DSL-Router mit VPN/IPSec

[surfcontrol 10]

Ich möchte mich anschließen, was die Netgear Router angeht, allerdings bin ich der Meinung, dass ein FVS336G ausreicht.

Diese können 25 Tunnel, haben 2 x (max. GBit) WAN + 4 x GBit LAN, sind aber wesentlich günstiger als die FVX-538.

Derzeit ca. 250,- € + MWST

Hallo,

tja, das mit den Netgear Roputern ist so eine Sache.

In meinem früheren Betrieb waren die Niederlassungen über Netgear FVS338G angebunden.

Wie bei den FVS318, laufen die Kisten wirklich viele Monate extrem stabil und sauber und.... und dann beginnt es, genau wie beim 318 geschrieben: Einer nach dem anderen verabschiedet sich, kann nicht mehr über die Weboberfläche bedient werden, die VPN melden (VPNSKA oder ähnlich und verweisen einen Fehler auf die Router Ip Adresse) und der VPn geht einfach nicht mehr sauber, trotz Fester IP Zuweisung.

Lieber kene Netgear mehr. Bintec läuft (Funkwerk) eindeutig besser.

surfcontrol

[Haliel 10]

so hier mal der VPN-Plan für die Gesamtstruktur

 

 

Die Firewall soll eig. im Router integriert sein.

 

Für die Anforderung der Router ist mir noch was eingefallen.

 

Alle Computer (ca. 13) sollen per Terminalserververbindung auf den Server zugreifen um ein Programm zu nutzen. Ich werde zwar Versuchen diese Verbindungen so gering wie möglich zu halten, aber bei 13 Computer (davon 6 in den Filialen 2 & 3) ist da Trotzdem einiges los, vorraussichtlich.

 

~~Nachtrag~~

 

Also Vorab schon mal Danke an alle für die Tips und Ratschläge. Entschieden habe ich mich noch nicht, aber es sind schon einige Kandidaten "rausgeflogen", dazu zählen Netgear und vorraussichtlich Linksys.

 

Netgear habe ich abgewählt, da die keinen "echten" VPN-Router haben mit Gigabit-Lan, was sicherlich bei der Anforderung nicht verkehrt wäre.

Linksys fällt wegen the same reason raus, wobei Linksys ansonsten einen guten Eindruck macht.

 

In der engeren Auswahl stehen derzeit eingie Router von Lancom, Endian, Funkwerk und Watchguard.

 

Hab mir von den Geräten die Datasheets runtergeladen und werde die mal Gegeneinander halten und der Stärkere gewinnt :D

bearbeitet 16. August 2009 von Haliel

[goscho 11]

Hübsches Bild, aber was soll uns dies neues sagen?

Netgear habe ich abgewählt, da die keinen "echten" VPN-Router haben mit Gigabit-Lan, was sicherlich bei der Anforderung nicht verkehrt wäre.

Unsinn,

schon in meinem ersten Beitrag habe ich darauf hingewiesen, dass der Netgear FVS336G 4xGbit LAN und sogar 2 x WAN (auch GBit) hat.

 

Definiere bitte "echten" VPN-Routern?

 

Ich habe diese Teile in solchen Szenarien - wie du es beschreibst - im Einsatz und kann dir sagen, dass sind echte VPN-Router.:cool:

Die können 25 IPSec-VPN-Tunnel und zusätzlich SSL-VPN.

 

Es geht natürlich noch größer und besser, kostet aber auch wesentlich mehr.;)

 

Die Probleme, die hier in Bezug auf Netgear-VPN-Router geschildert wurden, beziehen sich garantiert vorwiegend auf die Billigteile (FVS114 oder FVS318).

Bei den besseren Geräten sind solche Probleme eher die Ausnahme.

[s.k. 11]

Netgear habe ich abgewählt, da die keinen "echten" VPN-Router haben mit Gigabit-Lan, was sicherlich bei der Anforderung nicht verkehrt wäre. Linksys fällt wegen the same reason raus

Erkläre mir mal, wofür die Firewall mit Gigabit ans LAN angebunden werden muss!?

Das macht nur Sinn, wenn man Subnetze im LAN zwecks Reglementierung über die Box routen will oder wenn die WAN-Anbindung mind. 1GB hat. Ich gehe doch mal schwer davon aus, dass zumindest letzteres nicht gegeben ist...

 

Wenn es wirklich auf Performence ankommt, lohnt ein Blick auf Sonicwalls NSA-Serie.

Bei knappem Budget - insbesondere wenn man für den Support nicht extra zur Kasse gebeten werden möchte - halte ich die ZyWALLs aus dem Hause ZyXEL für eine gute Option. Die 2Plus beispielsweise ist sehr leicht zu bedienen und dennoch für die meisten SMB-Umgebungen ausreichend leistungsfähig. Für komplexere Szenarien gibt es die Linux-basierten USGs. Da ist dann aber auch schon etwas mehr Know How bei der Konfiguration erforderlich. Und ganz frei von Kinderkrankheiten sind sie leider auch noch nicht.

 

Definiere also bitte nochmal Deine Anforderungen:

- Auf welchem Layer soll die Firewall arbeiten? Sind sog. UTM-Dienste gewünscht?

- benötigt die Firewall mehrere beregelbare Zonen/Interfaces?

- welcher Durchsatz ist gewünscht (Firewalldurchsatz und VPN-Durchsatz, ggf. UTM-Durchsatz)?

- Sollen sich die VPN-Tunnel per ACL beregeln lassen?

- gibt es besondere Anforderungen an die Möglichkeiten zur Adressübersetzung?

- Policyrouting?

- VLAN-Support?

- Userinterface?

- (zentrale) Verwaltbarkeit?

- und und und...

 

Nicht zuletzt: Was darf der Spaß kosten (Anschaffung, Support, Updates)?

 

Gruß

Steffen

[Haliel 10]

Unsinn,

schon in meinem ersten Beitrag habe ich darauf hingewiesen, dass der Netgear FVS336G 4xGbit LAN und sogar 2 x WAN (auch Gbit) hat.

 

Das Problem ist, dass dieses Gerät laut Aussage des Netgear Routerberater kein DSL-Modem dabei hat. Wenn ich bei diesem Routerberater auswähle mit DSL-Modem, dann bekomme ich 3 Ergebnisse Angeboten(DG834B, DG834GB, DGFV338B).

 

Die Kosten sollten bei einem kleinen mittelständigen Unternehmen natürlich so weit unten gehalten werden wie möglich. Es geht nicht darum hier ein Absolut sicheres Netz zu etablieren, sondern nur darum, es zu erschweren an Firmendaten ran zu kommen.

 

Ich meine mit "echten VPN-Routern" die Geräte, die wirklich einen Tunnel aufbauen können und nicht dieses Passthrough unterstützen.

 

Definiere also bitte nochmal Deine Anforderungen:

- Auf welchem Layer soll die Firewall arbeiten? Sind sog. UTM-Dienste gewünscht? Keine UTM-Dienste

- benötigt die Firewall mehrere beregelbare Zonen/Interfaces? Auch nicht

- welcher Durchsatz ist gewünscht (Firewalldurchsatz und VPN-Durchsatz, ggf. UTM-Durchsatz)? Kann ich noch nicht viel zu sagen. Aber mehr ist besser wie weniger^^

- Sollen sich die VPN-Tunnel per ACL beregeln lassen? Nein, da ich keine festen IP's für die Filialen bekomme (24h DSL-Rhythmus) soll die Kontaktaufnahme eig. über DynDNS erfolgen.

- gibt es besondere Anforderungen an die Möglichkeiten zur Adressübersetzung?

- Policyrouting? Nein

- VLAN-Support? Nein

- Userinterface?Wäre angenehm, aber Console macht mir auch nichts aus.

- (zentrale) Verwaltbarkeit? Eigentlich nicht

 

Zur Anforderung:

 

Es sollen, wie schon Bereits beschrieben, 2-3 Filialen (ist noch nicht ganz klar ob die 3. Filiale geschlossen wird) über das Internet verbunden werden.

In der Hauptfiliale soll ein Windows 2003 Server, Active-Directory und Terminalserver zur Verfügung stellen.

Die Anwendung(Kundenverwaltung, Auftragsverwaltung, Lagerbestand etc.) die mittels Terminalserver von allen 11 - 13 Clients aufgerufen werden soll, muss während den Geschäftszeiten verfügbar sein.

Der Hersteller dieser Software Empfiehlt ausdrücklich die Verwendung von Windows 2003 Terminalserver und VPN-Verbindungen zwischen den Filialen.

 

Die Firewall(soll im Endeffekt eh nur IPSec[über das die gesamte Kommunikation des Servers und den Remoteclients laufen soll], HTTP[fürs normale Surfen] und SMTP[logisch was da läuft] zulassen) braucht kein Gbit (DSL 1000) aber die LAN-Schnittstellen.

Ich würde den Server gerne über 2 Gbit LAN-Schnittstellen ans Netz(Lokal in der Filiale) anschließen, um den Netzwerktrafic etwas zu verteilen (Lokales Netz an eine Schnittstelle und die 2 Remotenetze an die Andere).

 

Wenn noch Fragen offen sind Bitte stellen ;)

 

Ich bin in dem Bereich noch ein ziemlicher Frischling und kann nicht immer sofort mit allem dienen was ihr Wissen wollt. Kann also erstmal dauern bis ich eine Antwort liefern kann, die passend ist. (UTM war zb. was Unbekanntes)

[goscho 11]

Das Problem ist, dass dieses Gerät laut Aussage des Netgear Routerberater kein DSL-Modem dabei hat. Wenn ich bei diesem Routerberater auswähle mit DSL-Modem, dann bekomme ich 3 Ergebnisse Angeboten(DG834B, DG834GB, DGFV338B).

Ich meine mit "echten VPN-Routern" die Geräte, die wirklich einen Tunnel aufbauen können und nicht dieses Passthrough unterstützen.

 

Hier bist du auf dem Holzweg.

Alle dir vorgeschlagenen Profi-Geräte haben kein DSL-Modem inklusive.

Das ist deshalb so, weil die Firmen nicht vorwiegend über ADSL den Zugang aufbauen. Darum hat man die freie Modemwahl und muss nicht das mitgelieferte des DSL-Modem-WLAN-VPN-Musikserver-TK-Anlage-Printserver-Netzwerkspeicher-Gerätes nehmen.

Die Kosten sollten bei einem kleinen mittelständigen Unternehmen natürlich so weit unten gehalten werden wie möglich. Es geht nicht darum hier ein Absolut sicheres Netz zu etablieren, sondern nur darum, es zu erschweren an Firmendaten ran zu kommen.

O.K. du willst doch die Billiglösung.

Dann bleiben ja noch die Billigteile von Netgear:

FVS-114 für ca. 80,- € netto oder

FVS-318 für ca. 110,- € netto

+ passendes DSL-Modem ist ja wohl nicht teuer.

 

Die Geräte sind aber anfälliger, wie schon beschrieben wurde.

Ich bin in dem Bereich noch ein ziemlicher Frischling und kann nicht immer sofort mit allem dienen was ihr Wissen wollt. Kann also erstmal dauern bis ich eine Antwort liefern kann, die passend ist. (UTM war zb. was Unbekanntes)

Das kann man lernen. ;)

 

Dann sind wir hier am Board ja auch noch da un geben dir Tipps. :)

[s.k. 11]

Also einige Deiner Anforderungen sind wenig rational!

 

Das Problem ist, dass dieses Gerät laut Aussage des Netgear Routerberater kein DSL-Modem dabei hat.

Lieber eine Box ohne integriertes DSL-Modem nehmen, denn das erleichtert die möglicherweise spätere Umstellung auf einen Internetzugang, wo der Provider Ethernet übergibt.

 

Die Firewall ... braucht kein Gbit (DSL 1000) aber die LAN-Schnittstellen.

Die VPN-Box würde ich nicht als Switch mißbrauchen, sondern einen (oder mehrere) dedizierte/n Switch/e für das LAN verwenden. Bei WAN-seitigem DSL1000 ist eine 10/100er LAN-Verbindung ohnehin mehr als reichlich.

 

Ich würde den Server gerne über 2 Gbit LAN-Schnittstellen ans Netz(Lokal in der Filiale) anschließen, um den Netzwerktrafic etwas zu verteilen (Lokales Netz an eine Schnittstelle und die 2 Remotenetze an die Andere).

Wozu? 10-15 parallele Terminalserver-Sessions machen kaum merklichen Traffic und mehr als 1 MBit/s ist aufgrund der schwachen WAN-Anbindung eh nicht drin.

An der Internetanbindung sollte dringend etwas getan werden!

 

Sollen sich die VPN-Tunnel per ACL beregeln lassen?

Nein, da ich keine festen IP's für die Filialen bekomme (24h DSL-Rhythmus) soll die Kontaktaufnahme eig. über DynDNS erfolgen.

Die Frage ist anders gemeint: Nämlich ob die Möglichkeit bestehen soll, den Traffic, der durch den Tunnel hereinkommt oder durch den Tunnel geht per Firewallregel zu reglementieren. Ich halte das für ein wichtiges Feature, welches bspw. Netgear m.W. nicht bietet. Selbst wenn man es nicht für die Durchsetzung von Securitypolicies benötigt (also keine Einschränkungen vornehmen will), ist es dennoch für die Fehlersuche sehr hilfreich (Logging auf den Regeln aktivieren).

 

 

Also ich rate zur ZyWALL 2Plus. Kann deutlich mehr als Ihr braucht, ist dennoch sehr einfach zu konfigurieren und sehr preiswert. Nicht zuletzt gibt es im Netz deutschsprachige Konfigurationsanleitungen, Wissensdatenbanken und Foren, was den Einstieg sehr erleichtern dürfte.

 

 

Gruß

Steffen

[tesso 375]

Funkwerk hat auch Router mit eingebauten Modems. Finde ich besser als externe, weil ich die eingebauten besser überwachen kann. Man ist aber nicht gezwungen sie zu nutzen, habe auch Einsatzfälle wo ein externes Modem oder sogar Kabelmodems etc. genutzt werden.

[Franz2 10]

Ich würde dir Cisco Hardware empfehlen.

Am besten wäre eine ASA 5505.

Die hat 7 Lan Ports. Vielleicht kannst du dir dadurch einen Switch sparen.

Hat aber kein DSL Modem eingebaut.

Falls du unbedingt einen Router mit Modem willst kannst du einen Cisco876 nehmen.

Es wäre auch möglich in der Zentralle eine ASA und in den Filialen einen Router zu nehmen.

 

lg Franz

[Haliel 10]

Es gibt ein neues Problem. Die Frau von meinem Chef hätte gerne ein MAC-Laptop, da es für ihre Arbeit representiver ist. An sich für mich kein größeres Problem da der Laptop nicht ins netzwerk soll, aber der Chef hat sich jetzt so wie es aussieht in einen Mac verguckt.

 

Habe schon rausgefunden, dass es den RDC von MS auf für Mac gibt und Apple bietet auch so etwas an.

 

Vorallem aber möchte er ein Laptop, mit dem er von unterwegs an die VPN-Verbindung ran möchte.

Für die Realisierung strebt mir da etwas in Richtung von UMTS-Stick vor. Aber dafür werde ich eine VPN-Software brauchen, oder?

[tesso 375]

Such mal nach IPSecuritas. Das habe ich schon öfters auf Macs eingesetzt.

[Haliel 10]

sieht viel versprechend aus. Jetzt bräuchte ich hier nen virtuellen mac zum testen :D

 

Gibt es sowas auch für Windows? Falls er doch lieber Windows haben mag. Den von der UMTS-Geschichte spricht er schon länger. Wobei ich da ja auch den VPN-Client von Windows nehmen könnte.

[tesso 375]

Für Windows nehme ich immer NCP

[unst 10]

für viele VPN-Router (z.b. Cisco, Lancom, etc) gibts ja spezielle Software, damit wäre das Windows Problem auf jeden Fall gelöst.

[MrCocktail 192]

Hi,

 

schau doch einfach mal in die aktuelle ct, dort ist ein breiter Test zu VPN Routern.

 

Gruss

J