An die Netzwerkexperten - Folgende Lösung sinnvoll?

C

CommanderBond

Enthusiast
Thread Starter
Mitglied seit
16.04.2012
Beiträge
703
Hallo, ich möchte ein kleines Netzwerk für ein Homeoffice einrichten. Dort hängen 2 Computer dran die beide über VPN in ein Firmennetzwerk reinsollen.

Meine Idee ist nun folgende:

Internet <=Router1 <=Router2<=PC1 und PC2

An Router 2 sollen nur die beiden PC1 und PC2 hängen. Das Netzwerk hinter Router1 ist das Heimnetzwerk.

Router2 soll direkt die VPN Verbindung aufbauen zum Firmennetzwerk sodass die Einrichtung auf den PCs entfallen kann.

Zwischen Router1 und Router2 gibt es nur ein Cat5 Kabel da es ein Nebengebäude ist.

Optional: Ich möchte am Router2 auch noch mein internes Netzwerk "abgreifen" können da an dem Kabel aktuell ein AP hängt. Dieser soll weiterhin im Heimnetz bleiben.

Ist das so Umsetzbar oder stehe ich vor einem Problem?

Router2 soll ein Vigor 2760 sein, da noch vorhanden. Dieser ist aktuell noch Router1 und Router1 soll durch einen Vigor165 ersetzt werden.
Frage muss ich bevor ich an den WAN Anschluss gehe noch einen Switch vorschalten um das Signal zum AP weiterschleifen zu können?

Taged VLANs fallen raus da die Hardware das nicht kann
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
CommanderBond schrieb:
Frage muss ich bevor ich an den WAN Anschluss gehe noch einen Switch vorschalten um das Signal zum AP weiterschleifen zu können?
Zum Vergrößern anklicken....
Ja, genau so ist es. Dazu muss das Netzwerk hinter Router 2 ein anderes Subnetz bekommen, sonst kann Router 2 nicht ordentlich bzw. gar nicht routen.

Wenn Du das so anschließt, wie Du es ganz oben aufgeschrieben hast, wirst Du von PC 1 und PC 2 auch auf dein internes Netzwerk zugreifen können, von deinem internen Netzwerk auf die beiden PCs und das Firmennetzwerk aber nicht, da das die Firewall in Router 2 verhindert.
 
Eye-Q schrieb:
wirst Du von PC 1 und PC 2 auch auf dein internes Netzwerk zugreifen können
Zum Vergrößern anklicken....
Naja ich denke das kann ich nicht verhindern, ich habe nunmal nur eine Leitung liegen. Aber vielleicht kann man Router1 so einrichten dass von der IP Router2 aus nur der internetzugriff möglich ist. Würde diesen nämlich dann direkt an Router1 anschließen ohne Switch dazwischen.
Andere Lösung wäre auf Router2 als Hardware komplett zu verzichten und mit Router1 einfach nen zweites Netz aufzumachen. Allerdings wäre das wiederum doof wegen dem AP
 
Wie soll es anders gehen? Ich will auch nen VPN Tunnel zum Firmennetzwerk aufbauen nur für diese beiden PC und das über den Router lösen. Ohne den zweiten Router würde auch der komplette Traffic des APs zur Firma laufen...
Eye-Q schrieb:
wirst Du von PC 1 und PC 2 auch auf dein internes Netzwerk zugreifen können, von deinem internen Netzwerk auf die beiden PCs und das Firmennetzwerk aber nicht, da das die Firewall in Router 2 verhindert.
Zum Vergrößern anklicken....

wie soll das gehen wenn der Router2 eine VPN Verbindung aufbaut zum Firmennetz? In meinen Augen ist das nicht möglich. Die beiden PCs sind ja quasi im Firmennetzwerk. Sprich der gesamte Traffic geht zur Firma, also auch einfacher Internettraffic.
 
Zuletzt bearbeitet:
...Router 2 ist ein...naja, ein Router...die 4ma wird das nicht erlauben, oder kommt das Ding versiegelt und eingerichtet von der 4ma zu Dir nach Hause?
Der 4men-PC wird extra so konfiguriert, dass er keine unerlaubte Netzkopplung macht.
Wenn Du Admin des Router-2 bist, könntest Du das umgehen und eem 4men-PC in weitere Netzwerke integrieren.
 
Ich richte alles ein, der Sinn dahinter ist dass ich nur für mich eine komplette Trennung vom Rest meines Netzwerkes haben möchte. Es geht also darum die Netze zu trennen. Ich denke mal die Verbindung zum VPN Server der Firma herzustellen mittels Router2 ist "sicherer" als wenn jeder der beiden PCs selber ne VPN Verbindung zur Firma herstellt.
Und bei der Firma ist es so ich sag mal, die haben von Netzwerken gefühlt weniger Ahnung als ich und Sicherheit ist ihnen auch relativ egal, selbst Private Endgeräte laufen dort im selben WLAN laut Admin wäre es nicht nötig die dort ins GästeWIFI zu packen oder sie wissen nicht was das ist.

Von daher will ich das einfach trennen. Wenn der Router2 aber eine VPN Verbindung aufbaut müsste ich afaik die Trennung haben die ich mir wünsche. Wenn der gesamte Traffic des Netzes in dem PC1 und PC2 hängen direkt zur Firma geleitet wird seh ich da auch keine Gefahr für mein Netzwerk mehr.

In Firmenbesitz sind also nur die beiden PCs, die gesamte Netzwerkinfrastruktur kommt von mir und wird von mir verwaltet hier zuhaus.
 
Zuletzt bearbeitet:
CommanderBond schrieb:
Ich denke mal die Verbindung zum VPN Server der Firma herzustellen mittels Router2 ist "sicherer" als wenn jeder der beiden PCs selber ne VPN Verbindung zur Firma herstellt.
Zum Vergrößern anklicken....
Genau da irrst Du...ist der PC und die VPN-Software korrekt konfiguriert, funktioniert die Netztrennung und der User kann die nicht aufheben...sozusagen eine Punkt-zu-Punkt Verbindung
Mit einem Router, könntest Du hinter dem VPN-Tunnel zur 4ma eine nicht erlaubte Netzkopplung der PCs herbeiführen und damit aus diesen Netzen, über den PC ins 4men-Netz.
Da der Router nicht der 4ma gehört und von ihr verwaltet wird, ist dies das Sicherheitsrisiko und wenn etwas passiert bis Du dran, egal ob die 4men-Admins Dullies sind oder nicht.
 
Das spielt aber keine Rolle da die VPN Zugangsdaten zum Firmen Netzwerk auch auf den Privatgeräten genutzt werden. Es gibt sogar ein How2 wie man es einrichtet und auch die Zugangsdaten kennt der Angestellte sogar. Deren Intranet ist also so oder so offen was das betrifft und beruht ja im Grunde darauf dass die Angestellten die Zugangsdaten nicht weitergeben und sich keine Trojaner oder ähnliches einfangen auf ihrem Privatgerät.
Ich weiß auch noch nicht inwiefern die beiden PCs überhaupt konfiguriert sind. Ist der VPN Zugang nich eingerichtet werde ich ihn halt auf Router2 einmalig einrichten statt auf beiden PCs.
Mir ist klar dass wenn ich das Netzwerkkabel aus einem der beiden PCs rausziehen und hier ein anderes Gerät dranhänge ich im Firmen LAN bin. Macht aber niemand hier.
Primär gehts mir hier auch wie gesagt um die Trennung zu meinem Netzwerk. So wie ich es vor habe hab ich die Trennung die ich haben will weil alles was an den LAN Ports an Router2 hängt übers VPN geleitet wird.

Aber selbst ohne VPN könnte ich Router1 doch so konfigurieren dass er von Router2 nur Verbindungen ins Internet erlaubt und nicht ins Heimnetzwerk.

Router1 wird ein Vigor165 sein und Router2 ein Vigor2760. Der WAN Port von Router2 ist also dann direkt mit LAN Router1 verbunden. Der zweite Port von Router1 verbindet dann mein Netzwerk.

Aktuell geh ich wie gesagt davon aus dass die beiden PCs also "offen" sind, sprich ich da so oder so vollen Admin Zugriff drauf habe. Ist schon alles eingerichtet und sind die Rechte entsprechend eingeschränkt und auch VPN schon eingerichtet brauch ich logischerweise kein VPN auf dem Router2 mehr.
 
Zuletzt bearbeitet:
Die Zugangsdaten sind, wenn richtig umgesetzt, kein Problem.
Die Nutzung auf Privatrechnern auch nicht, wenn der VPN-Client so gebaut ist, dass er die weitere Netzkopplung unterbinden würde.
Ein Router ist halt ne andere Kategorie, weil super flexibel....
Deine Einschätzung, was die "Verletzlichkeit" des 4men-VPN angeht mag richtig sein...ist aber evtl auch nur augenscheinlich so, weil Du alle Teile/Parameter nicht kennst (schliesslich bis Du ja nicht der Admin).
Meiner Meinung ganz klar...nur weil es technisch geht, muss man es nicht machen...die Technik soll sowas unterstützen, aber die eigentliche Sicherheit kommt über die Organisation.
Hol Dir das OK von den Admins, dann bist Du raus und kannst es machen...es nur zu machen, weil Du es kannst, ist mMn nicht OK....das Risiko, dass plötzllich alle Fahrräder in Farbe weiss vom Band rollen, statt so wie bestellt, musst Du bewerten, ob Du es tragen kannst....Hast Du in Deiner Haftpflicht ein Modul für das Schliess-/Schlüselrisiko Deiner 4men-/Büro-Schlüssel?...was Du mit dem VPN machst/vorhast ist nix anderes,
 
Naja ich seh halt nur nicht ganz so den Unterschied wenn die Firma 2 PCs einem schickt und sagt "hier mach mal" ich dann dort den VPN Zugang selber noch einrichten muss oder ich ihn stattdessen auf nem Router einrichte. Der Grund wieso ich das auf dem Router machen wollte ist ja auch dass man dann mit der VPN Verbindung auf den PCs selbst nichts mehr zu tun hat.
Aber ich warte erstmal ab wie die beiden Rechner konfiguriert sind, wenn das VPN dort schon aktiviert werd ich es so lassen.
Eine Trennung will ich aber nach wie vor dennoch haben im Idealfall also in beiden Richtungen. Ergo die beiden PCs sollen nur Internetzugriff bekommen und nichts weiter. Ich mein im Grunde weiß ich ja auch nicht was da sonst noch alles auf deren Rechnern läuft. Rein theoretisch könnte da auch ne Software drauf sein die sich dann in meinem Netzwerk umschaut...
 
.....hast Du Admin-Rechte auf den PCs...kannst Du beliebige VPN-Clients installieren oder sind die schon drauf?
Wenn Du alles als Admin machen kannst und auch wenn Login+PW für alle User im Unternehmen gleich sind und am schwarzen Brett hängen...ja, dann sind die Admins Dullies...oder glauben einfach an das Gute im Menschen....was meinst Du?
 
hominidae schrieb:
...hast Du Admin-Rechte auf den PCs...kannst Du beliebige VPN-Clients installieren oder sind die schon drauf?
Zum Vergrößern anklicken....
Habe die PCs noch nicht. Werd ich dann wissen sobald sie da sind. Aber da die Admins dort gefühlt wenig ahnung haben würde es mich jetzt nicht wundern wenn man vollen admin zugriff hat...
Aber ja ich werde ansonsten fragen ob es für die okay ist einen VPN Zugang über den Router2 zu konfigurieren als auf beiden PCs.
Aber auch ohne die Problematik mit den VPNs halte ich den zweiten Router für keine so schlechte Idee aktuell.
 
...ja, was ich meinte war, wie schon oben gesagt: wenn Du es ja besser weisst, es so machen könntest, aber nicht ausnutzt (Du bist ein Guter) dann frag (trotzdem)...meine Meinung
 
Mir gings nur um das Verständnis dass wenn ich den VPN Zugang über Router2 mache für mein Netzwerk keine Gefahr von diesen beiden PCs ausgeht, weil sie dann keine Chance haben in mein Netzwerk zu kommen da der Router2 den gesamten Traffic ja zu deren Firma leitet.
 
...pack die WAN-Seite des Routers2 auf Seiten des Routers1 in ein VLAN....dann ist gut.
Beitrag automatisch zusammengeführt:

Edit: oh, sehe gerade tagged VLANs fallen raus...dann wird es schwierig, weil Du es in der Firewall/Routing Tabelle des Routers1 machen musst....kenne mich mit den Vigors nicht aus.
 
Zuletzt bearbeitet:
Tagged VLANs gehen zumindest mit dem Vigor2760 nicht. Einzelne Ports kann ich aber einem VLAN zuordnen was aber in dem Fall hier nicht viel bringt. Daher ja die Frage mit dem Firmen VPN ob dieses im Grunde nicht auch mir für mein Netzwerk die benötigte Sicherheit bringt weil es den Traffic ja über mein Netzwerk auch über den VPN Tunnel leitet.
Ergo PC1 und PC2 haben dann doch sowieso keine Möglichkeit auf mein Netzwerk zuzugreifen wenn der Router2 sowieso alles in den VPN Tunnel packt.
Das hat für mich auch den Vorteil dass ich dann sogar meinen WLAN AP weiterbetreiben könnte welcher sich die Verbindung hin zu Router1 teilen muss da zwischen Router1 und Router2 nur ein Cat5 Kabel liegt.
Ergo Router1(LAN1) =>Switch => Router2(WAN)
Ergo Router1(LAN1) =>Switch => WLAN AP

Zumindest nach meinem Verständnis von Netzwerken.
 
Zuletzt bearbeitet:
...nur solange das VPN steht, oder?
Wenn das VPN zusammenbricht, greift evtl. die Default Routem also Dein Router1...dann sind die PCs drin in Deinem Netzwerk.
Wie gesagt, die Möglichkeiten für die Firewall des Vigor kann ich nicht einschätzen.
Ich würde den Router1 durch einen ersetzen, der tagged VLANs kann, damit WAN von Router1 für das VLAN von Heimnetz und VLAN des Router2 gehen.
Beitrag automatisch zusammengeführt:

Edit: Du solltest zumindest Router2 ein eigenes Subnet geben und das Routing von diesem im Router1 nur übers WAN laufen lassen.
Beitrag automatisch zusammengeführt:

kann der (neue) Router1 tagged VLANs?...der Switch auch?...dann könntest Du es damit hinbekommen...
 
hominidae schrieb:
Edit: Du solltest zumindest Router2 ein eigenes Subnet geben und das Routing von diesem im Router1 nur übers WAN laufen lassen.
Zum Vergrößern anklicken....
Ja das werd ich machen.

nein auch der Vigor165 kann es nicht zumindest nicht auf LAN Seite, auf WAN Seite schon.
ich warte erstmal auf die beiden pcs und schaue dann mal weiter.
 
Zuletzt bearbeitet:
Was ist genau der Unterschied bzw woran erkennt der VPN Server ob ihn ein Router anruft oder ein Endgerät und was wären die Probleme?
 
...schau Dir an was ein site2site VPN ist und was ein host2site VPN ist....hast Du ein Client2LAN-VPN und kann der Vigor-Router2 kein srcnat/masquerading auf dem VPN interface, dann wirds nix, weil der VPN-Server Dein lokaes Subnet nicht routen kann/wird (er kennt nur die eine IP des VPN-Cleint, also das VPN-Interface in Router2)
 
hominidae schrieb:
kann der Vigor-Router2 kein srcnat/masquerading auf dem VPN interface, dann wirds nix, weil der VPN-Server Dein lokaes Subnet nicht routen kann/wird (er kennt nur die eine IP des VPN-Cleint, also das VPN-Interface in Router2)
Zum Vergrößern anklicken....


From first subnet to remote network, you have to do - If the remote network only allows you to dial in with single IP, please choose NAT, otherwise choose Route.


Müsste es nicht das sein?
 
das bezieht sich auf das WAN Interface des Vigor oder auf das VPN Interface?.....bei WAN des Router2 ist es nur die Ebene Router1 - Router2 LAN/intern...das (virtuelle) VPN Interface, das über WAN rausgeht musst Du NATen
 
Ich bitte zu entschuldigen, ich habe gerade keine Zeit den kompletten Thread zu lesen.
Aber der kleine Vigor kann doch die beiden LAN-Ports in separate LANs spalten. (zumindest ist das bei meinen 2925 so der Fall)
Du hättest also 2 separate Netze (1x privat, 1x beruflich)

Mit Routingtabellen kannst du dann auch den Zugriff steuern.
Du hast dann nur 1 Router und hast nicht die Probleme mit dem Netzzugriff.
Eine VPN-Einwahl müsste man dann sehen, jenachdem wie man die Gegenstelle konfigurieren kann.

PS: Ggf. auch den 165 als Modem einsetzen und den 2960 als zentralen Router verwenden.
 
Es ist nen 2760 kein 2960. Aber ja du hast Recht ich könnte auch nen zweites Netz am Router1 aufmachen, das kann der 2760 auch, allerdings ist das Problem ja dass eben der WLAN AP noch mit dran hängt da nur ein Kabel vorhanden und kein tagged VLAN möglich.
 
CommanderBond schrieb:
ja bezieht sich auf die VPN Verbindung in dem Fall LAN2LAN
Zum Vergrößern anklicken....
...dann NAT einschalten...dann sollte es mit mehr als einem Client (PC) dahinter funktionieren.
Beitrag automatisch zusammengeführt:

CommanderBond schrieb:
Es ist nen 2760 kein 2960. Aber ja du hast Recht ich könnte auch nen zweites Netz am Router1 aufmachen, das kann der 2760 auch, allerdings ist das Problem ja dass eben der WLAN AP noch mit dran hängt da nur ein Kabel vorhanden und kein tagged VLAN möglich.
Zum Vergrößern anklicken....
..Du könntest an jedem Ende des Kabels einen VLAN-fähigen Switch setzen. ;-)
 
hominidae schrieb:
Du könntest an jedem Ende des Kabels einen VLAN-fähigen Switch setzen. ;-)
Zum Vergrößern anklicken....
Ja mittelfristig vielleicht. Muss auch erstmal schauen wie schnell der Vigor überhaupt ist wenn er die VPN verbindung aufbaut. Wenn er die Bandbreite zu stark limitiert oder die PCs schon fertig eingerichtet sind mit VPN werd ich vielleicht doch die Verbindung direkt über die PCs aufbauen.
 
Ja das kann schon sein, habe mir aber jetzt auch den Vigor165 bestellt weil der nebenbei auch SuperVectoring kann. Ergo ich den auch anderweitig nutzen kann zB bei einem Internetupgrade. Den 2760 hab ich eh, den könnte ich zur not immer noch verkaufen und dann den von dir genannten holen. Ich warte aber jetzt erstmal ab. Den 2760 hätte ich mir ja nicht explizit gekauft für das was ich vorhabe der ist halt einfach schon da.
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh