VPN zwischen 2 Standorten

[Canni 11]

Noch eine wichtige Frage:

 

Was trage ich aufm Server bei TCP/IP als bevorzugten DNS-Server und was als alternativen ein? Derzeit is der Server als bevorzugter und der Router als alternativer. Sollte man umdrehen, oder?

 

Oder funktioniert dann die Remoteeinwahl nimmer korrekt?

[darkhawk 10]

@Canni

 

möchtest Du die Standorte anbinden? Du solltest dazu schon grundlegende TCP/IP und Netzwerkkenntnisse besitzen!

 

Zur Beantwortung der Fragen. Die DFL-800 hält einen Tunnel nur so lange aufrecht wie er benötigt wird. Sollte der Provider regelmäßig Internetverbindungen kappen ist dies auch kein Problem der VPN wird neu aufgebaut.

Die Firewall erkennt wenn ein User von Standort B nach Standort A möchte und baut die Verbindung auf. Maximale Verzögerung ist eine Sekunde was der User spürt. Also vernachlässigbar.

 

Ich gehe aber trotzdem mal davon aus das der Netgear bei weitem nicht so hohe Sicherheitsmerkmale was Verschlüsselung des VPN-Tunnels anbelangt aufweisen kann. Alleine das sollte schon im Sinne Deines Chefs sein.

 

Ich kann Dir gerne behilflich bei der Umsetzung. Mal zur Grundlegenden Frage.

Wie werden die User an Standort B angebungen?

Sprich auf welche Applikationen soll zugegriffen werden müssen?

Habt ihr einen Terminal Server?

Wieviel Daten werden zwischen den Standort ausgetauscht?

 

Wenn ihr einen Terminal Server habt, würde ich den Router am Standort B DHCP spielen lassen. Die Maschinen der User an Standort B benötigen keinen Domänenzugang. Richte Ihnen ein Terminal Server Profil ein.

Sie arbeiten dann direkt am Zentralstandort.

Das spart Traffic und zudem hast Du die Sicherheit das Firmendaten nur am Standort A sind.

 

Kommt halt drauf an was umgesetzt werden muss!

 

Eine Domänenintegration kann ich Dir sagen wird Dir sehr viel Traffic erzeugen. Das ist nicht zu unterschätzen.

 

Achja nochwas zur DFL. Die hat auch eine FailOver Verbindungsmöglichkeit z.b. zweites Breitband oder ISDN. Sollte die Breitbandverbindung mal ausfallen kann man immernoch per zweiter Verbindung oder per ISDN sich verbinden.

Auch ein Remoteadministration im Falle eines Ausfalls ist so möglich

 

Gruß

Michael

[Canni 11]

Hallo Michael,

 

wow, danke für diesen langen Text, wirklich!

 

Dass das bei einer Domänenumgebung sicher richtig komplex ist, kann ich mir vorstellen. Aber (Gott sei dank) haben wir nur eine Pseudo-Domäne auf dem TS.

 

Ich beschreibe mal kurz die zwei Standorte:

 

Hauptstandort A:

- Terminalserver mit Domänencontroller. An diesem DC melden sich aber nur die TS-User der selben Maschine an, es gibt keine an die Domäne angebundenen Clients.

 

- ca. 8 Notebooks bzw. PCs greifen via Remotedesktopverbindung auf den Server zu (eMail und Buchhaltungssoftware). Die PCs im Büro via LAN und WLAN. Die Notebooks z.B. via GPRS-Karte, dann VPN-Tunnel zum Server (nicht zum Router!) und dann Remotedesktopverbindung.

 

Standort B:

 

Vielleicht mach ichs mir ja auch schwerer, als es sein muss, denn:

 

- eigentlich haben wir am Standort B jetzt lediglich einen Internetzugang (DSL 2000) erhalten. Bisher haben die 3 Mitarbeiter, die dort saßen/sitzen sich eben via UMTS -> VPN auf den Server -> Remotedesktopverbundung zum Server verbunden.

 

- Ich dachte, dass es professioneller ist, wenn wir den ganzen Standort B als VPN anbinden, sprich den Router des Standortes B zum Standort A eine Art Dauerverbindung aufrecht halten lassen.

 

Dürfte doch bei 2 festen IPs nicht soo kompliziert sein, oder? Und gottseidank ohne Domänen :-)

 

Danke für alle Hinweise und Hilfen!

[darkhawk 10]

Hallo Canni,

 

dann ist die Umsetzung sogar wirklich leicht. Du brauchst nur 2 VPN-Router wobei ich Dir dennoch ein professionelles Gerät empfehlen würde das die Verbindung auch wirklich entsprechend absichert.

 

Den VPN-Router am Standort B lässt Du DHCP spielen, damit die Clients am Standort B eine IP bekommen. Wichtig ist nur das Du 2 verschiedene Netzwerkbereiche hernimmst.

 

Beispiel: Standort A: 192.168.0.1 und Standort B: 192.168.1.1

 

Die VPN-Router bauen dann jeweils einen VPN-Tunnel zur jeweiligen WAN-IP auf. Dazu brauchst Du also fixe IP-Adressen.

 

Je nachdem welches Gerät Du nun verwendest kann sich die Konfiguration ein wenig unterscheiden. Bei der DFL musst Du zusätzlich zur Einrichtung des Tunnels auch noch Firewallrules definieren, was aber nicht so schwierig ist.

Solltest Du Dich für die DFL entscheiden kann ich Dir auch ein paar Konfigurationfiles von meinen eingerichteten Umgebungen zukommen lassen, damit Du Dir das besser ansehen kannst. Bzw. ich könnte Dir fix fertige Konfigs geben und Du musst nur noch die LAN-IP und WAN-IPs abändern.

 

Wenn der VPN-Tunnel steht können die Clients an Standort B dann eine Remotedesktopverbindung zum TS-Server herstellen.

 

Gruß

Michael

[Canni 11]

Danke für die schnelle Antwort.

 

Also ich hatte mich auf diesen Vorschlag eingeschossen:

 

Standort A:

Router Gateway: 192.168.3.1

Server: 192.168.3.2. DHCP von .3 bis .199

Router DHCP .200 bis .254 (für WiFi Clients)

 

Standort B

Router Gateway: 192.168.4.1

Router DHCP .200 bis .254 (für WiFi Clients)

 

 

Spricht doch auch nix dagegen oder?

 

Weil die Rechner am Standort A fast alle keine feste IP haben.

Diese Rules muss man auch beim Netgear eingeben ... spricht doch eigentlich nix gegen den? Wär lieb, Du könntest vielleicht mal in den Features für mich nachlesen .. ob der ok wäre :-)

 

P.S.: Der DFL-800 ist aber doch garkein WLAN-Router?

 

Danke!

[darkhawk 10]

@Canni

 

der DFL ist auch etwas professionelles!

Keine Hardware Security Firewall die ich kenne hat eingebaute WLAN-Features.

Die DFL ist in erster Linie ein Firewall/Router und zwar eine sehr gute. Wobei hier die Betonung auf Firewall liegt.

Die Rules-Definierung beim Netgear ist eine Spielerei gegen die Rulesmöglichkeiten der DFL.

 

Der Netgear von Dir beschrieben ist halt etwas das ich dem Opa meiner Freundin ins Wohnzimmer stelle.

 

Aber ich kenne einige Unternehmen die sich nen Medion Rechner vom Hofer (Aldi) als Server hinstellen. Nur wundern darf man sich halt dann nicht wenn mal was ist!

 

Warum hast Du 2 DHCP Server am Standort A? Sowas erschwert doch die Administration!

 

Hier nochmal die Auflistung der Features (kurze Übersicht):

 

-2x 10/100Mbit WAN, 7x 10/100Mbit LAN, 1x 10/100Mbit frei konfigurierbar, 1x RS-232

-bis zu 120Mbit Datendurchsatz, 45Mbit VPN-Leistung

-Content Filtering auf URL und E-Mail Basis

-Redundanz durch WAN Fail-Over

-Bandbreiten Management auf Multi WAN-Verbindung

-Proaktive Sicherheit mit Zone Defense

-Instant Message/P2P Blocking

-Integrierte Firewall/VPN Appliance

-Installationsasisstent

-Integrierte Datenbank für einfache Konfiguration

-Richtlinien-basiertes Routing

-IDS/IDP Security

-OSPF Routing Protocol

-Traffic Shaping

 

Hier der Link zum Datenblatt : lies mich

[Canni 11]

Hi,

 

danke für die schnelle Hilfe, es eilt hier nämlich wirklich :-)

 

Naja, der 2003 Server muss doch auch DHCP spielen, wenn sich die USER via VPN auf den Server einwählen. Spricht aber doch nix dagegen.

 

Was spricht dagegen, wenn der Router A einen gewissen Adressbereich via DHCP verteilt, der Router B einen anderen und der Server auch?

[Canni 11]

Hi mein Guter,

 

hab gerade mit Netgear telefoniert. Automatische Wiederverbindung is standard. Der Router is noch nicht mal aufm Markt :-)

[darkhawk 10]

@Canni,

 

spricht nichts dagegen, aber Du kannst verschiedene Adressbereiche auch mit dem DHCP-Server des Windows Servers abbilden.

[Wordplex 10]

Danke für die schnelle Antwort.

 

Also ich hatte mich auf diesen Vorschlag eingeschossen:

 

Standort A:

Router Gateway: 192.168.3.1

Server: 192.168.3.2. DHCP von .3 bis .199

Router DHCP .200 bis .254 (für WiFi Clients)

 

Standort B

Router Gateway: 192.168.4.1

Router DHCP .200 bis .254 (für WiFi Clients)

 

 

Spricht doch auch nix dagegen oder?

Die Konfiguration ist so durchaus anwendbar.

 

Nur: warum willst Du auf jeder Seite 2 DHCP-Server laufen lassen? Das gibt zwar nicht unbedingt Probleme, ist aber für meine Begriffe sehr unübersichtlich, wenn sich mal ein anderer die Konfiguration ansehen muss.

 

 

P.S.: Der DFL-800 ist aber doch garkein WLAN-Router?

Nee, das ist er wirklich nicht. Aber von WLAN hattest Du bisher auch noch nichts gesagt... :D

 

Ich persönlich würde auch kein Kombigerät einsetzen, denn dann hast Du ein Gerät, das von allem nur die Hälfte kann, aber nichts richtig. Außerdem fallen immer alle Funktionen aus, wenn das Gerät mal defekt ist. Ich würde eher ein "richtigen" VPN-Router ebenso wie einen "richtigen" AP einsetzen - kostet halt etwas mehr, das ist korrekt. Ist aber allemal stabiler als Geräte, die von allem nur ein bisschen Ahnung haben....

[Canni 11]

Hallo,

 

okay, dann bin ich ja beruhigt :-)

 

Was war der Grund, warum Du dagegen warst?

 

Is halt theoretisch n größerer Aufwand das einzurichten, oder?

 

Die Clients beziehen die IP dynamisch, is das ok?

 

 

Was für Tipps kannst Du mir noch geben? :-)

 

Canni

 

P.S.: Die Router kann ich ja auch sehr gut remote verwalten.

[Canni 11]

Noch Tipps?

[Wordplex 10]

Hm, ich hätte noch viele Tipps.... aber es ist einfacher, Du fragst einfach, wenn etwas unklar ist!

 

Halt, ein Tipp vielleicht noch: für eine VPN-Verbindung brauchst Du entweder für jede Seite einen DDNS-Account oder eine feste (externe!) IP. Der Verbindungsaufbau nach einer Zwangs- oder sonstiger Trennung geht natürlich mit einer festen IP erheblich schneller. Und eine feste IP bekommst Du heute z.B. bei der Telekom dazu, wenn Du einen Pauschal-Business-Tarif orderst.

[Canni 11]

Feste IP an beiden Standorten ist vorhanden.

[Canni 11]

Noch eine Frage: intern muss ich ja keine Ports weiterleiten?