ein paar Wochen einen "hAP ac²" Router, ~55€. Wer das WLAN braucht, der sollte derzeit die Finger davon lassen, aber als Router habe ich bisher keine Probleme. Zur Performance bei IPsec siehe https://mikrotik.com/product/hap_ac2#fndtn-testresults 6 Mb/s OpenVPN Traffic tritt als CPU-Last nicht messbar in Erscheinung. Auf dem RasPi2 am anderen Ende war das indes deutlich bemerkbar.
:
Bearbeitet durch User
A. K. schrieb: > Sonderzeichen ok. Aber Umlaute? Da fordert man die Probleme regelrecht > heraus. Alle nicht ASCI-Zeichen sind eine Quelle steten Ärgernisses. Am besten vermeiden!
So, an alle weiteren Antworter auch nochmal ein dickes Dankeschön. Ich habe heute mit Varia telefoniert. Die machen Schulungen usw. unter anderem auch Produktberatung. Dort habe ich mal angefragt wie es bei unserem Aufbau mit dem VPN aussieht. Er meinte 26 VPN Verbindungen werden unterstützt, die genaue Bandbreite konnte er mir nicht sagen aber 50 MBit unseres Uploads sollten die wohl auslasten können. Ebenfalls meinte er, dass bei 26 Clients vielleicht die Performence leidet aber unsere 10 Zeigstellen sind kein Problem. Ich denke, dass wir in den nächsten 5-10 Jahren keine 16 Zweigstellen aufbauen werden, also bin ich damit recht zufrieden. Soviel zur Info an alle damit wisst ihr auch, wie viele VPN unifi aufbauen kann (weil es steht nirgends!). Der Händler dort hat mir auch noch Mikrotik empfohlen mit denen werde ich mich auch nochmal auseinander setzen. Bisher bin ich aber von der Unifi geschickte recht angetan und der Preis hält sich in grenzen. Der gute Mensch dort sagte mir, dass man mit der Fritzbox auch eine Verbindung herstellen kann. Das ist dann etwas frickeliger als wenn das ganze Homogen ist, aber grundsätzlich ist kein Problem. Ich fand alles was er sagte klang ehrlich, er wollte nichts verkaufen und hat gut beraten. Wer also zu Unifi was wissen will einfach mal dort melden: http://www.ubiquiti.de/ Ich bin gerade sehr auf dieses unifi eingeschossen weil es wirklich auch einige andere Probleme löst die wir noch so haben in unseren Netzen aber trotzdem schau ich mir mikrotik nochmal an.
Eine kleine ASA oder meinetwegen auch nen alten NS. Reicht locker für die knapp 100MBit die es in Europa maximal hat.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.