Wenn ich das so lese, fällt mir mein damaliges Problem ein, daß man via
VPN nicht einfach so die *.local-Adressen von remote ansprechen kann.
Also entweder arbeitet man mit bekannten IP-Adressen oder man richtet
sich die Geräte über den Router so ein, daß er sie per DHCP im Netz
angesprochen werden (ächz, blöd geschrieben, besser: Man spricht sie
über die Router-gegebene TLD an … blah.fritz.box z. B.).

Bei VPN spielen, denke ich, die Router noch eine große Rolle. Man
spricht ja in der Regel den Router als erstes an. Sonst müßte ein Server
von draußen erreichbar sein.

B. Alabay

Dann viel Spaß, grad bzgl. letzterem Szenarium. Das Problem bei AFP ist
weit weniger die Bandbreite und viel mehr "Roundtrip Time" bzw. Latenzen
und dass es weit und breit keine "WAN-Optimizer" gibt, die mit AFP
funktionieren.

Ich hab einigen Kunden für genau solche Szenarien Sync-Lösungen
implementiert (intelligente bidirektionaler Datensync, d.h. auf beiden
Seiten AFP-Server, und ein Mechanismus dazwischen, der auch die Daten
synchron hält und dabei auch mit so Sachen umgehen kann wie rename und
move -- alle klassischen Sync-Lösungen übertragen einen 100 GB großes
Verzeichnis neu, wenn dieses nur umbenannt oder verschoben wird). Und
das weil die selbst mit 100 MBit/sek WAN-Strecken und Riverbed-WAN-
"Optimierern" auf beiden Seiten nicht vernünftig per AFP arbeiten
konnten, sobald die Latenzen zu hoch wurden.
Nö, Riverbed, Cisco & Co. können nur SMB und bis die implementieren, was
für sinnvolles Arbeiten mit Apples SMB-Anbauten nötig wäre, vergeht
locker noch ein Jahrzehnt. Ein bisschen zur Problematik findet sich
bspw. im vorletzten Post hier:

https://discussions.apple.com/thread/2635824
Euer Problem wird die Performance sein und der hat sich alles
unterzuordnen (also auch Nutzerfreundlichkeit). Du kannst mittels
OpenVPN als auch IPSec Kompression aktivieren (das funktioniert dann so,
dass die Datenpakete vor dem Verschlüsseln komprimiert werden -- je nach
Settings mit zus. Analyse, ob das überhaupt was bringt und dann Fallback
auf unkomprimiert, denn nicht komprimierbare Daten werden durch
Kompression gerne mehr) aber das bringt alles nix.

Früher konnte man den AFP-Client noch manuell tunen (afpwanthreshold und
afpwanquantum) und auch das dynamische Getune, das unternommen wurde,
hat besser funktioniert. Geht heute alles nicht mehr.

Tipp: Irgendein VPN einrichten, dann von 2 Clients aus testen (einer
DSL, einer mobil). Die Probleme werden Directory Enumeration sein
(Öffnen von Ordnern mit vielen Dateien drin) und "in Application
performance" (also direkt aus Programm sichern/öffnen übers WAN). Große
Dateien im Finder kopieren wird halbwegs befriedigend funktionieren, der
Rest wird zur Qual. :-)

Gruss,

Thomas

Fuer mich nicht, aber fuer andere moeglicherweise schon.
Du hast halt die Punkte Config-Verteilung und Softwarewartung die du
zu Fuss machen musst.
u.A. Komerziell: http://www.vpntracker.com/de/index.html
Das ist einigermassen Dau-Kompatibel hinzubekommen. CIFS (SMB shares)
funktionieren darueber gut, mit AFP habe ich damit keine Erfahrung.

Zu zahlst da halt dafuer, dass du den Usern fertig vorkonfigurierte
Packages vor den Latz knallen kannst, wo sie nur noch den
"VPN Ein/Aus" schalter umlegen, und nix verstellen oder configs
zerschiessen koennen. Inklusive "Tech Support report" Knopf.

Das hast du mit OpenVPN auch mit Tunnelblick nicht in so bequem,
dafuer kostet dich das kein Geld.

Kosten tut dich jede Loesung, du entscheidest ob Geld oder
Zeit/Aufwand.

Ich verwende als VPN-Client praktisch überall »Shimo«
(www.chungwasoft.com). Hat den Vorteil sich das VPN-Passwort auch bei
den Gegenstellen zu merken, die das eigentlich nicht erlauben. Und es
kann im Gegensatz zu den Bordmitteln eben auch OpenVPN u.a.

Bezüglich der Durchlässigkeit würde ich von IPSEC abraten, wenn die
Clients öfter in Hotels, Messen etc.pp. unterwegs sind. Sehr viele
blockieren IPSEC-Datenverkehr, und jedesmal rumdiskutieren an der
Rezeption ist nicht jedermanns Sache - und meistens mangels
Netzwerk-Ahnung im Hotel selbst auch nutzlos.

SSL/TLS-basierte Protokolle haben einen Heimvorteil; bisher meinten erst
zwei Hotels meiner Kunden auch SSL-Traffic mitlesen zu müssen. Die
wurden dann halt nicht mehr gebucht …
Aua. Was soll den konkret darüber transportiert werden, wie sieht da ein
Arbeitstag aus? Wenn das nicht eher spezielle Anforderungen sind,
sondern »ich arbeite halt wie immer mit Büroprogrammen«, dann braucht
man erhöhte Leidensfähigkeit.

Achte darauf, dass du »split«-Betrieb im VPN hinbekommst, d.h. dass
Internet-Verkehr nicht zwingend über die VPN-Leitung muss, sonst wird es
noch bitterer, etwa bei Systemupdates.

Ebenfalls bedenken, dass manche Setups (bestimmte IOS-Router-Versionen)
es nicht richtig schaffen, dem OS X-Bordmittel-VPN-Client den
DNS-Server-Namen mitzugeben, mit dem Effekt, dass du lokale
Namensauflösung machst. Das funktioniert dann nicht, wenn du Geräte im
VPN über Namen ansprechen möchtest. Entweder Shimo (s.o., das bietet
dafür einen Fix an), oder mit IPAs arbeiten, oder das Gerät vorher
prüfen.

Wenn »mobiles Internet« weniger als LTE ist, also UMTS egal welcher
Ausbaustufe, und du nicht *sehr* spezielle Anforderungen hast, würde ich
gleich sagen: laß es. Ohne LTE hast du Latenzen im Bereich 50 bis 500ms,
damit kann man via VPN und AFP nicht arbeiten. Mit LTE sieht es deutlich
besser aus.
Bei den meisten meiner Kunden kommen Cisco ASAs (eine kleine 5505 oder
eben die 5510 o.ä.) zum Einsatz. »Besser« ist halt immer so eine Sache.
Bei den Ciscos kaufst du wohl Hintertürchen für die Staats-Schnüffler
mit, die damit unsere Verfassung retten (is ja auch was). Dafür tun die
Kisten sehr ordentlich, laufen stabil, und man bekommt leicht gut
verfügbare Setups hin, schon die kleine 5505 kann Hot-Fail-Over-Betrieb
mit einer zweiten, d.h. stirbt die eine, übernimmt automatisch die
andere.

Natürlich gibt es das auch »offen«, aka bastel-dir-alles-selbst, und
beliebige Zwischenstufen (Appliances, die bspw ipfire.org verwenden).

Grüße
Götz