MPLS oder LANCOM VPN

[vitaminc]

Mich würde mal eure allgemeine Meinung für folgendes Szenario interessieren:
60 Standorte (je Standort ca. 5-6 Personen)
Zentrale mit 2 x 150Mbit Glasfaser/Festanbindung
Anwendungen: RDP, Mail, Internet, VOIP
Standortausfälle sollten unbedingt vermieden werden aufgrund Kundengeschäft über Theke
WLAN an den Standorten (INTERN und GAST)

Auf der Zentrale ist das Rechenzentrum mit Terminalserver, Exchange, VOIP PBX mit allen SIP-Trunks, Anti-Spam, Firewall, etc.

Mit welcher Bandbreite würdet Ihr pro Standort planen?
Ich dachte an 8-10Mbit.

MPLS oder das VPN über LANCOM Router selbst managen?

Folgende Möglichkeiten könnte man in Betracht ziehen.
Variante 1: 8/10Mbit über Ethernet (MPLS)
Variante 2: 8/10Mbit als Festanschluss (MPLS)
Variante 3: VDSL/SDSL-Anschlüsse (LANCOM VPN), dort wo kein VDSL/SDSL realisierbar ist, auf regionalen Anbieter ausweichen
Alle Varianten mit jeweils LTE-Backup

Variante 1+2:
+ homogene Netzstruktur (MPLS)
+ überall identische Bandbreite
+ Bereitstellungsgarantie
+ 100% Bandbreitengarantie
+ höchste Qualität = geringste Ausfallquote
+ managed by ISP
+ schnelle Entstörzeiten
+ QoS
- hoher Preis (Ethernet ist teurer als Festverbindung, dafür auch besser)

Variante 3:
+ niedriger Preis (teilweise bis zum 10fachen günstiger)
- heterogene Netzstruktur (Internet VPN)
- keine Bereitstellungsgarantien
- höherer Managementaufwand
- keine oder niedrige Bandbreitengarantie
- QoS nur über SDSL und/oder Router machbar
- Leitungsentstörzeiten schlechter als bei MPLS Ethernet/Festverbindung

Die Überlegung für Variante 3 entstand nur wegen der Kosten.
Dank eines LTE-Backup, welches optimal positioniert und in regelmässigen Abständen getestet werden muss, steht die Frage im Raum, ob man dann überhaupt in eine sehr hohe Leitungsqualität wie Ethernet investieren muss.

Weitere Fragen:
Reicht die Bandbreite in der Zentrale (2 x 150Mbit) ?
Gibt es Hindernisse/Probleme mit den LANCOM Routern ? (zentralseitig ist ein 7100er im Einsatz, muss natürlich ein zweiter als Rendundanz aufgebaut werden)
Was gibt es noch zu bedenken?

[Bernie137]

Hi vitaminc,

Reicht die Bandbreite in der Zentrale (2 x 150Mbit) ?

Ich denke schon, trotz aller Planung zeigt das aber erst ein Praxistest. Das Bandbreithungrigste ist aber RDP und dafür bist gut aufgestellt. Vielleicht hilft Dir auch der Beittrag: http://www.lancom-forum.de/fragen-zum-t ... 14341.html

Was gibt es noch zu bedenken?

Du schreibst alles als Backup per LTE. Darf ich fragen welcher Provider/Tarif. Hier lauert eine Kostenfalle bei den Volumina. Tarife mit 5GB Monatsvolumen reichen bei 5-6 Leuten vielleicht 2 Tage, für die Zentrale taugt so ein Tarif sicher nicht. Ich frage deshalb, weil ich selbst auf der Suche nach einem gescheiten LTE Tarif bin, aber bisher nicht fündig. Kannst Du mir was empfehlen?

vg Bernie

[vitaminc]

Du Witzbold, ich kenne deinen Beitrag, hab dir doch selbst darauf geantwortet

Für die Zentrale benötige ich kein LTE, da wären es 2 x 150Mbit von jeweils zwei verschiedenen Anbietern.

Zwecks LTE für Außenstandorte:
Der 1781VA-4G hat 2 SIM-Karten Slots.

Da gibt es jetzt mehrere Möglichkeiten.
Das ganze über Mobilfunk-Datenkarten, z.B. bei Vodafone Red Business+ M, der hat 6GB, zusätzlich noch den von der Telekom, der hat glaube 5GB. Dann hast Du insgesamt 11GB Datenvolumen und eine Rendunanz der Anbieter, für den Fall wenn eine der Basisstationen gerade etwas Land unter ist.

Die andere (wahrscheinlich bessere) Möglichkeit könnte sein, von z.B. Vodafone einen LTE zu Hause L zu nehmen. Der hat 30GB !!

Meine größte Angst sind weiterhin die Priorisierungen und QoS, gerade auf Hinblick von VOIP. Da ist man mit MPLS und einem Produkt auf Ethernetbasis auf der sicheren Seite.
Andererseits weiß ich auch wie selten auch SDSL-Anschlüsse abstürzen, ich hab sogar ADSL-Anschlüsse mit 99,9% Verfügbarkeit laufen, alles kein Ding eigentlich, solange man sich eben auf das Backup verlassen kann.

[Bernie137]

Du Witzbold, ich kenne deinen Beitrag, hab dir doch selbst darauf geantwortet

Auch gut, hatte gar nicht nochmal reingeschaut

Die andere (wahrscheinlich bessere) Möglichkeit könnte sein, von z.B. Vodafone einen LTE zu Hause L zu nehmen. Der hat 30GB !!

Wenn ich nicht irre, sind da solche Dienste wie VPN gesperrt.

vg Bernie

[MariusP]

Hi,

Mit welcher Bandbreite würdet Ihr pro Standort planen?
Ich dachte an 8-10Mbit.

Das hängt stark davon ab, was die Mitarbeiter am Computer machen müssen.
Somit wäre eine Einschätzung unpräzise.
Gruß

[vitaminc]

Wenn ich nicht irre, sind da solche Dienste wie VPN gesperrt.

Ich habe bereits solche Lösungen erfolgreich laufen, aber mag sein dass man da speziell was freigeschalten hat. Kläre ich aber ab und gebe Dir Rückmeldung.

Das hängt stark davon ab, was die Mitarbeiter am Computer machen müssen.
Somit wäre eine Einschätzung unpräzise.

Wie detailliert muss solch eine Angabe sein?
Hauptsächlich: RDP auf Terminalserver und VOIP auf Zentrale Telefonlage
Internet: würde es durch den Tunnel routen um den Content zentralseitig zu filtern und generell Internet besser steuern zu können

Die meisten User nutzen jedoch den Internetbrowser auf dem Server anstelle den Browser lokal zu verwenden.

[MariusP]

Hi,

Die meisten User nutzen jedoch den Internetbrowser auf dem Server anstelle den Browser lokal zu verwenden.

Ich bin zwar kein RDP Experte, aber müsste sowas nicht mehr Bandbreite kosten, als die http Pakete direkt weiter zu leiten?
Gruß

[vitaminc]

Die meisten User nutzen jedoch den Internetbrowser auf dem Server anstelle den Browser lokal zu verwenden.
Ich bin zwar kein RDP Experte, aber müsste sowas nicht mehr Bandbreite kosten, als die http Pakete direkt weiter zu leiten?

Ja, es kostet vermutlich mehr Bandbreite, da einerseits die Bilddaten über RDP übertragen werden müssen und dann noch zusätzlich Internet-Traffic auf der Zentrale erzeugt wird.
ABER, hier geht es auch um Sicherheit. Wenn das Internet nicht durch den Tunnel geroutet wird, dann muss man vermutlich das Internet auf der lokalen Leitung mit dem LANCOM entsprechend limitieren oder mit Priorisierungen/QoS arbeiten, denn jeder weiß wie ein Einzelner durch Downloads/Uploads/Streaming eine Leitung ans Limit bringen kann, zudem muss dadurch der Content gemäß Firmenrichtlinien gefiltert werden (das erzeugt weitere Kosten für den LANCOM-Router, da man für jeden Standort die Content-Filter-Lizenz erwerben und jedes Jahr bezahlen muss). Wie hier die zentrale Verwaltung über alle Content-Filter erfolgen soll, dass weiß ich bis dato nicht..

RDP+VOIP müssen halt unter allen Umständen die Priorität haben.

[Koppelfeld]

Anwendungen: RDP, Mail, Internet, VOIP

Warum den Mailclient nicht auch in der Zentrale vorhalten und via RDP bedienen ?

RDP über WAN taugt zur gelegentlichen Fernwartung, aber nicht zum Arbeiten.
Wenn es Spaß machen soll, bieten sich zwei Technologieen an, entweder Citrix (sehr teuer und unsicher obendrein) oder NoMachine NX.
Damit kommst Du hin bei Deiner Anzahl von Mitarbeitern und Filialen.

Mit welcher Bandbreite würdet Ihr pro Standort planen?
Ich dachte an 8-10Mbit.

Das kann man so nicht rechnen. Also man kann schon, es kommt aber nur Bullshit heraus.
Wir haben hier an einem Rechner mit 4 Prozessoren (allerdings richtigen Prozessoren, kein Intel-Spielzeug) etwa 2.000 User hängen, mit einer typischen Antwortszeit des Rechners von unter einer Sekunde. Das heißt aber nicht, daß ein einzelner User mit einem 1/2000 CPU glücklich werden würde.
Die Wahrscheinlichkeit, daß vier und mehr User innerhalb einer 'task slice' von wenigen Nanosekunden die CPU gleichzeitig benötigen, ist halt sehr gering.
Früher hat die Bundespost pro tausend Telephonanschlüsse gerade einmal zehn gleichzeitige Gespräche zugelassen - und das hat funktioniert.
Wenn man davon ausgeht, daß für _eine_ Niederlassung etwa symmetrische 5 MBit/s ausreichen, kannst Du davon ausgehen, daß Du für zwei Niederlassungen etwa 7,5 brauchst, für vier etwa 10, für neun etwa 15, etc., pp..

Man muß nur bestimmte Vorkehrungen treffen, daß bestimmte "Dauerverbraucher" abgeschaltet werden, sprich, Flasch und überhaupt Videoscheiß in den Filter, dazu sowieso Unterschichtdreck die 'facebook', 'pro7', 'spielaffe' und den ganzen Mist.

MPLS oder das VPN über LANCOM Router selbst managen?

Langjährige Erfahrungen zeigen: MPLS ist in erster Linie teuer und eine qualitative Verbesserung, die spürbar beim Anwender ankäme, hätte ich nicht gesehen.

+ 100% Bandbreitengarantie
+ höchste Qualität = geringste Ausfallquote
+ managed by ISP
+ schnelle Entstörzeiten
+ QoS

Das würde jetzt bei einigen unserer MPLS-Kunden hysterisches Gelächter auslösen.

Gibt es Hindernisse/Probleme mit den LANCOM Routern ? (zentralseitig ist ein 7100er im Einsatz, muss natürlich ein zweiter als Rendundanz aufgebaut werden)

Dann seid Ihr doch erstklassig aufgestellt. Gerade bei LANCOM klappt das LTE-Backup doch vorbildlich.

[MariusP]

Hi,
eine Content Filter Lizenz reicht insgesamt, wenn du eh schon den ganzen Traffic über den Router in der Zentrale leiten willst, kannst du den Contentfilter dieser Zentrale auch für Außenstellenmitarbeiter nutzen die eh darübergeleitet werden.
In den Routern der Außenstelle schiebst du den Traffic einfach in den VPN-Tunnel.
Als Internet-Gateway gibst du den Router mit dem Contentfilter an.
Gruß

[vitaminc]

Warum den Mailclient nicht auch in der Zentrale vorhalten und via RDP bedienen ?

Outlook läuft natürlich auf dem Terminalserver. Dennoch gibt es auch Direktzugriffe, z.B. per iPhone/iPad direkt an den Exchange-Server.

RDP über WAN taugt zur gelegentlichen Fernwartung, aber nicht zum Arbeiten.
Wenn es Spaß machen soll, bieten sich zwei Technologieen an, entweder Citrix (sehr teuer und unsicher obendrein) oder NoMachine NX.
Damit kommst Du hin bei Deiner Anzahl von Mitarbeitern und Filialen.

Citrix ist klar, Ericom Blaze und 2X wären ja auch noch zwei Kandidaten. NoMachine NX kannte ich bislang nicht, werde ich mich mal erkundigen, Danke.
Das NoMachine NX wird aber sicher auch teurer sein als RDP ?

Das kann man so nicht rechnen. Also man kann schon, es kommt aber nur Bullshit heraus.
Wir haben hier an einem Rechner mit 4 Prozessoren (allerdings richtigen Prozessoren, kein Intel-Spielzeug) etwa 2.000 User hängen, mit einer typischen Antwortszeit des Rechners von unter einer Sekunde. Das heißt aber nicht, daß ein einzelner User mit einem 1/2000 CPU glücklich werden würde.
Die Wahrscheinlichkeit, daß vier und mehr User innerhalb einer 'task slice' von wenigen Nanosekunden die CPU gleichzeitig benötigen, ist halt sehr gering.
Früher hat die Bundespost pro tausend Telephonanschlüsse gerade einmal zehn gleichzeitige Gespräche zugelassen - und das hat funktioniert.
Wenn man davon ausgeht, daß für _eine_ Niederlassung etwa symmetrische 5 MBit/s ausreichen, kannst Du davon ausgehen, daß Du für zwei Niederlassungen etwa 7,5 brauchst, für vier etwa 10, für neun etwa 15, etc., pp..

Man muß nur bestimmte Vorkehrungen treffen, daß bestimmte "Dauerverbraucher" abgeschaltet werden, sprich, Flasch und überhaupt Videoscheiß in den Filter, dazu sowieso Unterschichtdreck die 'facebook', 'pro7', 'spielaffe' und den ganzen Mist.

Deswegen auch der Content-Filter der bei uns auf der Zentrale läuft.
Ich mein bislang sind wir mit 2x100Mbit und den ganzen Standorten gut ausgekommen, aber bislang hatten wir auch noch kein VOIP.
Das soll sich ändern, haben dafür aber auch rund 100Mbit mehr nun.

Das würde jetzt bei einigen unserer MPLS-Kunden hysterisches Gelächter auslösen.

Mag sein, aber ich denke wir sind uns alle einig dass ein Festanschluss über Ethernet realisiert einfach Höherwertiger ist als ein SDSL oder ähnliches über TAL.

Dann seid Ihr doch erstklassig aufgestellt. Gerade bei LANCOM klappt das LTE-Backup doch vorbildlich.

Das stimmt allerdings, vorausgesetzt man nutzt den 1781-4G. Finde es aber schade dass es für den normalen 1781 keine Möglichkeit gibt mit nem LTE-Stick ein Backup zu realisieren.

Wie stehst Du denn dem Thema gegenüber ob man Internet über den VPN-Tunnel routet oder besser nicht?

[vitaminc]

eine Content Filter Lizenz reicht insgesamt, wenn du eh schon den ganzen Traffic über den Router in der Zentrale leiten willst, kannst du den Contentfilter dieser Zentrale auch für Außenstellenmitarbeiter nutzen die eh darübergeleitet werden.
In den Routern der Außenstelle schiebst du den Traffic einfach in den VPN-Tunnel.
Als Internet-Gateway gibst du den Router mit dem Contentfilter an.

Nur das der zentrale Contentfilter nicht von LANCOM genutzt wird sondern von unseren zentralen Firewalls.
Wir nutzen den 7100 auf der Zentrale ausschließlich nur als VPN-Gateway. Alles andere übernimmt unsere Firewall.

Das mit dem Routing habe ich über den Tag im Lancom eingestellt, so dass der gesamte Traffic der Clients über den VPN-Tunnel zur Zentrale läuft.
So läuft das eigentlich ziemlich gut, trotzdem war die Überlegung vorhanden es eben nicht so zu tun, d.h. nur die Dienste wie RDP, VOIP und MAIL in den Tunnel zu routen, und den Rest wie Internet eben nicht.

[MariusP]

Hi,
Welche Bedenken gibt es denn bezüglich den Internetverkehr in "Rohform" über das VPN zu leiten?
Vertraut ihr den Rechner im Netzwerk der Zentrale mehr als den Rechnern in der Außenstelle? Auch wenn diese Rechner per RDP vergesteuert werden?

Ich könnte mir vorstellen, das ein Surfen von außerhalb per RDP auf den Lokalen Rechner ein höherers Risiko darstellt.
Sollten sich die RDP Gateways(ka wie solche Endpunkte heißen) etwas einfangen ist es direkt im Netz der Zentrale. Andersrum wären die nur die Rechner der jeweiligen Außenstelle dem Risiko ausgesetzt.

Was nun die höhere Sicherheit verspricht mag ich allerdings nicht beurteilen und es ist nur als Anregung gemeint.

Kann eure Firewall nicht auf den Traffic der über VPN eingehenden Clients nicht im Sinne eines Contentfilters filtern?

Gruß

[vitaminc]

Hi,
Welche Bedenken gibt es denn bezüglich den Internetverkehr in "Rohform" über das VPN zu leiten?
Vertraut ihr den Rechner im Netzwerk der Zentrale mehr als den Rechnern in der Außenstelle? Auch wenn diese Rechner per RDP vergesteuert werden?

Ich könnte mir vorstellen, das ein Surfen von außerhalb per RDP auf den Lokalen Rechner ein höherers Risiko darstellt.
Sollten sich die RDP Gateways(ka wie solche Endpunkte heißen) etwas einfangen ist es direkt im Netz der Zentrale. Andersrum wären die nur die Rechner der jeweiligen Außenstelle dem Risiko ausgesetzt.

Was nun die höhere Sicherheit verspricht mag ich allerdings nicht beurteilen und es ist nur als Anregung gemeint.

Kann eure Firewall nicht auf den Traffic der über VPN eingehenden Clients nicht im Sinne eines Contentfilters filtern?

Gruß

Welche Bedenken es gibt?
Eigentlich keine bis auf Bandbreite/Traffic. Alles über die Zentrale zu steuern wäre für uns deutlich einfacher zu verwalten (Regelwerk, Content-Filter, zentral für alle)
ABER, über den VPN-Tunnel erreicht man nicht die volle Geschwindigkeit der Leitung. Meine Messungen haben ergeben, z.B. bei einem 50Mbit VDSL:
- Internet direkt: ca. 40Mbit
- Internet über den VPN Tunnel geroutet: ca. 18Mbit
- bei IPSec über HTTPS kommen sogar nur noch 3Mbit raus

Aber ich mag nicht ausschließen das ich nicht irgendwo nen Fehler bei der Config gemacht habe. Ich muss da aber auch nochmal mit NetIO ran, habe meine Tests bislang nur über klassische Speedtests durchgeführt.

Wir müssen aber auch folgendes unterscheiden, bevor wir aneinander vorbeischreiben:
- Lokales Surfen auf dem Client
- Surfen auf dem Server

Das wird bei uns weiterhin beides Möglich sein, sehe kein Problem darin dass man Lokal auf dem Client surfen kann. Wir nutzen hierbei sowieso nur ThinClients mit Windows Embedded und Schreibschutzfilter, d.h. der Client selber kann sich da eh nix wildes einfangen, da er auch nichmal wirklich was schreiben kann ausser "temporär" ins ROM.

Weitere Unterscheidung ist eben das Routing:
1. Lokales Surfen auf dem Client direkt über die Leitung
2. Lokales Surfen auf dem Client geroutet über den VPN-Tunnel

Punkt 2 ist so wie ich es aktuell mache, halte ich für die beste Option da ich eben alles Zentral regeln/filtern/verwalten kann. Nachteil ist aber die Bandbreite und der Traffic, wenn alles über die Zentrale geroutet wird verbraucht man mehr Bandbreite, und man hat zudem auch weniger Geschwindigkeit zum Surfen, da der Tunnel eben nicht so schnell ist wie DirectAccess.

Bei Punkt 1 sind die Vor und Nachteile umgekehrt. D.h. ich bräuchte auf dem LANCOM-Router der Außenstelle jeweils einen Content-Filter der dort zu verwalten ist, oder nicht?
Oder gibt es eine Sync-Möglichkeit, d.h. wenn ich den Content-Filter auf nem 7100er auf der Zentrale verwenden würde und dann auf allen 1781er auf den Zweigstellen, dass ich das nur an einer Stelle pflege und es wird auf allen gesynced?

[Koppelfeld]

Citrix ist klar, Ericom Blaze und 2X wären ja auch noch zwei Kandidaten.

Ericom kenne ich nicht, 2X ist von der Technologie her ähnlich.

Das NoMachine NX wird aber sicher auch teurer sein als RDP ?

Nein, das NoMachine ist wesentlich günstiger als eine reine RDP-Lösung, denke an die "CAL"s!
Bei NoMaschine bist Du mit einer Enterprise-Lizenz für etwa 1.500,-- dabei. Weil aber auch Server einmal ausfallen können, würde ich eine zweite Maschine danebenstellen - gerne auch laufend, mit einfacher Lastverteilung per round-robin. Macht also ZWEI an den "Terminalserver" angeschlossene Clients. Die beiden Clients lizensierst Du mit den "TS-CAL"s und den "Server-CAL"s. Das kostet Dich, bei zwei "Terminalservern" und zwei NX-Servern, etwa 700,--.
Für das ganze Setup mit Deinen 300 Usern kommen also 2.200 Euro zusammen.
Die NX-Server, weil sie ja sowieso breitbandig am Internet hängen, sind eine erstklassige Wahl, um dann auch noch einen Telephonieserver redundant draufzupacken. Dann ist das Thema gleich mit abgefrühstückt.

Ich mein bislang sind wir mit 2x100Mbit und den ganzen Standorten gut ausgekommen, aber bislang hatten wir auch noch kein VOIP.
Das soll sich ändern, haben dafür aber auch rund 100Mbit mehr nun.

Das tut überhaupt nicht weh. Wichtig ist, daß Interngespräche auch intern bleiben und nicht über die Zentrale geschleift werden. Ich würde aber in den Niederlassungen den 1781*V*A-4G bevorzugen.
Zum einen bist Du flexibler, zum anderen ist die CPU wesentlich leistungsfähiger, bei den vielen kleinen SIP- und RT(C)P-Paketchen nicht ganz unwichtig.

Das würde jetzt bei einigen unserer MPLS-Kunden hysterisches Gelächter auslösen.

Mag sein, aber ich denke wir sind uns alle einig dass ein Festanschluss über Ethernet realisiert einfach Höherwertiger ist als ein SDSL oder ähnliches über TAL.

Die Telekom *nennt* das Produkt "Ethernet Connect", meint aber damit im wesentlichen, daß sich die Strecke verhält wie eine Layer-2 - Verbindung. Also den von mir betreuten Niederlassungen wollte ich das ganz bestimmt nicht haben.
Die meisten MPLS-Anschlüsse, die mir untergekommen sind, waren als E1 ausgeführt oder aber als Zweidraht-SHDSL. Also durchaus "TAL".
Bei 60 Niederlassungen, die ja bestimmt nicht nach dem Gesichtspunkt "gute Internetkonnektivität" ausgesucht wurden, darf man davon ausgehen, daß man nur etwa bei der Hälfte der Standorte etwas ordentliches bekommt. Wir sind vielfach mit DSL 6.000 geschlagen - und ja, da betreiben wir einen Holzfachmarkt mit 20 Mitarbeitern drüber.

Das stimmt allerdings, vorausgesetzt man nutzt den 1781-4G. Finde es aber schade dass es für den normalen 1781 keine Möglichkeit gibt mit nem LTE-Stick ein Backup zu realisieren.

3G funktioniert.
Ein LTE-Stick wäre schneller geklaut als ein Lämmchen mit dem Schwanz wackeln kann.
Eine externe Yagi-Antenne ist zudem preisgünstig und ungemein effektiv. Und ja, die Strippe darf ruhig 20 m lang sein. Klar sind das 10 dB Dämpfung, aber Du hast 9 dB Antennengewinn, aber ein wesentlich besseres S/N - Verhältnis.

Wie stehst Du denn dem Thema gegenüber ob man Internet über den VPN-Tunnel routet oder besser nicht?

Immer über den VPN-Tunnel - dann hast Du die Möglichkeit, Thin Clients einzusetzen. Wenn die Spielkinder erstmal Internet lokal haben, dann gute Nacht. Da kann man ja gleich eine UZI in den Schimpansenkäfig schmeißen.
Wenn Du in den Niederlassungen auf PCs verzichtest, sparst Du dir zudem den "Virenschutz".
Wichtiger aber ist, daß, wenn der User seinen "PC" nicht mehr "optimieren" muß, mehr Zeit für die beruflichen Tätigkeiten bleibt.
Bei über 300 Usern muß man auch einmal den Stromverbrauch bedenken.