Im Test: Peplink InControl2 – PepVPN/SpeedFusion (Teil 2)

Dr. Götz Güttich

In diesem Artikel (Teil eins unserer Peplink-Testserie findet sich hier) steht der Aufbau einer verschlüsselten Verbindung zu einer externen Gegenstelle im Mittelpunkt. Darüber hinaus befassen wir uns mit dem Zusammenfassen von mehreren Verbindungen und dem Einrichten von redundanten WAN-Connections. Im Test fand wieder der im ersten Teil des Tests eingesetzte Router “Peplink Balance 20X” Verwendung. Als Gegenstelle verwendeten wir einen “Peplink Fusion Hub”, dabei handelt es sich um eine Software-Lösung.

Die Konfiguration unseres zweiten WAN-Zugangs über eine SIM-Karte (Screenshot: IT-Testlab Dr. Güttich)

Die Peplink-Komponenten unterstützen zwar IPSec, diese Technologie wird aber in der Regel nur in Umgebungen eingesetzt, in denen dies aus Kompatibilitätsgründen erforderlich ist oder in denen auch Geräte von Drittherstellern eingebunden werden müssen. Leistungsfähiger und einfacher konfigurierbar: das so genannte PepVPN. Dieses kann in drei unterschiedlichen Szenarien zum Einsatz kommen. Erstens, um eine sichere, verschlüsselte Verbindung zwischen zwei Peplink-Routern herzustellen. Zweitens für eine Anbindung an die “Fusion Cloud” von Peplink, die aus einer Vielzahl von Einwahlknoten (den SpeedFusion Cloud Nodes) besteht, die in vielen Rechenzentren – beispielsweise bei AWS – auf der ganzen Welt zur Verfügung stehen und mit denen sich dann die Router verbinden können. Auf diese Art und Weise haben die Anwender immer die beste Performance, da unter anderem die Möglichkeit besteht, den nächsten Einwahlknoten über die GPS-Position des Routers zu bestimmen. Das spielt vor allem bei der Anbindung von Autos und Flugzeugen eine wichtige Rolle.

Das dritte mögliche Szenario – das wir auch in diesem Test verwenden – ist der Aufbau einer Verbindung in die Unternehmenszentrale über einen dort lokal installierten Peplink Fusion Hub. Dieser steht den Anwendern für die Einbindung einer Gegenstelle kostenlos zur Verfügung. Er kommt als Virtuelle Maschine und lässt sich einfach in einen Hypervisor wie VMwares ESXi importieren. Danach können die zuständigen Mitarbeiter den Fusion Hub über ein Web-Interface verwalten, das genauso aufgebaut wurde, wie das des Routers. Bei unserem Balance-Router hatten wir für den heutigen Test eine SIM-Karte eingesetzt, um neben unserer normalen Glasfaser- noch eine zweite WAN-Verbindung zu realisieren.

Im Test befassen wir uns erst einmal mit dem Aufbau eines PepVPN mit Hilfe des zentralen Management-Werkzeugs “InControl2”, das letzte Woche im Fokus der Testserie stand. Loggt sich ein Administrator bei InControl2 ein, so hat er unter dem Menüpunkt “PepVPN / SpeedFusion” die Option, das VPN zu aktivieren und ein entsprechendes Profil anzulegen. Im nächsten Schritt startet dann ein Wizard, der zunächst einmal die für die Verbindung gewünschte Topologie wissen möchte. Dafür stehen “Star”, “Fully Meshed” und “Point-to-Point” zur Verfügung. Wir entschieden uns an dieser Stelle für Point-to-Point. Danach geht es an die Auswahl der beteiligten Komponenten (also Router, Hubs, etc.), die zu diesem Zeitpunkt bei InControl2 angemeldet sein müssen.

Die Profil-Optionen eines PepVPNs im entsprechenden Konfigurations-Wizard von InControl2 (Screenshot: IT-Testlab Dr. Güttich)

Sobald diese Angaben gemacht wurden, fragt der Wizard nach den Profil-Optionen. An dieser Stelle vergeben die Administratoren zunächst einmal einen Namen für das Profil, aktivieren optional die 256-Bit-AES-Verschlüsselung und schalten bei Bedarf das Bonding ein, also die Zusammenfassung mehrerer WAN-Anschlüsse für das Profil. Außerdem lassen sich Funktionen wie “WAN Smoothing” und “Forward Error Correction” aktivieren, die “Path Cost” festlegen und eine “Link Failure Detection Time” zwischen einer Sekunde und 15 Sekunden definieren. Zum Schluss zeigt der Assistent dann eine Zusammenfassung an und aktiviert das Profil. Auf diese Weise realisieren die Administratoren innerhalb kürzester Zeit die von ihm benötigten WAN-Verbindungen, im Test brauchten wir dazu nur wenige Minuten. 

PepVPNs und SpeedFusion mit dem lokalen Management-Interface

Die Konfiguration der WAN-Verbindungen über InControl2 geht zwar schnell und einfach, die Peplink-Komponenten können aber noch mehr. Sollen für die PepVPNs noch zusätzliche Konfigurationsschritte durchgeführt werden, so müssen die Administratoren auf die lokalen Management-Werkzeuge der Router beziehungsweise Hubs zugreifen. Das stellt übrigens auch aus der Ferne kein Problem dar, da InControl2 seinen Nutzern die Option bietet, das Management-Tool der betroffenen Komponenten direkt über die Cloud einzusetzen, die Administratoren müssen sich dazu also nicht im LAN befinden.

Im lokalen Verwaltungswerkzeug haben sie die Option, unter “Network / PepVPN” ein VPN-Profil anzulegen, das zunächst wieder einen Namen erhält und es möglich macht, die Verschlüsselung zu aktivieren. Der Verbindungsaufbau wird hier über eine lokale und eine entfernte ID sowie einen Preshared-Key realisiert. Außerdem lässt sich ein NAT-Mode aktivieren, über den der lokale DHCP-Server dem entfernten Netz eine IP-Adresse für die Verwendung im VPN zuweist. Zusätzlich besteht auch die Option, die IP-Adresse der Gegenstelle (in unserem Fall war das der Fusion Hub) anzugeben, ein Bandbreitenlimit festzulegen und Ähnliches. Zum Schluss definieren die zuständigen Mitarbeiter noch die “WAN Connection Priority”. Diese legt fest, welche WAN-Verbindung wann zum Einsatz kommen soll. Zum Beispiel kann der Ethernet-basierte WAN-Anschluss als Standard festgelegt werden. Wenn dieser ausfällt, wechselt das System spätestens nach der in der “Link Failure Detection Time” festgelegten Zeit auf einen alternativen Anschluss. Auf unserem System standen uns hier “Cellular” oder “Mobile Internet” zur Verfügung, letzteres bezeichnet ein angeschlossenes USB-Gerät. Ist die Bonding-Funktion aktiv, so besteht auch die Möglichkeit, bestimmte WAN-Anschlüsse zu bündeln, indem man ihnen die gleiche Priorität zuweist.

Das Profil des PepVPN im lokalen Verwaltungswerkzeug unseres Routers mit der WAN Connection Priority (Screenshot: IT-Testlab Dr. Güttich)

Zusammenfassung und Fazit

Nachdem wir die für unsere Verbindung erforderlichen Angaben auf beiden Seiten gemacht hatten und das Profil aktiv war, konnten wir sofort über die neue VPN-Verbindung arbeiten. Im Betrieb verhielt sich das System anschließend wie erwartet und wir verfügten über eine stabile Verbindung. Während der Konfiguration fiel es positiv auf, dass das Management-Tool des Hubs wie erwähnt genauso gestaltet wurde, wie das des Routers, so dass es nicht erforderlich ist, sich mit einem anderen Interface vertraut zu machen.

Die PepVPNs lassen sich bei Bedarf über InControl2 schnell und fast automatisch einrichten. Bei der Konfiguration über dieses zentrale Verwaltungswerkzeug ist es besonders positiv zu vermerken, dass sich die Administratoren nicht mit Konfigurationsparametern wie der IP-Adresse der jeweiligen Gegenstelle auseinandersetzen müssen, da InControl2 diese ja bereit kennt.

Bei höheren Anforderungen lassen sich über die lokalen Interfaces noch weitere Funktionen nutzen. Sie versetzen die zuständigen Mitarbeiter in die Lage, ihre VPN-Verbindungen exakt an ihre Anforderungen anzupassen. Im letzten Teil des Tests nächste Woche wird das Captive Portal der Peplink-Lösung im Mittelpunkt stehen.

Anmerkung:

Wir haben diesen Test im Auftrag des Herstellers durchgeführt. Der Bericht wurde davon nicht beeinflusst und bleibt neutral und unabhängig, ohne Vorgaben Dritter. Diese Offenlegung dient der Transparenz.

Weitere Informationen: https://vitel.de