Zwei InternetBoxen mit VPN miteinander verbinden
Hallo zusammen
Ist es möglich zwei Internet-Boxen (1x Haus A, 1x Haus B) direkt via VPN zu verbinden? (Also ohne Zusatzhardware/Zusatzsoftware)
Glaube weniger. Du du “Client” und “Server” brauchst.
Aber probier doch mal folgendes.
Du hast zwei Internet-Boxen und konfigurierst dort das VPN.
Ansonsten gibt es IPfire, das soetwas für kleines Geld kann.
Evtl. auch DD-WRT.
Mit einer zusätzlichen Hardware sollte es aber dann funktionieren.
Die Internet-Box müsste ja auch einen VPN-Client haben, damit das funktioniert, oder?
Mit welcher Hardware könnte ich denn ein VPN-Tunnel direkt machen?
VPN Smartphone zur Internetbox funktioniert einwandfrei.
Du brauchst immer auf der einen Seite/Standort einen VPN-Server (entweder der in der IB oder einem Microsoft- oder Linux-Server) und auf der andern Seite/Standort einen VPN-Client (Smartphone, Tablet, PC,…). Eine Kopplung VPN-Client <–> VPN-Client oder VPN-Server <–> VPN-Server ist nicht möglich und auch nicht nötig.
Ich verbinde mich so z.B. von auswärts mit dem iPhone oder einem Laptop mit dem Heimnetz oder auch dem Firmennetz. Der Tunnel wird zwischen dem VPN-Server und dem VPN-Client aufgebaut.
Ok und wie mache ich einen VPN Tunnel zwischen zwei Netzwerken ohne PC,Tablet, etc. also nur mit Router?
Hi
Also ich habe auf beiden Seiten je eine ZyWall USG 50 im Einsatz. Mit diesen mache ich ein Site-To-Site VPN. Das funktioniert sehr gut!
Die Beiden Netze sind so untereinander erreichbar. Es gibt aber dabei einige Stolpersteine zu beachten… bei ZyXEL findest Du dazu ein gutes Dokument wie eine Site-To-Site VPN Verbindung aufzubauen ist.
Gruess
Gianni
Hallo Gianni
Vielen Dank, das hilft mir schon mal weiter.
Gibt es noch andere Hardware die gut funktioniert?
Eigentlich hätte ich zwei Qnap Server und Raspberry an jedem Standort, aber ich habe gehört, dass dies nicht wirklich empfehlenswert ist?
Also ich selber hab schon Hardware von Cisco, D-Link etc. versucht. Punkte stabilität hat Cisco natürlich ganz klar die Nase vorn. Wenn man aber den Preis und den Konfig aufwand anschaut, dann fährt man mit ZyXEL aus meiner persönlichen Sicht am besten.
Ok, ich habe schon einen Cisco Switch in einem Rack. Ich habe nach einer Cisco Firewall gesucht (die haben ja auch VPN-Funktion?) Habe jedoch nur sehr teure Produkte (10′000 und mehr) gefunden. Gibt es da auch etwas zahlbares?
Klar… man bekommt billige Cisco Geräte schon ab Fr. 119.00… kommt halt immer darauf an, welchen VPN Durchsatz Du erreichen willst.
Ok. Ich habe mir mir den ZyXEL USG-50 mal näher angeschaut. Klingt ganz gut. Gibt es etwas vergleichbares von Cisco? (Einfach eine Firewall mit VPN) Router benötige ich nicht, da ich einen Cisco Switch habe.
Ja, das wäre die Cisco ASA5506 wobei die USG 60 (nachfolger der USG 50) definitiv zum Teil die besseren Werte im Durchsatz erreicht… ipsecVPN Cisco 100MB / USG 60 180MB - FW Durchsatz Cisco: 750MB / USG 60: 1000 MB….
Dafür dass die Cisco Fr. 100 teurer ist als die USG 60 ist die Wahl eigentlich klar 
Danke GianniBern
Ja da wäre der Fall klar. Und was hälst du von der Netgear UTM9S, oder kennst du sonst ein Gerät das ich noch genauer anschauen soll? (Budget: +/- 800.-)
Noch eine Frage: Ich nehme an dass bei den günstigeren Cisco Geräten der Durchsatz noch kleiner ist als beim ASA5506?
Nun mit Netgear hab ich bis jetzt nicht so tolle erfahrungen gemacht. Vor allem was das Bugfixing der Firmware anbelangt… das Gerät selber sieht nicht schlecht aus… aber eben aus der Erfahrung würde ich eher davon abraten!
Was ich auch noch sehr empfehlen kann (vor allem wenns auf die Geschwindigkeit ankommt) ist die Fortigate 60D… die bringt auf dem VPN eine sehr guten Durcksatz… Kostenmässig bewegt Sie sich in Deinem Budget.. erfordert aber für die Konfiguration etwas mehr erfahrung als eine USG 50.
Yep, das mit den Cisco Geräten ist so.. je billiger, desto geringer der Durcksatz auf dem VPN.
Ok, und ist das richtig, dass bsp beim ZyXEL USG60 die UTM Funktion jedes Jahr mindestens chf 170 kostet? Und wenn ich die Lizenz nicht jedes Jahr löse keine UTM-Funktion habe?
Ja das ist korrekt… wobei du vermutlich schon Antispam Lösungen, Virenschutz etc. im Einsatz hast… da stellt sich bei mir immer wieder die Frage… muss das auf der FW auch noch sein?
Ich arbeite bei meinen Kunden seit Jahren mit USG UTM Geräten ohne die UTM Funktionen… bis jetzt war noch NIE ein Kunde von Viren befallen oder hat mit SPAM zu kämfen…
Aber das muss jeder für sich entscheiden ob Ihm diese Funktionen das Geld Wert ist.
Hallo
Ich möchte gerne nochmals auf die ursprünglicher Frage “Ist es möglich zwei Internet-Boxen (1x Haus A, 1x Haus B) direkt via VPN zu verbinden?” zurückkommen.
Ich habe zur Zeit auch eine VPN-Verbindung zwischen zwei Standorten mit Zyxel USG50 und USG20 geschaltet. Das läuft wunderbar, allerdings habe ich keine InternetBoxen als VDSL-Terminierung sondern die “alten” VDSL-Router bzw. Centro Piccolo.
Soweit mir bekannt ist, braucht man für das VPN aber die Funktioen der IP-Weiterleitung (IP-Forward). Mit dieser Funktion wird die externe, öffentlich IP-Adresse vom Modem an das Zyxel USG weitergereicht. Diese Funktion gibt es aber, soweit mir bekannt ist, auf der neuen InternetBox nicht, daher frage ich mich wie Ihr das zum Laufen gebracht habt ohne diese Funktion?
NB: Auch ich habe keine Lizenzen für die UTM-Funktionen, AV läuft eh auf allen Clients, im privaten Umfeld ist der AntiSpam und Contentfilter eher nicht notwendg, wenn dann höchstens IDP.
Grüsse
Servus
Das ist so nicht ganz korrekt… früher war das so, dass man ZWINGEND die öffentliche IP Adresse auf der USG haben musste.
Seite der Firmware Version 3.x ist das nicht mehr so, da braucht es auch keine Policy Routes mehr…
OK, wenn Du unbedingt willst, kann man auf der IB die USG als DMZ Host definieren.. aber das ist nicht zwingend notwendig.
Bei mir funktioniert diese Konstellation seit über 8 Monaten ohne Probleme…
Hallo Gianni
Danke für die rasche Antwort. Ich habe natürlich die aktuelle FW 3.30 (7) drauf. Da wird beim WAN-Interface die externe IP angezeigt (logsich, weil ich sie ja weiterleite). Du bist ganz sicher, dass das nicht mehr notwendig ist? Hatte früher schon mit einem CentroGrande, welche diese Funktion auch nicht konnte, Probleme. Daher möcht ich sicher sein, bevor ich was neues bestelle.
Das mit der DMZ wird kaum helfen, da hier, soweit mir bekannt ist, ja nur Ports (nicht mal alle) an eine bestimmte intere IP-Adresse weitergeleitet werden können, jedoch nicht die exteren IP-Adresse.
Grüsse
Neandertaler
Willst Du den auf beiden Seiten die IB einsetzen? Oder nur auf einer? Wie ist das geplante Ziel Design?