VPN - ich bräuchte mal einen Denkanstoß

Es gibt 8 Antworten in diesem Thema, welches 4.089 mal aufgerufen wurde. Der letzte Beitrag () ist von Ronny1978.

    Hallo zusammen,


    mein erster Beitrag hier, hoffentlich vergesse ich nichts. :winking_face:

    Ich glaube, ich sehe hier gerade den Wald vor lauter Bäumen nicht. Irgendwie fehlt mir der Ansatz...


    Ich möchte gern folgendes realisieren... Bei mir steht ein Gerät meines Kumpels. Ich möchte, dass ausschließlich dieses Gerät im IP-Netz meines Kumpels hängt, seine IP daher bezieht, etc. Als stünde das Gerät bei ihm.

    Vorher haben wir das mit Fritzbox-Funktionen gelöst, die konnten sich mit Myfritz gut miteinander verbinden... jetzt habe ich meine Fritzbox allerdings abgelöst, daher kommt die Verbindung natürlich nicht mehr zustande. Das Gerät selbst kann sich NICHT selbst aktiv per VPN "einwählen".


    Mein Setup: Glasfaser, dahinter eine Dream Machine Pro im Keller, die die Verbindung aufbaut. Dann habe ich hier im Haus sternförmige vlan-fähige Switches, das entsprechende Gerät hängt irgendwo dahinter.


    Was ich mir so "zusammenreime":

    • Die WAN-Adresse meines Kumpels ändert sich mindestens einmal täglich. Er benötigt also einen DynDNS-Server, den ich dann ansprechen kann. Ggf. sogar weiterhin die myfritz-Daten?
    • Ich würde bei mir ein VLAN eröffnen, dass die 192.168.60.0 bekommt. Dieses würde ich dann nur dem einen Port, an dem das Gerät hängt, zuweisen. Im Prinzip müsste dann alles, was über seine Adresse kommt, in dieses Netzwerk laufen?
    • oder braucht es irgendwie eine "Route", damit alles, was von dem Gerät kommt, nicht ins WAN, sondern zu meinem Kumpel geroutet wird?
    • Ich möchte nicht die kompletten Netze verbinden, es geht nur um das eine Gerät. Oder müsste ich dann das neu erstellte 192.168.60.0-Netz Site-to-Site mit seinem Netz verbinden?

    Ihr merkt, mein Kopf schwirrt... Sorry, ich merke beim Schreiben selbst, dass das alles ziemlich konfus klingt... vielleicht lasst Ihr mein Gereime einfach außen vorn und gebt mir einen Tipp, was Ihr tun würdet?

    Ich lege noch ein Bild bei, in der Hoffnung, dass klar wird, was ich meine.


    Ich danke euch.

    Christoph

  • Zum Hilfreichsten Beitrag springen

    • Offizieller Beitrag
    • Hilfreich

    Hey Christoph,


    willkommen an Bo(a)rd. Dein "Bild" (Skizze) gefällt mir :).


    Ich habe verstanden, dass bei Dir ein Gerät eines Kumpels steht (Housing), welches er von sich aus erreiche können soll, als wenn es bei ihm stünde. Prinzipiell ist VPN dafür geeignet. Nun müssen wir aber erstmal etwas "aufräumen".

    Das Gerät bei Dir kann unmöglich in dem Adressraum betrieben werden, welchen auch Dein Kumpel bei sich im LAN hat. Das ist schon mal klar. Es kann nur zwischen unterschiedlichen Netzen geroutet werden. Möchtest Du uns vielleicht mitteilen, was das für ein Gerät ist, welches (Deines Wissens nach) selbst keine VPN-Verbindung zu Deinem Kumpel initiieren kann? Es gibt für fast alle "Clients" eine Lösung.

    Die MyFRITZ-Adresse Deines Kumpels kannst Du natürlich verwenden, um seine IP zwecks VPN-Verbindung zu ermitteln. Das mit dem VLAN und dem "ausgelagerten" Gerät ist eine gute Idee. Ich habe mich mit solch einem Aufbau noch nicht beschäftigt - gerade was das Thema Firewalling betrifft. Aber das können wir sicher gemeinsam erarbeiten, wenn Du Lust hast. #Try'nError

    Damit auch er eine Verbindung initiieren kann solltest auch Du über eine öffentliche IPv4-Adresse (und einen "Namen") verfügen, falls das ein mögliches Szenario ist.

    MMn ist eine LAN-LAN-Kopplung (AVM-Sprech) oder ein Site-to-Site-VPN die einfachste Methode Deinen / euren Wunsch umzusetzen, wenn auch nicht "mal eben so". Er soll nur Zugriff auf das eine Gerät bei Dir haben? Willst Du dieses "mysteriöse" Gerät auch benutzen oder hast Du damit nix am Hut? (Spätestens jetzt wäre ich neugierig :grinning_squinting_face: )


    Nachtrag: Würdest Du (wenigstens mir :thinking_face:) Deine TAG-Wahl erklären? Ich würde hier immer nur die Konfiguration von (D)einem Anschluss sehen, nicht alle betroffenen. Wenn ich das richtig gelesen habe, dann hast Du ja eine UDM-P an Deinem Anschluss. Das "other GW" (FRITZ!Box) ist ja auf der Gegenseite. Für mich wäre das klarer.


    Was meinst dazu?


    Viele Grüße aus der Hauptstadt.

    Also das Gerät in ein eigenes Netzwerk zu packen und von deinem eigenen Netzwerk fern zu halten ist ja schon mal gut.

    Dazu müsste dann eine Firewall-Rule erstellt werden, welche den Zugriff von dem Netzwerk zu Deinem Netzwerk verhindert.


    So nun kommt der Part, wo ich evtl, einen Denkfehler haben könnte:

    Wenn das Gerät bei Dir steht, aber selbst kein VPN initiieren kann, wie kann dann Dein Kumpel darauf zugreifen? Er baut also dann den Tunnel auf und nutzt das Gerät? Oder ist dafür die Site-to-Site Anbindung gedacht?


    Alternativ hätte ich jetzt gesagt, dass Dein Kumpel sich einfach einen VPN-Client (z.B. OpenVPN etc.) einrichtet und auf Deiner UDM (wenn das vergleichbar mit der USG-Pro ist) startest Du den RADIUS und dort kannst Du Remote VPN User, Netzwerk für den User etc. einrichten.


    VG

    Hey zusammen,


    vielen Dank für eure Antworten.

    Na klar, ich gebe gern weiterführende Infos. Im Prinzip geht es

    • kurzfristig darum, ein dummes Gerät einzubinden. Ich möchte es nutzen, es muss aber Mitglied seines Netzes sein. Auf das Gerät selbst zugreifen muss mein Kumpel nicht unbedingt.
    • mittelfristig auch darum, eine Diskstation von meinem Kumpel bei mir als Backup hinzustellen. Die kann dann vermutlich aber selbst die VPN-Verbindung herstellen. Zuerst würde ich daher gern erstmal die Baustelle mit dem "dummen" Gerät beackern.


    Aktuell würde ich sagen, ich definiere bei mir auf der Dream Machine ein extra VLAN nur für dieses Gerät (zB die 90). Die 90 gebe ich dann über die beiden kaskadierten Switches auf den entsprechenden Switchport hoch, an dem das Gerät hängt. Damit würde das Gerät vermutlich z.B. die IP 192.158.90.17 bekommen. Mit Firewallregeln könnte ich dann wohl den Zugriff aus dem 90er Netz in andere Netze unterbinden.


    Problematisch wirds jetzt irgendwie wieder bei den Routern. Bei mir die Dream Machine, bei meinem Kumpel die Fritzbox (die hier anscheinend cleverer ist). Angenommen ich richte das 90er Vlan als Site to Site VPN ein und versuche das mit dem Netzwerk meines Kumpels zu verbinden... in der Dream-Machine kann ich nicht auf Domänen verweisen, sondern nur auf IPs. Seine (und meine) IP ändert sich aber täglich :-(. Und genau an der Stelle komme ich dann nicht weiter.


    Momentan bin ich so "verzweifelt", dass ich eine extra-Fritzbox hinter die Dream Machine hänge, die über die Dream Machine Internet bekommt, jedoch selbst ein eigenes Subnetz ausstrahlt. Hier kann ich dann (hoffentlich) die Fritzboxen per VPN miteinander verbinden. Also ziemlich krüppelig. Und aktuell kriege ich selbst das noch nicht zum Laufen... muss noch mal sehen, warum nicht, wollte erstmal einen neuen Stand geben.


    Habt Ihr noch Ideen für mich, wie ich das sauberer hinbekomme?


    Vielen Dank :smiling_face:

    • Offizieller Beitrag

    Jaja, VPN und dynDNS, das ist noch eine fette Baustelle bei UniFi! :pouting_face:

    Bei den meisten IPSs kann die Zwangstrennung mitlerweile abgeschaltet werden. Habt ihr das schon versucht / in Erwägung gezogen?

    Wenn es echt ein dummes Gerät ist, dann würde ich damit keine weitere Zeit verschwenden das in Betrieb zu nehmen, denn mit einer DiskStation kannst Du Dir ganz viel Ärger ersparen. Diese könnte selbstständig die VPN-Verbindung zur FB herstellen und gut ist's.

    Wenn Dein Kumpel nicht auf das Gerät zugreifen braucht - so wie Du oben geschrieben hast - warum muss er denn dann darauf zugreifen können? Wenn es sich um einen Websever handelt, dann könnte man das Ganze auch mit Protfreigaben lösen. :thinking_face:

    • Offizieller Beitrag

    Ich konkretisiere: dynDNS-based Site-to-Site-VPN ist noch eine fette Baustelle bei UniFi! :pouting_face:

    Hallo christopher01,


    darf ich vermuten, dass bei deinem Kumpel eine Diskstation steht und zukünftig bei dir eine als Backup stehen soll? Wieso nutzt ihr nicht die Möglichkeit einen VPN Server auf der Diskstation zu betreiben und die entsprechenden Ports (zum Beispiel 1194 bei OpenVPN) vom jeweiligen Router weiterleiten? Dann die VPN Verbindung von einer zur anderen Diskstation herstellen und fertig. Ich komme noch nicht ganz mit den Beschreibungen der Geräte klar.


    Was steht bei deinem Kumpel? Und was steht bei dir? Wer soll auf welches Gerät zugreifen können? Vielleicht überlese ich auch was, aber die genaueren Bezeichnungen würden helfen.