Im zweiten Teil unserer Peplink-Testserie befassen wir uns mit dem Aufbau einer sicheren Verbindung zu einer Gegenstelle, der Konfiguration redundanter WAN-Strecken und dem Zusammenfassen von Verbindungen. Dazu verwendeten wir wieder den bei uns vorhandenen Peplink Balance 20X und zusätzlich als Gegenstelle einen Peplink Fusion Hub.
Der “Peplink Balance 20X”-Router ist die Basis für den Test des Management-Tools InControl2 von Peplink – und hier heute speziell PepVPN und SpeedFusion.
(Bild: Peplink / Güttich)
Die Peplink-Komponenten unterstützen zwar IPSec, diese Technologie wird aber in der Regel nur in Umgebungen eingesetzt, in denen dies aus Kompatibilitätsgründen erforderlich ist oder in denen auch Geräte von Drittherstellern eingebunden werden müssen. Leistungsfähiger und einfacher konfigurierbar ist das so genannte PepVPN.
Dieses kann in drei unterschiedlichen Szenarien zum Einsatz kommen. Erstens, um eine sichere, verschlüsselte Verbindung zwischen zwei Peplink-Routern herzustellen. Zweitens für eine Anbindung an die “Fusion Cloud” von Peplink, die aus einer Vielzahl von Einwahlknoten (den SpeedFusion Cloud Nodes) besteht, die in vielen Rechenzentren – beispielsweise bei AWS – auf der ganzen Welt zur Verfügung stehen und mit denen sich dann die Router verbinden können. Auf diese Art und Weise haben die Anwender immer die beste Performance, da unter anderem die Möglichkeit besteht, den nächsten Einwahlknoten über die GPS-Position des Routers zu bestimmen. Das spielt vor allem bei der Anbindung von Autos und Flugzeugen eine wichtige Rolle.
BILDERGALERIE
Das dritte mögliche Szenario – das wir auch in diesem Test verwenden – ist der Aufbau einer Verbindung in die Unternehmenszentrale über einen dort lokal installierten Peplink FusionHub. Dieser steht den Anwendern für die Einbindung einer Gegenstelle kostenlos zur Verfügung. Er kommt als virtuelle Maschine und lässt sich einfach in einen Hypervisor wie VMwares ESXi importieren. Danach können die zuständigen Mitarbeiter den FusionHub über ein Web-Interface verwalten, das genauso aufgebaut wurde, wie das des Routers. Bei unserem Balance-Router hatten wir für den heutigen Test eine SIM-Karte eingesetzt, um neben unserer normalen Glasfaser– noch eine zweite WAN-Verbindung zu realisieren.
Im Test befassen wir uns erst einmal mit dem Aufbau eines PepVPN mit Hilfe des zentralen Management-Werkzeugs “InControl2” das letzte Woche im Fokus der Testserie stand. Loggt sich ein Administrator bei InControl2 ein, so hat er unter dem Menüpunkt “PepVPN / SpeedFusion” die Option, das VPN zu aktivieren und ein entsprechendes Profil anzulegen. Im nächsten Schritt startet dann ein Wizard, der zunächst einmal die für die Verbindung gewünschte Topologie wissen möchte. Dafür stehen “Star”, “Fully Meshed” und “Point-to-Point” zur Verfügung. Wir entschieden uns an dieser Stelle für Point-to-Point. Danach geht es an die Auswahl der beteiligten Komponenten (also Router, Hubs, etc.), die zu diesem Zeitpunkt bei InControl2 angemeldet sein müssen.
Sobald diese Angaben gemacht wurden, fragt der Wizard nach den Profil-Optionen. An dieser Stelle vergeben die Administratoren zunächst einmal einen Namen für das Profil, aktivieren optional die 256-Bit-AES-Verschlüsselung und schalten bei Bedarf das Bonding ein, also die Zusammenfassung mehrerer WAN-Anschlüsse für das Profil. Außerdem lassen sich Funktionen wie “WAN Smoothing” und “Forward Error Correction” aktivieren, die “Path Cost” festlegen und eine “Link Failure Detection Time” zwischen einer Sekunde und 15 Sekunden definieren. Zum Schluss zeigt der Assistent dann eine Zusammenfassung an und aktiviert das Profil. Auf diese Weise realisieren die Administratoren innerhalb kürzester Zeit die benötigten WAN-Verbindungen, im Test brauchten wir dazu nur wenige Minuten.
PepVPNs und SpeedFusion mit dem lokalen Management-Interface
Die Konfiguration der WAN-Verbindungen über InControl2 geht zwar schnell und einfach, die Peplink-Komponenten können aber noch mehr. Sollen für die PepVPNs noch zusätzliche Konfigurationsschritte durchgeführt werden, so müssen die Administratoren auf die lokalen Management-Werkzeuge der Router beziehungsweise Hubs zugreifen. Das stellt übrigens auch aus der Ferne kein Problem dar, da InControl2 seinen Nutzern die Option bietet, das Management-Tool der betroffenen Komponenten direkt über die Cloud einzusetzen, die Administratoren müssen sich dazu also nicht im LAN befinden.
Im lokalen Verwaltungswerkzeug haben sie die Option, unter “Network / PepVPN” ein VPN-Profil anzulegen, das zunächst wieder einen Namen erhält und es möglich macht, die Verschlüsselung zu aktivieren. Der Verbindungsaufbau wird hier über eine lokale und eine entfernte ID sowie einen Preshared-Key realisiert. Außerdem lässt sich ein NAT-Mode aktivieren, über den der lokale DHCP-Server dem entfernten Netz eine IP-Adresse für die Verwendung im VPN zuweist. Zusätzlich besteht auch die Option, die IP-Adresse der Gegenstelle (in unserem Fall war das der FusionHub) anzugeben, ein Bandbreitenlimit festzulegen und Ähnliches.
Zum Schluss definieren die zuständigen Mitarbeiter noch die “WAN Connection Priority”. Diese legt fest, welche WAN-Verbindung wann zum Einsatz kommen soll. Zum Beispiel kann der Ethernet-basierte WAN-Anschluss als Standard festgelegt werden. Wenn dieser ausfällt, wechselt das System spätestens nach der in der “Link Failure Detection Time” festgelegten Zeit auf einen alternativen Anschluss. Auf unserem System standen uns hier “Cellular” oder “Mobile Internet” zur Verfügung, letzteres bezeichnet ein angeschlossenes USB-Gerät. Ist die Bonding-Funktion aktiv, so besteht auch die Möglichkeit, bestimmte WAN-Anschlüsse zu bündeln, indem man ihnen die gleiche Priorität zuweist.
Zusammenfassung und Fazit
Nachdem wir die für unsere Verbindung erforderlichen Angaben auf beiden Seiten gemacht hatten und das Profil aktiv war, konnten wir sofort über die neue VPN-Verbindung arbeiten. Im Betrieb verhielt sich das System anschließend wie erwartet und wir verfügten über eine stabile Verbindung. Während der Konfiguration fiel es positiv auf, dass das Management-Tool des Hubs wie erwähnt genauso gestaltet wurde, wie das des Routers, so dass es nicht erforderlich ist, sich mit einem anderen Interface vertraut zu machen.
Die PepVPNs lassen sich bei Bedarf über InControl2 schnell und fast automatisch einrichten. Bei der Konfiguration über dieses zentrale Verwaltungswerkzeug ist es besonders positiv zu vermerken, dass sich die Administratoren nicht mit Konfigurationsparametern wie der IP-Adresse der jeweiligen Gegenstelle auseinandersetzen müssen, da InControl2 diese ja bereit kennt.
Bei höheren Anforderungen lassen sich über die lokalen Interfaces noch weitere Funktionen nutzen. Sie versetzen die zuständigen Mitarbeiter in die Lage, ihre VPN-Verbindungen exakt an ihre Anforderungen anzupassen. Im letzten Teil des Tests, der übermorgen an dieser Stelle erscheint, wird das Captive Portal der Peplink-Lösung im Mittelpunkt stehen.
Die weiteren Artikel der dreiteiligen Mini-Serie finden Sie jeweils zum Erscheinungszeitpunkt hier verlinkt:
Zentrales Infrastrukturmanagement via Browser
Die Peplink-Produkte im Test (Teil 1)
Captive Portal: Social-Wi-Fi von zentraler Stelle aus
Im Test: InControl2 von Peplink – Teil 3
Über den Autor
Der Leiter des IT-Testlab – Dr. Götz Güttich – verfügt über rund 20 Jahre Branchenerfahrung als IT-Consultant und Fach- beziehungsweise Chefredakteur im IT-Umfeld. Aufgrund seiner langjährigen umfangreichen Testtätigkeit für führende deutsche Netzwerkmagazine beschränken sich seine Fähigkeiten nicht auf die Theorie des IT-Geschäfts.
Dr. Güttich bringt auch umfassende praktische Kenntnisse aus dem Einsatz unterschiedlichster Lösungen in Unternehmensnetzen mit. Seine Schwerpunkte liegen in den Bereichen Cloud, Mobile Computing, IT-Sicherheit, Storage, Netzwerkmanagement, Netzwerkbetriebssysteme, Terminalserver und Virtualisierung.
Dr. Götz Güttich ist Leiter des IT-Testlab.
(Bild: IT-Testlab)
