Verbinden zweier Bürogebäude über eine Richtfunkstrecke im 5Ghz Bereich

Im Sommer letzten Jahres hat uns ein Kunde darüber informiert, dass eine Büroeinheit gegenüber des Hauptsitzes angemietet wird und Mitarbeiter von einer anderen Außenstelle dorthin umziehen werden.
Es stellte sich nun die Frage, wie man die neue Büroeinheit bestmöglich an das bestehende Netzwerk anbinden kann. Die bisherige Außenstelle war via Site-to-Site-VPN angebunden, allerdings bestand ein Problem darin, dass am Hauptsitz nur SDSL 2500 verfügbar ist.

Aufgrund der örtlichen Gegebenheiten, den potenziellen Einsparungen durch Wegfall eines DSL- / bzw. Kabelanschlusses und den Performancevorteilen, haben wir uns zusammen mit dem Kunden für die Realisierung per Richtfunkstrecke mit Equipment von Ubiquiti entschieden; genauer gesagt für die PowerBridge M5.

Die beiden PowerBridge wurden jeweils an der Außenwand der Gebäude montiert und senden über eine Strecke von rund 50 Metern. Die Konfiguration der beiden PowerBridge ging reibungslos von statten. Nach nun mittlerweile sechs Monaten im produktiven Betrieb überzeugt die Performance nach wie vor: wir erhalten über die Strecke eine Bandbreite von durchschnittlich 100 Mbit/s bei Latenzen <15ms. Weder während VoIP-Telefonaten noch bei Zugriffen auf Dateien und Datenbanken, ist ein subjektiver Unterschied zu den festverkabelten Rechnern im Hauptsitz festzustellen.

2015-02-10-PowerBridge-1 2015-02-10-PowerBridge-2

[Projekt] Standortvernetzung per VPN

In diesem Eintrag präsentieren wir Ihnen die bei einem Kunden kürzlich durchgeführte Standortvernetzung mittels verschlüsselter VPN-Verbindungen; dadurch ist eine sichere Kommunikation bzw. Vernetzung von Außenstellen mit der Firmenzentrale möglich. Für den Benutzer sind die zugrunde liegenden Verbindungen vollkommen transparent: Es fühlt sich an, als wäre man direkt mit dem Netzwerk am Hauptstandort verbunden.

Für Außendienstmitarbeiter, Arbeiten zu Hause oder für den Zugriff aus Hotels haben wir zusätzlich die Möglichkeit implementiert, sich per VPN-Client zu verbinden und sicher auf sensible Daten zuzugreifen.

Um das Projekt umzusetzen, fiel die Wahl auf LANCOM VPN-Router (1781A) in den Niederlassungen, um den bisherigen Router in der Zentrale (1721+ VPN) zu ergänzen. Sämtliche Standorte verfügen über feste IP-Adresse und über ausreichend schnelle Internetverbindungen; die Zentrale ist redundant über VDSL und Kabel angebunden.

Nach der Vorkonfiguration der Router haben wir ein site-to-site VPN aufgebaut, welches mit modp-1024 verschlüsselt ist. Da die Niederlassungen nicht miteinander verbunden sein sollen, sondern nur sternförmig auf die Zentrale zugreifen, wurde die Option der kompletten Vernetzung nicht gewählt. Zudem wurden diverse Firewallregeln erstellt, so dass nur bestimmte Dienste (Webserver Intranet, Dateidienste, Terminaldienste, usw.) aus dem Netz der Niederlassungen genutzt werden können.

Abschließend zur Veranschaulichung eine Visio-Grafik:

Blog_2