SD-WAN/VPN-Multifunktions-Router auf dem Prüfstand Im Test: Peplink Pepwave Max HD4 LTE

Der Peplink Pepwave Max Cellular Router vom Typ HD4 ist ein ganz besonderer Router. Mit seinen zahlreichen LAN-, WLAN-, WAN- und LTE-Schnittstellen und seiner ausgefuchsten Management-Oberfläche beherrscht der kompakte und robuste Router SD-WAN und VPN wie kaum ein zweiter. Doch wie so oft steckt auch beim HD4 die meiste Finesse im Detail.

Neben den vielen kleinen Antennen, die aus dem Gerät herauslugen, zeigen die vorhandenen Zertifikate, dass der HD4 im einfachen Büroeinsatz unterfordert wäre: E-Mark als Bauartgenehmigung beziehungsweise Typengenehmigung für zulässige Verwendung in Kraftfahrzeugen, EN 61373:2010 als Bestätigung der Unempfindlichkeit gegenüber Schock- und Schwingbewegungen im Einsatz als Betriebsmittel von Bahnfahrzeugen und die EN 50155 zur Bestätigung der „Bahntauglichkeit“. Der HD4 ist für den mobilen Einsatz wortwörtlich klassifiziert.

Für Clients liefert der HD4 DHCP mit freier Optionszuordnung, DHCP-Reservierung, DNS-Proxy und volle VLAN-Unterstützung. Als „Captive Portal Support“ bietet sich eine optisch recht frei anpassbare Webanwendung an, die den Zugriff für kabelgebundene und WLAN-gestützte Client-Systeme regelt, RADIUS Authentifizierung unterstützt und von Haus aus mit Zeit- und Datenmengenquoten umzugehen weiß.

Auch in puncto Sicherheit und Netzwerk-Features bietet der HD4 alles, was ein Administrator aktuell verlangen könnte: Stateful Firewall, DoS-Prävention, anpassbare Filter für ein Web Blocking, NAT/IP-Forwarding sowie statisches und dynamisches Routing. Alle Funktionalitäten liefert die Pepwave MAX Firmware von Haus aus mit, ohne dass sich der IT-Profi durch einen Dschungel von Optionen durchhangeln müsste. Auf die umfassenden VPN-Funktionen, das Load Balancing und das Internet-gestützte Management mit „InControl 2“ kommen wir später noch zu sprechen. Die IPsec VPN-Network-to-Network-Kommunikation gilt zu anderen Peplink- beziehungsweise Pepwave-Systemen, aber auch zu den am Markt sehr weit verbreiteten Produkten von Cisco und Juniper.

Die Firma Peplink ist seit 2006 mit 500 Partnern in circa 70 Ländern aktiv und verfügt über mehr als 30 Patente im Bereich der SD-WAN-Technologie und der Übertragungsoptimierung SpeedFusion. Auch heute liegt der Fokus eindeutig auf der Entwicklung – Zweidrittel der Mitarbeiter sind im Bereich „Research und Development“ beschäftigt.

Anschlussfreudigkeit ab Werk

Der Pepwave Max HD4 LTE ist ein äußerst flexibler Router für den robusten Einsatz in rauen Umgebungen. Neben acht Gigabit-Ethernet-Ports bietet das aus massivem Metall gefertigte Gerät zwei weitere Gigabit-Ports zur WAN-Anbindung und insgesamt vier integrierte 3G/4G/LTE-Mobilfunk-Verbindungen an. Auf der Homepage nennt der Hersteller die in den USA bekannten Anbieter Verizon, Spring, AT&T, T-Mobile, Rogers, Telus, Bell, Firstnet und US Cellular als „compatible carriers“. In unserem Test konnten wir die sichere Zusammenarbeit mit den in Deutschland gebräuchlichen Mobilfunkpartner Telekom, Vodafone und O2/Telefónica prüfen.

Ein externes WLAN-Modem kann, falls erforderlich, zudem als weitere Möglichkeit via USB angeschlossen werden. Das integrierte 802.11 ac/a/b/g/n-Wi-Fi-WLAN-System mit 1.166 Mbps 2x2 MIMO könnte der Administrator ebenfalls in einen Modus versetzen, indem es als weitere Uplink-Einheit zur WAN-Anbindung fungiert. Der Dual Band WiFi-Betrieb ist bei einer Sendeleistung von 24dBm für 2,4 GHz und 18 dBm im 5,0 GHz-Band möglich – falls der Router direkt als Access Point zum Einsatz kommen soll. Zur WAN-Anbindung unterstützt der Router PPPoE, statische IP-Zuordnung, DHCP, IPv6 und dynamische DNS-Dienste. Der integrierte „WAN Link Health Check“ stellt sicher, dass, sofern vom Administrator gewünscht, im Zweifelsfall das Gerät auf eine andere WAN-Anbindungstechnik wechselt.

Auf der Vorderseite sind neben den insgesamt zehn Ethernet-Ports, wovon acht auch als PoE-fähig deklariert sind (mit POE Aktivierungs-Kit), die insgesamt vier Antennenanschlüsse für die WLAN-Interfaces zu finden. Die passenden Antennen liefert der Hersteller ebenso mit wie die insgesamt acht internen Antennen für die rückseitig angebrachten SIM/Mobilfunk-Module. Die SIM-Karten im Mini-SIM-Format (2FF) steckt der IT-Profi wie bei einem Mobiltelefon direkt ein. Weiter entdeckt der Administrator auf der Rückseite zwei redundante Stromanschlüsse für 12-56 Volt und einen Kabelblock. Ein Erdungsanschluss, ein weiterer Antennenanschluss für das GPS-Signal sowie eine Kensington-Diebstahlsicherung runden die Anschlussfreudigkeit des Pepwaves Max HD4 LTE ab.

Den vom Hersteller angegebenen, erfreulich geringen Stromverbrauch von maximal 38 Watt konnten wir im Rahmen unserer Testphase bestätigen. Während der Einsatzzeit wurde das Gerät lediglich handwarm und zeigte keine Auffälligkeiten. Die wahren Besonderheiten des HD4 stecken jedoch in der Software und den damit möglichen Services und Einsatzgebieten.

Simpler Aufbau

Wer erfolgreich einen Standard-DSL-Router anschließen und ein Mobiltelefon in Betrieb nehmen kann, der wird auch beim Peplink Pepwave Max HD4 LTE kaum auf Probleme stoßen. Die kleine Faltanleitung, das „Quickstart Manual“, beschränkt sich wirklich auf die allernötigsten Informationen. Hier erfährt der Administrator eigentlich nur, wie der Router über eine feste IP-Adresse oder per WLAN erreichbar ist.

Es sind aber auch nicht viele Seiten an Anleitung nötig: SIM-Karten einstecken, die Antennen mit dem Wi-Fi- und den Mobilfunkantennenanschlüssen verbinden und die Stromversorgung herstellen. Anschließend das Gerät über die Konfigurationsseite einrichten oder direkt, auch per Zero-Touch, der Cloud-basierten Verwaltungsplattform „InControl2“ als zentrales Management zuordnen.

Die Management-Oberfläche, von Pepwave „Web Admin“ genannt, der aktuellen Firmware-Version 8.0.0 ist klar in sechs Hauptmenüpunkte im oberen Fensterbereich gegliedert: Dashboard, Network, Advanced, AP für Access Point, System und Status. Nach der Auswahl im Hauptmenü baut die Software auf der linken Seite ein Untermenü mit bis zu zwanzig Detaileinstellungen auf.

Glücklicherweise sind die meisten Einträge für den Administrator selbsterklärend: Outbond Policy oder Port Forwarding bedürfen kaum einer Erklärung. Unter QoS (Quality of Service) hat der IT-Profi die Möglichkeit, verschiedene Bandbreitenregelungen oder Applikationssteuerungen für drei vorgefertigte Benutzergruppen anzulegen. In einer der kommenden Versionen sollen die vorgefertigten Gruppen für Manager, Staff und Guest einer flexibleren Zuordnung weichen.

Immer wieder überrascht die Oberfläche selbst den erfahrenen Netzwerkadministrator durch hilfreiche Details. Eine Bandbreitenmessung, durchgeführt mit einer externen Software, wird von der Pepwave-Oberfläche identisch nachgezeichnet: Von Arbeitsplatz x wurde ein Durchsatz von y generiert. Die externen IP-Adressen einer jeden WAN-Anbindung sind nicht etwa in den Systemtiefen verborgen, sondern in allen Dialogen ersichtlich, gemeinsam mit der beliebig anpassbaren Bezeichnung für das Interface wie beispielsweise „T-Mobile 37.84.67.57“, was deutlich aussagekräftiger ist als „Cellular 1“. Wie bei Netzwerkgeräten dieser Klasse üblich, wirken sich Änderungen erst nach „Apply Changes“ aus und ein Rücksprung auf eine vorherige Konfiguration ist einfach möglich.

SD-WAN vom Feinsten: Einfach verknüpfen – das wäre zu kurz gedacht

Traditionelle WAN-Anbindung, die ausschließlich auf MPLS (Multi Protocol Switching) basieren, sind zwar etabliert, jedoch wird die stets hochgelobte Zuverlässigkeit dieser Anbindung äußerst teuer erkauft. MPLS skaliert schlecht, ist eher unflexibel und erfordert nicht selten eine manuelle Router-Konfigurationslitanei für den Administrator. Die Kombination aus verschiedenen Anbindungstechniken, die synchrone Nutzung von MPLS, DSL, Kabel und LTE erlaubt eine insgesamt höhere Zuverlässigkeit bei geringeren Preisen. Hierzu bietet Peplink die passende zentrale Verwaltung für die verschiedensten Kombinationsmöglichkeiten der verschiedenen Leitungswege.

Unser Testgerät war ausgestattet mit einer DSL-Anbindung mit 50 Mbit/s und insgesamt drei Mobilfunkkarten für D1, D2 und O2. Die beiden Letzteren lieferten am Teststandort eine gute LTE-Anbindung, die Telekom fiel mit 3G ein wenig aus der Reihe. So viele Anbindungswege „riechen“ förmlich nach einer Kanalbündelung.

Die Geräte aus dem Hause Peplink sind sehr wohl in der Lage, die gänzlich unterschiedlichen Anbindungswege zu koppeln, jedoch sollte der IT-Profi bedenken, dass es sich bei der Kopplung nicht einfach um eine Addition der Durchsätze handeln kann. Die Charakteristika der verschiedenen Anbindungen, beispielsweise in Bezug auf die Latenz, unterscheiden sich zu stark, als dass eine einfache Verteilung auf die zur Verfügung stehenden Wege sinnvoll wäre. Für diese Problematik haben sich die Produktdesigner bei Peplink mit „SpeedFusion“ aber eine Lösung einfallen lassen. Die patentierte Technik verknüpft alle WAN-Verbindungswege zu einer VPN-Verbindung. Diese 256-Bit-AES verschlüsselte und damit sichere Anbindung nutzt alle verfügbaren und vom Administrator zugelassenen WAN-Wege. Das Ergebnis sind tatsächlich kumulierte Geschwindigkeiten, selbst für einen Nutzer oder eine einzelne Sitzung. Dies Sessions bleiben sogar dann persistent, wenn eine individuelle WAN-Verbindung verloren geht.

VPN, Bonding und Smoothing

Typischerweise, so der uns unterstützende Consultant, nutzen wahrscheinlich 80 Prozent aller Anwender die Einstellung „Send all to VPN“, da sie eine Konfiguration bevorzugen, bei der der gesamte Verkehr, der von einem vor Ort installierten Pepwave Max HD4 LTE verarbeitet wird, gebündelt in ein Rechenzentrum übermittelt wird. In unserer Teststellung handelte es sich auf der Gegenseite um eine „FusionHub“, die in einem Rechenzentrum von Hetzner arbeitet. Durch das Zusammenspiel mit dieser virtuellen Maschine auf der einen Seite und dem Pepwave auf der anderen Seite kann der Kunde alle Vorzüge von SpeedFusion nutzen, ohne überhaupt zwei physische System sein Eigen nennen zu müssen.

Letztendlich entscheidet der Administrator, ob er wirklich den gesamten Traffic über zentrale Instanzen leiten möchte – Konfigurationen, bei denen beispielsweise Youtube-Zugriffe schlicht über das lokale DSL abzuwickeln sind, sind bei den Peplink-Geräten recht einfach konfigurierbar.

Mit Peplink-Routern fassen Administratoren, wie bereits erläutert, ihre physischen Verbindungen mit SpeedFusion in eine logische WAN-Verbindung zusammen, unabhängig davon, ob es sich um xDSL, MPLS, Glasfaser oder Mobilfunkverbindungen handelt. Gleichzeitig stellt die Zusammenfassung der verschiedenen Verbindungswege in einem VPN eine weitere Sicherheitsfunktion dar. Zweigstellen und mobile Außeneinheiten erhalten einen sicheren, lokalen Netzwerkzugriff auch auf Cloud-Ressourcen und das verschlüsselt. Ganz im Sinne von SD-WAN wird der Datenverkehr dabei dynamisch auf verschiedene Netzwerke und Verbindungen verlagert, um so die Bandbreite optimal auszunutzen.

Logisch betrachtet ergibt die Peplink-Technik eine Pyramide. Im unteren Bereich ist das PepVPN mit allen technischen Fähigkeiten von IPsec beheimatet. Darauf aufbauend residiert der nächste Layer – dass „Hot Failover“ mit der Fähigkeit zum Wechsel einer WAN-Verbindung ohne, dass die Session abreißt. Das WAN-Smoothing kommt wiederum zum Einsatz, um mit mehreren WAN-Verbindungen einen einzigen, jitterfreien Datenstrom zu erstellen. Die Spitze der Pyramide bildet das „Bandwidth Bonding“, die Kombination aller Geschwindigkeiten und Bandbreiten. Vom WAN Smoothing profitieren alle zeitkritischen Anwendungen, wie VoIP, Videokonferenz oder die Übertragungen von TV- oder Radiosignalen. Das Bonding bietet sich als kostengünstige MPLS-Alternative zur Videoüberwachung oder für jede Form der mobilen Konnektivität an.

Im Notfall auf das Mobilfunksystem wechseln

Nicht jeder Netzwerkprofi braucht ein hochmobiles System mit GPS-Funktionalität wie das Modell HD4 von Pepwave. Im Portfolio des Herstellers gibt es daher eine große Anzahl unterschiedlicher Geräte für die verschiedensten Einsatzgebiete. Äußerst spannend ist dabei eine Variante, bei der im Regelbetrieb die Anbindung über DSL oder MPLS über die Standard-WAN-Ports geschieht.

Alle Administratoren in KMU-Umgebungen sorgen sich vor den scheinbar auf der ganzen Welt so gefürchteten Baggerarbeiten, die nicht selten einen ganzen Leitungsstrang für Stunden abtrennen. Glücklich darf sich jener Administrator schätzen, der für dieses Szenario zwei unterschiedliche Leitungen als „Fallback“ betreibt und noch ruhiger schläft der Peplink-Kunde, der seinen Pepwave-Max-Router mit Mobilfunkkarten verschiedener Dienstanbieter ausstatten kann. Selbst wenn ein Mobilfunk-Provider einmal aussetzt, bleiben ja noch die Leistungen der Marktbegleiter. In unserem Test kappten wir mehrfach die WAN-Anbindung und konnten von dem im Demobetrieb gefahrenen Windows Server 2019 weiterhin Internet-Ressourcen erreichen.

WAN-Health-Check

Der bereits erwähnte „WAN-Health-Check“ stellt sicher, dass immer eine ausreichend potente Verbindung zum Einsatz kommt. Die Festlegung einer prinzipiellen Reihenfolge ist dabei denkbar einfach gelöst. Der Administrator schiebt im Dashboard die als Priorität gewünschte Verbindungsmethode in der Auflistung einfach nach oben. Somit ist eine schnelle Konfiguration mit wenigen Mausklicks möglich – sehr praktisch auch dann, wenn es sich um eine angekündigte „Downtime“ einer Ressource handelt.

Wie lang der Router wartet, bevor er umspringt und wie lange eine Anbindung wieder sicher erreichbar sein muss, ehe das System wieder auf den nächsthöher priorisierten Verbindungsweg zurückwechselt, legt der Administrator in den Detailfenstern mit wenigen Angaben fest. Insgesamt gefielen uns die kurzen, aber treffenden Hilfetexte, die in beinahe allen Dialogen hinter einem blauen Fragezeichen-Logo auf ihre Darstellung warten. Die Entwickler waren so geistesgegenwärtig, sich bei diesen Texten auf das Wesentliche zu beschränken. Wer es detaillierter, quasi in Buchform nachschlagen will, kann dies ja in der zu jeder Version verfügbaren PDF-Datei mit mehr als 200 Seiten tun. Und selbst hier lockern Screenshots die Darstellung auf.

Die Anleitungen von Peplink sind für den versierten Netzwerkprofi gedacht und sollen ihm helfen, die gewünschten Infos zu finden oder zu interpretieren – wer nicht weiß, um was es sich bei OSPF, RIPv2 oder BGP handelt, wird es allerdings auch hier nicht erfahren.

Eine ganz besonders einfache, aber sehr hilfreiche Einstellung ist das gezielte Ausschalten des lokalen WLAN-Accesspoints, sobald keine der Anbindungsressourcen zur Verfügung steht. Denn was nützt dem Kunden ein starkes WLAN, wenn dahinter kein funktionierendes Netzwerk mehr steckt? Da ist es in der Regel besser, dass das WLAN gleich ganz schwiegt.

Modernes Management aus der Cloud

Alle professionellen Anbieter von Netzwerkprodukten statten ihre Geräte mit einer weiteren Konfigurationsstruktur aus – einer Cloud-basierten Managementoberfläche. Insbesondere für das auf Mobilität getrimmte Pepwave-System ist die Cloud-Verwaltung mit Namen InControl2 ein Gewinn. Die Weboberfläche, in die wir im Test unseren Max HD4 einbinden durften, bietet alle Funktionen, um einen direkten, lokalen Zugriff auf das Gerät an sich unnötig zu machen.

Um möglichst wirkungsvoll eine ganze Reihe von Geräten bequem verwalten zu können, vergeben IT-Administratoren ihren Geräten Eigenschaftsmerkmale über so genannte „Tags“. Somit ergibt sich eine äußerst flexible Managementbasis, mit deren Hilfe eine manuelle Ansteuerung von Systemen unnötig wird. Beispielsweise ist die Festlegung eines „Geo Fences“ für Einzelgeräte, aber auch für Router mit oder ohne einem „Tag“ möglich. Über einen solchen Fence ließe sich eine kreisrunde Zone oder ein „Pfad“ mit einer beliebigen Breite in Metern (auch als GPX-Datei zu importieren) definieren, in denen beispielsweise ein WLAN aktiv geschaltet ist, eine E-Mail zu verschicken ist oder wiederum ein „Tag“ vergeben wird.

Allein die Steuerung eines Geo-Fences als Pfad zeigt, wie stark InControl-2 auf das Thema „Fleet Management“ ausgerichtet ist. Das gilt auch für die Fähigkeit der Software, die Position eines Routers über einen frei definierten Zeitraum auf einer Google-Maps-Karte, die mit Event- und Geschwindigkeitsdaten versehen ist, zu visualisieren. Firmware-Deployment, die Verwaltung der SpeedFusion-Technik und die allgemeine Device- und Wi-Fi-Verwaltung stehen aber ebenfalls in InControl2 zur Verfügung.

Überzeugendes Fazit

Das Konzept und die Geräte aus dem Hause Peplink überzeugten in unserem Test auf ganzer Linie. Besonders beeindruckend ist die schiere Anzahl von Anpassungsmöglichkeiten bei gleichzeitig einfacher und logischer Bedienung. Egal, ob sich ein Kunde aufgrund der Mobilität und Robustheit oder der verschiedenen Anbindungstechniken für Peplink entscheidet, die Plattform bietet immer ein modernes und leistungsfähiges Fundament für den Ausbau.

Im deutschsprachigen Raum vertreibt die Vitel GmbH als „Value Added Distributor“ aktiv die Peplink-Produkte. Vitel beschäftigt sich speziell mit industriellen Kommunikations- und Sicherheitslösungen wie Videomanagement, Zugriffskontrollen, Kennzeichenerkennung und kabellosen sowie kabelgebundenen Industrienetzen.

(ID:46221396)