Jump to content
Sign in to follow this  
Enulien

VPN über 3G Router

Recommended Posts

Hi,

 

an mich ist folgendes "Szenario" herangetragen worden...

Ein Maschinenprogrammierer arbeitet für viele große, deutsche Produktionsfirmen. Die Maschinen haben jeweils einen Ethernet Port zur Konfiguration. Jetzt war die Idee, dass er sich remote auf die Maschine schalten kann, allerdings (was ja auch verständlich ist) wollen die jeweiligen Firmen keinem "Fremden" einen VPN Zugang schalten.

Nun war meine Idee:

3G Router ---> VPN Gateway ---> Maschinenkonfigurationsport

 

Hat jemand von Euch zufällig schon so ein Szenario im Einsatz? Wenn ja, wie zuverlässig ist es?

 

Danke im Voraus

Enulien

Share this post


Link to post
Share on other sites

Wenn die beteiligten Firmen eine gescheite Infrastruktur haben sollten sie mit Hilfe Ihrer Firewalls und Switche einen entsprechend restriktiven zugang schaffen können.

 

Wenn Du am Zielnetz UMTS-Router einsetzt wird das nichts. Im UMTS-Netz bekommst Du immer private IP-Adressen (10.x etc.), der Router ist also nicht direkt erreichbar.

Share this post


Link to post
Share on other sites
Wenn die beteiligten Firmen eine gescheite Infrastruktur haben sollten sie mit Hilfe Ihrer Firewalls und Switche einen entsprechend restriktiven zugang schaffen können.

 

Ich möchte mir kein Urteil darüber erlauben, weil ich weder weiß, welche Firmen das sind und deren Hintergründe nicht kenne. Denke aber nicht, dass es an der Infrastruktur liegt, sondern einfach daran, dass viele Industriefirmen, die Maschinen und Steuerungen nicht im Netzwerk haben wollen.

 

Wenn Du am Zielnetz UMTS-Router einsetzt wird das nichts. Im UMTS-Netz bekommst Du immer private IP-Adressen (10.x etc.), der Router ist also nicht direkt erreichbar.

 

OK??? Ich meinte was gelesen zu haben, dass man bei einigen Anbieter (z.B. Vodafone) schon eine öffentliche IP bekommt. Oder zumindesetens gibt es bei verschiedenen Tarifen schon die Möglichkeit, von "außen" eine Verbindung zu einem 3G Gerät herzustellen. Zur Not HIERÜBER.

Edited by Enulien

Share this post


Link to post
Share on other sites

Möglichkeit 1:

Die Firmen mögen doch bitte IPSec oder SSL Remote Access für den herren einrichten. Dagegen spricht überhaupt nichts wenn man das gscheit macht

 

Möglichkeit 2:

UMTS Router nehmen der auch gleich dynDNS updaten kann. Damit hätte man das Problem mit der dynamischen IP mal gelöst, zumindest bei uns in Österreich gibts bei jedem provider öffentliche IP Adressen, grademal bei Orange gibts einen APN über den man nur via proxy ins Internet kommt.

Allerdings ist das:

a unzuverlässig (das Marketing blabla von den Mobilfunkbetreibern kann man knicken)

b die latenz lässt zu wünschen übrig, je anch Anwedung kann das ein Problem sein

 

Ich würde Möglichkeit 1 nehmen

Share this post


Link to post
Share on other sites
Ich würde Möglichkeit 1 nehmen

 

Das würde ich auch, aber leider (wie ich schon geschrieben habe).

 

Denke aber nicht, dass es an der Infrastruktur liegt, sondern einfach daran, dass viele Industriefirmen, die Maschinen und Steuerungen nicht im Netzwerk haben wollen.

Share this post


Link to post
Share on other sites

tjo, wenn man kein brauchbares Securitykonzept hat (Geräte einfach nicht im Netzwerk zu haben ist keines) sollte davon evtl wirklich dei Finger lassen

Share this post


Link to post
Share on other sites

Die Swisscom bietet für solche Fernwartungsszenarien fertig Angebote mit Router, Abos, etc. in vollständigen gemanagten Paketen an. Ich bin überzeugt das es sowas in Deutschland auch gibt. Am besten redet ihr mal mit der Firma die derzeit eure Firmenhandies betreut.

Share this post


Link to post
Share on other sites

hallo also bei vodafone gibt es immernoch nur private ips per umts....

wir haben aber bei einem großen kunden, der ca. 50 aussenstellen hat die aller per vpn an der zentrale hängen es trotzdem hinbekommen diese eine aussenstelle anzubinden (dort gibts leider kein richtiges dsl ;o( )

und zwar läuft zwischen der zentrale und der umts aussenstelle ein ipsec tunnel, jedoch ist als initiator die aussenstelle konfiguriert. funktioniert wunderbar, ping zeiten liegen bei ca. 50 ms durchgehend....

weiß nich ob dir das was nützt,...eine "einwahl"-vpn ist natürlich nicht möglich, durch die private ip...

Share this post


Link to post
Share on other sites

Hallo zusammen,

 

es gibt verschiedene Möglichkeiten dieses Problem zu lösen. Eine Möglichkeit ist natürlich VPN / IPsec / DynDNS.

 

 

Viele Grüße

Jos

Edited by Necron
Werbung raus editiert!

Share this post


Link to post
Share on other sites

Hallo Jos,

 

auch wenn es in dem Fall vielleicht hilfreich ist, aber die Boardregeln, denen du heute zugestimmt hast, sind doch eindeutig. http://www.mcseboard.de/rules.php#nr4

Außerdem solltest du mindestens darauf hinweisen, dass du bei dieser Firma arbeitest und das Produkt nicht aus eigener Erfahrung aus Kundensicht weiterempfiehlst.

 

Das gewünschte lässt sich eigentlich mit jedem Standard-M2M-Tarif realisieren. Und jeder deutsche Mobilfunknetzbetreiber hat M2M-Tarife im Angebot.

Also einfach mal an den Mobilfunkanbieter wenden (wie Lukas ja schon empfohlen hat).

Share this post


Link to post
Share on other sites

naja, reduce to the max(imal möglich):

 

Machen wir uns nix vor: UMTS, DSL, Firewall usw. hat alle so seine Vor- und Nachteile (Konfigurationsaufwand, Freigabe durch Provider usw.).

 

Ich denke, ein Unternehmen, was eine - wie auch immer - geartete Maschine betreibt hat ja wohl mindestens einen Anlagenanschluss.

 

Ist es nicht vielleicht eine Idee, eine ISDN-Leitung zu nehmen?

 

Vorteile:

- die Sicherheit ist dadurch gegeben, dass man a) die Rufnummer kennen muss und b) das Einwahlkennwort

- für Fernwartung sollten 2 x 64 kBit ausreichen

- es kostet den Einwählenden nichts, sofern er z.B. eine Deutschlandflat hat

- und als wichtigstes Argument: es funktioniert ganz einfach -> egal ob UMTS/DSL/Firewall verfügbar oder nicht.

 

ISDN-Einwahlrouter dran und fertig.

 

nur mal so als Idee eingeworfen.

 

BTW: Falls das Argument kommt "da liegt aber kein Kabel", dann sind wir uns ja wohl einig, dass das einen recht geringen Aufwand bedeutet, oder? ;)

 

grüße

 

dippas

Share this post


Link to post
Share on other sites

Ich weiss nicht wieso du meinst ISDN sei einfacher oder günstiger - die meisten Kunden dürfen dann einen der PBX-Typen antanzen lassen, eventuell hat die PBX dann nicht genügend S0 Anschlüsse und man muss eine Karte nachstecken oder einen seperaten Anschluss lösen, dann muss man schauen das die Einwahl im Datenmodus auch wirklich klappt, eventuell muss dann der PBX-Typ nochmal antanzen, dann hast du Kunden die nur noch VoIP haben und deswegen einen ISDN-Anschluss lösen müssen.

 

Die ganzen Flatrates gelten wahrscheinlich nur für Privatkunden und nicht für Firmenanschlüsse oder sie gelten nicht für Datenverbindungen, etc.

 

etc.

 

So einfach wie du das darstellst ists nicht ;)

 

Lukas, der dabei ist die IBM Power-Fernwartungen im Betrieb von ISDN auf VPN zu migrieren.

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...