Alternativer Router (auch hinter Internet Box) für SSL-VPN sowie Site-to-Site

djt83

Guten Morgen

Ich suche nach einer Lösung womit ich folgendes kann:

- SSL-VPN (fürs Notebook für unterwegs und über Port 443 da 1194 nicht immer geht)

- Site to Site VPN Azure

Hat jemand so etwas im Einsatz und kann mir sagen wie er es gemacht hat?

- Internet Box > IP Weiterleiten auf ein anderes Gerät (falls ja welches?)

- Internet Box ersetzt durch ein anderes Gerät (denke eher schwierig da vieles nicht unterstützt wird Swisscom TV und Phone?), falls ja welches?

Vielen Dank

POGO 1104

Falls du an den 2 Standorten je eine Synology Diskstation im Netz hast, sollte das mit denen VPN-Server möglich sein meint Dr. Googel...

Tux0ne

Naja eine Synology Diskstation ist da sicher nicht die erste und besste Wahl für so ein Vorhaben.

Falls dann ein Synology Router, würde ich aber auch nicht empfehlen.

Eine Mögliche Lösung wäre, gibt ja viele, es mit einem pfsense Router aufzusetzen. Allenfalls opnsense falls genehmer.

Auf der Internet Box aktiviert man dazu ein DMZ Ziel auf den pfsense Router.

TV Boxen und Telefonie kann man auf dem Swisscom Router belassen. Alternativ zügelt man das auch auf die pfsense falls man das will.

Für azure speziell gäbe es sogar die Möglichkeit da eine pfsense Instanz laufen zu lassen. Dann kann man das Side to Side noch spezifischer gestalten.

Als Hardware taugen Motherboards von Supermicro für leistungsstarke Maschinen. Ideen dazu und Hardware direkt von Netgate findest du hier: https://www.netgate.com/products/appliances/

Für kleinere Systeme und Klingeldraht WAN's reichen auch die APU2 aus Glattbrugg: https://www.pcengines.ch/apu2.htm

cslu

In Ergänzung zum bereits Gesagten:

Portweiterleitung (auf der IB) auf einen VPN-Server der auf irgend einem Gerät im lokalen Netz läuft funktioniert prinzipiell.

So in Betrieb gehabt z.B. auf einer Pi (OpenVPN bzw. PiVPN) oder auf einem Netgear-NAS (SoftEther VPN). Dürfte mit irgendwelchen anderen Gerätschaften auf denen sich ein VPN-Server betreiben lässt relativ ähnlich sein.

(Von Port 443 bin ich aber - wenn nicht unbedingt benötigt - bei Swisscom eher abgekommen, weil ich da zumindest mit dem CentroBusiness 2.0 wiederholt inkonsistente Verhaltensweisen bei der Port-Weiterleitung festgestellt habe, die auf anderen Ports nicht aufzutreten scheinen.)

Möglich ist das also durchaus.

Üblicher wäre wohl, den VPN-Server direkt auf dem Router zu betreiben, d.h. hinter der IB einen zusätzlichen Router zu nutzen. Siehe Tux0ne.

Ah und last but not least: Wenn du von VPN Azure schreibst, meinst du nicht tatsächlichVPN Azure (NAT Bypass Funktionalität von SoftEther), sondern etwas im Zusammenhang mit Microsoft Azure, oder?

djt83

Danke euch allen für die wertvollen Beiträge.
Es haben mir alle auf irgend eine Weise geholfen und ich habe verstanden dass ich das mit der Port-Weiterleitung auf ein anderes Gerät (welches VPN kann) oder über die DMZ Funktion machen muss.

Es geht im Microsoft Azure und Test-VMs welche dort sind und ich diese per RDP/SSH erreichen will

Vorhin bei der Suche bin ich noch über Veeam PN gestossen. Dort kann ich lokal und ich Azure eine Appliance deployen und so ein Site-to-Site machen.

Tux0ne

Ja dann kannst du via Azure Marketplace ja pfsense einen Monat gratis testen oder mal via lokaler VM reinschauen. Ist alles straight forward.

pfsense in der Azure selber laufen lohnt sich aber vermutlich erst für eine grössere Firma. Ist ja nicht gratis und in diesem Fall auch nicht unbedingt nötig. Ausser du möchtest verschiedenste Standorte über eine zentrale Cloud FW verbinden.