Hallo Gianni
Vielen Dank, das hilft mir schon mal weiter.
Gibt es noch andere Hardware die gut funktioniert?
Eigentlich hätte ich zwei Qnap Server und Raspberry an jedem Standort, aber ich habe gehört, dass dies nicht wirklich empfehlenswert ist?
Also ich selber hab schon Hardware von Cisco, D-Link etc. versucht. Punkte stabilität hat Cisco natürlich ganz klar die Nase vorn. Wenn man aber den Preis und den Konfig aufwand anschaut, dann fährt man mit ZyXEL aus meiner persönlichen Sicht am besten.
Ok, ich habe schon einen Cisco Switch in einem Rack. Ich habe nach einer Cisco Firewall gesucht (die haben ja auch VPN-Funktion?) Habe jedoch nur sehr teure Produkte (10′000 und mehr) gefunden. Gibt es da auch etwas zahlbares?
Klar… man bekommt billige Cisco Geräte schon ab Fr. 119.00… kommt halt immer darauf an, welchen VPN Durchsatz Du erreichen willst.
Ok. Ich habe mir mir den ZyXEL USG-50 mal näher angeschaut. Klingt ganz gut. Gibt es etwas vergleichbares von Cisco? (Einfach eine Firewall mit VPN) Router benötige ich nicht, da ich einen Cisco Switch habe.
Ja, das wäre die Cisco ASA5506 wobei die USG 60 (nachfolger der USG 50) definitiv zum Teil die besseren Werte im Durchsatz erreicht… ipsecVPN Cisco 100MB / USG 60 180MB - FW Durchsatz Cisco: 750MB / USG 60: 1000 MB….
Dafür dass die Cisco Fr. 100 teurer ist als die USG 60 ist die Wahl eigentlich klar 
Danke GianniBern
Ja da wäre der Fall klar. Und was hälst du von der Netgear UTM9S, oder kennst du sonst ein Gerät das ich noch genauer anschauen soll? (Budget: +/- 800.-)
Noch eine Frage: Ich nehme an dass bei den günstigeren Cisco Geräten der Durchsatz noch kleiner ist als beim ASA5506?
Nun mit Netgear hab ich bis jetzt nicht so tolle erfahrungen gemacht. Vor allem was das Bugfixing der Firmware anbelangt… das Gerät selber sieht nicht schlecht aus… aber eben aus der Erfahrung würde ich eher davon abraten!
Was ich auch noch sehr empfehlen kann (vor allem wenns auf die Geschwindigkeit ankommt) ist die Fortigate 60D… die bringt auf dem VPN eine sehr guten Durcksatz… Kostenmässig bewegt Sie sich in Deinem Budget.. erfordert aber für die Konfiguration etwas mehr erfahrung als eine USG 50.
Yep, das mit den Cisco Geräten ist so.. je billiger, desto geringer der Durcksatz auf dem VPN.
Ok, und ist das richtig, dass bsp beim ZyXEL USG60 die UTM Funktion jedes Jahr mindestens chf 170 kostet? Und wenn ich die Lizenz nicht jedes Jahr löse keine UTM-Funktion habe?
Ja das ist korrekt… wobei du vermutlich schon Antispam Lösungen, Virenschutz etc. im Einsatz hast… da stellt sich bei mir immer wieder die Frage… muss das auf der FW auch noch sein?
Ich arbeite bei meinen Kunden seit Jahren mit USG UTM Geräten ohne die UTM Funktionen… bis jetzt war noch NIE ein Kunde von Viren befallen oder hat mit SPAM zu kämfen…
Aber das muss jeder für sich entscheiden ob Ihm diese Funktionen das Geld Wert ist.
Hallo
Ich möchte gerne nochmals auf die ursprünglicher Frage “Ist es möglich zwei Internet-Boxen (1x Haus A, 1x Haus B) direkt via VPN zu verbinden?” zurückkommen.
Ich habe zur Zeit auch eine VPN-Verbindung zwischen zwei Standorten mit Zyxel USG50 und USG20 geschaltet. Das läuft wunderbar, allerdings habe ich keine InternetBoxen als VDSL-Terminierung sondern die “alten” VDSL-Router bzw. Centro Piccolo.
Soweit mir bekannt ist, braucht man für das VPN aber die Funktioen der IP-Weiterleitung (IP-Forward). Mit dieser Funktion wird die externe, öffentlich IP-Adresse vom Modem an das Zyxel USG weitergereicht. Diese Funktion gibt es aber, soweit mir bekannt ist, auf der neuen InternetBox nicht, daher frage ich mich wie Ihr das zum Laufen gebracht habt ohne diese Funktion?
NB: Auch ich habe keine Lizenzen für die UTM-Funktionen, AV läuft eh auf allen Clients, im privaten Umfeld ist der AntiSpam und Contentfilter eher nicht notwendg, wenn dann höchstens IDP.
Grüsse
Servus
Das ist so nicht ganz korrekt… früher war das so, dass man ZWINGEND die öffentliche IP Adresse auf der USG haben musste.
Seite der Firmware Version 3.x ist das nicht mehr so, da braucht es auch keine Policy Routes mehr…
OK, wenn Du unbedingt willst, kann man auf der IB die USG als DMZ Host definieren.. aber das ist nicht zwingend notwendig.
Bei mir funktioniert diese Konstellation seit über 8 Monaten ohne Probleme…
Hallo Gianni
Danke für die rasche Antwort. Ich habe natürlich die aktuelle FW 3.30 (7) drauf. Da wird beim WAN-Interface die externe IP angezeigt (logsich, weil ich sie ja weiterleite). Du bist ganz sicher, dass das nicht mehr notwendig ist? Hatte früher schon mit einem CentroGrande, welche diese Funktion auch nicht konnte, Probleme. Daher möcht ich sicher sein, bevor ich was neues bestelle.
Das mit der DMZ wird kaum helfen, da hier, soweit mir bekannt ist, ja nur Ports (nicht mal alle) an eine bestimmte intere IP-Adresse weitergeleitet werden können, jedoch nicht die exteren IP-Adresse.
Grüsse
Neandertaler
Willst Du den auf beiden Seiten die IB einsetzen? Oder nur auf einer? Wie ist das geplante Ziel Design?
Ich habe noch eine Frage:
Welchen Datendurchsatz braucht man für normale Anwendungen via VPN? Bzw. welchen sollte man mindestens nehmen?
Was sind normale Anwendungen?
Als Beispiel:
Für ein VoIP-Gespräch brauchst Du 100 kbps, für ein HD-TV-Stream 10 Mbps.
Und bei einem Download/Upload eines Files kommt es darauf an, wie lange Du warten willst.
Ok. Danke für die schnelle Antwort.
Ich überlege mir nur gerade, ob ein Zyxel USG20 (http://www.zyxel.ch/de/products/zyxel-zywall-usg-20/)) für VPN-Privatanwendungen im Moment noch Zeitgerecht ist, oder ob dieser schon ziemlich bald veraltet ist? Internetleitungen werden immer schneller und ich möchte nicht, dass der USG20 schon bald das Nadelöhr ist.
Ich benötige ihn für Datensicherungen von grösseren Dateien. Bsp. NAS zu NAS.
@GianniBern schrieb:
Willst Du den auf beiden Seiten die IB einsetzen? Oder nur auf einer? Wie ist das geplante Ziel Design?
Hallo GianniBern
Danke für Deine Antwort.
Ziel Design:
Ablösung von ISDN-Telefonie (Zuhause) bzw. AnalogTelefonie (Ferienwohnung) durch VoIP mit Swiscom InternetBoxen an beiden Standorten, da ich gerne die Funktioen von HD-Telefone wie zb. Typ “Arosa” hätte. Das benötigt, so wie ich verstenden habe, die InternetBox als DECT Basistatioen.
Am Standort “Ferienwohnung” sollte auch Swisscom TV weiterhin funktionieren.
Die bestehende Site-to-Site VPN (IPsec) über Zyxel USG-50 bzw. USG-20 sollte aber weiterhin möglich sein. Auch temporöre VPN mit L2TP oder SSL welche auf den Zyxel USG terminieren,sollten funktioneren.
ZurZeit läuft das problemlos über Swisscom ISDN VDSL-Router (Motorola7347-84) und CentroPiccolo(Motorola 7640-47) mit jeweils miteingeschalteter IP-Weiterleitung (IP Passthroug / 1:1 NAT). Meine Sorge bzw. Frage ist nun ob ich das auch mit den InternetBoxen wieder zum Laufen bringen kann, oder och ich bei den “alten” Swisscom “Modems” bleiben muss?
Grüsse
Neandertaler
Die Internet-Box hat kein Bridge-/IP passtrough Modus. Somit wird Deine Schaltung nicht funktionieren.
So oder so könnte die Sache in einem Punkt heikel werden: Wenn Diu über diese Verbindung gleichzeitig zu den grossen Filetransfers auch noch TV-schauen und Telefonieren möchtest könnte es da wegen fehlendem QoS zu Qualitätseinbussen kommen.
Danke,
Ich will nicht über die VPN Verbindung telefonieren, somit dürfte die Performance und QoS kein Thema sein.
Ich möchte nur wissen ob der VPN-Tunnel aufgebaut und gehalten werden kann, oder nicht. Bis jetzt habe ich dazu unterschiedliche Antworten erhalten. Die einen schreiben, dass es bei ihnen läuft und andere (wie du) sagen nun, dass es eben nicht läuft. Was soll ich nun glauben? Es muss doch eine eindeutige Antwort geben.