VPN Verständnisfrage?
Guten Abend,
ich habe eine Verständnisfrage zu einem VPN-Setup. Ich habe zwei Standorte A und B. An Standort A stehen Backup-Server und NAS, wo das Backup (auch von Server an Standort B) gesichert wird. An Standort A "stehen" weitere Server, u.a. ein VPN Server. Angenommen ich würde die Server an Standort A zum Dauerclient machen, bräuchte ich für die Backups (angenommen, von beiden Seiten initiiert) ein Site-to-Site-Setup oder würde das auch so funktionieren? Wahrscheinlich nicht, weil die Endgeräte an Standort B die Server an Standort A nicht "kennen", obwohl diese verbunden sind?
Vielen Dank.
1 Antwort
Wenn du kein Site2Site machst, muss jedes Endgerät an Standort A ein VPN zu Standort B aufbauen, um mit dem Standort kommunizieren zu können. Wenn Standort B aber mit Standort A kommunizieren soll (z.B. um Backups zu initiieren), wäre ein Site2Site VPN die praktikablere Lösung. Da sollten natürlich entsprechende Netzwerkfilterregeln definiert sein, je nachdem, wie die beiden Standorte sich untereinander vertrauen.
man könnte sich auch mal ein fachman/frau holen oder ? anstatt hier zu frägen .
Client2Site VPNs sind fuer deinen Zweck nicht so empfehlenswert, die timeouten irgendwann oder bekommen sonstige Connection Resets weil $Dinge.
Bei Site2Site Tunnel kann min. eine, je nach Protokoll auch beide Seiten automatisch Reconnecten. Client2Site VPNs sind eher interaktiv (auch beim Thema Auth usw.) und daher recht schwierig in einen "Daemon-artigen" Modus zu versetzen.
Das kostet dich am Ende mehr Zeit und Nerven als dich in die Thematik Site2Site Tunnel einzulesen.
Es gibt einige Open Source Appliances wie z.B. pfsense, opnsense oder IPFire womit man das - wenn mans auf beiden Seiten einsetzt - recht easy hinbekommt. Macht fuer deinen Anwendungsfall ohnehin Sinn an beiden Standorten echt Netzwerk Gateways zu haben (auch fuer DHCP usw.).
Ansonsten kannst du dir mal Wireguard angucken, dann musst du deinen Buechsen aber manuell Routing beibringen fuer Site2Site.
Ich versuche es aktuell mit OpenVPN (Access Server), bekomme es aber bislang nur in die eine Richtung hin.
bei openvpn hat man immer einen Client und einen Server. Man kann den "Client" auf einem Server installieren und so konfigurieren, dass er die Verbindung immer offen hält. Dann auf beiden Servern noch Routing und Firewalls entsprechend konfigurieren, dann klappt die Kommunikation auch in beide Richtungen.
Vielen Dank für die Antwort. Dass Site-to-Site praktikabler wäre, ist klar. Allerdings habe ich im Moment Probleme, dies hinzubekommen (und eventuell auch zu verstehen). Was ich nun tun könnte, ist als Zwischenlösung, an beiden Standorten einen VPN Server aufzusetzen und wechselseitig Verbindungen herzustellen. Perspektivisch sollte es für Standort B dann aber nicht mehr erforderlich sein, als VPN Client zu fungieren.