TVS-672XT mit zwei TS-473 verbinden

    Hallo Zusammen,

    ich suche aktuell nach einer Lösung, um zwei TS-473 mit unserer „Haupt-NAS“ (TVS-672XT) zu verbinden.

    Die zwei TS-473 stehen an unterschiedlichen Standorten in Europa und sollen dort primär als Datensystem für Kundenaufträge fungieren. Da unsere zwei Außenstellen aber von uns mit Aufträgen gefüttert werden, möchten wir gerne einen direkten Zugriff auf die NAS-Systeme, um die entsprechenden Daten selbst ablegen zu können.

    Zusammengefasst, muss eine Verbindung im lokalen Netzwerk sowie in der Hauptstelle zu der jeweiligen NAS bestehen.

    Der aktuelle Plan ist, die zwei NAS-Systeme mit dem VPN der „Haupt-NAS“ zu verbinden. Das Problem ist aber, dass diese dann in einem anderen IP-Bereich arbeiten und eine direkte Verbindung nicht möglich wäre.

    Gibt es eine „Build-In-Methode“ für diesen Fall?


    Vielen Dank im Voraus für alle Infos

    Grüße

    Kai

    Zitat von kayo

    die zwei NAS-Systeme mit dem VPN der „Haupt-NAS“ zu verbinden. Das Problem ist aber, dass diese dann in einem anderen IP-Bereich arbeiten ...

    Verstehe ich jetzt nicht ganz, das Wesen vom VPN wäre ja gerade dahingehend, dass das andere Ende der Verbindung "lokal" erreichbar ist. Da ist es doch völlig egal in welchem Subnet die andere IP hängt ...

    Okay, wie ich sehe, wird das Problem wohl einen anderen Hintergrund haben... denn sobald ein Gerät sich über VPN bei uns im Netz einwählt (anderer Subnet) können wir keine Verbindung zu diesem herstellen.

    Lokal = 192.168.178.XXX

    VPN = 192.168.0.XXX


    Da ich mich aktuell in das Thema Netzwerk erst reinfuchsen muss, gibt es einen sehr banalen Grund dafür?


    Und das würde ja im Umkehrschluss heißen, sobald ich dieses Problem gelöst habe, kann ich die anderen Geräte einfach über den VPN ins Netzwerk (auch wenn es ein anderes Subnet ist) einbinden?

    So wie ich das sehe, ist das VPN nicht richtig eingerichtet, bzw. nicht für genau deine Anforderung richtig ...

    Ich habe aber bei mir kein VPN eingerichtet, da können dir andere User sicher eher den richtigen Tipp geben.

    Ich vermute, die NAS bzw. die Netzwerke sollen dauerhaft verbunden sein?

    Dann muss natürlich in jedem Netzwerk das Routing richtig eingerichtet sein, dann kommt man auch von einem 192.168.178. (Fritzbox?) Netzwerk in ein 192.168.0 Netzwerk.


    Solange ein Client nur im lokalen Netzwerk das NAS erreichen soll, muss nichts am Client nichts geändert werden.

    Für die Verbindung "Aussen-NAS" zum "Hauptstellen-NAS" muss eine entsprechende Route auf beiden NAS eingetragen werden, dann können die NAS untereinander kommunizieren.


    Gruss

    Mod: Zitat ohne Quellenangabe ... korrigiert! :handbuch::arrow: Die Zitat Funktion des Forums richtig nutzen

    Zitat von FSC830

    Ich vermute, die NAS bzw. die Netzwerke sollen dauerhaft verbunden sein?

    Genau, es soll wie ein "großes Netzwerk" aufgebaut werden, das unabhängig vom Standort funktioniert.

    Wobei nur die „Hauptstelle“ die Möglichkeit haben soll, auf alles untereinander zuzugreifen.

    Mod: Zitat ohne Quellenangabe ... korrigiert! :handbuch::arrow: Die Zitat Funktion des Forums richtig nutzen

    Zitat von FSC830

    Für die Verbindung "Aussen-NAS" zum "Hauptstellen-NAS" muss eine entsprechende Route auf beiden NAS eingetragen werden, dann können die NAS untereinander kommunizieren.

    Gibt es hierzu ein "Tutorial" oder Handbuch oder ähnliches dazu ?


    Wie gesagt, das Thema Netzwerk ist für mich noch eine sehr grüne Wiese.

    Zitat von kayo

    Das Problem ist aber, dass diese dann in einem anderen IP-Bereich arbeiten und eine direkte Verbindung nicht möglich wäre.

    Das doch super, denn sonst fängst du mit NATing an und dann brennt dir gleich die Birne, wenn du das noch nie gemacht hast.


    Jetzt könntest du sagen, hey das macht doch mein Router, nee der macht ein PAT und kein 1zu1 NAT.

    So musst du nur die Netze sauber routen.


    Zugriffschutz geht nur mti einer richtigen Firewall, die hier granulares Regelwerk ermöglicht.


    Liefere doch mal einen Plan, was du wo stehen hast, welche IP es hat, welches Gateway es hat und was mit wem wie logisch verbunden ist.


    Ein S2S VPN ist ne super Sache, aber nicht mit einer Fritz, das geht zum spielen und für ein wenig privates aber das ist nix wo ich mit Firmendaten hantieren würde, alleine schon weil es super lahm ist.


    Vergesse in dem Plan aber bitte auch nicht die Internetleitungen.


    Da kommt dann halt nicht nur das Thema Bandbreite zum tragen, sondern auch wie gut die Protokolle mit lange Antwortzeiten umgehen. Im LAN ist 1ms schon extrem hoch, im WAN ins 20-50ms möglich, je nach Internetknoten der euch zusammen bringt.


    Wohne hier zwar nur 10km von meiner Eltern weg, wo mein BU NAS steht, aber die Latzen über den Tunnel sind bis zu 50ms, da der Übergabepunkt der beiden WAN Netzsegement in Amsterdam steht.

    Ich habe mal versucht, das ganze bildlich dazustellen.

    Die Außenstellen müssen noch konfiguriert werden, weshalb ich die rudimentärsten Infos mal eingefügt habe.

    Ich denke, es gibt für unseren Fall eine ganz einfache und simple Lösung.

    Was für Leitungen sind da vorhanden?


    Was für Hardware?


    Die Fritzbox ist ein Spielzeug für User@home, aber nix für eine Firma die Standorte verbinden will.

    Der Client für den PC ist auch scheiße.


    Die kann zwar auch S2S aber das ist ein veralteter IKEv1 Tunnel.


    Ja ich weiß, ist praktisch, Telefonanlage mit FAX, DECT und WLAN inkl. Gastnetz ist alles dabei, man muss nur aufs Knöpfchen drücken.


    Warum sollen die 10 Arbeitsplätze auf die entfernen Standorte ein Netzlaufwerk einbinden?

    Das ist je nach Anbindung möglich bis unbrauchbar.


    Schon Gedanken über die Netze gemacht?

    Du kommst mit einem einzigen Klasse-C aus?

    Keine Segementierung für gewisse Geräteklassen geplant?

    Wie Crazyhorse schon sagte kauf dir erstmal 3 anständige VPN Router. Fritz Box schön und gut aber dafür ungeeignet da zulangsam und kein IPSec V2. Dann spannst du das VPN zwischen den Routern mit den Außenstellen als Slaves. Routing schreiben fertig. :) Viel Erfolg.


    PS

    Es gibt Firmen die machen das für Dich. :)

    Vielen Dank für eurer Feedback.

    Dass die FritzBox ein Spielzeug ist und man andere Geräte einsetzten müsste, ist mir alles bekannt, jedoch muss ich den Kosten/Nutzenfaktor im Auge behalten.

    Für die aktuelle Situation ist das ganze noch vollkommen ausreichend.


    Ich habe mit diesem Thread die Idee verfolgt das maximale aus der aktuellen Situation rauszuholen und keinen komplettumbau der Infrastruktur.


    Prinzipiell geht es nur darum, dass die Hauptstelle Zugriff auf die Daten der Nebenbestelle hat (Netzlaufwerk oder was auch immer) und diese auch dort gesichert werden.


    Wie schnell das ganze geschieht oder sonstiges ist aktuell nicht relevant.

    Es werden auch nur maximal 2 der 10 Arbeitsplätze gleichzeitig auf die Daten zugreifen.

    Zumal ich den VPN Dienst von der NAS dann verwenden würde und nicht der FritzBox.


    Wenn wieder mehr Zeit vorhanden ist, werde ich das ganze bestimmt noch einmal ausbauen, aber aktuell muss es schnell und praktisch laufen.

    Immer noch keine Infos über die vorhandenen Internetleitungen, schade.

    Noch keine Infos über die RTT zwischen den Standorten.


    Wie soll man dir so sagen können ob das und wenn ja wie gut das funktioniert.


    Du musst ja nicht gleich eine Firewall für 1k€ kaufen, aber was kleines, was AES in Hardware kann ist für VPN schon eine gute Sache.


    Und wenn du nur einen Mikrotik HEX kaufst, der kann schon das x fache der Fbox.


    VPN von NAS zu NAS direkt, kann man machen, aber von der Datensicherheit her gesehen geht das gar nicht!



    Ich habe mir eine kleine Netgate ins Rack gestellt, die kann Dinge, die weit über das hinaus gehen was so eine Fritz kann.

    Hier läuft mit wenigen Klicks ein DNS Resolver, mit dem ich split DNS nutzen kann und Einträge werden cached und prefetched.

    Alleine das merkt man schon, da Seiten viel schneller reagieren, da der Aufruf direkt erfolgt und nicht erst der nächste DNS im Internet mit der x fachen Antwortzeit reagieren muss.

    Dazu Geoblocking, Addblocking und schnelles IKEv2 mit AES 256 SHA 256 und eine CA gibts auch noch obendrauf.


    Auf der Anderen Seite gibts hier gefühlt 1Mil Einstellungen, für nen IT Freak mega, für einen User Megaoverkill.


    Ein Mittelding ist das GW von Ubiquiti, kann weit mehr als eine Fritz, aber nicht im Ansatz das was eine pfSense kann.

    Hatte ihr auch einen Spezi, der wollte für kleines Geld Standorte verbinden. Hab dem ein Netz aus ASUS Routern zusammengebastelt (OpenVPN)


    Läuft einwandfrei, der hat 30Mbit symmetrisch an den Standorten (in den Philippinen) , die Asus könnten das 5-8 Fache, also ist Luft nach Oben.


    Da muss auf den Clients oder Servern nix mehr eingerichtet werden läuft alles wie von Geisterhand. Und für 160 Euro pro Stück, sind die auch preislich net schlecht.

    Zitat von dolbyman

    Hab dem ein Netz aus ASUS Routern zusammengebastelt (OpenVPN)

    Habe auch noch einen Asus Router im Lager, den ich früher verwendet habe. Kostete damals nicht so viel. Ist aber auch schon weit über 15 Jahre alt. Boten schon damals mehr Konfigurationsoptionen als FritzBoxen. Aber wie zufrieden bist Du mit deren Supportstrategie? Produktupdates und Sicherheitswarnungen kamen mir etwas nachlässig vor.

    Ich verwende Merlin Firmware..die wird ständig aktualisiert.. die meissten Module sind immer auf dem neuesten Stand


    Also nix zu meckern

    Erneut vielen Dank für das super Feedback.


    Kurze Anmerkung wieso ich keine Detaillierten Infos geben kann: Wir haben die Firmen erst vor kurzem übernommen und ich werde mich morgen erst in den Flieger setzten können, um das ganze einmal zu betrachten.


    Ich werde eure Tipps bzgl. der Hardware noch einmal gut überlegen und evtl. das ganze doch schneller vorantreiben. Prinzipiell geht es hier nicht um das Geld, sondern das ein Umbau aktuell nicht in den Zeitplan passen würde und externe nicht in Frage kommen, da ich gerne wissen möchte, was hier wo und wie konfiguriert ist.

    Gerade weil es Firmendaten sind sollte man bei der Sicherheit nicht auf halben weg stehen bleiben. Die Fritz Box ist für den Ottonormalverbraucher sicher eine sehr gute Wahl, aber hat im Businessbereich nichts verloren.

    Wenn Firmen übernommen und Leute in Flieger gesetzt werden...dann ist halt kein Geld mehr da


    Dann nimmt man den Draht und tüddelt den da so drumm..und dann geht das (Werner der Film)