VPN zwischen 3 Standorten mit Backup

[Narox]

Guten Tag

Ich habe eine Fritzbox 7590 an meinem Hauptstandort und möchte 2 weitere Standorte (verschiedene Router; nicht VPN fähig) per VPN verbinden. Außerdem soll nächtlich ein bestimmter Ordner vom Hauptstandort an Standort 2 gesichert werden (verschlüsselt).

Überlegung:
Ich würde die Fritzbox als VPN Master/Server einrichten und dann auf den PCs der anderen Standorte jeweils das Tool Fritz!Fernzugang für Windows (https://avm.de/service/vpn/uebersicht/) installieren. Alle PCs laufen 24/7.

Das Backup könnte ich dann über die VPN Verbindung mit dem Tool Areca Backup nächtlich durchführen.

Fragen:
1. Passt die Überlegung zum VPN einrichten?
2. Habe ich dann pro Standort ein normales Netzwerk und ein Interface für VPN?
3. Hat jemand Erfahrung mit dem Tool Areca und funktioniert die Sicherung über VPN oder gibt es da eine gängigere Lösung?

Danke für die Hilfe

 

[Madman1209]

Hi,

hier geht es nur um eine private Nutzung, nicht um eine Firma, oder?

1. Grundsätzlich passt das
2. Je nachdem, wie das VPN eingerichtet ist wird entweder nur spezieller Traffic oder der gesamte Traffic getunnelt.
3. Sofern mit dem Tool eine Sicherung im Netzwerk funktioniert geht es.

Bedenke aber die Limitierungen bzgl. der Geschwindigkeit, einmal die der Leitung und dann noch die der FritzBox bzgl. VPN!

VG,
Mad

 

[Lawnmower]

Wie gross ist die Datenmenge? Grundsätzlich geht das was Du schreibst, potentielle Probleme sehe ich bei der VPN Performance der Fritzbox (soweit ich weiss ist die sehr bescheiden) und dem Upload der Internetleitung am Hauptstandort. Wenn der Upload schnell ist, wäre evtl eher einen dedizierten VPN Server hinter die Fritzbox sinnvoller der dann die Verschlüsslung auch in Hardware unterstützt.

 

[Narox]

Danke für die schnellen Antworten.

Doch es geht um die Nutzung von einem kleinen Betrieb. Das VPN dient dabei der Verbindung 3er Kassen, die sich nach Ladenschluss synchronisieren.

Das Backup ist nur ein paar MB groß. Also generell keine große Datenmenge und die Geschwindigkeit wäre in diesem Anwendungsfall auch nicht so wichtig.

 

[forceafn]

Wie gross ist die Datenmenge? Grundsätzlich geht das was Du schreibst, potentielle Probleme sehe ich bei der VPN Performance der Fritzbox (soweit ich weiss ist die sehr bescheiden) und dem Upload der Internetleitung am Hauptstandort. Wenn der Upload schnell ist, wäre evtl eher einen dedizierten VPN Server hinter die Fritzbox sinnvoller der dann die Verschlüsslung auch in Hardware unterstützt.

Oder gleich ne vernünftige Apliance ;-)

 

[morphispiz]

Ich würde hier 3 anständige Firewalls holen und zwischen denen Site-2-Site VPN Verbindungen aufbauen.

 

[Prime2k]

Ich lese mal gerne mit, hat hier jemand eine Empfehlung für ein gutes VPN Programm zur Standortverbidung?

 

[gaym0r]

Ich lese mal gerne mit, hat hier jemand eine Empfehlung für ein gutes VPN Programm zur Standortverbidung?

Ein Programm? Die Frage ist ja auf welchem Gerät dieses "Programm" dann läuft. Direkt auf den Kassen, wie hier im Beispiel? Schwierig.

Der neueste Scheiß ist Wireguard, ist aber noch nicht stable. Kann man auf zig Geräten und Betriebssystemen installieren.
Klassisch ist OpenVPN oder strongswan oder direkt ein VPN-Gateway, was aber meist auf strongswan o.ä. aufsetzt.

 

[Madman1209]

Hi,

morphispiz hat definitiv Recht: weg mit den FritzBoxen und vernünftige Firewall holen! Unifi hat hier schöne, günstige Geräte im Angebot, die Site-to-Site VPN wunderbar machen können.

VG,
Mad

 

[Olunixus]

Wenn auch am Haupt Standort ein PC 24/7 läuft, kann dieser den VPN Server stellen. Dann umgehst du die lahme VPN Performance der Fritzbox und brauchst keine neue Hardware. Andererseits sollte für ein paar MB die Fritzbox locker langen.

Areca ist gut - nutze ich lokal im Netzwerk. Über VPN hab ich das noch nicht probiert: ich hatte nur hin und wieder Probleme, wenn Netzlaufwerke die als Ziel eingegeben waren nicht erreichbar sind.

Wenn ich die Tatsache das es um eine Firma geht mal außen vor lasse, hätte ich gesagt go for it und probier es aus - sollte technisch klappen.

 

[Lawnmower]

Theoretisch könnte man auch, nur zum ein bisschen Daten übertragen so wie es der TE beschreibt, das auch per (S)FTP Server machen der im Hauptsitz läuft und die Aussenstellen laden die Daten automatisiert per Batch drauf. Das Setup dafür dürfte einiges einfacher sein und die Performance am besten ausfallen, wenn die Aussenstellen fixe WAN IPs haben, dann kann man den Zugriff auch noch effektiv direkt auf der Fritzbox einschränken.

 

[snaxilian]

Das VPN dient dabei der Verbindung 3er Kassen

Da liegt der Hund begraben.

VPNs gibt es in verschiedenen Varianten.
Client to Client (direkte Verbindung zwischen zwei PCs)
Client to Site (ein Client verbindet sich mit einem entfernten Netzwerk [über einen "VPN-Server"])
Site to Site (zwei Netze werden durch einen VPN Tunnel verbunden).

Installierst du die AVM Software auf einem PC ist nur dieser mit dem entfernten Netz verbunden.
Wenn dieser PC die Kassen sichert kann der PC das Backup weiter schicken zu dem entfernten Netz mit dem AVM-Router. Wenn die Kassen selbst das Backup ausführen, dann müssen diese das entfernte Netz bzw. den Weg dorthin kennen.

 

[gaym0r]

morphispiz hat definitiv Recht: weg mit den FritzBoxen und vernünftige Firewall holen! Unifi hat hier schöne, günstige Geräte im Angebot, die Site-to-Site VPN wunderbar machen können.

Warum sollten die Fritzboxen nicht ausreichen? Der einzige negativpunkt ist die grottige Performance der Fritzboxen, aber es geht hier nur um sehr kleine Datenmengen.

 

[DocWishbone]

Für die Standortvernetzung würde ich Site-to-Site verwenden. Dann kann man auch die Backups hin und herschieben, wie man möchte. Am einfachsten auf ein zentral freigegebenes Netzlaufwerk auf dem Server.

Wir verwenden Draytek-Router dafür. Die laufen sehr stabil und sind preislich nicht zu abgehoben.

 

[hpxw]

Über fritzbox vpn kriegst du nicht mehr als 10 mbit/s durch, nur zur info

 

[Narox]

Guten Morgen

Danke soweit. Hab nun einiges besser verstanden. Zur Klarstellung sei noch gesagt, eine Kasse ist ein PC. Also auf dem PC ist die Kassensoftware installiert und alle Kassen verbinden sich mit einem PC bei Standort 1, der die Sync Software drauf hat und 24/7 läuft.

Client to Site (FritzBox als VPN Server) wäre wohl die einfache, schnelle und kostengünstige Lösung und vermutlich für den reinen Zweck ausreichend.

Site-to-Site wäre zwar etwas teurer und aufwendiger, aber die saubere Lösung.

So mal für mich als persönliches Fazit. Ich Danke euch.

 

[snaxilian]

Für den stabilen Betrieb muss natürlich an allen drei Standorten unterschiedliche interne Subnetze verwendet werden, z.B. 192.168.1.0/24 an Standort 1, 192.168.2.0/24 an Standort 2 und 192.168.3.0/24 an Standort 3.

Ebenso weiß ich aktuell nicht ob du problemlos mit zwei Clients aus einem Standort gleichzeitig ein VPN zum primären Standort aufbauen kannst, das müsstest du testen. Mögliche Lösungen wäre es entweder vernünftig mit site-to-site VPNs zu lösen oder die Clients zeitversetzt sichern zu lassen. Also z.B. um 22 Uhr verbindet sich per Script Client_1 mit dem Server, macht sein Backup und beendet den Tunnel wieder um 23 Uhr dann Client_2 usw. usf.