Zwei Unternehmensstandorte (mit JTL-Wawi) per VPN verbinden
Einer meiner Kunden trat vor einigen Tagen mit einer besonderen Aufgabe an mich heran, ich sollte zwei Unternehmensstandorte mit möglichst geringem monetären Aufwand miteinander verbinden.
Eine Herausforderung hierbei war dass einer der Anschlüsse ein LTE-Anschluss und kein DSL-Anschluss war. Das Problem an einem solchen LTE-Anschluss ist, dass die Provider hier keine „eigene“ IP-Adresse bereitstellen und nur mit „Ports“ arbeiten. Bei diesem Verfahren wird durch NAT eine IP-Adresse für viele Kunden genutzt, was zur Folge hat, dass der Anschluss von „außen“ nicht direkt ansprechbar ist.
An einem Standort stand dementsprechend ein Telekom-LTE-Router und und am anderen Standort eine Fritzbox (DSL) bereit.
Der Kunde setzt die JTL-Warenwirtschaft mit einer auf Android basierenden Kasse (JTL-POS), einen Netzwerkspeicher und diverse Netzwerkdrucker ein.
Ziel des Projekts war es, dass sowohl die Kasse als auch die Computer am Standort mit dem LTE-Router auf den JTL-Server, den Netzwerkspeicher und die Drucker am anderen Unternehmenssitz zugreifen können. Gleichzeitig sollte die Geschwindigkeit bzw. Performance des VPNs hoch sein, denn die Datentransferraten und Latenzzeiten waren bereits durch den LTE-Anschluss eingeschränkt. Auch Sicherheitsaspekte sollten berücksichtigt werden.
Ich habe mich daher dazu entschlossen dem Kunden eine Lösung auf Basis von Wireguard zu empfehlen.
Während der Einrichtung stießen wir hierbei auf ein neues Problem bei dem Standort mit dem DSL-Anschluss. Der Provider des Kunden vergab hier keine IPv4-Adresse mehr, sondern nur noch IPv6-Adressen. Daher war der auf dieser Seite eingerichtete Wireguard-Server von außen nicht zu erreichen.
Glücklicherweise konnte eine IPv4-Adresse nach einem Anruf beim Provider hinzugebucht werden. Danach funktionierten auch die Portfreigaben und der Wireguard-Server war von außen ansprechbar.
Dementsprechend konnte die Lösung dann erfolgreich für den Kunden implementiert werden und der Standort mit dem LTE-Anschluss kann ohne Probleme auf den JTL-Server und alle anderen Netzwerkgeräte (wie Netzwerkspeicher und Drucker) zugreifen.
Sollte Sie auch vor der Herausforderung stehen zwei Standorte miteinander verbinden zu müssen, zögern Sie nicht mir eine Nachricht über mein Kontaktformular zukommen zu lassen.
Warum Wireguard?
Wireguard bietet unter den verfügbaren VPN-Protokollen die beste Performance und ist Open-Source. Auch antwortet der Wireguard-Server nicht auf alle Anfragen am Wireguard-Port, weshalb es schwierig ist einen Wireguard-Server zu identifizieren. Ohne das „Wissen eines vorhandenen Wireguard-Servers“ werden Angriffe natürlich weiter erschwert, denn Angreifer müssten blind alle IP-Adressen und Ports „angreifen“. Die Dienste hinter dem Wireguard-VPN – wie z. B. der Microsoft SQL-Datenbankserver für die JTL-Wawi – sind von außen (ohne Login in das VPN) nicht sichtbar und weiterhin abgeschottet.