nichtsnutz
Goto Top

18 Standorte via IPSEC VPN verbinden

Hallo Mitstreiter,
es geht um einen Kunden, der eine zentrale Niederlassung mit 18 kleinen Außenstellen hat, in denen jeweils eine Fritzbox 7490 steht .
Nun müssen alle Außenstellen per VPN mit der "Zentrale" verbunden werden.
Der zu erwartende Datendurchsatz ist gering (Zeiterffassung und Lieferscheine drucken).
Bei den Fritzboxen ist so ein VPN schnell eingerichtet - ich frage mich nur, welchen Router ich in der Zentrale verwenden muss.
Die FB7490 erlaubt maximal 12 VPN Verbindungen.
Das heißt dann doch, dass ich in der Zentrale keine FB7490 verwenden kann, oder?
Welchen Router sollte ich dann dort einsetzen? Ich habe die Erfahrung gemacht, dass VPN zwischen unterschiedlichen Routern oft "wacklig" sind.
Gibt es von Euch eine Empfehlung für dieses spezielle Szenario?

Viele Grüße von der Ostsee!

Jens

Content-Key: 318150

Url: https://administrator.de/contentid/318150

Ausgedruckt am: 28.03.2024 um 11:03 Uhr

Mitglied: aqui
Lösung aqui 18.10.2016 um 12:04:37 Uhr
Goto Top
Einen Cisco 880 oder 890:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
bzw.
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Oder eben die üblichen anderen Verdächtigen von Lancom oder Bintec.
Oder auch eine pfSense Firewall mit APU2 Hardware die entsprechede Crypto Hardware an Bord hat:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Andere FWs sind ebenso denkbar.
Eine FB in der Zentrale wird die Anforderung nicht packen.
Das ist ein billiger Consumer DSL Router für Oma Grete aber nichts für deine Anforderungen in der Zentrale, das solltest du nicht vergessen !
Du fährst ja auch nicht mit einem Dacia Logan in der Formel 1 mit, oder ?
Mitglied: Kuemmel
Kuemmel 18.10.2016 aktualisiert um 12:19:28 Uhr
Goto Top
Hi,

Cisco 892FSP wie von @aqui vorgeschlagen.

Gruß
Kümmel
Mitglied: Kraemer
Kraemer 18.10.2016 um 13:15:59 Uhr
Goto Top
Zitat von @Nichtsnutz:
Ich habe die Erfahrung gemacht, dass VPN zwischen unterschiedlichen Routern oft "wacklig" sind.
Die Erfahrung teile ich. Was ich nicht verstehe ist, warum du daraus nicht die richtigen Schlüsse ziehst. Ich würde sämtliche Fritzboxen in Rente schicken.

Gruß Krämer
Mitglied: Kuemmel
Kuemmel 18.10.2016 um 13:27:53 Uhr
Goto Top
Kann ich ebenfalls bestätigen. Getestet mit LANCOM und Fritzboxen. Mit Cisco und Fritzboxen habe ich allerdings nie Probleme gehabt.
Mitglied: geocast
geocast 18.10.2016 um 13:52:32 Uhr
Goto Top
Habe auch ein Setup mit 17 Geschäftsstellen. Habe allerdings überall PfSense im Einsatz. In der Zentrale eine SG-8860. Läuft sehr zuverlässig mit OpenVPN. Soweit ich in erinnerung habe, funktionieren Fritzboxen und PfSense mit IPSEC gut.
Mitglied: aqui
Lösung aqui 18.10.2016 aktualisiert um 14:06:00 Uhr
Goto Top
Die Fritzbüchsen sind ja in den Niederlassungen vermutlich gesetzt also ist der TO dann auf IPsec als VPN Protokoll verhaftet ! Es sei denn er tauscht einmal durch...?!
Der Cisco oder die pfSense sprechen aber IPsec natürlich....auch mit der FB.
Ich habe die Erfahrung gemacht, dass VPN zwischen unterschiedlichen Routern oft "wacklig" sind.
Eigentlich Unsinn, denn IPsec ist ein weltweiter Standard. Ist das der Fall ist zu 98% die Konfiguration "wackelig" bzw. fehlerbehaftet.
Das Praxisturorial oben zeigt ja das es klappt.
Ums nochmal klar zu sagen: Mit einer mickrigen FB die 15 VPN Tunnel bedienen soll in der Zentrale wirst du garantierten Schiffbruch erleiden. Auch wenn es gemischt wäre. Die HW ist einfach viel zu schwach...so einfach ist das.
Mitglied: brammer
Lösung brammer 18.10.2016 um 14:27:48 Uhr
Goto Top
Hallo,

na der entsprechende Cisco Router ist ja schon genannt...
Und die Fritzboxen an den Standorten darüber sollte man reden...
Wenn die FB bleiben müssen/sollen dann kann man hinter die FB einen Cisco 881 / 891 setzen und mit Cisco EzVPN oder Cisco Flex VPN arbeiten.
Das schöne daran ist dann das man IPSec hat ohne eine public IP zu brauchen ....

@aqui,
vollkommen richtig IPSEC ist ein weltweiter Standard... aber die Hersteller haben bei der Implentierung eine gewissen "Interpretationsspielraum"
Und das führt immmer wieder mal zu wackeligen oder garnicht funktionerenden Tunneln.... das muss ich leider bestätigen

brammer
Mitglied: falscher-sperrstatus
falscher-sperrstatus 18.10.2016 um 15:19:20 Uhr
Goto Top
Kann ich auch nur brammer und Kollegen beipflichten, IPsec ist eben nicht IPsec und je einfacher das IPsec implementiert ist, desto abenteuerlicher. Nebenbei muss man sagen, jeder Normierung wohnen Ausschläge in der Implementierung inne. Sonst müsste ein Dev-Team bei allen Herstellern die jew. Funktion implementieren.

Die Fritzboxen an den Ausstenstellen würde ich in Frage stellen.
a) Consumer
b) Management
c) Sicherheit/Compliance.

hab dir dazu allerdings eine PN geschrieben, da das über das Thema hinaus geht.
Mitglied: Kraemer
Kraemer 18.10.2016 um 15:25:44 Uhr
Goto Top
Gerade wegen dem Management würde ich die Fritten austauschen. Das sind schlicht zu viele Standorte, als dass ich mich da mit Fritten rumschlagen wollte. Die "Konfigurations"oberfläche ist nun einmal für den Privat-Dau gedacht.

Krämer
Mitglied: the-buccaneer
Lösung the-buccaneer 18.10.2016 um 16:51:33 Uhr
Goto Top
Moin!

Die Fritten sind doch schon konfiguriert.
Alles, was bliebe, wäre jeweils eine vorbereitete vpn.cfg einzuspielen. Das ist nicht so unkomfortabel.
Und sooo unübersichtlich wie vor ein paar Jahren sind die nun auch nicht mehr.

Eigentlich sind aber die Cisco 880er für die Standorte konzipiert. face-wink

Ausserdem habe ich grade nochmal nachgelesen, dass die 880er bis zu 20 Verbindungen supporten. Da darf die Fa. nicht mehr viel wachsen...

Eine PfSense mit entsprechend starker Hardware sollte mehr Tunnel supporten, allerdings gibt es bei oberflächlicher Suche nur die Info, dass der StrongSwan einen Test mit 100 Connections in einem Testsetting wohl bestanden hat. Weiss jemand, wo das Limit liegt?
ist ja von allg. Interesse.

Einschränkung aus meiner Erfahrung:
Habe eine FB6490 Cable, die immer wieder zickt beim Reconnect des VPN nach Zwangstrennung. Fehler nicht zu beheben, mal gehts wie gewünscht, dann gehts wieder nur nach Reboot der Fritte.
Sonst PfSense---FB immer stabil und an sich empfehlenswert für kleine Standorte.

Buc
Mitglied: brammer
brammer 18.10.2016 um 17:04:23 Uhr
Goto Top
Hallo,

@the-buccaneer,

Ausserdem habe ich grade nochmal nachgelesen, dass die 880er bis zu 20 Verbindungen supporten. Da darf die Fa. nicht mehr viel wachsen...

die 881 waren ja auch für die Niederlassungen gedacht

für die Zentrale kann es ein 891 sein... der kann 50 Tunnel

Für die Zentrale darf es beider Größe auch ein 4000 sein....

IT und Sicherheit kosten nun mal Geld....

brammer
Mitglied: Kuemmel
Kuemmel 18.10.2016 um 17:21:56 Uhr
Goto Top
Der 891 hat allerdings nur einen Gigabit-WAN Port und kostet nur geringfügig weniger als der 892FSP welcher mit 2 Gigabit-WAN Ports ausgestattet ist ! Daher würde ich lieber die 20€ mehr investieren und auf Nummer sicher gehen.
Mitglied: DopeEx1991
DopeEx1991 18.10.2016 um 18:05:32 Uhr
Goto Top
Hi,
In der Größenordnung ist es evtl schon eine Überlegung wert auf MPLS zu setzen, wenn euch euer Provider das zur Verfügung stellen kann.


LG
Mitglied: falscher-sperrstatus
falscher-sperrstatus 18.10.2016 um 18:42:57 Uhr
Goto Top
Hi Buc,

es geht hier wohl eher um den laufenden Betrieb. Und da sind die Fritten definitiv nicht so wartungsarm wie andere Master-Slave VPN Lösungen.

VG
Mitglied: Nichtsnutz
Nichtsnutz 18.10.2016 um 20:06:29 Uhr
Goto Top
Die Fritzbboxen sind gesetzt. Sie funktionieren stets fehlerfrei und bieten mit MyFritz einen zuverlässigen dynamischen Host.
An den Standorten passiert nur wenig. Das VPN dient zum Ausdrucken von in der Zentrale erstellten Lieferscheinen und zur Zeiterfassung. Telefonie und WLAN werden aber auch gebraucht.
In diesem Umfeld bin ich mit den Fritzboxen seit Jahren sehr zufrieden!
Mitglied: Nichtsnutz
Nichtsnutz 18.10.2016, aktualisiert am 14.03.2023 um 10:57:23 Uhr
Goto Top
Vielen Dank für Eure Unterstützung!!

Grundsätzlich verstehe ich, dass die Fritzboxen in einem Forum wie diesem hier nicht so "angesagt" sind.
Vor langer Zeit habe ich mich auch immer mit etlichen IPSEC-Parametern gequält, bis ich zwei Gateways miteinander verbunden hatte. Die Freude danach war stets groß - nur bezahlt mir meist niemand diese Lehrstunden.
Wenn der VPN-Durchsatz nicht so wichtig ist, spart es mir stets viel Zeit , in wenigen Minuten zwei LAN - jeweils mit dyn. WAN IP- miteinander zu verbinden. WLAN Hotspot, VDSL-Modem und TK-Anlage habe ich dann noch "von oben" - für 200€.
Mir ist völlig klar, dass die von AVM verbaute CPU nicht in der Lage ist, 20 Tunnel gleichzeitig zu füttern.
In der Zentrale kommt eine FB also nicht in Frage.
Cisco ist natürlich "State of the Art" - ich müsste mich aber sehr lange damit beschäftigen, bis ich ihn mit 18 FB7490 "gepaart" habe.
Mir wäre z.B. ein LANCOM lieber weil dessen Frontend mehr für Unwissende wie mich gemacht zu sein scheint.
Optimal wäre ein Router von dem jemand sagt: "Den habe ich auch schon mal mit einer Fritzbox verbunden - kein Problem" (Howto unter www......).
Der "Forschungsaufwand" für den Cisco wäre für mich wahrscheinlich zu hoch. Zumal ich ja nur einen davon brauche, will ich mich diesem einen nur ungerne so lange widmen.

Habt Ihr eine Idee?

Einen Cisco 880 oder 890:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
bzw.
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Oder eben die üblichen anderen Verdächtigen von Lancom oder Bintec.
Oder auch eine pfSense Firewall mit APU2 Hardware die entsprechede Crypto Hardware an Bord hat:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät

Andere FWs sind ebenso denkbar.
Eine FB in der Zentrale wird die Anforderung nicht packen.
Das ist ein billiger Consumer DSL Router für Oma Grete aber nichts für deine Anforderungen in der Zentrale, das solltest du nicht vergessen !
Du fährst ja auch nicht mit einem Dacia Logan in der Formel 1 mit, oder ?
Mitglied: Nichtsnutz
Nichtsnutz 18.10.2016 um 20:35:54 Uhr
Goto Top
Ich habe mir den Cisco mal näher angesehen.
Nicht schlecht.
Welchen brauche ich genau, wenn Modem und WLAN dabei sind?

Bei AVM hat mir gefallen, dass ein kostenloser VPN Client dabei ist und dass eine Software enthalten ist, mit der man "DAU-mäßig" die CFG-Dateien für die jeweiligen Router generieren kann.
Gibt es das bei Cisco auch? Ist der VPN-Client kostenlos ?
Wie kann ich eine CFG -Datei für die Fritzboxen generieren?
Hat jemand konkrete Erfahrungen mit CISCO / Fritzbox VPN gemacht

Nochmals danke an Euch alle - Ihr habt mich schon etwas weiter gebracht!!!!

VG Jens


Hallo,

na der entsprechende Cisco Router ist ja schon genannt...
Und die Fritzboxen an den Standorten darüber sollte man reden...
Wenn die FB bleiben müssen/sollen dann kann man hinter die FB einen Cisco 881 / 891 setzen und mit Cisco EzVPN oder Cisco Flex VPN arbeiten.
Das schöne daran ist dann das man IPSec hat ohne eine public IP zu brauchen ....

@aqui,
vollkommen richtig IPSEC ist ein weltweiter Standard... aber die Hersteller haben bei der Implentierung eine gewissen "Interpretationsspielraum"
Und das führt immmer wieder mal zu wackeligen oder garnicht funktionerenden Tunneln.... das muss ich leider bestätigen

brammer
Mitglied: Kraemer
Lösung Kraemer 18.10.2016 um 20:59:49 Uhr
Goto Top
@to
Ich bin ein großer Freund von FritzBoxen im privaten Umfeld und in kleinen Firmen. Die tun was sie sollen und das auch recht stabil.
Das was du da aber vor hast ist nichts für die Fritten! Die von dir geschilderten Anforderungen erfordern eine Bidirektionale Verbindung - das heißt beide Seiten sollten dazu in der Lage sein einen VPN-Tunnel aufzubauen. Das wirst du mit den Fritten nicht zuverlässig hinbekommen. Für VoIP brauchst du QoS - und zwar ordentliches. Und das ganze mit dynamischen IP's aufzubauen ist der Anfang von stundenlangem Fehlersuchen!
Keine Frage - hier im Forum findest du überwiegend Leute die auf gute Hardware setzen. Das liegt aber nicht daran, dass diese in Firmen arbeiten, in denen Geld keine Rolle spielt. Das liegt schlicht daran, dass die die Verantwortung dafür haben, dass eine Lösung stabil läuft.
Klar - auch ich kenne endlos Lösungen, die auf Fritten aufsetzen. Viele sog. Systemhäuser nutzen halt die vorhandenen Kisten um Kohlemäßig unten zu bleiben. Ich kenne deswegen auch die Probleme, die damit einhergehen. Und spätestens bei VoIP fliegst du auf die Nase.

Beantrage ein Budget für eine ordentliche Lösung. Wenn das abgelehnt wird, kannst du wenigstens hinter sagen, das du auf die Probleme hingewiesen hast. Machst du das nicht wirst du in Erklärungsnot geraten.

Gruß
Mitglied: Kuemmel
Lösung Kuemmel 18.10.2016 um 21:02:32 Uhr
Goto Top
Wenn du einen mit Modem benötigst (hattest du vorher nicht erwähnt), kommt nur ein Cisco C896VA in Frage. Mit WLAN gibt es die 89x-Serie leider nicht, nur die 88x-Serie, allerdings sind da meiner Meinung nach die Ressourcen bei deinen Anforderungen zu schnell aufgebraucht. Einen IPsec-Client benötigst du bei Windows nicht, der ist bereits mit an Bord, genauso wie unter macOS, iOS, Android, Linux.. Allerdings greife ich bei Windows lieber zu diesem Klickibunti-Client:
https://www.shrew.net
Mitglied: the-buccaneer
Lösung the-buccaneer 19.10.2016 aktualisiert um 00:59:09 Uhr
Goto Top
Hi certified!
Wieso Master-Slave? Die Fritten machen Site2Site VPN.
Und das größtenteils seit Jahren völlig wartungsfrei nach Einrichten der Verbindung.
Nur mein Sorgenkind, die 6490...

@Nichtsnutz: Eine vpn.cfg erstellst du mit dem Tool "Fritz! Fernzugang einrichten" (Toller Name. face-wink
Man kann aber auch eine Vorlage aus dem Forum oder dem Netz verwenden.
Diese öffnest du in einem Editor deiner Wahl und passt den Code entsprechend deinen Bedürfnissen an. (Identifier etc.)
Das erfordert etwas Einarbeitung in die AVM IPSec Syntax ist aber dokumentiert und kein Hexenwerk.
Dabei ist das aufwärtskompatibel, d.h. eine für die olle 2170 erstellte cfg kann noch in eine aktuelle Fritte eingespielt werden und rennt.
Nicht zu unterschätzen, wenn verschiedene FB's im Einsatz sind.
Da du dich ja nach eigener Aussage bereits mit IPSec Parametern herumgeschlagen hast, sollte das für dich machbar sein.
3x Klick und dann gehts, gilt wohl nur für FB zu FB. Oder allgemein hinter herstellerspezifischen Standardinterpretationen... face-wink
PfSense <---> FB ist im verlinkten Tutorial von Aqui erwähnt. Auch Cisco <---> FB sollte aber machbar sein (?) da ich davon ausgehe, dass die Cisco an die AVM-Beschränkungen anpassbar ist.
Und das ist eben auch der Nachteil der FB-Lösung: Das VPN ist an die eingeschränkte IPSec Implementierung von AVM gebunden. Immerhin haben die aber etwas aufgerüstet.
LG
Buc
Mitglied: Nichtsnutz
Nichtsnutz 19.10.2016 um 07:46:09 Uhr
Goto Top
"Fritzfernzugang" benutze ich seit Jahren. Ich habe damit auch CFG-Files für Android / IOS generiert und editiert.
Ich hätte nicht gedacht, dass ich mit den damit generierten Files auch andere Router "füttern" kann.
Welchen Router (incl. VDSL-Modem und WLAN) sollte ich aus Deiner Sicht verwenden?
Kann ich erwarten, dass ich eine stabile VPN-Verbindung mit unterschiedlichen Routern bekomme?
Insgesamt habe ich fast 200 Fritzboxen im Einsatz und habe mit deren VPN nie und nirgends (!!!) Ärger.
Auch mit 2x dyn. WAN IP via MyFritz dyn Host.
Mir ist weniger der Durchsatz als die Stabilität wichtig.
VG Jens
Mitglied: aqui
Lösung aqui 19.10.2016 aktualisiert um 13:15:18 Uhr
Goto Top
Wie oben bereits schon mehrfach genannt !!!
Cisco 880, 890 oder die üblichen Verdächtigen von Lancom oder Bintec.
Alternative eine pfSense Firewall auf einer potenten Hardware. Mintestens APU2 Board von Pcengines:
http://varia-store.com/Hardware/PC-Engines-Bundles/APU-2C2-Bundles/APU2 ...
oder der oben bereits genannte SG Systeme: https://store.pfsense.org/systems/

Mit dem Cisco bist du am besten bedient, denn in heterogenen Umgebungen hast du dort die besten Troubleshooting Optionen und Service.
Zur Performance muss man wohl nix mehr sagen !
Die oben bereits zitierten Tutorials sagen dir alles dazu !
Einfach nur mal lesen !!! Dann musst du alle deine Fragen nicht doppelt stellen face-wink
Mitglied: Nichtsnutz
Nichtsnutz 19.10.2016 um 14:13:57 Uhr
Goto Top
Danke Aqui. Du hast Recht - wir können den Thread jetzt schließen.
Mitglied: aqui
Lösung aqui 19.10.2016 aktualisiert um 18:21:07 Uhr
Goto Top
Wir ?? DU kannst das nur allein als Threadowner !!
Bitte nicht nur gewissenhaft die Threads lesen sondern auch die Forums FAQs face-wink

Wie kann ich einen Beitrag als gelöst markieren?
Mitglied: Nichtsnutz
Nichtsnutz 21.10.2016 um 18:28:05 Uhr
Goto Top
Auch da hast Du Recht. Oben steht jetzt "gelöst". Reicht das?
Mitglied: aqui
aqui 21.10.2016 um 20:52:52 Uhr
Goto Top
Das musst du nicht mich oder uns fragen sondern dich selber ! face-wink