Draytek 2960 Dual WAN mit FB Cable und Speedport Hybrid, wie Portweiterleitungen?

Jean Pernod

Jean Pernod

Enthusiast
Thread Starter
Mitglied seit
11.03.2004
Beiträge
3.712
Ort
Hamburg
Hi,

ich habe einen Kabelanschluss von KD/Vodafone mit der FB Cable und gleichzeitig DSL+LTE (Hybrid) von der Telekom.
Beide bauen selbstständig ihre Verbindung auf und ich stecken in einem Draytek 2960, der das Loadbalancing macht.

Jetzt möchte ich gerne von außen auf bestimmte Dienste (NAS) zugreifen.

Ich habe jetzt natürlich doppeltes NAT und spiele mit dem Gedanken, den Draytek in beiden Routern als Exposed Host einzutragen, damit ich die Portweiterleitungen nur im Draytek konfigurieren muss.
Spricht etwas gegen die Vorgehensweise oder wie würdest ihr das regeln?


Zweite Frage: Habe eine Synology DS216, auf diese Daten möchte ich gerne von unterwegs, sicher zugreifen. Habe zuerst an VPN gedacht, möchte jedoch nur an die Daten kommen und nicht den gesamten anderen Traffic über das VPN ziehen, damit ich die Internetverbindung nicht unnötig belaste. Ein Kumpel nutzt dafür Netdrive über Webdav, gibts was besserte, was könnt ihr empfehlen?
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Moin, das mit dem exposed host sollte so klappen. Je nach DNS Dienst musst du ggf. im Draytek den entfernten DynDNS detect machen.

Dein Problem mit dem Traffic via VPN verstehe ich jetzt nicht ganz.
Es gibt 2 Möglichkeiten der VPN Nutzung.

1. VPN wird als Gateway genutzt
2. VPN wird nur als Zugang zum Subnetz genutzt

1.
Nutzt du das VPN als dafault-Gateway, wird natürlich der gesamte Traffic vom Client in das VPN eingespeist und von da über das VPN wieder ausgeleitet.
Das geht natürlich auf den Traffic bzw. den Upload.
Eine Verbindung zu 8.8.8.8 geht vom VPN-Client -> VPN-Server -> Router -> Inet.
Eine Verbindung zum NAS geht von VPN-Client -> VPN-Server -> NAS.
2. VPN als Subnetzzugang wird nur der Traffic ins VPN geleitet, der auch tatsächlich für die Anwendung relevant ist.
Eine Verbindung zu 8.8.8.8 geht vom VPN-Client -> sein Router (wenn verhanden) -> Inet.
Eine Verbindung zum NAS geht von VPN-Client -> VPN-Server -> NAS.

Das Verhalten kannst du auf dem Client einstellen. Wenn es nen Standardwindows ist, dann kann du das unter IPv4 der VPN-Verbindung einstellen.
So mache ich das immer nach Bedarf. Wenn ich in fremden Netzen bin, dann immer "mit" Gateway, und wenn es nicht so wichtig ist, dann einfach nur Subnetztraffic ins VPN.
Interessant wird es dann, wenn du hinter dem VPN noch weitere VPNs hast (ich hab z.B. site2site VPN), dann musst du die nächsten Subnetze nach dem ZugangVPN irgendwie beibringen. Da ist es dann einfacher, wenn die die Gatewayfunktion nutzt. Dann sorgt nämlich das VPN Subnetz dafür, dass die Pakete in das andere Subnetz gehen. Da sollte bei einem korrekten site2site VPN ja bereits alles gehen.
 
Zuletzt bearbeitet:
Jean Pernod schrieb:
Ich habe jetzt natürlich doppeltes NAT und spiele mit dem Gedanken, den Draytek in beiden Routern als Exposed Host einzutragen, damit ich die Portweiterleitungen nur im Draytek konfigurieren muss.
Zum Vergrößern anklicken....
Das ist dann immer noch doppeltes NAT, außerdem heißt "Exposed Host" nur, dass alle Ports weitergeleitet werden.

Jean Pernod schrieb:
Spricht etwas gegen die Vorgehensweise oder wie würdest ihr das regeln?
Zum Vergrößern anklicken....
Kann man so machen, allerdings kann es gut sein, dass das nichts wird wegen DS-Lite beim KD-Anschluss (und ggf. auch beim Telekom-Anschluss).


Jean Pernod schrieb:
Zweite Frage: Habe eine Synology DS216, auf diese Daten möchte ich gerne von unterwegs, sicher zugreifen. Habe zuerst an VPN gedacht, möchte jedoch nur an die Daten kommen und nicht den gesamten anderen Traffic über das VPN ziehen, damit ich die Internetverbindung nicht unnötig belaste. Ein Kumpel nutzt dafür Netdrive über Webdav, gibts was besserte, was könnt ihr empfehlen?
Zum Vergrößern anklicken....
VPN heißt nicht zwangsläufig, dass der komplette Traffic über das VPN gehen muss. Das, was Du willst, nennt sich Split Tunneling und es wird nur der Traffic über das VPN geleitet, was für das LAN hinter dem VPN-Server (in diesem Fall dem Draytek) bestimmt ist.
 
Dir ist aber bewusst, dass der Access von public auf dein NAS dann jeweils immer nur über EINE der Leitungen gehen kann? Sprich ein Loadbalancing wird damit idR nix -> zumindest nicht in der Art und ohne zusätzlichen Mehraufwand (und ggf. weitere Kosten)

Die andere Sache, es könnte zu massiven Problemen mit Asynchronen Routing kommen. Nämlich an dem Punkt, wo du Traffic über die eine Leitung reinschickst und die Rückpakete über die andere Leitung wieder rausgehen. Der Router in der Mitte sollte also tunlichst so eingestellt/eingedreht werden, dass dies definitiv nicht sein kann! Denn sonst geht das in die Hose...
Die Frage ist allerdings (hier kenne ich das Gerät nun nicht), ob man dem das beibringen kann!?


Auf der anderen Seite stellt sich die Frage, willst du via IPv4 oder IPv6 von public zugreifen? Oder gar über beides?
Bei v4 musst du zwangsweise via NAT Arbeiten. Setzt dann nur vorraus, dass du eine public verfügbare v4 IP vom Provider zugewiesen bekommst. DS-Lite ist da problematisch -> also die Kabel Leitung. Wie das mit dem Hybrid Zeug der Telekom ausschaut, kein Plan. Könnte aber ebenso komisch sein.
Bei v6 gibts andere Probleme, nämlich dass dir die Provider wohl alle "Nase" lang ein anderes Netz zuweisen werden. Zumindest die Telekom macht das, Vodafone glaube ich auch, bei Kabel bin ich mir nicht sicher... Aber bestimmt ebenso.
-> Problem dabei, du brauchst damit die Autokonfigurationsmechanismen von v6, die müssen sauber implementiert sein und sauber funktionieren. Man kann auch mit dynamischen DNS intern arbeiten und dann direkt den Namen ansprechen. Oder gar wieder auf 6zu6 NAT setzen -> mit dem Problem, dass du die IPv6 Adresse des internen NAS nicht weist, wenn sich das zugewiesene Netz vom Provider mal ändert...



Mit v4 only und nur einer Leitung ohne derartige Spielereien ist/war das noch viel einfacher... Um so mehr man da dazu baut, desto undurchsichtiger wird der Spaß, vor allem für Leien ;)

Am sinnvollsten/einfachsten würde ich da noch das VPN Zeug ansehen... Allerdings muss (damit es einfach bleibt/wird) das VPN Zeug dann möglichst weit vorn in der Kette terminiert werden. Also auf dem Providerrouter (FB oder Telekom) -> bei Kabel wäre das dann wohl dank DS-Lite auf v6 only beschränkt und bei der Telekom, kein Plan ober Hybrid Speedport das überhaupt kann... Sinnig an der Stelle wäre (abgesehen von der zu prüfenden Umsetzung) sogar, dass du einen starken Verschlüsslungsstandard auf dem Tunnel fahren kannst und intern im Tunnel dann möglichst frei in der Kommunikation bist. Möglicherweise kannst du nämlich dem NAS System gar nicht beibringen, sauber verschlüsselte Dienste anzubieten. Einfach nur HTTPS oder SSL heist nicht automatisch sicher :wink:
 
Jean Pernod zum zweiten Teil: kennst du das CloudStation Paket? Wäre das was?
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh