floppy007
Goto Top

bereitgestellte Mikrotik Hap ac2 und der Zugriff auf NAS

ich bin ein Laier was Netzwerktechnik angeht. Ich werde hier bestimmt unlogische oder ungewollt falsche Aussagen machen. Auch grammatisch. Und Ich hoffe auf eure Unterstützung.
Ich möchte gern einem Freund dabei helfen, den Zugriff auf seinem NAS Via eine VPN-Verbindung zu ermöglichen. Wir haben im Netz recherchiert und es hat sich herausgestellt, dass wir eine feste IP-Adresse brauchen . Im Netz haben wir viel Anbieter gefunden wie DynDNS. Das wäre kein Thema.
Das Problem:
Mein Freund wohnt in so einem Studentenwohnheim. Dort hat er ein Mikrotik Hap ac2 bereitgestellt bekommen. Mikrotik liefert via LAN-Anschlüsse 4 getrennte Netzsegmente:
192.168.2.150, 192.168.2.175, 192.168.2.180 und 192.168.2.250
Warum getrennte Netzsegmente? Vom LAN1 können wir keine LANs anpingen und andersrum auch nicht.
Frage:
Für die VPN –Verbindung brauchen wir ein Port-Weiterleitung zum NAS? Das Problem wir haben keinen Zugriff auf die Einstellungen vom Mikrotik.

Gibt es bei dieser Konstellation die/eine Möglichkeit über Das Internet auf NAS Im Heimnetz zu zugreifen?

Danke im Voraus

Content-ID: 667236

Url: https://administrator.de/contentid/667236

Ausgedruckt am: 22.11.2024 um 09:11 Uhr

aqui
Lösung aqui 01.06.2021 aktualisiert um 13:08:42 Uhr
Goto Top
und es hat sich herausgestellt, dass wir eine feste IP-Adresse brauchen
Nein, das ist nicht zwingend nötig bzw. nur auf einer Seite.
Mein Freund wohnt in so einem Studentenwohnheim.
Was ja nun nichts außergewöhnliches ist...
Mikrotik liefert via LAN-Anschlüsse 4 getrennte Netzsegmente:
Wie ist das genau zu verstehen ??
Die IP Adressen die du angibst sind nicht in unterschiedlichen Netzwerksegmenten, denn sie liegen ALLE im 192.168.2.0 /24er Netzwerk. Dummerweise bist du hier leider recht oberflächlich und gibts keinerlei Subnetzmasken an was eine zielführende Hilfe erheblich erschwert. face-sad
Für die VPN –Verbindung brauchen wir ein Port-Weiterleitung zum NAS?
Nein, das benötigt man nicht !
Due grundsätzliche Frage ist WO befindet sich das NAS auf dem zugegriffen werden soll ?? Auf der Seite des Mikrotiks oder auf der anderen Seite eines VPNs.
Zusätzlich solltest du auch einmal definieren WELCHES der zahllosen VPN Protokolle du denn überhaupt verwenden willst ???
Das Problem wir haben keinen Zugriff auf die Einstellungen vom Mikrotik.
Das ist auch nicht zwingend nötig !
Wir raten mal frei das der Freund von dir einen VPN Dienst auf dem lokalen NAS am Mikrotik nutzen will, ist dem so ?
Wenn das OpenVPN oder WireGuard sein sollte und dieses NAS dann eine Site to Site Verbindung aufbaut geht es auch so.
Soll auf dem NAS ein VPN Server laufen der von außen über NAT von mobilen Clients erreicht werden ?
Wenn ja, dann bist du absolut chancenlos ohne Zugriff auf den Router, denn dann muss dieser am WAN Port erstmal eine öffentlich erreichbare IP Adresse haben und zum zweiten muss zwingend ein Port Forwarding dort definiert werden. Das wird natürlich ohne Zugriff auf den Router unmöglich.
Leider ist das nicht ganz so klar weil deine Beschreibung oben dort in der Tat recht oberflächlich und lückenhaft ist. face-sad

Als einfachen Ausweg bietet sich dann immer ein preiswerter vServer bei einem Hoster an. Den kann man dann per VPN mit dem NAS Server verbinden und nutzt ihn dann zentral als VPN "Relay" mit allen mobilen Geräten um das NAS zu erreichen. Guckst du für diese Lösung auch HIER !
Technisch lösen lässt es sich also in jedem Falle fragt sich nur welchen Aufwand ihr dafür treiben wollt ?!
floppy007
floppy007 01.06.2021 aktualisiert um 15:04:15 Uhr
Goto Top
Wie ist das genau zu verstehen ??
Die IP Adressen die du angibst sind nicht in unterschiedlichen Netzwerksegmenten, denn sie liegen ALLE im 192.168.2.0 /24er Netzwerk. Dummerweise bist du hier leider recht oberflächlich und gibts keinerlei Subnetzmasken an was eine zielführende Hilfe erheblich erschwert. face-sad
Die Ip Adressen liegen in einer 192.168.2.0/255.255.255.248 Netzwerk.

Due grundsätzliche Frage ist WO befindet sich das NAS auf dem zugegriffen werden soll ?? Auf der Seite des Mikrotiks oder auf der anderen Seite eines VPNs.

NAS wird direkt auf der Seite des Mikrotiks angeschlossen.

Zusätzlich solltest du auch einmal definieren WELCHES der zahllosen VPN Protokolle du denn überhaupt verwenden willst ???

das müssen wir noch überlegen!

Wir raten mal frei das der Freund von dir einen VPN Dienst auf dem lokalen NAS am Mikrotik nutzen will, ist dem so ?
Mein Freund will vom öffentlichen Internet auf NAS im Heimnetz zugreifen (Studentenwohnheim) .

Soll auf dem NAS ein VPN Server laufen der von außen über NAT von mobilen Clients erreicht werden ?
JA!!
Wenn ja, dann bist du absolut chancenlos ohne Zugriff auf den Router, denn dann muss dieser am WAN Port erstmal eine öffentlich erreichbare IP Adresse haben und zum zweiten muss zwingend ein Port Forwarding dort definiert werden. Das wird natürlich ohne Zugriff auf den Router unmöglich.

Also ein Port Forwarding ist zwangläufig in diesem Fall
Leider ist das nicht ganz so klar weil deine Beschreibung oben dort in der Tat recht oberflächlich und lückenhaft ist. face-sad

Ja gebe ich zu.

Als einfachen Ausweg bietet sich dann immer ein preiswerter vServer bei einem Hoster an. Den kann man dann per VPN mit dem NAS Server verbinden und nutzt ihn dann zentral als VPN "Relay" mit allen mobilen Geräten um das NAS zu erreichen. Guckst du für diese Lösung auch HIER !
Danke für den Tipp.
Technisch lösen lässt es sich also in jedem Falle fragt sich nur welchen Aufwand ihr dafür treiben wollt ?!

Je günstiger desto besser. Denn er will Auf Skripte , Bachelorarbeit ...von überall zugreifen und auch ein Backup erstellen.

Danke
BirdyB
Lösung BirdyB 01.06.2021 um 15:38:30 Uhr
Goto Top
Wenn man es denn möglichst einfach haben möchte wäre mein Vorschlag:
Hetzner Cloud Server für 3€/Monat, darauf eine pfSense installieren (so gibts auch noch ein schönes Webinterface), dann einen VPN-Tunnel zwischen NAS und pfSense aufsetzen und den Assistenten der pfSense für die Remote-Einwahl nutzen.
Sollte in 15-30 Minuten rennen... (@aqui schafft es auch in 3 Minuten während er in einer Hand die Kaffeetasse hält...) face-wink
aqui
aqui 01.06.2021 aktualisiert um 16:26:43 Uhr
Goto Top
Die Ip Adressen liegen in einer 192.168.2.0/255.255.255.248 Netzwerk.
Dann hast du uns alle aber angelogen mit den Adressen oben. Die können dann niemals stimmen ! Ein 29er Prefix (255.255.255.248) erlaubt maximal 6 gültige IP Endgeräte Adressen !!
  • Ist die .150er Adresse gültig liegt der IP Adressbereich im 144.0er Netz von 192.168.2.145 bis 192.168.2.150
  • Die .2.175 Adresse ist gar nicht gültig denn sie gehört als Broadcast Adresse zum Netz 192.168.2.169 bis 192.168.2.174
  • Ist die .180er Adresse gültig liegt der IP Adressbereich im 176.0er Netz von 192.168.2.177 bis 192.168.2.182
  • Ist die .150er Adresse gültig liegt der IP Adressbereich im 248.0er Netz von 192.168.2.249 bis 192.168.2.254
Das sind also Adressen aus vier unterschiedlichen IP Netzen ! Da geht also irgendetwas völlig wirr und falsch durcheinander in deiner IP Netzadressierung ! Oder...der Mikrotik hat an jedem Port jeweils ein separates IP Netzwerk. Das kann natürlich sein... face-sad
Also ein Port Forwarding ist zwangläufig in diesem Fall
Ja, das ist Pflicht. Ohne das kannst du die NAT (IP Adress Translation) Firewall auf dem Mikrotik Router nicht überwinden. Das Port Forwarding ist also zwingend erforderlich !
Denn er will Auf Skripte , Bachelorarbeit ...von überall zugreifen und auch ein Backup erstellen.
Ohne Zugriff auf den Router bleibt ihm dann nur der vServer als Lösung. Kostet so um die 3 Euro pro Monat wie Kollege @BirdyB oben schon schreibt, ist also auch für einen Studi erschwinglich. face-wink
3 Minuten mit Kaffee ist schon sehr sportlich...15 (ohne Kaffee) braucht das schon 😉
floppy007
floppy007 01.06.2021 um 20:53:46 Uhr
Goto Top
Dann hast du uns alle aber angelogen mit den Adressen oben. Die können dann niemals stimmen ! Ein 29er Prefix (255.255.255.248) erlaubt maximal 6 gültige IP Endgeräte Adressen !!
  • Ist die .150er Adresse gültig liegt der IP Adressbereich im 144.0er Netz von 192.168.2.145 bis 192.168.2.150
  • Die .2.175 Adresse ist gar nicht gültig denn sie gehört als Broadcast Adresse zum Netz 192.168.2.169 bis 192.168.2.174
  • Ist die .180er Adresse gültig liegt der IP Adressbereich im 176.0er Netz von 192.168.2.177 bis 192.168.2.182
  • Ist die .150er Adresse gültig liegt der IP Adressbereich im 248.0er Netz von 192.168.2.249 bis 192.168.2.254
Das sind also Adressen aus vier unterschiedlichen IP Netzen ! Da geht also irgendetwas völlig wirr und falsch durcheinander in deiner IP Netzadressierung ! Oder...der Mikrotik hat an jedem Port jeweils ein separates IP Netzwerk. Das kann natürlich sein... face-sad

Ich verstehe das auch nicht. Mikrotik wird auch als Access Point / Wlan benutzt und alle verbundene Geräte via WLAN haben auch ganz andere IP-Adresse z.B mein Smartphone hatte einmal 192.168.93.158 gehabt.

Ohne Zugriff auf den Router bleibt ihm dann nur der vServer als Lösung. Kostet so um die 3 Euro pro Monat wie Kollege @BirdyB oben schon schreibt, ist also auch für einen Studi erschwinglich. face-wink

Ja 3 Euro im Monat ist ok.

3 Minuten mit Kaffee ist schon sehr sportlich...15 (ohne Kaffee) braucht das schon 😉

Danke nochmal.
floppy007
floppy007 01.06.2021 um 21:22:48 Uhr
Goto Top
Zitat von @BirdyB:

Wenn man es denn möglichst einfach haben möchte wäre mein Vorschlag:
Hetzner Cloud Server für 3€/Monat, darauf eine pfSense installieren (so gibts auch noch ein schönes Webinterface), dann einen VPN-Tunnel zwischen NAS und pfSense aufsetzen und den Assistenten der pfSense für die Remote-Einwahl nutzen.
Sollte in 15-30 Minuten rennen... (@aqui schafft es auch in 3 Minuten während er in einer Hand die Kaffeetasse hält...) face-wink
Danke
aqui
aqui 02.06.2021 aktualisiert um 11:52:14 Uhr
Goto Top
Mikrotik wird auch als Access Point / Wlan benutzt und alle verbundene Geräte via WLAN haben auch ganz andere IP-Adresse
Mikrotik ist primär ein Multiport Router. Dort kann man natürlich auch das WLAN Interface in einem separaten IP Netz betreiben was auch Sinn macht wenn man filtern möchte.
Zu den Gründen müsste man wissen was sich der Konfigurator des Mikrotik dabei gedacht hat oder seine Intention dazu war. Dazu machst du ja leider keinerlei Angaben bzw. kannst es ja auch nicht, weil du die Konfig nicht einsehen kannst. Bleibt also nur freies Raten... face-sad