Ersteinrichtung: VPN zwischen drei Standorten

Computer: Hardware Netzwerk
#1

Liebe/-r Experte/-in,

ein gemeinnütziger Verein plant die Einrichtung eines VPN zwischen einer Hauptstelle(Lüneburg; 20 Nutzer) und zwei Nebenstellen(Aurich, Hildesheim; je 2 Nutzer).
Keiner der Standorte verfügt derzeit über eine statische IP-Adresse, da alle über einen DSL-Anschluss ohne business-Merkmale angebunden sind.
Ziel soll es sein, dass die Außenstellen einen Server-Dienst (Zeiterfassung) in Lüneburg nutzen können. Von Lüneburg aus muss ergo kein Zugriff aus das LAN in den Außenstellen möglich sein.
Gerne würde ich von Ihnen erfahren, welche Lösung für dieses Szenario die sinnigste und zugleich kosten-effizienteste wäre.
Würde ein VPN-Router mit bestimmten Merkmalen am Standort Lüneburg genügen? Könnten die Windows-Clients in den Außenstellen mit einem VPN-Client eine Verbindung zum VPN-Router in Lüneburg herstellen obwohl sie über den besagten DSL-Anschluss ins Internet gehen und zwei Clients somit die gleiche öffentliche IP hätten?
Was wäre die geschickteste Lösung um dem VPN-Router in Lüneburg eine statische IP bzw. einen gültigen Hostnamen zu verpassen - ein DNS-Service à la „Dyn“?
Bereits im voraus tausend Dank für Ihre Mühe und fühlen Sie sich frei sich kurz zu fassen (im Gegensatz zu meiner langen Fragestellug)…

Mit freundlichem Gruß,

Sascha Kobus

#2

Hallo Sascha,

Sie können natürlich mit mehreren Clients durch einen Router eine VPN zur Firmenzentrale aufbauen. Sie können ja auch mit mehrern Rechnern aus einem Netzwerk auf google zugreifen. Dafür sorgt NAT bzw. P-NAT in Ihrem Router.
Jeder Hersteller bietet heute VPN-Router an. Dafür sind keine extra Geräte notwendig.
Üblicherweise bietet heute jeder DSL-Router diese Funktion. Sie unterscheiden sich eher in der Art der VPN Verbindung also, PPTP, IPSec etc. und Anzahl der möglichen gleichzeitigen Verbindungen. Es bestünde auch die Möglichkeit eine Site-to-Site Verbindung aufzubauen, also zwischen 2 Routern, nicht End-to-Site (Client zu Router).

Unsere Kunden nutzen wahlweise, Geräte von AVM oder Watchguard und anderen namenhaften Herstellern.

Grundsätzlich rate ich von PPTP ab, da diese Art der verschlüsselten Übertragung als nicht mehr sicher gilt.
Siehe: http://heise.de/-1701365

Ich empfehle Ihnen diesen kurzen Artikel, um sich grundsätzlich mit der Thematik VPN auseinander zu setzen:
http://www.elektronik-kompendium.de/sites/net/051204…

Für einen dauerhaften DNS-Namen benötigen Sie tatsächlich einen Service wie DynDNS oder no-ip.com.
Weitere kostenlose Alternativen zu DynDNS.com gibts auch in diesem Beitrag:
http://www.pcwelt.de/ratgeber/DynDNS-Alternativen-ko…

Viele Grüße
Dirk

#3

Der Möglichkeiten gibt es viele, und das macht’s nicht leichter. Wenn man Standorte miteinander verknüpft, macht man das i.d.R. über IPSec VPNs und entspr. VPN-Router (am besten gleicher Hersteller).

Bei der Größe hier, und dem einseitigen Verkehrsbedarf, würde es auch eine Punkt-zu-Punkt-Verbindung tun, sprich jeder User hat sein eigenes VPN.

Der Haken bei allen Zugängen: Man braucht einen festen Namen (und sowas wie DynDNS, das aber nicht mehr kostenlos ist), oder eine feste IP-Adresse, für den zentralen Zugang.

Ziemlich einfach einzurichten ist natürlich ein Windows-PPTP-Login, aber dazu braucht man einen Windows Server. Ich nehme mal an, dass es einen halbwegs modernen (W2003 oder neuer) in Lüneburg gibt. Dann muss man lediglich den Routing and RAS-Dienst für die Einwahl konfigurieren, und Benutzern Einwahlrechte geben. Der Router braucht dann noch die Port-Forward-Definitionen für PPTP (Port 1721 und Protokoll 47 = GRE) zum Server. PPTP/GRE ist aber hakelig, wenn (öffentliche) Quell- und Ziel-Adresse gleich sind; d.h. für den Zwei-Benutzer-pro-Standord-Betrieb möglicherweise nicht geeignet.

Als weitere kostenlose Variante kommt ein OpenVPN in Frage. Das muss aber erst mal serverseitig eingerichtet werden - am besten auf dem Hauptrechner. Außerdem braucht man noch einen entsprechend konfigurierten Client auf jedem Aussenstellen-Rechner (oder einen Router, der OpenVPN kann). OpenVPN ist zwar nicht schwer einzurichten, aber auch nicht gerade problemlos. Dafür ist es sicher und zuverlässig.

Reicht das als Optionen?

Gruß
Clemens Hoffmann

#4

Sehr geehrter Herr Hoffmann,

vielen Dank zunächst für Ihre ausführliche Antwort!
Da ich davon ausgehe, dass eine PPTP-Verbindung nicht in Frage kommt, dürfte die OpenVPN-Lösung das Mittel der Wahl sein, um die Standorte zu verbinden.
Um Ihre Frage zu beantworten: Ja, das genügt an Optionen! :smile:

Viele Grüße,

Sascha Kobus

#5

Router einsetzen (z.B. Fritzbox), die sowohl IPsec (VPN), als auch dynamischen DNS (z.B. dynDNS, No-ip etc.) unterstützen!