Welcher Router für dauerhaften VPN Tunnel?

[Flash77]

Hallo zusammen,

ich weiß, dass das evtl. nicht das richtige Portal für diese Anfrage ist, doch ich habe hier schon öfters wertvolle und kostengüsntige Tipps bekommen, die mir auch in meinem kleinen Firmennetzwerk weitergeholfen haben.

Das "kleine Firmennetzwerk" ist immer größer geworden (umfasst mittlerweile 2 Server, 26 Arbeitsplätze) und mittlerweile steht die Eröffnung eines zweiten Standortes (mit 7 Arbeitsplätzen) an.
Hierzu suche ich jetzt einen bzw. zwei Router, die einen dauerhaften VPN Tunnel zwischen Hauptstandort und Nebenstandort aufbauen und erhalten.

Am Hauptstandort steht in kürze eine synchrone DSL Leitung (Company Connect von der Telekom) mit 5 MBit (up/down) zur Verfügung, während am Nebenstandort eine normale asynchrone DSL Leitung mit 16 MBit (down) zur Verfügung steht.

Es soll hauptsächlich auf die Browsergestützte Warenwirtschaft, die auf einem Server am Hauptstandort läuft, zugegriffen werden. Ich möchte ausdrücklich, dass zwei Router die VPN Verbindung herstellen und nicht einzelne Computer bzw. Server.

Hat hier jemand schon Erfahrungen damit gemacht? Und welche Hardware wäre zu empfehlen? Was den Preis angeht wäre ich recht flexibel.

 

[error]

Moin moin,

eine relativ einfache Möglichkeit wären zwei Fritzboxen. Diese werden so konfiguriert, dass sie ein VPN-Netz aufbauen.
Allerdings sind sie, was die Administration angeht, nicht so komfortabel wie Lösungen großer Hersteller.
Wenn es ausschließlich um diese VPN-Brücke geht, machst du mit Fritzboxen nichts falsch. Und es ist relativ einfach einzurichten.
http://avm.de/nc/service/fritzbox/fritzbox-7390/wissensdatenbank/publication/show/5_VPN-Verbindung-zwischen-zwei-FRITZ-Box-Netzwerken-einrichten/
Problematisch ist der Zugang, wenn Client-PCs hinzukommen. AVM supportet maximal 8 gleichzeitige VPNs..
Und der Client braucht ein extra Programm für den VPN-Zugang.

Sollen in Zukunft noch VPN-Zugänge für Mitarbeiter wegen Homeoffice, etc hinzukommen lohnt es sich auch auf die größeren komerziellen Lösungen (Cisco, Lancom,...) zu schauen. Diese können dann auch VPN auf AD-Basis herstellen.

Je nachdem wie aktuell das Netzwerk aufgebaut ist und ob schon ein bestimmter Hersteller bevorzugt wird, kannst du dir diese Lösungen ebefalls ansehen.

 

[ignator]

AVM funktioniert, muss man eingestehen.

Wenn es etwas mehr Einflussnahme seitens deines Netzwerkadmins sein darf würde ich die größeren Geräte von Microtik oder Bintec empfehlen. Aber Vorsicht bei denen muss man wirklich noch alles selbst konfigurieren.

 

[DaMoN1993]

Für so etwas gibt es kleine Router die auch VPNs von Werk aus beherrschen:
http://geizhals.de/?cat=router&xf=1...x+Gb+LAN~1208_5x+Gb+LAN~1208_8x+Gb+LAN#xf_top
Wobei ich persönlich CISCO und Herstellern aus Amerika nicht mehr so wirklich trauen könnte, wenn das bei einem deutschen Unternehmen deployed werden soll. Danke Snowden.
Auch in puncto Zukunft ist man wahrscheinlich besser dran, wenn man gleich einen x86 Server kauft und Netzwerkinterfaces als PCIe-Karten auswechseln oder hinzufügen kann. Den DSL-Router kann man in den PassThrough Modus stellen und der Server übernimmt DHCP, Routing (Firewall, NAT, Tunnel Gateway), VPN und was sonst noch anfällt.
Das ist teurer in der Anschaffung und teurer in Wartung und Betrieb. Aber man hat ein "offenes" System auf dem man root ist. Daher kann man es beliebig anpassen und z.B. den VPN-Server sicherer konfigurieren als in solchen fertigen Produkten. Auch von Vorteil ist, dass das normale Routing auch dort geschieht wo das Routing für den VPN-Tunnel geschieht. Anstatt das VPN-Gateway vor den eigentlichen Internetanschluss zu klemmen, und damit einen Flaschenhals zu schaffen und die Latenz für alle Pakete zu erhöhen, muss das Signal so nur ein mal verarbeitet werden.

Am Unteren Ende des Preisspektrums gibt es dann noch Konsumenten-DSL-Router auf die z.B. OpenWRT oder pfSense installiert werden kann.
http://geizhals.de/?cat=wlanroutmod&xf=758_OpenWrt#xf_top
Erstaunlicherweise ist das auch der beste Kompromiss (m.E.) da hier ebenfalls nur ein mal geroutet wird und kein extra Gerät vorgeschaltet wird. Allerdings ist die Rechenkraft nicht sehr hoch. Für das Ver- und Entschlüsseln des VPN-Traffics eher nachteilhaft. Aber da der eine Standort nur normales DSL16k hat sollte dies im Moment genügen.

 

[Raijin]

Im professionellen Umfeld gibt es eine Vielzahl von Lösungen, Cisco, Watchguard, Fortinet/-gate und dergleichen. Je nachdem wie das Budget aussieht und welche Anforderungen ihr habt, würde ich evtl. mal bei einem Systemhaus nachhaken. Mit Consumergeräten wie Fritzbox, etc. geht es zwar, aber der Spielraum für einen Admin ist bei solchen Lösungen arg beschränkt.

Man könnte die VPN-Verbindung natürlich auch zwischen 2 Servern einrichten, die dann jeweils das eigene Netz ins VPN routen. Da du diese Option bereits ausgeschlossen hast, gehe ich aber nicht näher darauf ein.