Permanenten VPN Tunnel zwischen 2 Standorte

Status
Für weitere Antworten geschlossen.

voodoo

Benutzer
Mitglied seit
30. Okt 2010
Beiträge
36
Punkte für Reaktionen
0
Punkte
6
Ich möchte einen permanenten VPN Tunnel zwischen zwei Netzwerken herstellen. Ich habe derzeit noch je eine Fritz.Box und je ein Synology NAS. Die Fritz.Boxen sollen jedoch weg rationalisiert werden. Daher hoffe ich, dass es mit Synology eigenen Mitteln möglich ist. Ziel ist es, dass der Synology NAS vom Netzwerk A einen Active Directory Server Dienst laufen hat und die Rechner vom Netzwerk B (anderer Standort) sich darüber anmelden können.

Oder ist meine Idee der völlig falsche Weg, um so etwas umzusetzen?

Viele Grüße

Michael Alisch
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.093
Punkte für Reaktionen
570
Punkte
194
Da hier Samba über das Internet laufen soll ist VPN die einzig sichere Option.
Über die Fritzboxen lässt sich das sehr einfach realisieren, ist aber nicht die schnellste Lösung.
Wenn di Dinger weg sollen würde ich als Ersatz ein Gerät von Draytek empfehlen. Diese Router sind recht günstig und bieten die Funktion eines permanenten VPN zwischen Niederlassungen.
VPN der Syno lässt nur 20 Nutzer zu und einen Router brauchst du trotzdem.
Das die Internetverbindung auch einen entsprechend dimensionierten Uplink benötigt ist aber klar, oder?
 

ikorbln

Benutzer
Mitglied seit
26. Nov 2017
Beiträge
343
Punkte für Reaktionen
32
Punkte
28
Da die DS ja kein Router ist, brauchst du einen Anderen.
Wie NSFH schon empfohlen hat würde ich auch einen Draytek einsetzen.
Die DS kann zwar auch VPN-Server/Client, aber da es eh auf einen neuen Router hinausläuft, kann der ja die entsprechende Arbeit leisten.
 

Nomad

Benutzer
Mitglied seit
23. Okt 2008
Beiträge
597
Punkte für Reaktionen
0
Punkte
0
Leider habe ich Site-2-Site mit Synology nie hinbekommen. Dabei wäre er ja ein dankbarer Kandidat für solche Aufgaben. Läuft um die Uhr, ist sparsam und hat genug Wumms, um auch mit höheren Bandbreiten fertig zu werden.

Daher experimentiere ich momentan mit Debian und pfSense noch herum. Als Quick-and-Dirty Lösung funktioniert erst einmal soweit alles aber elegant ist etwas anderes. Hoffentlich bekomme ich das irgendwann sauber hin.

Warum willst du die Fritzbox abbauen? Eigentlich ist er ja ein Traum bei Site-2-Site Kopplung. D.h. er wäre es wenn er nicht so lahm wäre. Mehr als in der Größenordnung von 10 MBIT/s ist damit nicht möglich wg. zu niedriger Verschlüsselungsleistung.

Bei Routern/Appliances würde ich schauen zu welchem Durchsatz sie fähig sind. Nicht, dass man auf sagen wir mal 80 MBIT/s ausgelegte Lösung implementiert und dann ein Brief von Telekom ins Haus flattert, "Neues Angebot, doppelte Bandbreite zum halben Preis". :)
 

voodoo

Benutzer
Mitglied seit
30. Okt 2010
Beiträge
36
Punkte für Reaktionen
0
Punkte
6
Da ich mein Netzwerk vollständig auf Unifi umgestellt habe, und ich deshalb auch ein Unifi Security Gateway besitze, hätte ich mit einer Fritz.Box das Problem des doppelten Nattings (keine Ahnung, ob es das Wort gibt hehehe). Da ich die Fritz.Box ansonsten für nichts anderes brauche, habe ich vor an beiden Standorten die Fritz.Box durch das DSL Modem DrayTek Vigor 130 zu ersetzen. Ich bin mir dort aber leider nicht sicher, ob ich so einen permanenten vpn Tunnel (nennt man das site-2-site?) erzeugen kann.

Als Uplink habe ich eine 30 Mbit/s Leitung. Ich hoffe es reicht für die Domänen-Anmeldung. Da wir keine Home-Profiles haben, sollten nicht so viele Daten umhergeschickt werden. Es sind rund 25 Angestellte. Jeder Standort hat einen Synology, die ihre Daten spiegeln, weshalb die große Masse an Daten immer Lokal in den Standorten bleiben. Mir geht es nur um die Anmeldung.
 

ikorbln

Benutzer
Mitglied seit
26. Nov 2017
Beiträge
343
Punkte für Reaktionen
32
Punkte
28
Dem Datenblatt zufolge kann der 130 kein VPN, der Vigor2760 Delight-Serie aber schon.
Habe allerdings zu dem keine persönlichen Erfahrungen.
 

voodoo

Benutzer
Mitglied seit
30. Okt 2010
Beiträge
36
Punkte für Reaktionen
0
Punkte
6
Laut Datenblatt hat es: VPN Pass-through (IPSec, PPTP, L2TP)

Würde mir das nicht schon reichen?
 

ikorbln

Benutzer
Mitglied seit
26. Nov 2017
Beiträge
343
Punkte für Reaktionen
32
Punkte
28
Das bezieht sich auf die Firewall, heisst das Modem lässt VPN-Ports durch (Wenn jetzt die DS VPN-Server wäre).
 

voodoo

Benutzer
Mitglied seit
30. Okt 2010
Beiträge
36
Punkte für Reaktionen
0
Punkte
6
ach so. Okay. Dann habe ich das falsch verstanden. Danke fürs Aufklären.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.093
Punkte für Reaktionen
570
Punkte
194
Der Support von Draytek ist sehr rührig. Mein Tipp: Schildere deine Planung/Konfiguration und frage, welches Gerät für deine 30MBit site2site VPN am besten geeignet ist.
Daran denken, dass vielleicht in naher Zukunft auch 40 oder 50MBit möglich sein werden. Also Geräte kaufen, die noch Reserven aufweisen.
Ich tippe mal es wird die 2832 oder 2862 Serie, also mit VDSL Modem.
Ich nutze ein Vigor 130 mit nachgeschaltetem 2960. VPN Performance ohne Ende, aber ich brauche auch viele Tunnel, du nur einen mit hoher Bandbreite.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.093
Punkte für Reaktionen
570
Punkte
194
Wenn meine Infos stimmen macht das Ubiquiti USG nur etwa 20 MBit im VPN (Reklame)
Mir ist noch das Messergebnis aus einem US Forum in Erinnerung, demnach betrug die max. Performance 150 Down und 10up bei site2site. Wenn das stimmt dann ist es für die Anwendung das falsche Gerät bei jetzt schon 40MBit Zugang.
Ich würde die Performance mal testen!
 
Zuletzt bearbeitet:

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Mal ganz ehrlich... ohne Ahnung sollte man schlichtweg die Finger davon lassen... allein die Frage, ob die x MBit für die Domänenanmeldung reichen... Da gibt es dann u.a. noch replizierte DCs pro Standort, ggf. schlichtweg auch einfach nur das entsprechende Caching der letzten Anmeldedaten und und und und und... Selbstmach-Mentalität ist eher beim IKEA-Regal angebracht, bei der IT-Strukturierung eines Unternehmens wohl eher weniger... Hol Dir mal besser wen mit entsprechendem Fachwissen ins Boot, bevor Dir einfach nur alles um die Ohren fliegt ...

EDIT: Die 25 Mitarbeiter werden es Dir danken, wenn sie dadurch ihren Job behalten können ;)
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.093
Punkte für Reaktionen
570
Punkte
194
Du bist aber auch wieder mal böse :cool:
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Ich bin mir da nicht so sicher... das ist immer ein schmaler Grad zwischen "böse" und "ehrlich"... letzteres will ja meist keiner hören und dann wird's gern wie ersteres verstanden... (Jetzt fehlt mir der Smiley mit dem Heiligenschein -> Feature-Request! :p:D)
 

voodoo

Benutzer
Mitglied seit
30. Okt 2010
Beiträge
36
Punkte für Reaktionen
0
Punkte
6
Ich habe blurrrrr schon hier geantwortet. Blurrrrrr macht es mir echt schwierig nicht in sarkasmus zu verfallen.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.093
Punkte für Reaktionen
570
Punkte
194
aber back to topic, dein USG ist wohl für den gewünschten Zweck nicht tauglich, liegt etwa auf den Performancewerten der Fritzbox. Hätte mich bei dem Preis auch gewundert!
Du musst schon genau auf die Specs schauen, was für VPN an Datenraten möglich ist.
Eine VPN Verbindung zwischen den Synos macht keinen Sinn, wenn du AD Services und ähnliches laufen lassen möchtest. Diese Verbindung muss von Router zu Router aufgebaut werden. Alles andere ist Murks.
Ich würde mal zB Draytek anschreiben und fragen, welcher Modemrouter in der Lage ist site2site mit mindestens 40MBit zu betreiben.
 
Zuletzt bearbeitet:

voodoo

Benutzer
Mitglied seit
30. Okt 2010
Beiträge
36
Punkte für Reaktionen
0
Punkte
6
Danke! Die Hardware war schon vorhanden und die Sache mit VPN zwischen den Standorten ist neu als Idee dazu gekommen. Da zwischen den Standorten eigentlich keinen sonstigen Datentransfer stattfindet, war meine Überlegung, dass die Hardware und Leitung ausreichen sollte nur die Anmeldung (ohne Home/Profil-Ordner) über die Domäne abzuwickeln. Ich werde eine Anfrage an Draytek stellen.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.093
Punkte für Reaktionen
570
Punkte
194
Wenn du keinen grossen Traffic über VPN abwickelst würde ich aus Kostengründen die USG antesten. Sollte es zu langsam sein, weisst du wo der Flaschenhals ist.
Daran denken, dass bei serverbasierten Profilen uU doch erhebliche Daten über die Leitung gehen!
Problem dürfte aber das Modem sein. Hängst du jetzt noch hinter der Fritzbox mittel PPPoE hast du schon einen enormen Flaschenhals. Die FB ist dafür nicht sonderlich tauglich.
Bliebe noch die Vigor130 als Ersatz. Das wird funktionieren mit max Performance des USG.
Sollte dann der Flaschenhals USG noch bestehen, könntest du das Teil gegen Draytek DualWAN Router austauschen. Die haben kein integriertes Modem, du nutzt die Vigor130 weiter. Also kein rausgeschmissenes Geld.
 

Nomad

Benutzer
Mitglied seit
23. Okt 2008
Beiträge
597
Punkte für Reaktionen
0
Punkte
0
Ich persönlich würde auch in dasselbe Horn stoßen wie @blurrr.

Domänenanmeldung übe eine evtl. wacklige, lahme VPN Verbindung erscheint mir nicht ratsam.

Selbst lokal geht ja die Konfiguration mit PDC und BDC los wenn es nach MS ginge.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat