Permanenten VPN Tunnel zwischen 2 Standorte

[Nomad]

Das zieht ja einen weiten Bogen...

Meine Skepsis beruhte auf meine Erfahrungen mit der Stabilität der VPN Verbindungen.

Ich habe diverse Fritzbox VPNs die sehr stabil laufen wenn auch langsam. Dann eine weitere mit OpenVPN das ebenfalls durchläuft.

Davon abgesehen erlebe ich OpenVPN nicht als sonderlich stabil. DS OpenVPN Client ist so ein Fall. Oft genug baut sie eine Verbindung bei Unterbrechungen nicht wieder auf. Da würde ich nicht auf diese Verbindung angewiesen sein wollen. Dann kommt noch die Unwägbarkeit der Internetverbindung hinzu. Folgen wären so oder so dieselben: Die ersten Mitarbeiter schalten morgens ihre Rechner ein und können sich nicht einloggen.

Mir persönlich wäre das zu stressig. Der gesamte Betrieb ruht bis eine Internet- und VPN-Verbindung da ist...

 

[voodoo]

Was ist mit den Cached Credentials? Auch ohne VPN und Internet sollte der User sich doch anmelden können,... zumindest mit seinem zuletzt genutzten Account. Was muss gemacht werden, dass die Syno die Verbindung dann wieder herstellt?

 

[blurrrr]

@Nomad: Deswegen ja auch redundante Internetverbindungen, bzw. z.B. LTE als Fallback (können die Fritzboxen ja z.B. auch via LTE-Stick)
@voodoo: Cluster läuft mit identischer Hardware. So teuer ist Deine vorhandene RS ja nicht, dafür ist für Ausfallsicherheit gesorgt. Ein neues Gerät zu besorgen dauert min. 1 Tag (via Amazon), via SRS dauert es noch länger. Muss man sich also schon sehr gut überlegen Das mit den cached Credentials kannst Du z.B. hier nachlesen. Typischerweise wird sowas eigentlich immer auf 1 gesetzt (bei 1 User pro Gerät). Ich sag ja, das ist alles schon eine sehr umfangreiche Thematik...

 

[voodoo]

Ich kenne Cached Credentials. Ich bezog mich auf die Aussage von Nomad, der meinte: "Der gesamte Betrieb ruht bis eine Internet- und VPN-Verbindung da ist... ". Die Anmeldung kann ja nicht Schuld daran sein, weil es ja eigentlich auch ohne Internet für einige Zeit laufen sollte.

Und meine Frage: "Was muss gemacht werden, dass die Syno die Verbindung dann wieder herstellt? " bezog sich auf die Syno VPN Verbindung, die nach einem Abbruch wohl nicht automatisch wieder hergestellt wird.

 

[blurrrr]

Oh achso, sorry. Warum sollte eine VPN-Verbindung nicht wieder automatisch hergestellt werden? Hier laufen auch div. VPNs (über eine Sophos) völlig problemlos und stabil (teilweise mit Fritzboxen am anderen Ende), alles gar kein Problem. Wichtig wäre diesbezüglich eben, dass der Parameter "keepalive" gesetzt ist. Für den "Fall der Fälle" kann man ja noch mit ping-Scripten o.ä. arbeiten

 

[NSFH]

VPN mittels Syno ist sowieso keine gute Idee! Wenn VPN dann realisisiert man das über die Router!
Wozu die Syno taugt ist Radius, das läuft mit einem passendem Router stabil.

 

[Nomad]

Weiss nicht.

Mit Multi-WAN bekommt man weitere Komplexität in das System. Ich habe einige Male damit herumgespielt wenn wir den Provider wechselten aber sobald die neue Verbindung sich als stabil genug erwies habe ich das Netzwerk doch sehr gerne wieder vereinfacht.

Um es kurz zu machen, ich würde anstreben den Single Point of Failure zu eliminieren und nicht auf einen unvermeidbaren noch eine weitere aufzusetzen. Andererseits sah ich unzählige fertige Rezepte wie man mehrere Standorte via AD über nicht perfekte Leitung zusammenhält.

 

[blurrrr]

Naja, es geht ja eher um Ausfälle bei Multi-WAN (kann man aber natürlich auch anders handhaben)... SPOF-Minimierung -> Cluster (Firewalls und Server). VPN sollte eigentlich immer über eigene Geräte laufen oder eben direkt über den Router. Prinzip ist einfach: Fällt die Syno aus, geht quasi nix mehr (auch kein remote-arbeiten!). Fällt der Router aus, geht sowieso nichts mehr, da dann auch kein Internet vorhanden ist (und sich das VPN-Thema sowieso erledigt hat). Der Unterschied zwischen Syno und Router ist allerdings (im Falle einer Fritzbox)... sowas kauft man "mal eben" im Mediamarkt und spielt die Config drauf (Aufwand vermutlich um 1 Stunde). Muss man erst eine RS bestellen dauert das schon mal mindestens einen Tag. Ich sag ja, es kommt darauf an, wie das Budget aussieht... Bei einem Haufen Macbooks scheint das Budget allerdings da zu sein, weswegen mir sich da auch nicht ganz erschliesst, warum man da an einer "kleinen" zusätzlichen RS für einen Cluster spart, um zu gewährleisten, dass die Leute arbeitsfähig bleiben bei einem Geräteausfall... Wenn ich mal ganz stupide pro Mitarbeiter 3000€ (inkl. Personalnebenkosten und allem, was ein "ziemlich" schmales Gehalt wäre) ansetze, das mal 25 Mitarbeiter rechne und durch 30 Tage teile, kosten die Mitarbeiter pro Tag 2500€. Da finde ich schon, dass ein RS-Cluster eine Überlegung wert wäre, denn die kostet inkl. HDDs weniger als Dich 1 Tag Ausfall kosten würde (natürlich nur sofern alle Mitarbeiter auf die RS angewiesen sind!). Wir reden ja nicht von einer FS oder den größeren RS-Einheiten. Bevor ich darüber nachdenken würde, noch zusätzliche Windows-Server-VMs reinzuholen, würde ich erstmal dafür sorgen, dass die Mitarbeiter arbeitsfähig bleiben. Das gute dabei ist, dass man - je nach Virtualisierungsumgebung - den Syno-Cluster eben auch als Virtualisierungsstorage nutzen kann. Wäre ja auch nicht so schön, wenn dann am Hauptstandort alles wegknallt.

Bei 25+ Usern (vermutlich steigend) und mehreren Standorten würde ich (persönlich) schon eher ein redundantes Konzept aufbauen. Redundante Firewall (Aktiv/Passiv + entsprechende Modems), redundante Switche, redundanter Storage. Wenn die (benötigten) Daten permanent abgeglichen werden, könnte der remote-Standort im Notfall auch einfach über das Internet auf den Geräten des Hauptstandortes weiterarbeiten. Kostet sicherlich erstmal ein wenig Geld, aber mal ganz ehrlich... Wenn schon ordentlich Macbooks im Spiel sind (die ja nun nicht grade "billig" sind), muss man sich schon überlegen, ob die Sparsamkeit in diesem Fall so angebracht ist. Wenn ich das mal ein bisschen banal vergleichen darf: alle Handwerker werden mit Schraubenziehern um 30€/Stück ausgestattet, der Wagen mit dem Sie unterwegs zu Ihren Aufträgen sind, ist allerdings schon 30 Jahre alt. Ist natürlich ein bisschen weit hergeholt, soll aber nur verdeutlichen, wie ich das so sehe... Was nutzen all die Macbooks (und teuren anderen Geräte), wenn die Daten nicht mehr verfügbar sind? Gibt ein Macbook den Geist auf, könnte man theoretisch direkt in den nächsten Laden rennen und einen billigen Ersatzlaptop kaufen. Ist bei einer RS eben nicht so. Ist aber nur meine bescheidene Meinung

 

[voodoo]

Danke für deine Ausführung. Ich habe das Cluster auch nicht ausgeschlossen. Sondern erst mal nur nach hinten gestellt, bis alles mal sauber läuft. Der Server wird ja hoffentlich nicht gleich in den ersten Monaten kaputt gehen. Ich halte die Idee mit dem Cluster für sinnvoll und denke, dass ich sie zeitnah dann auch verfolgen werde.

Aber nochmal zurück zum Thema: Ich habe also im Moment die Wahl:

1. VPN site2site zwischen zwei Fritz.Box 7590 (dann hätte ich jedoch doppeltes Nat, wegen der USG)
2. VPN zwischen zwei VPN fähige Draytek DSL Modems
3. VPN zwischen zwei Unifi USGs. Als DSL Modem ein Draytek Vigor 130 (was nicht VPN fähig ist)
4. VPN zwischen zwei Synologies

4. würde ich, aus Gründen die Blurrrrr genannt hat, ausschließen.
1. favorisiere ich, wegen dem doppelten Nat auch nicht unbedingt. Vor allem da ich ansonsten keine Funktionalität von der Fritz.Box, z.B. Dect, benötige.

Bleibt nur noch 2. und 3.

 

[NSFH]

Du hast da einen Denk-/Verständnisfehler.
Die Vigor 130 nutzt du nur als Modem, auch wenn sie routen könnte und einiges mehr an Funktionen hat, die bleiben alle aus. Die 130 ist out of the box auch nur als Modem konfiguriert, heisst raus nehmen, anschliessen, mit USG verbinden und fertig. Die hat mit VPN nichts zu tun!
Der Modem Ausgang geht dann auf die USG und nur die USG macht VPN.

Wenn du die Fritz weiter nutzen willst, musst du sie im Bridge Mode betreiben. Dann übernimmt die FB die Modemfunktion (PPPoE Modus). Die FB taugt dafür aber nicht besonders, es sollte erst mal gehen, wird aber ein Nadelöhr.
Aufbau: ISP > FritzBox (PPPoE am LAN Port 1) > von FB LAN Port 2 auf USG

 

[voodoo]

Du hast da einen Denk-/Verständnisfehler.
Die Vigor 130 nutzt du nur als Modem, auch wenn sie routen könnte und einiges mehr an Funktionen hat, die bleiben alle aus. Die 130 ist out of the box auch nur als Modem konfiguriert, heisst raus nehmen, anschliessen, mit USG verbinden und fertig. Die hat mit VPN nichts zu tun!
Der Modem Ausgang geht dann auf die USG und nur die USG macht VPN.

Warum Denkfehler? Punkt 3 schildert genau den Fall, den du beschreibst. Ich mache das VPN per UniFi USG, weil die Vigo 130 kein VPN kann. Ich würde es nur als Modem verwenden, was ich ja möchte.

 

[NSFH]

1. VPN site2site zwischen zwei Fritz.Box 7590 (dann hätte ich jedoch doppeltes Nat, wegen der USG)
2. VPN zwischen zwei VPN fähige Draytek DSL Modems

1. stimmt nicht, da du auch hier die Fritzbox im PPPoE Mode betreiben musst und hast dann kein doppeltes NAT!
2. geht nicht, es gibt keine Daytek Modems die als VPN Server fungieren
und zu 4. dann brauchst du immer noch 2 Modems
Also entweder geht das nicht was du schreibst oder es ist doppelt gemoppelt zu Punkt 3.

 

[Fusion]

Den Bridge Mode at AVM, glaube mit Firmware 6.83 entfernt. Schaltung auf 'dummes modem' geht nicht mehr.

Man kann zwar einstellen, dass sich andere Geräte per PPPoE selbst einwählen, also z.b. Ein weiterer Router dahinter, allerdings baut die Fritzbox selbst ebenfalls noch eine PPPoE Verbindung auf. Solch eine Mehrfacheinwahl ist meines Wissens bei den wenigsten Providern noch erlaubt.

 

[NSFH]

Hab mal schnell nachgelesen, stimmt, AVM hat die Modemfunktion komplett gestrichen.
Keiner der ISPs lässt noch Mehrfacheinwahlen zu. Damit scheiden alle FB für derartige Zwecke aus.
Danke für den hint.

 

[voodoo]

1. stimmt nicht, da du auch hier die Fritzbox im PPPoE Mode betreiben musst und hast dann kein doppeltes NAT!

Wie bereits von fusion erwähnt bietet Fritz.Box das nicht mehr an.

2. geht nicht, es gibt keine Daytek Modems die als VPN Server fungieren

Das wusste ich nicht. Da ich selbst noch nicht nachgeschaut habe, verließ ich mich auf die Aussage von jemanden hier im Forum.

und zu 4. dann brauchst du immer noch 2 Modems
Also entweder geht das nicht was du schreibst oder es ist doppelt gemoppelt zu Punkt 3.

Ja klar. Hatte vergessen dazu zu schreiben, dass zwei Draytek 130 dann vorgeschalten werden. Der Unterschied zu 3. ist, dass hier der USG den VPN Server stellt, statt die Synology. Stichwort VPN Datendurchsatz. Ob die Synology VPN kann, habe ich ehrlich gesagt noch gar nicht geprüft. Da das Ding sonst auch alles kann, ging ich einfach davon aus.

 

[NSFH]

wenn nur die Server untereinander VPN nutzen kann man beide Synos mit ihrer VPN Funktion nutzen. Sollen aber PCs in das Netz sollte man eine Router<>Router Verbindung vorziehen.
Der Vigor130 hat auch Routing- und Firewallfunktionen, ist aber kein VPN Server. Nur wenn der 130 als Router genutzt wird braucht man VPN passthrough, Das Gerät wird also in deiner Konfiguration auf die reine Modemfunktion reduziert. Es ist übrigens von der Telekom für VDSL100 zertifiziert, Anschliessen und läuft.

 

[voodoo]

Der ein oder andere PC sollte auch über VPN ins Netz kommen können. Meine favorisierte Lösung 3 sollte dafür geeignet sein.

Danke für eure Hilfe!

 

[blurrrr]

Ich lehn mich jetzt mal GANZ weit aus dem Fenster und sage einfach mal: Du könntest das NAT auch einfach bei der USG abschalten und eine entsprechende Rückroute bei der Fritzbox eintragen (damit die Fritzbox den Weg in das Netz hinter der USG kennt) Tendentiell - so denke ich - wäre aber vermutlich die Lösung via USG und davorgeschaltetem Modem zu bevorzugen. Wäre jedenfalls ein recht typischer Aufbau: Modem -> Firewall -> Netz. Das S2S-VPN dann halt zwischen den beiden USGs hochziehen und gut ist. Nebst dem wird so eine USG ja mit Sicherheit in der Lage sein, lokalen (USG-)Usern eine Roadwarrior-VPN-Verbindung zur Verfügung zu stellen und (für später) sich eben auch an ein AD andocken lassen, so dass Du Dir später im AD einfach eine "VPN-Users"-Gruppe machen kannst und jeder der dort Mitglied ist, kann sich via Roadwarrior-VPN einwählen (Roadwarrior -> Clienteinwahl, eben das Gegenstück zu S2S). Vermutlich wird es dafür auch ein Benutzerportal geben, wo sich die Leute anmelden und ihre VPN-Config herunterladen können. Dann wäre es insgesamt eine recht saubere und pflegeleichte Umgebung.

 

[voodoo]

Das wird nun mein Ziel sein! Danke.

 

[blurrrr]

Vernünftige Wahl Das mit dem Cluster würde ich übrigens (nach der VPN-Geschichte) direkt als nächstes machen. Es hilft nicht die Infrastruktur zu erweitern, wenn der zentrale Bestand theoretisch gefährdet ist. Ich will nicht sagen, dass es mindere Qualität ist, aber das ein Gerät "einfach mal so" ausfällt, ist ja leider nichts neues. Daher würde ich primär dafür sorgen, dass die Mitarbeiter erstmal arbeitsfähig bleiben (zur Not muss der Remote-Standort eben via VPN direkt auf dem Gerät der Zentrale arbeiten, aber die Leute bleiben arbeitsfähig). Wünsche viel Glück bei Deinem Unterfangen!