2 x VPN-Router für eine Zentrale

[Immo]

Hallo,
ich würde mich über eine Konzeptionsempfehlung sehr freuen:
Ausgangslage: Eine Zentrale mit einem Lancom 7100 VPN. Hier liegen 2 x Telekom feste IP und 1 x Kabel (Dynaccess) für die VPN-Anbindungen der zahlreichen Außenstellen. Die Außenstellen sind entsprechend über die jeweilige IP bzw. Dynaccess auf die drei Zugänge verteilt. Auf dem Kabel-Anschluss wird darüber hinaus auch gesurft mit Content-Filter. Nun wollen wir eine Homeoffice-Plätze schaffen. Diese würde ich gerne über einen zusätzlichen Zugang per VPN mit der Zentrale verbinden, da die vorhandene drei ziemlich gut ausgelastet sind. Der 7100er ist mit den drei Anschlüssen aber komplett belegt...er hat ja nur vier Lan-Anschlüsse.

Nun gibt es die Möglichkeit, dass ich den Kabelanschluss nur noch für die VPN-Verbindungen nutze, d. h. den Surfverkehr über einen anderen zusätzlichen Router (178er Serie) abwickle und somit Bandbreite für die Homeoffice-User frei bekomme. Da aber m. E. die Contentfilterlizenz nicht übertragbar ist, müsste ich dann wohl einen neue kaufen. Denn dieser müsste dann ja auf dem reinen Internetrouter installiert werden, oder? Hier habe ich aber auch schon die Erfahrung gemacht, wenn zwei Geräte (1 x VPN als Gateway und 1 x nur für den Internetverkehr+Contentfilter) eingesetzt werden, der Internetverkehr gerade in Verbindung mit dem Contenfilter sehr stark ausgebremst wird.

Eine andere denkbare Lösung wäre, einen neuen Router nur die die VPNs der Homeoffice-User zu verwenden. Aber ist das überhaupt möglich? Zwei Router innerhalb des selben Netzes für VPN-Verbindungen zu benutzen. Es kann doch eigentlich nur ein zentrales Gateway geben. Die Homeoffice-User sollen alle per Lancom-VPN-Client angeschlossen werden.

Über einen guten Tipp würde ich mich sehr freuen.

[Jirka]

Hallo Immo,

das Mittel der Wahl ist an dieser Stelle eigentlich VLAN. Damit könnte man auf einen Port auch mehr als eine WAN-Gegenstelle legen. Mit einer VLAN-Switch, die ja vielleicht sogar schon da ist (3 Ports (= 1 x rein und 2 x raus) müssten natürlich schon frei sein), dröselt man das Ganze dann außerhalb des 7100 wieder auf. Leider gibt es dabei ein Problem - die Bandbreiten lassen sich nur pro Port und nicht pro Gegenstelle konfigurieren. Wenn Du bisher ohne Bandbreitenangabe gearbeitet hast und damit gut gefahren bist, ist das kein Problem. Bist Du aber auf QoS angewiesen, müsste man schauen, inwiefern sich die Gegenstellen in ihrer Bandbreite unterscheiden.

Diese würde ich gerne über einen zusätzlichen Zugang per VPN mit der Zentrale verbinden, da die vorhandene drei ziemlich gut ausgelastet sind.

Und einen (oder mehrere) der drei Anschlüsse auf eine höhere Geschwindigkeit zu bringen, geht nicht? Oder die beiden Telekom-Anschlüsse in einen CompanyConnect überführen?

Da aber m. E. die Contentfilterlizenz nicht übertragbar ist, müsste ich dann wohl einen neue kaufen.

Korrekt.

Eine andere denkbare Lösung wäre, einen neuen Router nur die die VPNs der Homeoffice-User zu verwenden. Aber ist das überhaupt möglich?

Ja, z. B. mit lokalem Routing. Da wird in der Route im 7100 die IP-Adresse des 1781 angegeben. Im Falle der Homeoffice-VPN-Clients wäre das noch nicht mal nötig, da der Router ja als Proxy arbeitet und die VPN-Clients eine IP-Adresse aus dem lokalen LAN haben.

Viele Grüße,
Jirka

[Immo]

Vielen lieben Dank für die schnelle Antwort.
Ich werde mal die letzte Version testen, d. h. den zusätzlichen Router als VPN-Router für die Home-Office-User verwenden.