5
VPN-Router als Gateway ohne eigene IP-Vergabe nutzen
Guten Tag in die Runde,
ich stehe derzeit vor folgender Herausforderung:
Für die programmierung von Sprechfunkgeräten soll an unterschiedlichen Standorten die W-Lan funktion dieser Geräte verwendet werden. Dazu habe ich via SOPHOS-Firewall ein VPN zu einem Windows-Server eingerichtet, dass sich soweit auch erreichen lässt. Bei der Anbindung der mobilen Router (ich habe hier aus wirtschaftlichen Gründen erstmal Gl.iNet AC1200 genommen), habe ich jedoch das Problem, dass der Router selbst, sowie er das ja grnds. machen soll, IP_adressen vergbit und den Datenverkehr dann über seine, von der Sophos zugewiesene IP routet. Welche Möglichkeiten gibt es, den Router so zu konfigurieren, dass dieser nur wie ein offener VPN-Client funkgiert und die Endgeräte ihre IP-Adresse aus der Infrstruktur zugewiesen bekommen? Quasi so, als würde ich die Geräte direkt mit dem Internet verbinden und darauf jeweils einen Open VPN-Client betreiben?
Routerseitig steht neben dem Herstellerkonfigurationsmenü auch LUCI zur Verfügung.
Ich wäre für Tipps / Hilfestellungen sowohl für die Konfiguration und ggf. auch für alternative Hardware dankbar.
RedBoxen von Sophos sind, aus finanziellen Gründen, leider keine Option, da es sich hier um ein Projekt für eine Hilfsorganisation handelt und im Endausbau ca. 30 Router im Umlauf seien werden, die jedoch nur ca. 1x jährlich zum Einsatz kommen, um ggf. Anpassungen an der Konfiguration der Funkgeräte vorzunehmen.
Das ganze ist vielleicht vom Szenario mit der Einrichtung eine HomeOffice-Arbeitsplatzes vergleichbar, bei dem via WAN ein Internetzugang bereitgestellt werden soll und die unternehmensseitigen Geräte sich dann so verhalten, als wären sie am Schreibtisch im Büro mit dem Netzwerks verbunden, ohne das dafür ein VPN-Client von Nöten ist.
In diesem Zusammenhang vielleicht noch der Hinweis, dass hier DMR-Funkgeräte und kein behördlicher Tetra BOS-Funk programmiert werden soll und die „Spielregeln des BSI“ somit keine Rolle spielen.
Vielen Dank und beste Grüße aus Schleswig-Holstein.
ich stehe derzeit vor folgender Herausforderung:
Für die programmierung von Sprechfunkgeräten soll an unterschiedlichen Standorten die W-Lan funktion dieser Geräte verwendet werden. Dazu habe ich via SOPHOS-Firewall ein VPN zu einem Windows-Server eingerichtet, dass sich soweit auch erreichen lässt. Bei der Anbindung der mobilen Router (ich habe hier aus wirtschaftlichen Gründen erstmal Gl.iNet AC1200 genommen), habe ich jedoch das Problem, dass der Router selbst, sowie er das ja grnds. machen soll, IP_adressen vergbit und den Datenverkehr dann über seine, von der Sophos zugewiesene IP routet. Welche Möglichkeiten gibt es, den Router so zu konfigurieren, dass dieser nur wie ein offener VPN-Client funkgiert und die Endgeräte ihre IP-Adresse aus der Infrstruktur zugewiesen bekommen? Quasi so, als würde ich die Geräte direkt mit dem Internet verbinden und darauf jeweils einen Open VPN-Client betreiben?
Routerseitig steht neben dem Herstellerkonfigurationsmenü auch LUCI zur Verfügung.
Ich wäre für Tipps / Hilfestellungen sowohl für die Konfiguration und ggf. auch für alternative Hardware dankbar.
RedBoxen von Sophos sind, aus finanziellen Gründen, leider keine Option, da es sich hier um ein Projekt für eine Hilfsorganisation handelt und im Endausbau ca. 30 Router im Umlauf seien werden, die jedoch nur ca. 1x jährlich zum Einsatz kommen, um ggf. Anpassungen an der Konfiguration der Funkgeräte vorzunehmen.
Das ganze ist vielleicht vom Szenario mit der Einrichtung eine HomeOffice-Arbeitsplatzes vergleichbar, bei dem via WAN ein Internetzugang bereitgestellt werden soll und die unternehmensseitigen Geräte sich dann so verhalten, als wären sie am Schreibtisch im Büro mit dem Netzwerks verbunden, ohne das dafür ein VPN-Client von Nöten ist.
In diesem Zusammenhang vielleicht noch der Hinweis, dass hier DMR-Funkgeräte und kein behördlicher Tetra BOS-Funk programmiert werden soll und die „Spielregeln des BSI“ somit keine Rolle spielen.
Vielen Dank und beste Grüße aus Schleswig-Holstein.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 8483511608
Url: https://administrator.de/contentid/8483511608
Printed on: May 5, 2024 at 08:05 o'clock
5 Comments
Latest comment
Morschen.
Gibt es einen Grund, dass die nicht mit einer anderen, lokalen IP Adresse "ankommen" dürfen? Der GL.iNET Router hat ja ein eigenes LAN. Dieses Subnetz wird ja mittels VPN an eure Zentrale verbunden, korrekt? Dann könnte man an eurer Sophos ja entsprechend Firewall Regeln erstellen, dass die Geräte von eurem Büronetzwerk aus erreicht werden können.
Wie genau ist das aktuell realisiert mit Site2Site IPSec, Wireguard oder OpenVPN?
Kannst du mal ein Schaubild erstellen, welches schildert, wer wie wo angeschlossen ist und welche Subnetze vorkommen?
Man sollte via WAN nicht einfach von einem Gerät in ein Büronetzwerk kommen, es sei denn man öffnet Letzteres explizit dafür. VPN ist hier immer die einzig richtige Antwort.
Gruß
Marc
Zitat von @pastn10:
Welche Möglichkeiten gibt es, den Router so zu konfigurieren, dass dieser nur wie ein offener VPN-Client funkgiert und die Endgeräte ihre IP-Adresse aus der Infrstruktur zugewiesen bekommen?
Welche Möglichkeiten gibt es, den Router so zu konfigurieren, dass dieser nur wie ein offener VPN-Client funkgiert und die Endgeräte ihre IP-Adresse aus der Infrstruktur zugewiesen bekommen?
Gibt es einen Grund, dass die nicht mit einer anderen, lokalen IP Adresse "ankommen" dürfen? Der GL.iNET Router hat ja ein eigenes LAN. Dieses Subnetz wird ja mittels VPN an eure Zentrale verbunden, korrekt? Dann könnte man an eurer Sophos ja entsprechend Firewall Regeln erstellen, dass die Geräte von eurem Büronetzwerk aus erreicht werden können.
Wie genau ist das aktuell realisiert mit Site2Site IPSec, Wireguard oder OpenVPN?
Kannst du mal ein Schaubild erstellen, welches schildert, wer wie wo angeschlossen ist und welche Subnetze vorkommen?
Das ganze ist vielleicht vom Szenario mit der Einrichtung eine HomeOffice-Arbeitsplatzes vergleichbar, bei dem via WAN ein Internetzugang bereitgestellt werden soll und die unternehmensseitigen Geräte sich dann so verhalten, als wären sie am Schreibtisch im Büro mit dem Netzwerks verbunden, ohne das dafür ein VPN-Client von Nöten ist.
Man sollte via WAN nicht einfach von einem Gerät in ein Büronetzwerk kommen, es sei denn man öffnet Letzteres explizit dafür. VPN ist hier immer die einzig richtige Antwort.
Gruß
Marc
Die Lösung kann nur klappen wenn der VPN Tunnel selber nicht geroutet wird sondern als Layer 2 Bridge (Mac Adress Basis) arbeitet. Damit bridgest du deine „Infrastruktur“ als einfache Layer 2 Bridge an die remoten Standorte. Sprich die IP Netzadressierung der „Infrastruktur“ mit allen Funktionen hast du dann auch transparent vollständig an den remoten Standorten.
Wenn du z.B. OpenVPN als VPN Infrastruktur verwenden willst ist das z.B. sehr einfach über ein Tunnel Bridging via TAP Interfaces zu realisieren.
https://openvpn.net/community-resources/ethernet-bridging/
Damit ist deine Anforderung relativ einfach und problemlos umzusetzen.
Wenn du z.B. OpenVPN als VPN Infrastruktur verwenden willst ist das z.B. sehr einfach über ein Tunnel Bridging via TAP Interfaces zu realisieren.
https://openvpn.net/community-resources/ethernet-bridging/
Damit ist deine Anforderung relativ einfach und problemlos umzusetzen.
1
Zitat von @aqui:
Wenn du z.B. OpenVPN als VPN Infrastruktur verwenden willst ist das z.B. sehr einfach über ein Tunnel Bridging via TAP Interfaces zu realisieren.
https://openvpn.net/community-resources/ethernet-bridging/
Wenn du z.B. OpenVPN als VPN Infrastruktur verwenden willst ist das z.B. sehr einfach über ein Tunnel Bridging via TAP Interfaces zu realisieren.
https://openvpn.net/community-resources/ethernet-bridging/
Wobei man hier noch erwähnen sollte das man sich damit aber auch den ganzen L2-Broadcast-Traffic über die WAN Leitung ins Haus holt und den Tunnel damit belastet.
1
Wenn man die Funk Konfigurations Infrastruktur VORHER in ein kleines VLAN abtrennt wird der TO das ganz sicher in tolerable Grenzen bekommen.
Die paar Kilobyte an Daten für die DMR Funkgeräte kann man sicher auch per 9600 Baud über einen feuchten Bindfaden übertragen. 😉
Die paar Kilobyte an Daten für die DMR Funkgeräte kann man sicher auch per 9600 Baud über einen feuchten Bindfaden übertragen. 😉
Wenn es das denn nun war bitte deinen Thread hier dann auch als erledigt schliessen!
How can I mark a post as solved?
How can I mark a post as solved?
