Fragenkomplex zum Zugriff auf Netzwerk von aussen

[uan]

Vielleicht kann mir von euch jemand weiterhelfen, ob meine Gedankengänge korrekt sind.

Ich möchte gerne von aussen auf Dienste in meinem Netzwerk zugreifen können, also sowas wie Bitwarden, Nextcloud, ne NAS unter OMV etc.

Ich stelle mir vor, dass die https Aufrufe über einzelne subdomains meiner gehosteten Domain aufgerufen werden also:

bitwarden.meinedomain.xx

nextcloud.meinedomain.xx

openmedia.meinedomain.xx

Status heute: meine Domain ist existent und wird gehostet, Zertifikat installiert, ping gibt mir die beim Hoster hinterlegte IP aus, die Domain ist aus dem Netz durch Eingabe von https://meinedomain.xx

erreichbar.

Und jetzt kommt der Fragenkomplex:



Wenn ich also jetzt meine Subdomain aufrufe, muss ich die ja in mein Netzwerk umleiten. Richtig? Da ich bei meiner Fritzbox keine feste IP hab, müsste ich die vermutlich an meine duckdns Adresse weiterleiten also sowas wie

meinedomain.xx

auf

meinesubdomainbei.duckdns.org

Das müsste ich dann bei Domainweiterleitung bei meinem Hoster hinterlegen. Das kann ich mir noch vorstellen. Aber wie ist das dann bei einer Subdomain, also

bitwarden.meinedomain.xx

auf

meinesubdomainbei.duckdns.org

Was geschieht mit der Subdomain?

Wenn das dann vom Hoster weitergeleitet wird, stelle ich mir vor, das mein am Port 443 lauschender nginx Reverseproxy die Anfrage annimmt und intern auf meinen vaultwardenserver umleitet.

Also Aufruf im Netwerk von Ausserhalb

https://bitwarden.meinedomain.xx

wird an den Hoster gesendet. Der leitet weiter auf meinesubdomainbei.duckdns.org, hinter dem sich die jeweils aktuelle IP meiner Fritzbox verbirgt. Die schlägt als https auf 443 auf, mein Reverseproxy nimmt die Anfrage jetzt an -> und was bekommt der?

Bekommt der

meinesubdomainbei.duckdns.org

oder

bitwarden.meinesubdomainbei.duckdns.org



Das ganze Thema verstehe ich noch nicht so ganz. Kann mir da jemand helfen – bitte…?



Oder wie kann ich das elegant lösen?

 

[Haldi]

Du siehst das viel zu kompliziert.

Status heute: meine Domain ist existent und wird gehostet, Zertifikat installiert, ping gibt mir die beim Hoster hinterlegte IP aus, die Domain ist aus dem Netz durch Eingabe von https://meinedomain.xx

Passt. Mehr ist auch nicht nötig.

Wenn ich also jetzt meine Subdomain aufrufe, muss ich die ja in mein Netzwerk umleiten. Richtig? Da ich bei meiner Fritzbox keine feste IP hab, müsste ich die vermutlich an meine duckdns Adresse weiterleiten also sowas wie

Hast du vor die ganzen Subdomains im gleichen Netzwerk zu benutzen wie die Haupt Domain? Dann läuft das.

Hab meine Domain bei Godaddy gekauft und nutze auch deren DNS Server. Da sich meine IP sehr selten ändert nutze ich einfach die OpenWRT Dynamic DNS version um meine IP bei GoDaddy zu ändern. Skip DuckDNS oder Afraid.org komplett.

Früher hatte ich Nginx Proxy manager im Einsatz, seit kurzem auf Zoraxy gewechselt.(Mehr Monitoring was abgeht)
Jedenfalls Wildcard SSL zertifikat und jegliche Subdomain die ich dort erstelle (DNS Server weiss gar nix davon) ist problemlos von aussen erreichbar und hat das korrekte Zertifikat.

 

[uan]

Danke für die Antwort. Dann bin ich so falsch also nicht.

Darf ich das so verstehen, dass wenn ich in meiner Domain beim Hoster die Umleitung

meinedomain.xx auf die meinedomainbei.duckdns.org

hinterlege und ich gebe

https://bitwarden.meinedomain.xx

ein, dann kommt beim nginx PM

bitwarden.meinedomainbei.duckdns.org

an?

Weil das wäre genau das, was ich möchte...

 

[Haldi]

äh... naja.... Ja...
Du versuchst auf bitwaren.domain.com zu gehen, Also geht der DNS server zum Hoster der Domain, dieser verweist auf Duckdns welcher dann sagt "die domain.com geht zu IP XXX.XXX.XXX.XXX"
Danach kommt die anfrage zu NPM welcher sagt "Ach du willst subdomain Bitwarden?" und leitet es zu dem gerät/port in deinem Lokalen Netzwerk welcher du in NPM definiert hast.

Kannst du hier online austesten:

Traceroute Online with Network Map | Tactical Network Testing

Online Traceroute with Visual Mapping. Gathers detailed ASN and location information. Map the packets path.

traceroute-online.com

Sollte am ende bei deiner Public IP ankommen.

 

[uan]

Erstmal Danke. Jetzt bin ich schon nen Schritt weiter.

 

[sandreas]

Erstmal Danke. Jetzt bin ich schon nen Schritt weiter.

Mein Rat wäre, auf keinen Fall diese ganzen Dienste frei ins Netz zu hängen (auch nicht mit Passwortschutz oder Reverse-Proxy). Warum? Weil sobald du irgendeine Sicherheitslücke auch nur in einem der vielen Dienste hast, hängt dein kompletter Homeserver inkl. Netzwerk komplett wie ein offenes Scheunentor im Netz und die Bots kreisen wie die Geier überall rum. Ransomware-Betreiber freuen sich über sowas immer.

Richte dir lieber eine vernünftige VPN-Verbindung ein (z.B. mit Wireguard). Das funktioniert dann von überall und intern kannst du deinen DNS dann so umstellen, dass du https://bitwarden.deinedomain.de intern z.B. auf 192.168.100.50:8080 zeigen lässt (oder wohin du halt magst).

Sollten jetzt deine Freunde auch auf die Dienste zugreifen wollen, kannste denen ein Client-Zertifikat fürs VPN geben und dann klappt das auch (sogar Android, iPhone, Windows, Mac und Linux).

 

[uan]

Mein Rat wäre, auf keinen Fall diese ganzen Dienste frei ins Netz zu hängen (auch nicht mit Passwortschutz oder Reverse-Proxy). Warum? Weil sobald du irgendeine Sicherheitslücke auch nur in einem der vielen Dienste hast, hängt dein kompletter Homeserver inkl. Netzwerk komplett wie ein offenes Scheunentor im Netz und die Bots kreisen wie die Geier überall rum. Ransomware-Betreiber freuen sich über sowas immer.

Richte dir lieber eine vernünftige VPN-Verbindung ein (z.B. mit Wireguard). Das funktioniert dann von überall und intern kannst du deinen DNS dann so umstellen, dass du https://bitwarden.deinedomain.de intern z.B. auf 192.168.100.50:8080 zeigen lässt (oder wohin du halt magst).

Sollten jetzt deine Freunde auch auf die Dienste zugreifen wollen, kannste denen ein Client-Zertifikat fürs VPN geben und dann klappt das auch (sogar Android, iPhone, Windows, Mac und Linux).

ooooookay.
Ouh yes, daran hab ich noch gar nicht gedacht.

Hört sich auf jeden Fall nach nem guten - UND - sicheren Plan an. Hab ich noch nie gemacht.
Ich hab zwei Netze, eins daheim und eins im Laden. Die hab ich mal über nen Wireguard verduddelt, hat funktioniert, aber ich konnte nur auf die 7590 Boxen zugreifen. Hab das dann nicht weiter verfolgt, aber das wäre natürlich ne interessante Sache, so ein Überraschungsei, was interessantes zum lernen und was zum spielen ;-)))

Ich würde dann zb nen Wireguard Server auf Proxmox in nem Container aufsetzen?
Das mache ich jetzt mal.

 

[Supaman]

Die einfachste Variante für einen Wireguard Server ist ein GL.inet Router, da kann man das sehr einfach zusammen klicken.
Und mit 2 GL.inet Routern kannst Du auch Wireguard Site-2-Site machen. Oder die GL.inet GoodCloud Funktion nutzen,
das ist so eine Art VPN SDN ähnlich wie Tailscale.

 

[sandreas]

Die einfachste Variante für einen Wireguard Server ist ein GL.inet Router, da kann man das sehr einfach zusammen klicken.

Das geht aber auch sehr gut ohne GL.inet Router... insbesondere Fritzbox hat das ja schon mehr oder weniger eingebaut. Alternativ kann man sowas auch über 2 beliebige 15 Euro OpenWRT Router, Docker oder LXC-Container lösen. Aber letzten Endes ist ja die Umsetzung egal. Bissel testen muss man wahrscheinlich, aber wenn das mal läuft, ist das normalerweise echt zuverlässig. Ich hab seit ichs einmal konfiguriert habe noch nie Stress damit gehabt.

 

[uan]

Was ich hier noch rumfliegen habe, sind zwei fujitsu futro S720, die ich ursprünglich mal für adguard vorgesehen hatte. Läuft auch einwandfrei, bis das Powermanagement die Teile schlafen legt.... Und ich weiss nicht, wie ich das abgeschaltet bekomme... Auch zwei Raspis zero w hätte ich noch, die sich leicht ins Lan hängen lassen... Ich habe aber sowohl daheim, als auch im Laden ne Proxmox Maschine stehen, so dass man auch Container brauchen könnte...

 

[Supaman]

Das geht aber auch sehr gut ohne GL.inet Router... insbesondere Fritzbox hat das ja schon mehr oder weniger eingebaut. Alternativ kann man sowas auch über 2 beliebige 15 Euro OpenWRT Router, Docker oder LXC-Container lösen.

Das sehe ich anders... die GL.inet Router haben OpenWRT unter der Haube, und das ist auch direkt zugänglich. Je nach Skill kann man sich die WG Konfig entweder über das GL.inet GUI zusammenklicken oder wechselt halt auf die OpenWRt Seite.

 

[sandreas]

haben OpenWRT unter der Haube, und das ist auch direkt zugänglich

Das ist auch eine etwas missverständliche Formulierung - ich finde GL.inet schmückt sich hier ein bisschen mit fremden Federn bzw. macht sich Open Source eher zu Nutze, als etwas zurück zu geben... Es wird tatsächlich OpenWRT als Basis genutzt, allerdings oft eine alte, stark angepasste Version, die je nach Modell auch nicht so einfach "umgeflashed" werden kann. Das stößt mir (und vielen anderen, die ich kenne) etwas sauer auf. Zumindest hat man OFT die Option, einfach das Original OpenWRT drüber zu flashen, wenn man es mag, aber eben nicht bei allen Modellen.

Ne schöne Oberfläche ist relativ, das Stock-OpenWRT (also das, das wirklich Open Source ist), bietet hier zwar keine Schönheit, aber ne Oberfläche gibts dafür auch.

 

[underclocker2k4]

Wer einfaches VPN haben will, nimmt einfach Draytek.
Nicht nur, dass das Ding alle möglichen VPNs unterstützt, das ist auch noch Idiotensicher.
Es gibt entsprechende Clients.

Smart VPN Client | DrayTek

www.draytek.com

Klar kostet sowas (mehr) Geld, wer sich aber mit der Technik nur halbwegs auskennt, bekommt das zum Laufen. Hilfe bekommt man.
Voraussetzung ist natürlich, dass der Router auch entsprechend von außen erreichbar ist. (öffentliche IP-Adresse)

 

[besterino]

Oder nen Brume 2 hinter die FRITZ!Box. Tut auch.

Weniger Profi, vmtl. dafür auch weniger Kröten.

https://www.amazon.de/gp/aw/d/B0BQMJDDYR

 

[Supaman]

Wenn Gl.inet für VPN & Co, dann entweder den Opal (preiswertester der auch Adguard kann), oder den Flint 1 (AX-1800), der kostet nur ein paar Euro mehr, hat aber deutlich potenetere Hardware und auch mehr LAN Porst.

@underclocker2k4 :
Draytek war früher meine erste Wahl, bin ich inzwischen von abgerückt, weil ich da fast keine Weiternetwicklung mehr sehe. Die GL.inet Router z.B. haben einen kostenlosen Dyndns Dienst und Cloud ACoount mit an Board, wenn man es nutzen möchte.

 

[underclocker2k4]

Die GL.inet Router z.B. haben einen kostenlosen Dyndns Dienst und Cloud ACoount mit an Board, wenn man es nutzen möchte.

Du meinst sowas?

DrayDDNS

The free Dynamic DNS service included in all DrayTek routers

www.draytek.com

Und wo siehst du keine Weiterentwicklung?
WG oder auch OpenVPN wurde implementiert.
TACACS+ ist auch dabei.
Für mich ist das ein stetige Weiterentwicklung.
Evtl. müsstest du mal genauer schauen, um das bewerten zu können?
Weiter gehts auch mit Sachen wie central MGMT von Router, Switch und AP.
Ob man in so einer Umgebung Cloud braucht, muss man für sich bewerten.
Hat grundsätzlich seine Vorteile. Aber übergreifendes MGMT kann ich "lokal" über die entsprechenden VPN-Tunnel machen.

GLiNet ist ganz nett, aber bei weitem nicht in der Liga wo Draytek spielt. Und so, wie die aufgestellt sind, wird das auch nie erreicht werden, gar nicht der Fokus. Das ist die bessere Version von Netgear und Co.,

 

[Supaman]

Das eher so ein subjetives Gesamtbild. Die haben 2 Jahre gebraucht, von der Ankündigung Wireguard für alle Modelle einzubauen, bis es dann tatsächlich im 2927 drin war. Die Umsetzung fand ich auch eher so mäßig gelungen. Das Central Management und die Komponeten hatte ich auch im Einsatz, aber auch hier finde ich das eher rudimentär umgesetzt, mit wenig Bewegung, da hat sich bei Unifi deutlich mehr getan.

Von den Features insgesamt ist Draytek sehr gut, da kann die GL.inet Oberfläche nicht mithalten.

Id.r. brauchte ich primär einen halbwegs gescheiten Router mit Wireguard, und da Draytek das laange nicht an Board hatte, bzw nurt bei 2 premium Modellen, habe ich das mit GL.inet oder OpenWRt umgesetzt.

 

[p4n0]

Ich bin der Meinung dass sich Draytek ueber die letzte Jahre einen zuverlaessigen Ruf aufgebaut hat. Das Zeug von denen macht keine Faxen. Einmal eingerichtet, fire and forget. Fertig. Habe immer wieder die Vigor modems fuer DSL verwendet. Immer alles i.O. Seit ca nem Jahr nen 2927 lte n paar tausend Kilomenter entfernt, laeuft wie ne 1.

 

[sch4kal]

Mein AG benutzt die Draytek 2765 als VDSL Modem. Vorgänger war das Zyxel VMG1312-B30A, das leider nicht so gut mit L2BSA Anschlüssen der DTAG syncte. Potentiell dürften da jetzt so an die 10000 Drayteks im Feld verbaut sein, bis jetzt hab ich nix Negatives gehört, kann daher @p4n0 zustimmen.

 

[uan]

Je mehr ich über die Sache nachgedacht, überlegt und gelesen habe, muss ich wohl meine Eingangsüberlegung nochmal ein wenig anpassen - denn wenn ich was machen möchte - dann lieber gleich richtig.

Und da scheint mir die Geschichte mit VPN der Ansatz den ich gerne verfolgen möchte.
Ich habe zwei Netzwerke (zuhause und Laden) die ich gerne über einen VPN-Tunnel verdrällern möchte. In beiden Netzwerken sind FB 7590 am Start, dahinter jeweils ne handvoll PCs, Drucker, Scanner, NAS und was man so braucht, Handys, Tablets, die jeweils am WLAN angebunden sind - also nix besonderes. Wir sind hier Outlet des deutschen Steinzeitinternets, Kabel haben wir nicht, Glasfaser in ein bis zwei Jahren und so dümpeln wir mit 100Mbit DSL rum...
Zum Datenaustausch von dem, was ich so daheim und im Büro brauche, nehme ich meist USB Platten. Clouds bringen mich da nicht weiter, weil die beim Kopieren das Datum des Kopierens in die Dateiinformation übertragen, was nicht erwünscht ist. Also hab ich in beiden Netzwerken Synologys reingehängt und versucht, das über ShareSync zu machen, aber selbst da stoße ich an meine Grenzen, weil die ganze Syncerei hin und wieder läuft, dann mal wieder nicht, dann wegen Zertifikaten abbricht etc.
Ausserdem habe ich meine eMail-Archivierung nur auf dem Firmennetzwerk und möchte darauf über VPN dann auch von daheim drauf zugreifen können, ne zweite Lizenz möchte ich da nicht kaufen. All das mache ich im Augenblick mit externen Datenträgern - aber das muss auch eleganter gehen...
Was zum basteln und Spaß eben.

Da bin ich über ein Video vom Raspi Pi Cloud gestolpert, der ne VPN Bridge auf nem kleinen HetznerCloudserver vorstellt, dann hab ich mich mit GL.inet beschäftigt, da könnte ich mir zwei Router zulegen, das wäre nicht das Problem.... Aber ich kann mir kaum vorstellen, dass das out-of-the-box Lösungen sind, auspacken, anklemmen, starten, läuft.

Kann und will mir da jemand ein bißchen helfen?

 

[gea]

Die einfachste Lösung ist meist die beste.

Dazu zwischenden den FB eine LAN-LAN Kopplung einricten

WireGuard-VPN zwischen zwei FRITZ!Box-Netzwerken einrichten | FRITZ!Box 7590

Unsere Schritt-für-Schritt-Anleitung, um zwei FRITZ!Box Netzwerke über VPN (WireGuard) einfach und sicher miteinander zu verbinden. ✓

avm.de

mögliche Probleme:
- Eine Fritzbox ist WG Server, die andere WG Client, Client Datenverkehr ins Internet geht je nach Einstellung immer über VPN und den Server also jeglicher Internettraffic. Im anonymen Hotelnetz sicher gewünscht, kann aber ansonst bremsen. Da normalen Internet Traffic auf Clientseite nicht übers VPN leiten.

Alterntiv:
keine LAN-LAN Kopplung sondern auf den Arbeitsplätzen auf Client-Seite WG aktivieren und auf dem WG Server per Client einrichten.
Ein Client kann dann selbst entscheiden ob Internet und Traffic ins andere LAN über VPN (WG on) gehen soll oder nur normal ins Internet (WG off).
Für den Zugriff auf den WG Server da Dyndns aktivieren.

 

[Haldi]

Oder du Nutzt Tailscale.

Datenschutzhinweis für Youtube

An dieser Stelle möchten wir Ihnen ein Youtube-Video zeigen. Ihre Daten zu schützen, liegt uns aber am Herzen: Youtube setzt durch das Einbinden und Abspielen Cookies auf ihrem Rechner, mit welchen sie eventuell getracked werden können. Wenn Sie dies zulassen möchten, klicken Sie einfach auf den Play-Button. Das Video wird anschließend geladen und danach abgespielt.

Youtube Videos ab jetzt direkt anzeigen

Video anzeigen

Eigentlich auch Wireguard, aber einfach aufzusetzen.... behaupten sie, habs nie versucht.
Jedenfalls kommt er im Video von Zuhause auf den Jellyfin server der eltern. Sowas was du gerne hättest oder?

 

[uan]

Die einfachste Lösung ist meist die beste.

Dazu zwischenden den FB eine LAN-LAN Kopplung einricten

WireGuard-VPN zwischen zwei FRITZ!Box-Netzwerken einrichten | FRITZ!Box 7590

Unsere Schritt-für-Schritt-Anleitung, um zwei FRITZ!Box Netzwerke über VPN (WireGuard) einfach und sicher miteinander zu verbinden. ✓

avm.de

mögliche Probleme:
- Eine Fritzbox ist WG Server, die andere WG Client, Client Datenverkehr ins Internet geht je nach Einstellung immer über VPN und den Server also jeglicher Internettraffic. Im anonymen Hotelnetz sicher gewünscht, kann aber ansonst bremsen. Da normalen Internet Traffic auf Clientseite nicht übers VPN leiten.

Alterntiv:
keine LAN-LAN Kopplung sondern auf den Arbeitsplätzen auf Client-Seite WG aktivieren und auf dem WG Server per Client einrichten.
Ein Client kann dann selbst entscheiden ob Internet und Traffic ins andere LAN über VPN (WG on) gehen soll oder nur normal ins Internet (WG off).
Für den Zugriff auf den WG Server da Dyndns aktivieren.

LAN LAN hab ich schon versucht, leider war das von nur mäßigem Erfolg gekrönt. Ich habe auf beiden Seiten keine echten, jungfräulichen AX stehen sondern solche vom Provider bereits befummelten RJ. Ob deshalb, oder weil da irgendwas anders noch im Bauch von der FB war, jedenfalls war die Verbindung aufgebaut und aktiv, wie das grüne Lämpchen in der FB an der Verbindung zeigte, aber über die IP konnte ich dennoch nicht zugreifen. Auch ein Ping war nicht möglich.
Vor kurzem musste ich dann mal die FB im Laden neu aufsetzen, hab die LAN LAN neu aufgesetzt und dann hats insoweit geklappt, als das ich die GUI der FB aufrufen konnte. Aber bei jeder andere IP, zb das Syn-NAS, war dann schon wieder Essig.
Schon klar, der Fehler sitzt meisst vor dem Rechner, und deshalb wollte ich das ganze Spiel nochmal komplett neu aufsetzen.

 

[Zyxx]

Falls es von Interesse ist, ich habe zwar keine Firmennetze zusammengelegt, aber meine Geschwister, Eltern und mich.

Ausgangspunkt: Alle Netzwerke haben ein anderes Subnetz 192.168.1,2,3; 10.0.0,1,2,3 da hat sich was angesammelt.

In jedes Haus / Wohnungsnetz habe ich einen DD WRT Router als Wireguard Endpoint konfiguriert, Endpunkt für alle ist ein und dasselbe VPS.
Der Zugriff auf das bspw. Mediacenter in einem anderen Haushalt findet über Eingabe der IP Adresse/ des Namens statt.

Kennt der (ebenfalls DD WRT) Hauptrouter das Subjetz nicht, geht es an den WAN Port ins eigene Internet.
Geht es an ein bekanntes Subnetz, wird die dort hinterlegte Route genutzt und damit der Traffic zum WG Endpunkt umgeleitet.
Von da aus zum VPS, der das wieder an den passenden Teilnehmer weiter schleust.

Das funktioniert einwandfrei die letzten Jahre. Klappt natürlich auch für smb, ftp, Tvheadend, den Valheim Server und Co.
Ohne das extern erreichbar zu machen.
Einzig "Zyxxnsvalheim", oder "tvzyxx" getippt und die Namen werden vom Router aufgelöst und an die IP Adresse gespielt.

Das geht mit GLIs genauso, allerdings bekomme ich mit der Oberfläche das Grausen (und IPv6 läuft Amok wenn man nicht aufpasst) weswegen es die letzten Jahre viele ASUS RT N66U wurden, die reichen als DD WRT Wireguard Tunnel Endpunkt für 20-30 Mbit Dauerlast, wer mehr braucht... größerer Router nehmen, wie bspw. mein Linksys WRT 1200, welcher gut 200 Mbit schafft.

Ich bin komplett weg von extern erreichbaren Subdomains.
Die Endpunkte halten die Verbindung zum Server, wer die Dienste kennt kann sie von intern erreichen.

Edit sagt: natürlich können auch Wireguard Zugangsdaten für Mobilgeräte erstellt werden, die sich dann an den VPS anmelden.

 

[uan]

Vielen Dank lieber Zyxx.
Da hast Du mir ne ganze Menge zum Denken gegeben - also wirklich. Ich hab dann recherchiert, gesucht, Videos angeguckt und war völlig fasziniert von dem Thema. Das ist mir sogar bis ins Hejabettchen nachgelaufen, aber irgendwann wurde es mir klar - wie das gehen könnte.

Hab mich mal rangesetzt und ein Bildchen zusammengezimmert, das so ungefähr meine Infrastruktur zeigt.

Ich schreib jetzt mal munter drauflos, was mir so gegen das Großhirn prallte...

Links mein Netz daheim, rechts der Laden.
Da ist jeweils die Fritzbox, die den Zugang zum Internet routet und das Netzwerk zur Verfügung stellt. Die IPs hab ich dazugeschrieben.
Ich glaube, durch diese Visualisierung hat das jetzt den Zuganz zum Verstehzentrum geschafft. Wenn ich dann den Tunnel zwischen den GL.inets aufgebaut hab, hab ich den Tunnel. Sonst noch nix. Der macht und kann gar nix, der ist nur da.
Wie ich in der Fritzbox ein Gateway 192.168.xxx.1 hab, ist das der Weg ins Internet. So einen Weg brauche ich auch in und durch den Tunnel, also muss da auch ein Gateway her, so brauchen beide Glinets auch ne IPAdresse, die jeweils die Pforte in den Tunnel ist.
Und so muss ich beispielsweise meinem PC links (192.168.100.20) klarmachen, dass wenn ich im Browser die IP 192.168.1.50 eingebe, ich demzufolge zu dem PC im anderen Netz möchte, der den Weg nicht über die Fritzbox in die weite Welt sucht, sondern über den GL-inet in den Tunnel entschwindet und auf der anderen Seite dann die entsprechende IP Adresse findet. Das heisst, ich brauche ne Zuordnungstabelle in der die Ziel-IP steht und wie ich da hinkomme. Wenn ich das richtig verstanden hab, ist dass dann das Routing, Mapping etc. Richtig?

 

[Zyxx]

Ich bin grade unterwegs, aber das ließt sich gut, ja.
Wenn du in deinem 192.168.100.x Netz auf die 192.168.1.x zugreifen möchtest, musst du dem Gateway deines 192.168.100.x Netz sagen "wenn 192.168.1.x angesurft wird, leite an GL.inet weiter".
Der nattet deine Anfrage dann idealerweise, spricht mit dem GL.inet im Netz 192.168.1.x und der gibt das dann an das jeweilige Gerät im .1.x Netz.
Ob die Fritzbox Routen definieren erlaubt weiß ich nicht, die letzten Jahrzehnte nicht verbaut.
Die GL.inet sollten alles können was gebraucht wird, die basieren aber auf OpenWRT, da bin ich dann auch noob.
(Ich blick da nie durch und find die Hälfte nicht ohne zu googlen).

 

[sandreas]

Klappt natürlich auch für smb, ftp, Tvheadend, den Valheim Server und Co.

Jetzt muss man bei den global verfügbaren Shares nur regelmäßige Backups machen, das ist schon nett. Ach und vielleicht noch hoffen, dass sich niemand der Parteien eine Ransomware einfängt, sonst hat man ein echtes Problem.

 

[p4n0]

Und so muss ich beispielsweise meinem PC links (192.168.100.20) klarmachen, dass wenn ich im Browser die IP 192.168.1.50 eingebe, ich demzufolge zu dem PC im anderen Netz möchte, der den Weg nicht über die Fritzbox in die weite Welt sucht, sondern über den GL-inet in den Tunnel entschwindet und auf der anderen Seite dann die entsprechende IP Adresse findet. Das heisst, ich brauche ne Zuordnungstabelle in der die Ziel-IP steht und wie ich da hinkomme. Wenn ich das richtig verstanden hab, ist dass dann das Routing, Mapping etc. Richtig?

Das ganze loest man in der Regel durch den Einsatz gaengiger Routing-Protokolle. BGP beispielsweise, um ein Stichpunkt zu nennen.
Dann hast du zukuenftig auch keinen Aerger, wenn weitere (Sub)Netze dazukommen. Denn ein 'einfaches' Netzwerk fuer ein Gewerbe waere MIR Persoenlich zu wenig.
Ein Server bzw. das Management hiervon hat nix im Netz vom Drucker verloren. Genausowenig sollte dein Client, den du womoeglich mit dir herumschleppst, direkten Zugang zum Server/ kritische Netzwerkkomponenten deiner Firma haben.

Um das ganze noch abzurunden solltest du dich mit DNS & DNS Forwardern beschaeftigen. Das wirst du benoetigen, wenn du entspannt per URL auf deine internen Recourcen zugreifen moechtest
und auch vor hast mit SSL Zertifikaten zu arbeiten.

 

[sch4kal]

Äh, nein. BGP ist ein dynamisches Routingprotokoll, das erst dann wirklich interessant wird, wenn es mehrere Wege zu einem Ziel gibt. Bei ihm gibt es ja nur ein einziges Gateway, um ein bestimmtes Netz zu erreichen. The way to go sind da statische Routingeinträge in beiden Fritzboxen zu den jeweils anderen Netzen über diese GL.inet VPN Tunnelboxen. Dazu brauchen die beiden GL.inet erstmal intern feste Adressen aus dem jeweiligen Netz, sowie die öffentliche IP oder (Dyn)-DNS Eintrag des jeweils anderen GL.inet. Dazu muss man wiederum eine Portweiterleitung auf den beiden Fritzboxen von extern zum WG Port der GL.inets einrichten. Die statischen Routen werden anschließend in den Fritzboxen gesetzt ala 192.168.100.0/24 -> GL.inet „interne“ IP
Auf der anderen Fritte dann 192.168.1.0/24 -> 2. GL.inet „interne IP“.

 

[underclocker2k4]

Routingprotokolle sind an der Stelle völlig drüber und dynamische schon 3x.
Wie schon gesagt, reichen statische Routen auch aus.
Ich komme dabei nochmal auf die Drayteks zurück.
Da muss man sowas nämlich garnicht einstellen.
Mal legt im site2site VPN 1x fest, welche Netze auf der Gegenstelle existieren und dann weiß der lokale Router das. (das wird auch beim Connect auf Konsistenz geprüft)

Man kann dann gerne noch RIP oder OSPF drüberlegen, ist aber unsinnig. Wenn es mehrere Router werden, baut man einfach eine N:M Struktur auf und dann Router zu jedem anderen eine Direktverbindung.
Daher kennt dann jeder Router auch den kürzesten direkten Pfad.

Hab ich eigentlich schonmal gesagt, dass Draytek für sowas genau die richtige Hardware ist?

Ansonsten ist BGP für den Fall hier totaler Unsinn, ansonsten können wir ja alle Register ziehen. Wir packen noch ein wenig MPLS dazu, auch und gestrechte VXLANs machen sich bestimmt auch ganz gut.
Oder nen Multiplayer OSPF mit verschiedenen Areas oder noch ein paar VRFs auf den Geräten dazu, damit man die Hardware, die man dann für 5-stellig kauft, auch wirklich mal etwas fodert.

Ansonsten würde ich mir ehrlich gesagt wirklich Gedanken darüber machen, wer da wie mit dem kommunizieren kann.
Weil einfach so wild Netze miteinander verbinden mag privat ganz spannend sein. Für die Businesswelt würde ich mir da was anderes ausdenken.
Kommt aber auch auf die Nutzung der Netze an.
Es macht schon Unterschied ob man zu Hause einen Haufen Ofen, Mikrowelle, TV, Alexe, Google und Co. Geräte hat oder eben nicht.
All diese Geräte haben dann auch Zugriff auf die Sachen im Büro.
Man kann durch eine geschickte Netzstruktur viel Schindluder unterbinden oder gar provozieren.