WAN & Internet
Standortvernetzungen von LINOXA, für sicheren und stabilen Datenaustausch.
Hochverfügbare VPN-, SD-WAN- und Routing-Konzepte, die Hauptsitz, Produktion, Niederlassungen und Rechenzentren über das Internet verbinden. Im Vorfeld getestet, bevor sie produktiv gehen.
Sauber dokumentiert
- Topologie, IP-Plan, Routing und Failover-Wege schriftlich festgehalten
- Logins und Konfigurationsänderungen protokolliert, auditierbar für NIS2-Nachweise
Redundanz nach Bedarf
- Optionale redundante WAN-Anbindung, zweiter Provider oder LTE/5G als zusätzlicher Transportpfad
- LINOXA IP Access Flex hält öffentliche IPs oder geroutete Netze über verschiedene Access-Medien stabil
Herstellerunabhängig
- Cisco, Arista, HPE, Huawei, H3C, OPNsense, usw.
- Lösung nach Bedarf, nicht nach Katalog
Passt das zu Ihrer Lage?
Wenn aus einzelnen Verbindungen eine belastbare Architektur werden muss.
Sie sind hier richtig, wenn …
- Mehrere Standorte müssen zuverlässig miteinander verbunden werden.
- Filialen sollen stabil auf zentrale Systeme zugreifen.
- VPN-Verbindungen sind historisch gewachsen und schwer wartbar.
- Gewachsene Strukturen machen Zugriffe, Sicherheitszonen und Verantwortlichkeiten schwer nachvollziehbar.
- Failover ist instabil, Umschaltzeiten sind zu hoch oder Anwendungen brechen beim Leitungswechsel ab.
- Hardware-, Lizenz-, Betriebs- und Ausfallkosten müssen reduziert werden, ohne die Verfügbarkeit zu gefährden.
Zielarchitektur
Mögliche Zielarchitekturen.
Welche Architektur passt, hängt von Standortzahl, Anforderungen und Wachstumsplan ab. Drei typische Hauptvarianten, die in Mittelstands-Umgebungen häufig vorkommen.
Klassisches Site-to-Site-VPN
Für kleinere Umgebungen mit wenigen Standorten.
Hub-and-Spoke über Datacenter
Für zentrale Dienste, Firewalls und kontrollierten Internet-Ausgang.
SD-WAN / Multi-Uplink
Für resiliente Standorte mit Glasfaser, VDSL, LTE/5G oder mehreren Providern.
Weitere Varianten
Nicht jede Vernetzung passt in drei Schubladen.
Dual-Hub / Active-Active
Zwei zentrale Knoten, etwa Hauptsitz und Rechenzentrum, damit ein Hub ausfallen kann.
Partial Mesh
Direkte Standort-zu-Standort-Pfade dort, wo viel Ost-West-Verkehr entsteht.
Cloud- oder Transit-Hub
Zentrale Kopplung über Cloud, Colocation oder eigenes Transit-Segment.
Private WAN + Internet-Fallback
Carrier-Ethernet, MPLS oder Dark Fiber als Primärpfad, Internet/VPN als Backup.
LINOXA IP Access Flex
Ihr Standort bleibt erreichbar, auch hinter 5G.
IP Access Flex sorgt dafür, dass VPNs, Partnerzugänge und freigegebene Dienste von außen unter stabilen öffentlichen IPs erreichbar bleiben, auch über LTE/5G, Starlink oder Anschlüsse hinter Provider-NAT. Fällt ein Access-Weg aus, übernimmt ein anderer, ohne dass Ziel-IP, Firewall-Freigaben oder Cloud-Whitelists angepasst werden müssen.
- Client-VPN und Site-to-Site-VPN bleiben unter derselben Ziel-IP erreichbar
- Cloud-Whitelists und Partner-Freigaben müssen bei Failover nicht angepasst werden
- Die bestehende Kundenfirewall kann Security, NAT und VPN weiter terminieren
Vor dem Cutover
Getestet, bevor es produktiv geht.
Wir bauen Ihre Zielarchitektur vorab als Proof of Concept in einer Netzwerksimulation nach, häufig in GNS3 mit virtuellen Images oder vergleichbaren Appliances der eingesetzten Router und Firewalls.
So lässt sich das Verhalten realitätsnah prüfen, lange bevor in der Produktion ein Kabel angefasst wird. Routing, Failover und Umschaltzeiten werden messbar, nicht nur angenommen. Hardware-, Provider- und Lastgrenzen prüfen wir anschließend im Staging oder in einem kontrollierten Wartungsfenster.
Was wir in der Simulation prüfen
- Leitungsausfälle einzelner Provider und Übertragungsmedien
- Failover-Umschaltzeiten messen und dokumentieren
- Routing-Konvergenz der eingesetzten Protokolle nachvollziehen
- Verhalten bei Teilausfällen und unter definierter Testlast
- Konfiguration validieren, bevor sie auf echte Hardware kommt
Vorgehen
So läuft eine Standortvernetzung.
Bestandsaufnahme
Standorte, Provider, IP-Netze, VPNs, Firewalls und Routing aufnehmen.
Zielbild
Topologie, Sicherheitszonen, Failover und Routing-Strategie festlegen.
Proof of Concept
Zielarchitektur in Simulation oder Staging nachbauen, Leitungsausfälle provozieren, Failover messen.
Umsetzung
VPN, Routing, Firewall-Regeln, Monitoring, Logging und Dokumentation umsetzen.
Übergabe
Betriebshandbuch, Notfallwege und nachvollziehbare Konfiguration übergeben.
Bestandsaufnahme
Standorte, Provider, IP-Netze, VPNs, Firewalls und Routing aufnehmen.
Zielbild
Topologie, Sicherheitszonen, Failover und Routing-Strategie festlegen.
Proof of Concept
Zielarchitektur in Simulation oder Staging nachbauen, Leitungsausfälle provozieren, Failover messen.
Umsetzung
VPN, Routing, Firewall-Regeln, Monitoring, Logging und Dokumentation umsetzen.
Übergabe
Betriebshandbuch, Notfallwege und nachvollziehbare Konfiguration übergeben.
Übergabe & Abnahme
Was am Ende vorliegen muss.
Eine Standortvernetzung ist erst fertig, wenn der Betrieb sie nachvollziehen, prüfen und im Fehlerfall kontrolliert bedienen kann.
- Topologieplan mit Standorten, Providern, Routern, Firewalls und Tunnelbeziehungen
- IP-Plan, Routing-Matrix und Dokumentation der Sicherheitszonen
- Firewall- und Freigabematrix für zentrale Dienste, Standortverkehr und optionalen Internet-Breakout
- Failover-Testprotokoll mit gemessenen Umschaltzeiten, Paketverlust und beobachtetem Routing-Verhalten
- Betriebshandbuch mit Notfallwegen, Ansprechpartnern, Zugangsdokumentation und Rollback-Beschreibung
Erreichbarkeit
Welche Dienste müssen bei Leitungs-, Provider- oder Routerausfall erreichbar bleiben?
Umschaltverhalten
Welche Failover-Zeit ist akzeptabel, und wie viel Paketverlust darf während der Umschaltung auftreten?
Qualität
Welche Grenzwerte gelten für Latenz, Jitter, Paketverlust, Durchsatz, MTU und MSS-Clamping?
Betrieb
Welche Alarme, Logs, Backups und Dokumente müssen vorhanden sein, damit der Betrieb übergabefähig ist?
Technische Bausteine
Die Technik folgt der Anforderung.
Wir wählen die Bausteine nach Anforderung, nicht nach Hersteller-Katalog. Was Sie bereits einsetzen, prüfen wir auf Weiterverwendung. Die folgende Übersicht ist ein Ausschnitt, keine abschließende Liste.
Router & Plattform
VPN & Tunnel
Routing
Pfad & Steuerung
Verschlüsselung
Monitoring & Dokumentation
Protokollierung & Audit
Routing-Policy
Routing planen wir herstellerübergreifend und durchgängig im Dual-Stack: IPv4 und IPv6 gleichwertig, von Adressplan über Routing bis Firewall, damit IPv6 nicht später teuer nachgezogen werden muss. Wir bevorzugen offene und breit unterstützte Protokolle wie BGP, OSPF oder IS-IS. Proprietäre oder herstellerspezifische Protokolle wie EIGRP beherrschen wir ebenfalls, setzen sie aber vor allem dort ein, wo sie im Bestand sinnvoll sind oder eine Migration vorbereitet werden muss.
Aus der Praxis
Typische Standorte in einem Verbund.
Hauptsitz
Zentrale Dienste, kontrollierter Internet-Ausgang und Firewall-Cluster als Knotenpunkt.
Produktion
Produktionsstandorte mit klarer Trennung von Office-IT und Steuerungsnetzen.
Niederlassungen
Stabiler Zugriff auf zentrale Anwendungen, lokaler Internet-Breakout optional.
Rechenzentrum & Colocation
Anbindung eigener oder in einer Colocation betriebener Server, mit Replikation und Redundanz.
OT- und Inselstandorte
Steuerungsnahe Standorte mit eigenem Schutzbedarf, Mobilfunk als Backup-Pfad.
Weitere Standorte
Die Liste ist nicht abschließend. Ob Baustelle, Außenlager oder Sonderfall: Wir binden an, was angebunden werden muss.
Vertiefende Themen
Was oft dazugehört.
Sie haben Fragen?
FAQ
Antworten auf typische Fragen zu VPN, SD-WAN-ähnlichen Overlays, Hub-and-Spoke, Datacenter-Interconnect, Redundanz und Betrieb mehrerer Standorte.
Standorte besprechenNein. Mehrere Uplinks, Lastverteilung und Traffic Engineering lassen sich auch mit klassischem Routing sauber abbilden, etwa mit BGP, OSPF, IS-IS, ECMP, LFA, Segment Routing oder gezielter Policy-Steuerung. So können alle Leitungen gleichzeitig Last tragen (aktiv/aktiv) und die Pfadwahl der Anwendung folgen. Viele Enterprise-Router unterstützen diese Grundlagen im Kern bereits, ohne zusätzliche SD-WAN-Lizenz. SD-WAN lohnt sich vor allem dann, wenn viele Standorte zentral verwaltet, Policies einheitlich ausgerollt und Pfadentscheidungen über eine zentrale Steuerungs- und Verwaltungsschnittstelle betrieben werden sollen.
Oft ja. Entscheidend ist, ob die Geräte Routing, VPN, Monitoring und Dokumentation sauber unterstützen. Wir prüfen den Bestand, bevor wir zu Neuanschaffungen raten.
Ja, sie unterstützt die Nachweisfähigkeit. NIS2 fordert Risikomanagement, Meldefähigkeit und belegbare Schutzmaßnahmen. Eine sauber geplante Standortvernetzung liefert dafür wichtige Grundlagen: Topologie, IP-Plan, Routing und Sicherheitszonen sind dokumentiert, Zugriffe auf Router und Firewalls sowie Konfigurationsänderungen laufen in ein zentrales Logging. So entstehen nachvollziehbare Login- und Änderungsprotokolle für Audit und Incident-Analyse.
Die Kosten hängen von der Standortzahl, der gewünschten Redundanz und den Anschlussmedien ab. Da als Transportmedium das Internet dient, sind die nötigen Leitungen oft schon vorhanden. Vor jeder Umsetzung rechnen wir transparent durch, womit Sie rechnen müssen.
Das hängt von Standortzahl und Komplexität ab. Wir migrieren in Etappen, sodass der Betrieb durchgängig erreichbar bleibt und jeder Schritt einzeln rollbackfähig ist.
Failover-Wege werden vorab definiert und getestet. Fällt ein Transportpfad aus, übernimmt ein anderer. Je nach Architektur bleiben veröffentlichte Service-IP-Adressen, Tunnel-Endpunkte oder geroutete Kundennetze stabil, sodass Clients und Dienste nicht manuell angepasst werden müssen.
Wir bauen die Zielarchitektur vorab als Proof of Concept nach, häufig in GNS3 mit virtuellen Images oder vergleichbaren Appliances. Dort provozieren wir gezielt Leitungsausfälle, prüfen Routing-Konvergenz und dokumentieren Umschaltzeiten. Was nicht sinnvoll simuliert werden kann, prüfen wir später im Staging oder im kontrollierten Wartungsfenster.
Ja, dafür ist LINOXA IP Access Flex gedacht. Der Standort kann über LTE/5G, Starlink, VDSL oder andere Access-Medien angebunden werden und erhält trotzdem eine feste öffentliche IP, ein geroutetes Netz oder optional IP-Transit. Mobilfunk bleibt trotzdem ein Medium mit eigenen Grenzen bei Latenz, Empfang, Datenvolumen und Provider-SLA.
Überlappende Netze sind ein häufiger Migrationsfall. Je nach Zielbild lösen wir das über Renumbering, temporäres NAT, getrennte VRFs oder klare Übergangssegmente. Wichtig ist, diese Konflikte vor dem Cutover zu finden, weil sie später Routing, DNS, Monitoring und Firewall-Regeln schwer nachvollziehbar machen.
Beides ist möglich. Zentraler Breakout vereinfacht Kontrolle, Logging und Policy-Durchsetzung. Lokaler Breakout kann Latenz senken und Cloud-Dienste entlasten. Häufig ist eine Mischung sinnvoll: kritische Dienste zentral, Internet- und SaaS-Verkehr lokal mit klaren Sicherheitsregeln.
Der nächste Schritt
Sprechen wir über Ihre Standorte.
Schicken Sie uns kurz, welche Standorte verbunden werden sollen, welche Anschlüsse vorhanden sind und wo es heute hakt. Wir melden uns mit einer ersten fachlichen Einschätzung zur passenden Standortvernetzung.