Site to Site VPN - welche Gegenstelle für USG Pro 4? / 1und1 Router oder Vigor

Es gibt 10 Antworten in diesem Thema, welches 3.090 mal aufgerufen wurde. Der letzte Beitrag () ist von PauloPinto.

    Moin Kollegen,


    nachdem ich vor einiger Zeit das FIrmen- Netzwerk bei meinem besten Kumpel auf Unifi umgestellt habe, steht nun eine Erweiterung in Form einer kleinen Niederlassung an. Dort sollen maximal 3 Mitarbeiter (3 PCs für Office Arbeiten + 3 VOIP Telefone - müssen nur ins Internet kommen) sitzen und mit dem HQ zusammenarbeiten. Deshalb möchte ich den Standort via Site2Site VPN verbinden. In der Niederlassung soll 1und1 100Mbit DSL zum Einsatz kommen, Im HQ steht eine USG Pro 4, direkt am Glasfaser angeschlossen. Die Niederlassung greift auf Serverfreigaben zu um Dokumente auszutauschen oder zu bearbeiten, ebenso legt der Drucker dort Unterlagen ab. Auf das HQ greifen maximal 1-2 Personen sporadisch innerhalb der Wocha via VPN auf das Netzwerk zu.


    Jetzt frage ich mich, wie ich das dort am besten löse und was Eurer Erfahrungen mit "laufen sehr gut zusammen" sind.

    1. Was brauche ich in der NL für Site2Site VPN - reicht eine USG3P mit aktiver Thread Protection aus oder ist die vom Durchsatz viel zu schwach? Oder besser einen UDR nutzen?
    2. Funktioniert das "zur Not" auch hinter einer 1und1 FRITZ!Box sauber? Ist ein 1und1 HomeServer - sollte somit eine 7520 sein. Vigor und UniFi sollen ja gut zusammenarbeiten.
    3. Läuft bei Site2Site dann der gesamte Internetverkehr über den Tunnel? Das würde ich gern vermeiden wollen, allein schon wegen dem VoIP.
    4. Laut Intertnet Video soll ich in der Niederlassung ein anderen IP Bereich nutzen als im HQ, wenn diese via Site2Site verbunden werden sollen. Muss ich auf der HQ USG auch die FW Regeln anpassen, damit das Netz auf Netzlaufwerke kommt? Ich habe im HQ alles mit VLAN realisiert, da einige Netzte nicht auf die Freigaben zugreifen sollen.

    Da es "nur" 3 Leute sind und ein Besuch 1h Fahrzeit bedeutet, würde ich den administrativen Aufwand gern so gering wie möglich halten und vieles Remote erledigen, also bei Störungen z.B. :).


    Danke im Voraus!


    Gruß Paulo

    Einmal editiert, zuletzt von PauloPinto ()

  • Zum Hilfreichsten Beitrag springen

    Es fehlen noch ein paar Daten:


    - Hast Du auf beiden Seiten eine echte IPv4 Adresse oder irgendwo DS-Lite?


    - Was meinst Du mit Serverfreigaben? Netzlaufwerke?

    z.B. V:\PROJEKTE


    Niederlassung 3 Leute, HQ 2 Leute per VPN?




    Also unabhängig von der vorhandenen Hardware empfehle ich in so einem Fall:


    - Sophos Appliance für Hauptstandort z.B. SG105w

    - Sophos RED-w für Filiale


    Hab ich so im Einsatz, rennt seit 4 Jahren ohne zutun, außer Updates.


    Kostet in Summe nicht viel mehr.

    Der Datendurchsatz ggü Fritzbox ist immens höher.

    Es braucht zwar ne Lizenz, aber dafür absolut Wartungsarm.

    Die Lizenz "Network Protection" wird benötigt, bei Verlängerung hat es Anfang des Jahres 250,00.- für 3 Jahre gekostet... :smiling_face_with_sunglasses:



    Also ich würd mir wirklich überlegen, ob ich in diesem Fall nicht auf was "anständiges" * setze. Zumal ich nicht die Hand drauf habe.

    Zuhause ist das alles ok. Aber bei "Kunden", wenn es funktionieren muss...







    * bedeutet nicht, dass UniFi nichts anständiges ist. Alles für seinen Einsatzzweck.

    Site2Site-VPN sehe ich bei anderen besser aufgehoben...

    Mir egal, wer Dein Vater ist! Wenn ich hier angel`, wird nicht übers Wasser gelaufen!!

    Danke 1

    Moin kleinp und Danke für Deine Gedanken dazu.


    Zitat von kleinp

    Es fehlen noch ein paar Daten:


    - Hast Du auf beiden Seiten eine echte IPv4 Adresse oder irgendwo DS-Lite?

    Im HQ ist eine 300Mbit Glasfaser Leitung, in der neuen Niederlassung eine 100Mbit DSL Leitung von 1&1


    Zitat von kleinp

    - Was meinst Du mit Serverfreigaben? Netzlaufwerke?

    z.B. V:\PROJEKTE

    genau, die "normalen" Netzlaufwerke, auf die Zugegriffen werden muss


    Zitat von kleinp

    Niederlassung 3 Leute, HQ 2 Leute per VPN?

    Im HQ sitzen ~15 Menschen an Rechnern + 2-3 Leute die auch bei Kunden unterwegs sind und sich hin und wieder mal via VPN einwählen müssen. In der Niederlassung sitzen "nur" 3 Leute die nur von dort aus aufs Netz Zugriff benötigen.


    Die Sophos hatte ich auch schon im Auge und wurde mir von einem Bekannten empfohlen. Selbst habe ich noch nie mit einer gearbeitet. Ich müsste dann im HQ wahrscheinlich auch das ein oder andere Umstricken, was die VLANs angeht, oder?


    Wie wäre das denn dann mit der "Verkabelung" in der Niederlassung? DSL Anschluss --> Fritzbox --> Sophos --> LAN? Ich würde vor Ort auch gern Unifi AP und Switch einsetzen und den über den gleichen Key verwalten wollen wie im HQ, ginge das oder müsste dann noch was "dazwischen" ?

    Zitat von PauloPinto

    Die Sophos hatte ich auch schon im Auge und wurde mir von einem Bekannten empfohlen. Selbst habe ich noch nie mit einer gearbeitet. Ich müsste dann im HQ wahrscheinlich auch das ein oder andere Umstricken, was die VLANs angeht, oder?

    Nein eigentlich nicht, die Sophos ist Vlan-fähig und die Einrichtung innerhalb der Sophos (übrigens XG und nicht UTM) fast selbsterklärend (über sogenannte Zonen mit zugeordenten Netzen) und Du musst dieser daher lediglich in das bestehende Vlan eingliedern (selbstverständlich händisch und nicht per Controller).


    An sonst ist es richtig, dass die Netze auf beiden Seiten des (IPsec)VPNs unterschiedlich sein müssen. Bei der Sophos ist es dann aber recht einfach, auch mehrere Netze miteinander zu verbinden, z.B. Standort A Zone LAN (192.168.0.0) mit Standort B Zonen LAN (192.168.1.0), DMZ (192.168.10.0) und Vlan (192.168.20.0). Um das enstprechende Routing kümmert sich die Sophos dann von allein und die Netze sind quasi wie mit einer Standleitung miteinander verbunden. Arbeiten lässt es sich dann mit so, als befänden sich die verschiedenen Standort in einer einzigen Räumlichkeit mit einem einzigen LAN. So erscheinen z.B. Laufwerks- und andere Freigaben am entfernten Standort so, als wären diese im eigenen Netz:


    - die Laufwerke G, O, P, und Q befinden sich hier physikalisch ca. 30km entfernt :smiling_face: Mit der entsprechenden VPN-Bandbreite ist damit eine einwandfreies Arbeiten in den entferneten Netzen möglich und dies nicht nur per Remote-Desktop. Daher sollte auch der Controller über VPN funktionieren, zumindest dann, wenn man die über das VPN zu übertragenden Protokolle nicht eingeschränkt hat.


    Übrigens würde ich empfehlen, durchaus auf Sophos-Appliancen zu setzen, aber ein, zwei Nummern größer, als die empfohlene SG 105w (das "w" steht übrigens für Wlan). Ich benutze die SG 135 (ob SG oder XG ist egal, die Hardware ist nahezu identisch, erst die neuen XGS sind leistungsfähiger) und erreiche damit einen VPN-Durchsatz von 450 Mbits/s und dies mit der sogenannten, kostenlosen "Home"-Version von Sophos (bei Bedarf kann ich gern etwas mehr zur Home-Version mitteilen) :



    Insoweit muss ich kleinp Recht geben, in einer produktiven Umgebung, gehört wirklich etwas professionelles an die Netzwerkkante und dazu gehört nun einmal die Sophos, eine USG zumindest n.m.E. eher nicht.


    Etwas nervig könnte es allerdings werden, die Sophos hinter einer Fritte zu betreiben. Hier sollten dann in der Fritte PPPoE-Passtrought oder passende Portweiterleitungen eingerichtet bzw. dieses Teil in den Bridgemodus versetzt werden. Besser wäre natürlich gleich ein geeignets Modem und dann der Sophos die Einwahl aufzuerlegen.

    Ihr habt mich überzeugt :winking_face_with_tongue:


    Habe beim besagten Bekannten um ein Angebot für die Sophos Lösung gebeten. Da ich das in der Kürz der Zeit bis zur Eröffnung der Niederlassung nicht umgesetzt bekomme, werde ich das erst mal via VPN Clients auf den drei Rechner zum HQ umsetzen - qausi als Übergang. Und wenn die Chefs die Kohle ausgeben wollen/können HQ und NL auf Sophos umbauen. Die Fritte kommt dann weg und wird durch ein Vigor167 ersetzt. Aufgrund der fehlenden Erfahrung, möchte ich hier keinen Schnellschuss wagen und ggf. die FIrma lahm legen.


    Könnte ich nicht die Unifi Hardware wie Switch und AP im HQ an den Key "anlernen" und konfigurieren und dann in der NL wieder aufbauen, auch ohne Site2Site? Oder brauche ich bis zur Site2Site einen eigenen Key vor Ort in der NL?

    Ich würde im HQ Key ein separates Netz anlegen und die Fritzbox entsprechend auf das Netz einstellen, damit via DHCP passende IPs an die Clients und den Switch vergeben wird. Den AP würde ich ebenfalls so konfigurieren, dass er nur ein Gäste WLAN anbietet, da alle Mitarbeiter in der NL an festen PC arbeiten. Mal sehen ob das klappt.


    Zur Not wird alles via APP über den PC vor Ort konfiguriert und wenn Site2Site steht, einmal mit dem Key im HQ verknüpft und konfiguriert.

    Moin zusammen,


    muss das Thema noch einmal aufgreifen. Die Sophos Lösung würde - von einer Firma angeboten - knapp 5k kosten. Das ist aktuell nicht im Budget und für 3 Clients auch ganz schön heftig. Kenne mich slebst mit Sophos und deren Management nicht aus um das bis ins Detail zu bewerten.


    Derzeit wählen sich die Clients bei Bedarf manuell via VPN Client unter Windows ein (sind 3 User). Ich würde das Thema "Site 2 Site" aber für den Support Zweck (AD Erreichbar etc) gern einrichten und auch mal testen wie stabil das ist.


    Kurze Frage zum Verhalten einer Site2Site VPN Verbindung. Wenn UDR und das USG3P miteinander verbunden sind, läuft dann vom UDR nur der Verkehr im Netzt der USG3P über VPN und anders herum? Oder ist die USG3P der Chef und sämtlicher Verkehr der UDR - also auch VOIP, Internet etc.läuft immer über den VPN und dann über die USG3P?

    • Hilfreich

    Hallo PauloPinto ,


    im Standard geht bei UniFi nur der Verkehr durchs VPN, der auch da durch muss - also nur die direkte Kommunikation zwischen den beteiligten "Parteien". Man kann das - wenigstens am USG* - so konfigurieren, dass der gesamte Verkehr durchs VPN geht. Das ist meiner Meinung nach aber nicht mehr für jeden Fall nötig, denn welchen Vorteil hat es z.B. wenn ein Zoom-Call ständig durchs VPN muss oder warum sollten die Windows-Updates so bereitgestellt werden müssen? Selbst wir (in einem Sicherheitsunternehmen) holen uns die Updates direkt von Microsoft und nicht mehr vom eigenen / on-premise WSUS-Server - freigegeben heißt freigegeben. Das spart mächtig Bandbreite, auch wenn wir gerade erst auf 2*10GBit/s umgestellt haben. Klar, wenn Du im HQ einen DNS-Server betreibst, der auch auf der Site verwendet werden muss / soll, dann gehen diese DNS-Anfragen (wenige kB) durchs VPN, aber der Seitenaufruf und die Kommunikation selbst daran vorbei.

    Das Sophos Angebot poste mal hier, das würde mich ja mal interessieren was da 5k kosten soll. Wir arbeiten auch nur mit Sophos bei unseren Kunden und solche Summen kommen höchsten bei den großen Firmen mit mehreren 100 Mitarbeitern zusammen.

    Gefällt mir 1

    Hi,


    razor das klingt super! Genauso würde ich es gern haben. Nur was z.B. DNS, AD ist läuft über den VPN, alles andere wie VOIP geht über die UDR vor Ort ins Internet. Und auch die MS Updates werden direkt aus dem Internet abgeholt. So hätte ich für den Support ein Ass mehr im Ärmel. Ich würde mir dann auch mal das Thema Stabilität und Durchsatz anschauen.


    jkasten

    kann das Angebot gern mal raussuchen und hier reinstellen.


    Morgen werde ich aber erst einmal schauen, warum ich - wie sonst immer - keine Mail bekommen habe, nachdem Ihr geantwortet habt. :winking_face: