rbn111
Goto Top

2 Netzwerke + VPN mit Fritzbox aufbauen

Hallo zusammen,

ich bin gerade dabei mein Netzwerksetup zu vereinfachen und benötige noch etwas Unterstützung.

Ausgangssituation:

Aktuell wird das Netzwerk von einem LANCOM 1721+VPN Router verwaltet. Was damals schon sehr wichtig war - Trennung des Internetnetzes vom lokalen Netzwerk - ist es immernoch.
  • ETH1 = Internetnetzwerk, WLAN, DHCP aktiv
  • ETH2 = Lokales Netzwerk, Deny ALL mit einigen Firewallfreigaben z.B. RDP, kein DHCP, VPN Zugriff via LANCOM.

Wichtig ist, dass der Fernzugriff über eine sichere Verbindung erfolgt.

Die Frage ist, ob es möglich wäre das Setup zu vereinfachen. Die Zielkonfiguration besteht aus einem Fritzboxrouter und das LANCOM-VPN wird durch die Fritzbox abgelöst.
Fraglich ist noch, ob die beiden internen Netzwerksegmente mit der VLAN oder Gastfunktion der Fritzbox getrennt werden können wie bislang.

Besten Dank!

Content-ID: 618597

Url: https://administrator.de/forum/2-netzwerke-vpn-mit-fritzbox-aufbauen-618597.html

Ausgedruckt am: 23.12.2024 um 06:12 Uhr

the-buccaneer
the-buccaneer 04.11.2020 um 00:59:20 Uhr
Goto Top
Moinsen!

Das wirst du testen müssen. face-wink

Ich meine: Ja, sollte gehen.
ETH1 Gastnetzwerk. Darf ins Internet aber nicht ins lokale Netz der FB. Warum nicht?
ETH2 lokales Netz. Ist per VPN verbunden mit Irgendwo. (Gegenstelle muss IPSec supporten) Tutorials gibts zuhauf. Auch hier.
Ports öffnen wo es benötigt wird. (RDP????? never)

Aber: Mit der FB kann man ne Menge umsetzen. Standards oft. Feintung ist nicht.
Letztlich solltest du doch eher überlegen ob ne ordentliche Firewall nicht angemessener ist.

Kommt halt auf deine nicht näher beschriebene Umgebung an.

VG
Buc
support-m
support-m 04.11.2020 um 11:54:23 Uhr
Goto Top
Du willst einen Lancom durch eine FritzBox ersetzen?
Warum?
Macht der Lancom die Telefonie?

Wenn du nur Infos brauchst, ob du das Setup damit vereinfachst..hier ein paar Punkte:
- Die FritzBox kann ein Gastnetz zur Verfügung stellen, du hast aber keinerlei Firewallzugriff
- LAN-LAN-Kopplung ist bei FB möglich (bisher nur mit einer anderen FB getestet)
- Die FB lässt LAN-seitig grundsätzlich alles nach außen durch, du kannst mit der FB nicht den IP-Bereich des Gastnetzes anpassen
- die FB kann keine VLANs

Letztlich musst du wissen, ob du wirklich von einem Business Router zu einem Consumer Gerät wechseln willst. Ich persönlich bin kein Fan von Lancoms, dort ist irgendwie alles anders als bei anderen Herstellern.
Ich würde aber auch keine FritzBox im Business-Bereich empfehlen.

In deinem Fall würde ich den Weg vorschlagen, die FB leidiglich für Internet + Telefonie + WLAN zu nutzen und dahinter als exposed Host einen Router (z.B. den Lancom, der dann deine beiden Netze trennt und die Site2Site mit einem entsprechendem Gegengerät aufbaut). OPNsense oder pfSense nenne ich hier gerne + entsprechende Routerboards.

MfG
Rbn111
Rbn111 04.11.2020 um 17:41:10 Uhr
Goto Top
Danke für die Infos.

- Kein Zugriff auf Shares, Drucker usw. Ist zwar nochmal alles via Benutzerkontensteuerung gesichert. Ich möchte aber auf Firewallebene keine Zugriffe dulden. Ist ja auch üblich bei Gastnetzen das so zu handhaben.
- Ja, klar. Aktuell nutze ich dazu den Lancom VPN-Client. IPSec muss sein, war damals auch mit ein Grund für den Lancom. Nein RDP ist auf keinen Fall offen. Genau dazu ist ja der VPN-Tunnel. Andere Ports können aber von Innen geöffnet werden für Mailversand z.B.

Umgebebung ist semiprivat sag ich mal :D
Rbn111
Rbn111 04.11.2020 um 17:51:02 Uhr
Goto Top
Aktuell habe ich die Fritzbox schon als VDSL-Gegenstelle im Einsatz genau wie Du sagst für Telefonie WLAN und Internetgateway. Die Konfigurationsmöglichkeiten sind natürlich nett, aber doch recht umständlich für meine Zwecke. Ich dachte, meine Anforderungen sind Basic und lassen sich heute leichter implementieren, als noch vor 10 Jahren.

Kann natürlich sein, dass meine Deny-all-Strategie doch nicht so ganz mit der FB aufgeht.

Danke und Gruß
aqui
aqui 05.11.2020 um 12:04:38 Uhr
Goto Top
Eine kleine Firewall wäre wie immer die ideale Lösung dafür:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Damit kannst du die beiden lokalen IP Netze bedienen plus die remoten FritzBoxen mit dem Site-to-Site VPN und auch einem Client VPN zur sicheren Einwahl in alle IP Netze für remote User.
Ein simpler Klassiker für solch ein Standard Firewall Design.
Aber all das supportet der Lancom auch out of the Box wenn man ihn entsprechend konfiguriert.
Neue Hardware bedeutet hier also nicht besseres Netzwerk.
Rbn111
Rbn111 07.11.2020 um 11:27:46 Uhr
Goto Top
Das ist im Prinzip die Selbstbaulösung, wie ich sie aktuell mit dem Lancom implementiert ist. Ich dachte so eine Standardanforderung sollte von einer besseren Fritzbox abgedeckt sein. Dann wäre die ganze Konfig in einem Webinterface (WLAN, VPN, Telefon, Firewall,DMZ, LAN, VDSL).

Also danke für die Lösung. Sowas hatte ich vor Ewigkeiten via Astaro. Nur wollte ich keinen ganzen Rechner für so eine einfache Aufgabe laufen lassen.

Ich lass es mir nochmal durch den Kopf gehen
Gruß!
aqui
aqui 07.11.2020 um 12:32:46 Uhr
Goto Top
Wenns das denn war bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !