Grundsatzfrage bzgl. Konzept IPSec VPN

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
vitaminc
Beiträge: 111
Registriert: 15 Jun 2008, 11:54

Grundsatzfrage bzgl. Konzept IPSec VPN

Beitrag von vitaminc »

Hi,

bei uns stehen Überlegungen im Raum, da wir ab nächstes Jahr eine RemoteApp im Rechenzentrum UK auf unseren Desktop Clients ausführen sollen. Hinzu kommt das aus der RemoteApp auch gedruckt werden soll.

Aktuell sind alle deutschen Zweigstellen per Lancom 1781VA4G und SDSL, Ethernet und VDSL Verbindungen an die Zentrale mit Lancom 7100 (HA) angebunden. Unsere Kollegen in UK arbeiten komplett via MPLS, genauso wie unsere holländischen Kollegen.

UK misstraut unseren IPSec VPN Verbindunden, man hätte am Liebsten auch MPLS bei uns.
UK schlägt aktuell die Option vor, eine Leased Line (50-100Mbit) zwischen Deutschland und UK zu schalten, so dass unsere Zweigstellen mit 1781VA4G -> Zentrale 7100er -> Leased Line -> UK auf die Remote App zugreifen. Um für Redundanz zu sorgen soll ebenfalls eine Leased Line zwischen Deutschland und Holland, als auch von Holland nach UK geschaltet werden, so dass ein Ring aus Leased Lines besteht.

Ich hatte vorgeschlagen, man soll ins Rechenzentrum von UK einfach zwei weitere 7100er hinstellen und jede Zweigstelle wird direkt an UK angebunden, ohne Umwege über eine Zentrale dazwischen. Natürlich setzt es mehr Internet-Bandbreite in UK voraus. Sie halten davon nichts.

Ich habe Rücksprache mit zwei großen deutschen ISP's gehalten, darunter auch die deutsche Telekom. Man meinte zu mir, man würde mir natürlich gerne Leased Lines verkaufen, sie halten aber nichts von dem Konzept und würden auch die Zweigstellen auch eher direkt an ein Rechenzentrum anbinden.

Hier sind natürlich jetzt auch Grundsatzdiskussionen am Start mit MPLS vs IPSec VPN und hinzu kommen natürlich noch Möglichkeiten wie SD-WAN.

Mich würden weitere unabhängige Meinungen interessieren. Insofern Informationen zur Beurteilung fehlen, dann versuche ich mein Bestes diese zu beantworten.

Danke im Voraus
Sascha
vitaminc
Beiträge: 111
Registriert: 15 Jun 2008, 11:54

Re: Grundsatzfrage bzgl. Konzept IPSec VPN

Beitrag von vitaminc »

Wichtige Information:
Zweigstelle besteht meistens aus ca. 5 Mitarbeitern.
Die Bandbreiten sind wie gesagt VDSL Business mit 50/10 oder 100/40, ansonsten gibt es auch mal SDSL 10/10 oder Ethernet 5/5 oder 10/10.
Das Gute bei Internetanbindungen ist halt die Flexibilität, Nachteil sicherlich das man Internet dazwischen hat und damit kein vollständiges QoS betreiben kann.

Die Zentrale hat aktuell zwei Cisco Router mit 2 x 150/150 symmetrisch. Hier ist für Ausfallsicherheit gesorgt. Dahinter sind die beiden Firewalls (Stormshield) und dahinter dann wie gesagt 2 x Lancom 7100 im HA.

Remote App und Printing aus der Remote App -> UK Rechenzentrum
VoIP ist aktuell -> Zentrale Deutschland (hier überlegen wir ob wir nicht mittelfristig in die Cloud gehen)
Domain Controller sind wohl in Zentrale DE als auch UK
Internet wird durch den VPN Tunnel -> Zentrale Deutschland gejagt, damit die Firewall den Content Filtern kann.
Fileserver -> Zentrale Deutschland
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: Grundsatzfrage bzgl. Konzept IPSec VPN

Beitrag von Dr.Einstein »

Hi vitaminc,

wie soll man dir da helfen? Wie du schon gesagt hast, ist es eine Grundsatzfrage. MPLS ist in der Regel etwas höherwertigeres mit besseren SLAs, kürzere Wege, QoS etc, Internet ist günstiger, schneller zu realisieren, flexibler. Das, was empfohlen wurde mit redundanter Anbindung sollte problemlos über dynamische Routingprotokolle wie BGP konfigurierbar sein, auch mit Lancoms.

Von einer Sache kann ich dir nur deutlich abraten: DSL Leitungen in UK. Wer sich über deutsche DSLer beschwert, der hat noch nie eine größere Anzahl von UK Standorten betrieben. Was da alles für Ausfälle im Monitoring ersichtlich werden, passt auf keinen SQL Server. Sync Datenraten, die morgen bis mittags einfach mal um 50% abnehmen (was noch positiv ist) bis hin zu mehrstündigen Syncverlusten. Kabel genau der gleiche Quatsch.

Lass die Zweigstellen jeweils mit Glasfaser / symmetrischen Leitungen / was auch immer mit hohen SLAs in UK über das Internet aufbauen + Mobilebackup, und du wirst vermutlich eine halbwegs solide Lösung erhalten.

Gruß Dr.Einstein
Koppelfeld
Beiträge: 967
Registriert: 20 Nov 2013, 09:17

Re: Grundsatzfrage bzgl. Konzept IPSec VPN

Beitrag von Koppelfeld »

Ja, das UK war und ist schon immer etwas ganz Besonderes.

Wobei ich die Limeys heiß und innig liebe.

Aktuell nutze ich häufig ein MPLS-basierendes VPN zwischen München und Zürich - das ist schon erstaunlich. Man denkt, man arbeite in einem geswitchten 100 MBit/s - LAN mit ziemlich alten Switches.

Grundsatzfragen kann man aber grundsätzlich ganz einfach klären:

"Versuch macht kluch".

Und da stellen wir immer öfter fest:
Gerade mit LANCOM und QoS und einigen anderen Features klappt es ganz prima.

Und seit die Telekom beim DE-CIX mitmacht und die Nachfolgegeneration von HYTAS ausgerollt hat, da bekommst Du Filialen zum Spottpreis in höchster Zuverlässigkeit und erstaunlicher Performance angeboten. Es mag sich aus meinem Munde jetzt merkwürdig anhören, aber es hat sich doch einiges Positives bei der Telekom getan. Selbst der SIP-Trunk scheint glatt zu funktionieren.

Ich sehe bei den Briten da eher den Knackpunkt, daß sie "remote apps" verwenden wollen.
Das kann man, bei horrendem Einsparungspotential, mit anderen Mitteln sicherer bewerkstelligen.

Ein sehr weites Feld, aber fruchtbar. Doch ich sitze gerade auch an einem LANCOM, der morgen um 04:00 laufen muß -- mit einigen Extras ("Content Filter"), die ich noch nie angefaßt habe.

So ein virtueller Jirka, das wäre es. Statt "Karl Klammer" im Lanconfig einfach den J-VLE (Jirkas virtual LANCOM expert) über den Bildschirm staksen zu lassen:
"Anscheinend wollen Sie 'Facebook' und arabische Seiten aussperren. Darf ich Sie dabei unterstützen ?"

Bei Interesse schicke mir gern eine P.N.. Zwischen 04:00 und 06:00 habe ich Standby, da könnte ich ein paar Links zusammenklauben.
vitaminc
Beiträge: 111
Registriert: 15 Jun 2008, 11:54

Re: Grundsatzfrage bzgl. Konzept IPSec VPN

Beitrag von vitaminc »

Versteht mich nicht falsch, es geht weniger darum ob MPLS oder IPSec VPN. Viel mehr ob wir die deutschen Zweigstellen direkt an UK anbinden sollen oder die Zentralen mittels Leased Line verbinden.

Letztendlich sucht man die beste Lösung aus Zuverlässigkeit, Performance, Flexibilität und Kosten.
Es soll keine halbwegs funktionierende Lösung werden.

Ich denke Bandbreiten-Garantien und sehr gute SLA's bekommt man auch mit hochwertigen Internetleitungen hin, außer das die Garantie immer noch in Abhängigkeit zum Internet steht. QoS ist natürlich am Besten bei End to End, also MPLS, aufgehoben und vorausgesetzt man hat ein starkes MPLS Netz kann man sich sicher über sehr niedrige Latenzen/Jitter erfreuen.

Der SIP-Trunk Pool der Telekom läuft bei mir auch seit einiger Zeit sehr stabil. Es hat einfach nur etwas länger gedauert als bei den anderen, bis die passenden Produkte am Markt waren.

Wenn ich nun aber eine Zweigstelle direkt über das Internet mit UK verbinde, dann verschlechtert sich die Latenz schon etwas mehr als wenn ich die Zweigstelle an die Zentrale Deutschland anbinde. Wenn ich aber erst über die Zentrale Deutschland und dann über Leased Line gehe, dann summiert sich die Latenz ebenfalls. Mehr Abhängigkeiten habe ich, wenn ich erst über Zentrale Deutschland gehe anstelle den direkten Weg. Hinzu kommt der Umstand, dass eine Leased Line eine feste Bandbreite hat, wenn diese ausfallen sollte, habe ich plötzlich über die Leased Line nach Holland nur noch einen Bruchteil der Bandbreite, hinzu dann die kleine Leased Line zwischen Holland und UK mit nur 10 Mbit. D.h. im Backup-Fall wird man kaum noch arbeiten können, außer man dimensioniert die Leased Lines anders.

EthernetConnect von der Telekom ist vermutlich mitunter nicht unbedingt schlechter als ein MPLS-Produkt, oder was meint Ihr?

Andererseits unsere VDSL-Anschlüsse laufen ebenfalls äußerst stabil, sind aber trotzdem anfälliger als SDSL oder EthernetConnect.
LTE als Backup läuft sowieso auf all unseren 1781VA4G.
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Grundsatzfrage bzgl. Konzept IPSec VPN

Beitrag von Jirka »

Koppelfeld hat geschrieben: 28 Aug 2018, 23:34Ein sehr weites Feld, aber fruchtbar. Doch ich sitze gerade auch an einem LANCOM, der morgen um 04:00 laufen muß -- mit einigen Extras ("Content Filter"), die ich noch nie angefaßt habe.
Das ist aber sehr sportlich, wo der Content Filter doch an vielen Stellen oberflächlich dokumentiert ist und z. B. Fragen offen lässt, wie man die Kategorie einer Webseite ändert, was passiert, wenn eine Webseite mehreren Kategorien zugeordnet ist usw.
vitaminc hat geschrieben: 29 Aug 2018, 07:49Versteht mich nicht falsch, es geht weniger darum ob MPLS oder IPSec VPN. Viel mehr ob wir die deutschen Zweigstellen direkt an UK anbinden sollen oder die Zentralen mittels Leased Line verbinden.
Das kann Dir hier vermutlich keiner sagen, dazu sind Deine Angaben noch viel zu allgemein (Wieviele Zweigstellen gibt es zum Beispiel, 20 oder 200?). Für VoIP sind zwei Verbindungen hintereinander von der Latenz her normalerweise noch kein Problem, insofern würde das über die Zentralen schon passen. Und dahin besteht ja, soweit ich das verstanden habe, wegen des Internet-Traffics, sowieso schon eine VPN hin. Normal bin ich eher für eine direkte Anbindung, aber bei derartigen Grenzüberschreitungen ergeben sich durch die Anbindungen über die Zentralen vermutlich kaum Nachteile (aber Kostenvorteile).
vitaminc hat geschrieben: 29 Aug 2018, 07:49EthernetConnect von der Telekom ist vermutlich mitunter nicht unbedingt schlechter als ein MPLS-Produkt, oder was meint Ihr?
Genau. Es gibt auch EthernetConnect International, die Verbindung ist auch MPLS-basiert. Damit die Zentrale hier in Deutschland angebunden und alles ist gut?
vitaminc hat geschrieben: 29 Aug 2018, 07:49LTE als Backup läuft sowieso auf all unseren 1781VA4G.
Na dann sind die Zweigstellen doch nicht das Problem. So und in der Zentrale wird ja dann sowieso ein größerer Internetzugang laufen, über den man dann notfalls auch die Verbindung nach England realisieren könnte.

Viele Grüße,
Jirka
vitaminc
Beiträge: 111
Registriert: 15 Jun 2008, 11:54

Re: Grundsatzfrage bzgl. Konzept IPSec VPN

Beitrag von vitaminc »

Es sind 45 Zweigstellen in Deutschland.
VoiP ist für UK nicht relevant. Für die Verbindung nach UK ist nur RDP und PRINT relevant.

Nochmal die beiden Optionen:
Option 1: Zweigstelle (VPN iPsec) <-> Zentrale DE (Leased Line) <-> UK
Option 2: Zweigstelle (VPN iPsec) <-> Zentrale DE + Zweigstelle (VPN iPSec) <-> UK

Beides wird funktionieren, günstiger ist Option 2 da man nur 2 x Lancom 7100er für UK kaufen muss. Leased Lines sind definitiv teurer.

Probleme gibt es aktuell keine, es geht primär darum, welche der beiden Optionen die Bessere ist.
vitaminc
Beiträge: 111
Registriert: 15 Jun 2008, 11:54

Re: Grundsatzfrage bzgl. Konzept IPSec VPN

Beitrag von vitaminc »

Ein weitere Umstand kommt noch dazu:
Die Anbindung nach UK muss in den nächsten 3-4 Monaten erfolgen.
Die Zentrale DE muss nächstes Jahr umgezogen werden und wir beabsichtigen auch, diese mehr und mehr auch aufzulösen, d.h. weitere Dienste nach UK schieben, einige Dienste in die Cloud, d.h. sukzessiver Abbau der Zentrale DE. Das ist ein zusätzlich Grund warum ich eigentlich gegen eine Leased Line bin, da diese bereits nächstes Jahr umgezogen werden müsste und nicht die gleiche Flexibilität bietet als wenn wir die Zweigstellen direkt an UK anbinden.
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Grundsatzfrage bzgl. Konzept IPSec VPN

Beitrag von Jirka »

Hi,

na dann beantwortest Du Deine Frage doch an und für sich schon selber. Dann binde die Zweigstellen direkt an UK an, mit Backup über LTE. Und in der UK-Zentrale wird ja hoffentlich auch mehr als nur ein Internetzugang sein, dann den zweiten auch noch mal als Backup, dann kann doch schon fast gar nichts mehr passieren.

Viele Grüße,
Jirka
vitaminc
Beiträge: 111
Registriert: 15 Jun 2008, 11:54

Re: Grundsatzfrage bzgl. Konzept IPSec VPN

Beitrag von vitaminc »

Hi,

was wäre denn von SD-WAN zu halten?

Meine Überlegung war, ich könnte an allen Zweigstellen die VDSL Anschlüsse belassen, zusätzlich noch eine Deutschland Connect L schalten.
Den Traffic nach UK über Deutschland Connect L und die VDSL Anschlüsse für den Traffic zur Zentrale Deutschland und Internet verwenden.
Dazu noch das LTE als Backup.

Hängt aber auch weiterhin davon ab, ob UK Ihren Internet Breakout entsprechend potenter aufstellen kann bzw. eine weitere Leitung mieten kann.

Eine Leased Line wäre für UK die einfachere Variante, d.h. weniger Arbeit, weswegen diese Variante auch weiterhin von den Kollegen bevorzugt wird. Ich hoffe weiterhin das die Kosten es richten werden.

Gruß
Sascha
Böbi1877
Beiträge: 2
Registriert: 15 Okt 2018, 09:37

Re: Grundsatzfrage bzgl. Konzept IPSec VPN

Beitrag von Böbi1877 »

Hi,

falls das Thema noch offen ist.

SD-Wan hätte bei Deiner zuletzt skizierten Variante den Charme, dass Du nicht für jede Verbindung (VDSL zu Zentrale, DLAN Connect L nach UK, Backup) einzeln konfigurierst und nutzt, sondern alle drei Leitungen bei der Zweigstelle anschließt und nur die jeweilige Applikation(en) je Ziel priorisierst. Die SD-WAN Appliance würde dann in Echtzeit die jeweils performanteste Leitung nutzen inkl. automatischem Backup über die anderen Leitungswege. Allerdings müssest Du dann auch UK überzeugen die SD-WAN Appliance an ihre Internetzugänge zu setzen. Zusätzlich wird das Ganze nicht ganz billig werden. Allerdings hast Du auch bei den meisten Anbietern ein hohes Maß an Transparenz über Dein „Netz“ – sprich Du siehst genau welche Applikation hat zu welchem Zeitpunkt welchen Weg benutzt und wo gab es ggfls. Engpässe.

Viele Grüße und einen guten Start in die Woche! :D
Antworten