Netzwerke Lokal/VPN Zugriff regeln ?

R

Rickyman

Enthusiast
Thread Starter
Mitglied seit
23.02.2010
Beiträge
448
Hallo,
die Überschrift klingt etwas wild denke ich.

Was ich möchte ist folgendes (ich versuche mal zu erklären):

Am Standort A gibt es das lokale Netz 1 mit eigener Fritzbox und 2x NAS.

Am Standort B gibt es das lokale Netz 2 mit eigener Fritzbox und 1x NAS.

Beide Netze sind per VPN (MyFritz) verbunden. ( VDSL 100/40)

Ich möchte ermöglichen, dass die VPN-Verbindung nur
von bestimmten Rechnern genutzt werden kann. Alle anderen Rechner
und auch Gastrechner an Standort A sollen demnach weder das VPN, noch
die VPN-berechtigten Rechner sehen (oder erreichen) können. Auch auf
vorhandene NAS-Laufwerke solle diese Rechner nicht zugreifen.


Hat da jemand einen Tipp? Bringt mich ein managebarer Switch an Standort A weiter?

Grüße und Danke
Rick
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Grundsätzlich vermischst Du hier verschiedene Dinge, die getrennt voneinander betrachtet werden sollten:

  • Zugriff auf das andere Netz über VPN
  • Zugriff innerhalb eines lokalen Netzwerks auf andere Geräte
  • Zugriff auf NAS-Freigaben
Bei letzteren Punkt brauchst Du einfach nur Benutzer mit Passwort auf dem NAS einzurichten, die ersten beiden Punkte sind schwieriger zu bewerkstelligen.

Wie definierst Du diese Gerätegruppen und was für einen Einfluss hast Du auf die Netzwerkeinstellungen aller Geräte (auch der "Gastrechner")? Sollen die "Gastrechner" auch per LAN oder nur per WLAN im Netzwerk sein?
 
Hallo,
leider komme ich erst jetzt zu einer Antwort; sorry.

Die Gastrechner sollten sich im Idealfall nur per LAN im Netzwerk befinden.
Ich habe vollen Einfluss auf alle Geräte mit Ausnahme der Gastrechner.

Was meinst Du mit Definition der Gerätegruppen?

Grüße
 
Ich bin jetzt auf die Idee gekommen, einfach einen zweiten Router hinter den einen zu schalten.
Das sollte doch recht einfach gehen?
 
Und welche Geräte sollen da ran?
Da das VPN bereits zwischen den beiden "Primären Routern besteht, sind auch die Geräte hinter einem 2. Router einbezogen.

Für solche Zwecke könnte man die VPN Verbindung zwischen den Sekundären Routern aufbauen, die Primären Router bilden das Gastnetz und haben nur Zugang zum Internet.
Der Sekundäre Router wird dazu als exposed Host/virtual DMZ auf dem Primären Router definiert.
Das geht allerdings nicht mit Fritzboxen als Sekundär-Router/VPN-Gateways, als Primärrouter könnten die bleiben

Einwandfrei geht das mit folgenden Produkten, teilweise auch untereinander (sogar, wenn beide Internetzugänge dynamische IP Adressen haben und per DynDNS aufgelöst werden)
- Netgear ProSafe-VPN Gateways, diese Serie ist allerdings EOL - eine Nachfolgeserie soll noch im Laufe des Jahres auf den Markt kommen.
- TP-Link TL-ER604W v2.0 (andere Geräte habe ich bislang noch nicht unter den Griffeln gehabt)
- Draytek Vigor v2860ac-B >> Die Lan2Lan Kopplung zu einem Netgear ProSafe klappte nur mit einer unüblichen und nicht spezifikationsgerechten Einstellung (Aggressive Mode statt Main-Mode) und nicht unidirektional (Initiator und Responder).
 
Zuletzt bearbeitet:
Ja ok, verstanden.
Wenn ich im sekundären Netz aber einen anderen IP-Bereich nutze? Geht das dann?

Was wäre denn für mein Vorhaben am einfachsten umsetzbar?
 
Ich habe es jetzt einfach mal ausprobiert; nützt ja alles Reden nichst...

Da das VPN bereits zwischen den beiden "Primären Routern besteht, sind auch die Geräte hinter einem 2. Router einbezogen
Zum Vergrößern anklicken....

Das stimmt; ich komme zwar vom primären Router nicht auf die Geräte am sekundären Router, jedoch umgedreht. Der Zugang über das VPN zum dritten Router bleibt mir allerdings
vom sekundären Router aus verwehrt (beim Zugriff kommt eine Meldung der Fritzbox, das die Einstellungen das nicht zulassen). Nützt aber auch nichts, denn z.B. ein Virus
kann sich ja über die Geräte am sekundärern Router ausbreiten.

Daher noch mal meine Bitte um Hilfe.
Wie kann ich die Aufgabe am besten (einfachsten) lösen?

Grüße
 
Steht doch oben!
Alles was nicht VPN ist in das Primäre Netz an der Fritzbox, auch das VPN-Gateway, wobei das VPN Gateway an der FB als exposed Host definiert wird.

Alle Anfragen von Aussen gehen damit an das VPN Gateway und werden von diesem behandelt = abgewiesen, wenn nicht VPN.
Die Firewall der FB ist für diesen Port deaktiviert, alle anderen Ports sind von der Firewall der FB weiterhin "geschützt"
Die FBs bekommen einen DynDNS Namen, dies sind dann auch "local_ID" bzw. "remote_ID" für IKE

Alles was via VPN Zgriff bekommen soll hinter das VPN Gateway, fettisch.

Sollte ein PC aus dem "primären Netz" dann doch mal Zugriff auf ein Gerät hinter einem der VPN Gateways bekommen müssen, kann man hierfür ein "Client2LAN" VPN aufbauen
 
OK, noch etwas zur Klärung.

Laut AVM kann der MyFritz-Dienst nicht an Fritzboxen in "zweiter" Reihe genutzt werden. Dann würde das ja nicht gehen, oder verstehe ich das falsch?
 
Wie wäre es mit einem VLAN fähigen Switch und ein VLAN vom Gastnetzwerk der Fritzbox an Port 4 für die Gastrechner abgreifen?
 
OK, aber ist es nicht korrekt, dass man im Gastnetz keine Ports öffnen oder als Teilnehmer selber bestimmen kann?
Dann würde es so auch wieder nicht reichen.
 
Rickyman schrieb:
OK, noch etwas zur Klärung.

Laut AVM kann der MyFritz-Dienst nicht an Fritzboxen in "zweiter" Reihe genutzt werden. Dann würde das ja nicht gehen, oder verstehe ich das falsch?
Zum Vergrößern anklicken....

Wo siehst du denn eine Fritzbox in "2. Reihe"?
Die FBs sind die Primären Gateways ins Internet (WAN/Internet >> FB >> normales (Gast)-LAN)
an einem der LAN Ports der FBs ist ein VPN Gateway angeschlossen (mit der WAN Schnitsttelle) und in der FB als exposed Host definiert.
Die FB aktualisiert einen DynDNS Eintrag bei Dyn.com (oder einem anderen unterstützten DynDNS Dienst)

Da die Netgear ProSafe VPN-Gateways EOL sind und mitlerweile teilweise recht teuer sind, wenn überhaupt noch erhältlich, wären die TP-Link Geräte hierfür derzeit die preiswerteste Variante (die Drayteks sind deutlich teurer).


Ein VPN zwischen einer Friztzbox und einem TP-Link (hinter einer FB) könnnte evtl. gehen, dann könnte man das 2. VPN Gateway am entfernten Standort einsparen, sofern da kein "Gastnetz" ohne Zugriff auf die VPN Verbindung erforderlich ist. Die Erfahrung zeigt leider, daß AVM beim VPN definitiv ein eigenes Süppchen kocht und IPSEC/IKE nur sehr unvollständig unterstützt.

- - - Updated - - -

Rickyman schrieb:
OK, aber ist es nicht korrekt, dass man im Gastnetz keine Ports öffnen oder als Teilnehmer selber bestimmen kann?
Dann würde es so auch wieder nicht reichen.
Zum Vergrößern anklicken....
Mal ganz ehrlich, wer Ports via UPNP auf einer Fritte automatisch öffnen lassen will, braucht sich über das Konzept VPN eigentlich keine Gedanken machen.....
Mit dem Gastnetz der FB nach AVM Definition an Port 4 kenne ich mich nicht aus.
Bei der Konstellation VPN-Gateway hinter der FB könnte das funzen - Dafür müßten explizite Portweiterleitungen an bestimmte Hosts mit Vorrang vor der Definition "exposed Host" abgearbeitet werden (Alles was nicht explizit auf andere Hosts weitergeleitet werden soll geht an den exposed Host).

- - - Updated - - -

DjGrave schrieb:
Wie wäre es mit einem VLAN fähigen Switch und ein VLAN vom Gastnetzwerk der Fritzbox an Port 4 für die Gastrechner abgreifen?
Zum Vergrößern anklicken....
Ich habe in der FB noch keine Einstellung gefunden, daß Der Zugriff auf die VPN LAN2LAN Kopplung nur für bestimmte VLANS freigegeben werden kann - respektive nur eine bestimmte Range an IP Adressen bzw. ein bestimmtes LANsegment zugelassen werden kann.

MWn hat das so genannte Gastnetz der FB diverse Einschränkungen.
 
Ich bezweifele das das was der TE vor hat mit Fritten so möglich ist... Ausser man nutzt zusätzliche Geräte:

Switch / Accesspoint "Gäste" -- LAN4 Gästenetz -- Fritz <----VDSL----> Fritz -- LAN4 Gästenetz -- Switch / Accesspoint "Gäste"
Switch / Accesspoint "LAN" -- LAN1-3 "LAN" -- -- LAN1-3 "LAN" -- Switch / Accesspoint "LAN"

Ins LAN kann man dann hängen was man will, Querzugriff möglich. Das Gästenetz bleibt jeweils getrennt.

Ansonsten kommen wir hier doch eher zu den Profiprodukten ;)
 
Anmelden, um zu antworten.

Ähnliche Themen

Warhead
Frage bzgl Netzwerkerweiterung und Vpn
Antworten
2
Aufrufe
267
Warhead
Warhead
I
Netzwerk absichern mit VLANs
Antworten
11
Aufrufe
1K
Supaman
Supaman
U
Fragenkomplex zum Zugriff auf Netzwerk von aussen
2
Antworten
36
Aufrufe
3K
uan
U
D
[User-Review] Lesertest zum QNAP TS-432X und N300 HDDs
Antworten
3
Aufrufe
429
Ceiber3
Ceiber3
1
Netzwerk Setup für Neubau
Antworten
27
Aufrufe
2K
12die4
1
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh