Vernetzung von 2 Büros

SpecialT

SpecialT

Neuling
Thread Starter
Mitglied seit
19.03.2005
Beiträge
614
Ort
Itzehoe
Hallo Luxxer,

ich brauche mal wieder eure fachkundige Meinung :)

Folgendes habe ich vor:

- Es gibt zwei Büros, die via Internet/VPN mit einander vernetzt werden sollen
- in Büro1 sitzen etwa 20 Benutzer + 3 Server, in Büro2 etwa 10 Benutzer + evtl später 1 Server
- Beide Büros verfügen über eine Internetanbindung mit fester IP und genügend Upload (50MBit/s)

Ich möchte jetzt 2 Hardwarefirewalls beschaffen, die mir folgendes bieten können:

- Feste VPN-Verbindung untereinander
- Die Benutzer sollen bei einem Büro-wechsel netzwerktechnisch nicht davon mitbekommen ( OK das ist ne Konfigurationssache und keine Firewallanforderung)
- 30-50 Einwahl VPN-Verbindungen zulassen.
- eine demilitarisierte Zone anbieten um z.B. in Zukunft einen FTP-Server sicher und ohne großes Risiko im Internet anbieten zukönnen
- weitere Punkte die ihr mir empfehlen könnt :)


Kennt ihr solche Geräte? Könnt ihr etwas empfehlen? das Budget liegt bei etwa 300€/Gerät.

Beste Grüße
ST
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
...PCEngines ...das neue APU Board, *nicht* das ALIX-Board....dazu ne kleine m-SATA SSD.
Gibt es hier in verschiedenen Kits: PC Engines Bundles - varia-store.com .. so ab 200EUR-350EUR

Als Software dann pfsense...musst Du aber ein wenig KnoffHoff selbst einbauen.
 
Klasse Danke für deine Antwort.

Das sieht ja schonmal vernünftig aus.

Gibt es noch weitere Vorschläge?
 
Zuletzt bearbeitet:
gelöscht
 
Zuletzt bearbeitet von einem Moderator:
Vielen Dank für eure Antworten.

Ich bekomme langsam das Gefühl, dass ich mir das etwas einfach vorgestellt habe.

Ich dachte ihr würdet mir ein Hersteller x und ein Modell y empfehlen.
Das gekaufte Gerät würde ich in 2-3 Stunden Konfigurieren ( Internet-Zugang, Firewall regeln, LAN-to-LAN-VPN, Dial-In-VPN accounts, ... ) und "Fertig"...
 
Mit 300€ ist das Budget deutlich zu klein kalkuliert. Ich würde dir an dieser Stelle eine Fortinet Fortigate empfehlen. Die 40C sollte an sich ausreichen, ich würde mich aber fast eher in Richtung 60C oder 60D orientieren. Die Maschinen sind vollwertige UTMs, mit denen z.B. der Internetverkehr auch auf Viren gescannt werden kann u.ä., jährliche Kosten für Lizenzen/Updates/Hardware Wartung sollte man allerdings auch einkalkulieren.

Obengenannte pfsense wäre eine gute Alternative auf OpenSource Basis - hier sollte man sich allerdings einigermaßen gut mit FreeBSD Systemen auskennen, um das Optimum rauszuholen und eine sichere funktionierende Konfiguration zu erhalten. Als Hardware Basis ist eine kleine Appliance gut geeignet, z.B. die ELD1120A von Nexcom (Vertrieb in DE über Apligo)
 
Ok, ich merke schon das Budget ist zu klein angesetzt. Bei der einmaligen Anschaffung kann ich bestimmt auch noch Erhöhen. sagen wir 500-700€/Gerät ?
Bei jährlichen Kosten sieht das aber eher schlecht aus. Nur aus interesse: Wieviel muss man denn jährlich für was zahlen?

Ich bin nicht wirklich fit in FreeBSD. und würde daher eine Fertig-Lösung einer Selbst-mach-Lösung vorziehen.
Ideal wäre ein Gerät, dass ich "nur noch" konfigurieren muss und keine wiederkehrenden Kosten verursacht. Wichtig ist auch eine demilitarisierte Zone für FTP-Server oder ähnliches.
 
Was wird denn über den vpn gemacht? 50mbit ist jetzt ja nicht so der knaller, wenn es an größere Dateien geht bzw alle 10 nutzer gleichzeitig etwas über den vpn machen.
 
Bei jährlichen Kosten sieht das aber eher schlecht aus. Nur aus interesse: Wieviel muss man denn jährlich für was zahlen?
Zum Vergrößern anklicken....
Bei der Fortinet Fortigate würde ich mindestens ein FortiCare Comprehensive erwerben, welches 24x7 Support für Hardware & Software beinhaltet (z.B. auch Firmware Updates etc.)
Fortinet FortiGate 60 FortiCare | Firewall-Shop - Günstig kaufen bei allfirewalls

Für AntiVirus/AntiSpam, Webfilter und bestimmte IPS Features ist eine weitergehende Lizenz nötig, hierfür bietet sich an ein UTM Bundle zu erwerben:
Fortinet FortiGate 60 FortiCare/-Guard Bundle | Firewall-Shop - Günstig kaufen bei allfirewalls

Evtl. wäre auch ein zweiter Internetanschluss je Büro sinnvoll, sodaß man ein Loadbalancing über mehrere Anschlüsse machen kann und/oder ein Failover hat wenn mal eine Leitung ausfällt. Wird auf jeden Fall von der Fortigate unterstützt, andere Geräte können das auch entsprechend.
 
Über VPN sollen hauptsächlich Datenbankzugriffe und Zugriff auf DateiServer realisiert werden.
Ich denke die 50MBit sollten fürs erste reichen. 100MBit sind jedoch auch möglich und können bei Bedarf hinzugebucht werden.

Gibt es weitere Geräte die als Out of the Box Lösung empfohlen werden können?
 
Wenn du Feste IP's hast, würde ich ganz einfach die FritzBoxen oder was auch immer als Router lassen.
Dazu dahinter auf den Servern oder wie auch immer ein Debian Server mit OpenVPN.
Die andere Seite als Client und dann das VPN Routen.

Für die Clients bei Domäne einfach ein RRAS mit SSTP VPN und den Port in die DMZ.
Beides basiert auf SSL VPN, und ist entsprechend sicher.
Einstellungen per GPO Ausrollen.

Für die Clients würde auch wenn du eine Interne PKI hast OpenVPN gehen,
denn das kann auch in den Local Cert Store schauen.

Fortigate kenn ich, ist gut. Keine Frage nur bietet keinen Nennenswerten Vorteil meinermeinung nach.
Läuft auch mit SSL VPN. Das Prinzip ist immer das gleiche.


IMHO...
 
Würde für diese Kombi auch eher zu MPLS tendieren, gerade wenn's ein VPN ist. Datenverkehr und Sicherheit sind einfach besser. Wie RPU schon sagte, zwecks fehlender Hardware kann da niemand rein. Siehe auch MPLS Standortvernetzung - Expertenberatung von Savecall
Preislich ist das schon variabel, auch über's Jahr. Kommt auch immer darauf an, mit welchem Anbieter du zusammenarbeitest. Das kann man pauschal nicht an einer Zahl festmachen.
 
Sollen die Firewalls neben Standort VPN, sowie der Einwahl via VPN-Client noch mehr können?
Kommen evtl. noch weitere VPN-Verbindungen hinzu (weiterer Standort, Kunde...)?
Wie sieht es mit Support & Co aus? Je nach Hersteller bekommt man ohne laufenden Support-Vertrag keine Firmware-Updates für die Firewalls.
Was ist wenn eine Firewall ausfällt? Genügt z.B. ein Austausch der Hardware am nächsten Arbeitstag oder sollte man sich eine Ersatz-Firewall in den Schrank legen, welche bei Bedarf mit der aktuellen Konfiguration betankt und angeschlossen werden kann?
Kann man am jeweiligen Internet-Anschluss eine Firewall mit eigener Einwahl einsetzen oder hat der Provider dem einen Riegel vorgeschoben und es muss ggf. ein separates Modem her?
 
an beide Standorte jeweils einen FVS318N hinter die Fritzbox oder was auch immer da als Zugangsmodem/Router installiert ist.
Den Netgear in die DMZ des Zugngsrouters stellen, bzw. als exposed Host definieren (natürlich mit fest konfigurierten IP Adressen auf den WAN-Seiten der VPN-Gateways).
Wenn die Zugänge mit dynamischen IP Adressen arbeiten muss noch ein DynDNS auf dem Zugangsrouter eingerichtet werden, bei Festen IP Adressen können die Public-IPs direkt für die VPN Verbindung verwendet werden.
Beide Standorte nutzen ihre eigene Internetverbindung ins Internet (kann natürlich auch anders konfiguriert werden).

Alternativ wären noch die FVS336G zu nennen, die haben aber einen geringeren WAN/LAN bzw. Firewall Durchsatz (60 MB/s statt 95 beim 318N) und kein WLAN und sind etwas teurer.
Vorteil wäre, daß redundante Zugänge genutzt werden könnten (Autofailover auf WAN 2, wenn WAN 1 down), oder in Zukunft hinzukommen können, ohne daß neue Hardware angeschafft werden muss.

SSL-VPN ist leider kein Pro-Argument mehr, da es nur bis Win7-32 Bit läuft und da auch nicht in jedem Browser, wäre für die gegebene Aufgabe aber unwichtig - wäre halt eine zusätzliche Möglichkeit für einen remote-VPN-Zugang z.B. für Wartungs-/Konfigurationszwecke.

Ich habe beide Geräte zum Teil mehrfach im Einsatz - zum Teil seit mehreren Jahren. der 336Gv1 möchte 2-3 reboots im Jahr haben, der 336Gv2 ist in dieser Hinsicht noch nicht auffälig geworden, ebenso der 318N.
 
Zuletzt bearbeitet:
@Digi-Quick: Der erste Vernünftige Vorschlag in diesem Thread. Ich bin wohl nicht der Einzige der bei Site-to-Site VPNs an IPsec denkt. :bigok:

MPLS bei 20 Nutzern, warum nicht gleich eine Leased Line? Vorhandene Ressourcen nutzen! Bei 50 Mbit/s Upload würde ich den FVS318N vorschlagen, der hat den höheren IPsec-Durchsatz. Redundante Gateways würde ich, ohne die Firma bzw. die Aufbauorganisation dieser zu kennen. Hier kann keiner sagen ob Site B überhaupt zu 100 % der Zeit abhängig von Site A ist.

Mich überrascht es immer wieder wie oft hier Bastellösungen vorgeschlagen werden. Letztendlich muss das dann immer der TE-supporten. Entlastet Ihn nicht grade so sehr.
 
Meinerseits spricht auch nichts gegen Checkpoint. Vernünftiges Komplettpaket geschnürt.
 
NiclasM schrieb:
Wenn du Feste IP's hast, würde ich ganz einfach die FritzBoxen oder was auch immer als Router lassen.
Dazu dahinter auf den Servern oder wie auch immer ein Debian Server mit OpenVPN.
Die andere Seite als Client und dann das VPN Routen.

Für die Clients bei Domäne einfach ein RRAS mit SSTP VPN und den Port in die DMZ.
Beides basiert auf SSL VPN, und ist entsprechend sicher.
Einstellungen per GPO Ausrollen.

Für die Clients würde auch wenn du eine Interne PKI hast OpenVPN gehen,
denn das kann auch in den Local Cert Store schauen.

Fortigate kenn ich, ist gut. Keine Frage nur bietet keinen Nennenswerten Vorteil meinermeinung nach.
Läuft auch mit SSL VPN. Das Prinzip ist immer das gleiche.


IMHO...
Zum Vergrößern anklicken....

würde ich auch empfehlen
 
Anmelden, um zu antworten.

Ähnliche Themen

M4st3rM
Mehrere FitzBoxen mit öffentlichem Wireguard Server vernetzen
Antworten
5
Aufrufe
547
Luxxiator
L
R
[User-Review] Lesertest zur Synology DiskStation DS224+
Antworten
0
Aufrufe
6K
_roman_
R
Kabs1982
[User-Review] Lesertest mit Synology - Mein Testbericht zur DS224+
Antworten
5
Aufrufe
8K
Man-in-Black
Man-in-Black
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh