4
Netzaufbau für VPN-Zugriff auf NAS über Routerkaskade o.Ä
Guten Abend zusammen,
erst vor kurzem habe ich mich richtig mit Heimnetzwerk und IT-Technik beschäftigt. Davor habe ich einfach nur den Gast-Internetzugang des Fritzbox für alle Geräte eingerichtet und den Heimnetz nur für administrative Geräte freigegeben.
Nun ist es so, dass ich mir ein NAS von der Firma Synology zulegt habe. Der Hauptgrund dafür ist das flexible Arbeiten von unterwegs und gemeinsames Arbeiten übers Internet mit bestimmten Personen.
Vieles habe ich mich schon im Forum und Internetseiten eingelesen und teilweise durchgeführt, dennoch möchte ich nicht durch meine Wissenslücke und Halbwissen (habe also Gnade mit mir) die Sicherheit des Netzwerk und Daten auf der NAS gefährden, was oberste Priorität für mich ist. Deswegen wollte ich Euch um Rat und Einschätzung fragen. Es geht hier nur um das Netzwerkaufbau an sich und nicht um sichere Passwörter, verantwortungsvolle Nutzung der Websiten & Datein aus dem Internet o.Ä.
Folgende Geräte habe ich zurzeit (für Wechsel bin ich offen);
- DS von Synology
- Fritzbox 7530
- Fritzbox 7590 AX mit WAN-Anschluss
- Switch Netgear GS308T
- Home-Office PC
- Netzwerkdrucker & -scanner
- Diverse Client von Familienmitglieder
Folgende Überlegung nach Recherche habe ich gemacht:
1. Trennung WLAN & LAN in Heim- und Gastnetzwerk auf 1. Router (FB 7530)
2. Trennung zwischen NAS & Sicherheitsfaktoren durch eine Routerkaskade mit einer 2. Router (FB 7590 AX) mit WAN-Anschluss
3. Externe Zugriff auf NAS nur durch VPN zwischen Client und Heimnetz im 2. Router (Ipsec-Dienst oder Wireguard-Dienst des Fritzbox)
4. Trennung verschiedene Sicherheitsfaktoren im Gastnetzwerk (inkl. Drucker & Scanner) durch Switch (Netgar GS308T) und VLAN
Da ich die Geräte zu Hause schon habe, habe ich wie unten im Schema alles aufgebaut. Derzeit habe ich noch Konfigurationsproblem mit dem Switch und VPN-Zugriff auf den 2. Router, deswegen habe ich das Gefühl, ich habe dort paar Denkfehler. Deswegen bitte ich Euch um Rat für folgende Fragen:
1. Ist diese gesamte Konstrukt sicher und durchführbar oder habe ich mich zu sehr reingesteigert und vieles zusammengewürfelt, was nicht zusammenverbunden werden kann bzw. soll bzw. wie z.B. Routerkaskade hinter Switch, Heimnetz & Gastnetz auf einem Switch, etc, wodurch die Konfigurationprobleme entstehen?
2. Falls die Geräte für mein Vorhabe dafür nicht geeignet (Layer2-Switch vs. Layer3-Switch, FB vs. Unify) bzw. unsicher (Verschlüsselung etc.) sind, welche Geräte würdet Ihr austauschen?
3. Die VPN-Dienste des Fritzboxs habe ich erfolgreich eingerichtet. Die Konfiguration von IP-Sec und vorallem bei Wireguard waren so leicht, dass ich das Gefühl habe, das es nicht sicher ist. Täusche ich mich?
4. Ich habe gelesen, dass man den NAS nicht direkt ans weite Internet verbinden soll, sondern nur durch VPN. Muss man also die NAS mit einer VPN-Verbindung zur Router herstellen? Aber dann frage ich wie?
5. . Gerne möchte ich mit OPNsense oder PFsense anfangen zu arbeiten, ist es sinnvoll direkt neue Geräte zu kaufen, oder funktioniert es auch mit die vorhandenen Geräte?
6. Was genau kann ich noch machen bzw. konfigurieren, damit meine Daten auf dem NAS nur ich zugreifen kann und sonst niemand?
Es war ein längerer Text, aber ich denke, je mehr Informationen Ihr habt, desto präziser könnt Ihr draufeingehen, also
VIELEN DANK!** für Eure Zeit und Hilfe.
erst vor kurzem habe ich mich richtig mit Heimnetzwerk und IT-Technik beschäftigt. Davor habe ich einfach nur den Gast-Internetzugang des Fritzbox für alle Geräte eingerichtet und den Heimnetz nur für administrative Geräte freigegeben.
Nun ist es so, dass ich mir ein NAS von der Firma Synology zulegt habe. Der Hauptgrund dafür ist das flexible Arbeiten von unterwegs und gemeinsames Arbeiten übers Internet mit bestimmten Personen.
Vieles habe ich mich schon im Forum und Internetseiten eingelesen und teilweise durchgeführt, dennoch möchte ich nicht durch meine Wissenslücke und Halbwissen (habe also Gnade mit mir) die Sicherheit des Netzwerk und Daten auf der NAS gefährden, was oberste Priorität für mich ist. Deswegen wollte ich Euch um Rat und Einschätzung fragen. Es geht hier nur um das Netzwerkaufbau an sich und nicht um sichere Passwörter, verantwortungsvolle Nutzung der Websiten & Datein aus dem Internet o.Ä.
Folgende Geräte habe ich zurzeit (für Wechsel bin ich offen);
- DS von Synology
- Fritzbox 7530
- Fritzbox 7590 AX mit WAN-Anschluss
- Switch Netgear GS308T
- Home-Office PC
- Netzwerkdrucker & -scanner
- Diverse Client von Familienmitglieder
Folgende Überlegung nach Recherche habe ich gemacht:
1. Trennung WLAN & LAN in Heim- und Gastnetzwerk auf 1. Router (FB 7530)
2. Trennung zwischen NAS & Sicherheitsfaktoren durch eine Routerkaskade mit einer 2. Router (FB 7590 AX) mit WAN-Anschluss
3. Externe Zugriff auf NAS nur durch VPN zwischen Client und Heimnetz im 2. Router (Ipsec-Dienst oder Wireguard-Dienst des Fritzbox)
4. Trennung verschiedene Sicherheitsfaktoren im Gastnetzwerk (inkl. Drucker & Scanner) durch Switch (Netgar GS308T) und VLAN
Da ich die Geräte zu Hause schon habe, habe ich wie unten im Schema alles aufgebaut. Derzeit habe ich noch Konfigurationsproblem mit dem Switch und VPN-Zugriff auf den 2. Router, deswegen habe ich das Gefühl, ich habe dort paar Denkfehler. Deswegen bitte ich Euch um Rat für folgende Fragen:
1. Ist diese gesamte Konstrukt sicher und durchführbar oder habe ich mich zu sehr reingesteigert und vieles zusammengewürfelt, was nicht zusammenverbunden werden kann bzw. soll bzw. wie z.B. Routerkaskade hinter Switch, Heimnetz & Gastnetz auf einem Switch, etc, wodurch die Konfigurationprobleme entstehen?
2. Falls die Geräte für mein Vorhabe dafür nicht geeignet (Layer2-Switch vs. Layer3-Switch, FB vs. Unify) bzw. unsicher (Verschlüsselung etc.) sind, welche Geräte würdet Ihr austauschen?
3. Die VPN-Dienste des Fritzboxs habe ich erfolgreich eingerichtet. Die Konfiguration von IP-Sec und vorallem bei Wireguard waren so leicht, dass ich das Gefühl habe, das es nicht sicher ist. Täusche ich mich?
4. Ich habe gelesen, dass man den NAS nicht direkt ans weite Internet verbinden soll, sondern nur durch VPN. Muss man also die NAS mit einer VPN-Verbindung zur Router herstellen? Aber dann frage ich wie?
5. . Gerne möchte ich mit OPNsense oder PFsense anfangen zu arbeiten, ist es sinnvoll direkt neue Geräte zu kaufen, oder funktioniert es auch mit die vorhandenen Geräte?
6. Was genau kann ich noch machen bzw. konfigurieren, damit meine Daten auf dem NAS nur ich zugreifen kann und sonst niemand?
Es war ein längerer Text, aber ich denke, je mehr Informationen Ihr habt, desto präziser könnt Ihr draufeingehen, also
VIELEN DANK!** für Eure Zeit und Hilfe.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6150497729
Url: https://administrator.de/contentid/6150497729
Printed on: May 4, 2024 at 02:05 o'clock
4 Comments
Latest comment
Moin,
erstmal schöne Zeichnung und sehr detailliert beschrieben! Das ist leider nicht immer so.. Die Textformatierung ist aber schon etwas anstrengend zu lesen. Aber sei es drum..
Was mir fehlt, ist dein aktueller IST-Zustand. Wenn ich es richtig verstehe, hast du ja schon Zugriff von extern auf deine Synology, oder?
Was mir noch ein wenig fehlt, was willst du vor wem verheimlichen? Es ist ja dein Heimnetz, oder? Vertraust du den Nutzern in deinem Heimnetz nicht oder was ist der Grund für die Segmentierung? Irgendein Gedankengang wirst du ja bei diesem Projekt haben.
Gruß Kuemmel
erstmal schöne Zeichnung und sehr detailliert beschrieben! Das ist leider nicht immer so.. Die Textformatierung ist aber schon etwas anstrengend zu lesen. Aber sei es drum..
Was mir fehlt, ist dein aktueller IST-Zustand. Wenn ich es richtig verstehe, hast du ja schon Zugriff von extern auf deine Synology, oder?
1. Ist diese gesamte Konstrukt sicher und durchführbar oder habe ich mich zu sehr reingesteigert und vieles zusammengewürfelt, was nicht zusammenverbunden werden kann bzw. soll bzw. wie z.B. Routerkaskade hinter Switch, Heimnetz & Gastnetz auf einem Switch, etc, wodurch die Konfigurationprobleme entstehen?
Wo willst du das VLANing machen? Auf der Fritzbox? Die kann keine VLANs und dein Netgear ist nur ein Layer2-Switch, oder?3. Die VPN-Dienste des Fritzboxs habe ich erfolgreich eingerichtet. Die Konfiguration von IP-Sec und vorallem bei Wireguard waren so leicht, dass ich das Gefühl habe, das es nicht sicher ist. Täusche ich mich?
Wireguard ist in der Tat relativ fix auf der Fritzvoy eingerichtet. Nach welchen Anleitungen bist du denn gegangen? Wir müssen halt erstmal verstehen, was du überhaupt gemacht hast.4. Ich habe gelesen, dass man den NAS nicht direkt ans weite Internet verbinden soll, sondern nur durch VPN. Muss man also die NAS mit einer VPN-Verbindung zur Router herstellen? Aber dann frage ich wie?
WIE machst du es denn aktuell?5. . Gerne möchte ich mit OPNsense oder PFsense anfangen zu arbeiten, ist es sinnvoll direkt neue Geräte zu kaufen, oder funktioniert es auch mit die vorhandenen Geräte?
Zum testen reicht auch erstmal eine VM oder alte Hardware.Was mir noch ein wenig fehlt, was willst du vor wem verheimlichen? Es ist ja dein Heimnetz, oder? Vertraust du den Nutzern in deinem Heimnetz nicht oder was ist der Grund für die Segmentierung? Irgendein Gedankengang wirst du ja bei diesem Projekt haben.
Gruß Kuemmel
Derzeit habe ich noch Konfigurationsproblem mit dem Switch
Warum? In einem FritzBox Umfeld ist das ja eher ein Kinderspiel weil die technisch wenig kann. Wie man es macht wird HIER genau erklärt.Grundlagen zum Verständnis von Segmentierung mit VLANs findest du hier und auch hier.
Mit dem Rüstzeug bekommt auch ein Laie das im Handumdrehen hin. Ansonsten gelten die Ausführungen des Kollegen @Kuemmel
Zitat von @jazzyfizzle:
1. Ist diese gesamte Konstrukt sicher und durchführbar oder habe ich mich zu sehr reingesteigert und vieles zusammengewürfelt, was nicht zusammenverbunden werden kann bzw. soll bzw. wie z.B. Routerkaskade hinter Switch, Heimnetz & Gastnetz auf einem Switch, etc, wodurch die Konfigurationprobleme entstehen?
Ist OK. Privat kann man das so machen. Faktisch willst Du eine zwei-Router-DMZ für Kinder, Drucker, Fernseher.1. Ist diese gesamte Konstrukt sicher und durchführbar oder habe ich mich zu sehr reingesteigert und vieles zusammengewürfelt, was nicht zusammenverbunden werden kann bzw. soll bzw. wie z.B. Routerkaskade hinter Switch, Heimnetz & Gastnetz auf einem Switch, etc, wodurch die Konfigurationprobleme entstehen?
Elegant ist anders und es ist teuer und unflexibel, aber wenn das gezeichnete Setup Dir so reicht, passt es.
Sinnvoll bzw. nötig ist das natürlich nur, wenn Du Angst hast, dass die Kinder den Switch am LAN4 der Fritzbox umstecken. Ansonsten sind die am Switch befindlichen Geräte ohnehin in einem anderen Netz und der zweite Router ist Unsinn.
2. Falls die Geräte für mein Vorhabe dafür nicht geeignet (Layer2-Switch vs. Layer3-Switch, FB vs. Unify) bzw. unsicher (Verschlüsselung etc.) sind, welche Geräte würdet Ihr austauschen?
Du brauchst weder einen Unifi noch einen L3-Switch für dieses Vorhaben. Unifi braucht kein Mensch (das nur am Rande)3. Die VPN-Dienste des Fritzboxs habe ich erfolgreich eingerichtet. Die Konfiguration von IP-Sec und vorallem bei Wireguard waren so leicht, dass ich das Gefühl habe, das es nicht sicher ist. Täusche ich mich?
Ist doch prima. Klar kann man da auch was falsch machen und kann das prüfen. Dazu gilt oben der Hinweis des Kollegen @Kuemmel.4. Ich habe gelesen, dass man den NAS nicht direkt ans weite Internet verbinden soll, sondern nur durch VPN.
korrektMuss man also die NAS mit einer VPN-Verbindung zur Router herstellen? Aber dann frage ich wie?
nein. Die VPN-Verbindung besteht zum Router. Das NAS hängt dann dahinter und ist (bei korrekter Einrichtung des Routers) auch nur über diese Verbindung (und aus dem hinter dem Router liegenden Netz erreichbar).5. . Gerne möchte ich mit OPNsense oder PFsense anfangen zu arbeiten, ist es sinnvoll direkt neue Geräte zu kaufen, oder funktioniert es auch mit die vorhandenen Geräte?
Für die *Senses brauchst Du selbständige Hardware oder eine virtuelle Maschine. Mit Fritzboxen geht das nicht. Optimal ist selbständige Hardware. Vor allem aber viel Zeit und Interesse (und Deine Mitbewohner viel Geduld). Und gutes Englisch. Die Handbücher zu den Senses sind englisch. Eine schlecht eingerichtete Firewall ist eher eine Gefahr als ein Schutz.6. Was genau kann ich noch machen bzw. konfigurieren, damit meine Daten auf dem NAS nur ich zugreifen kann und sonst niemand?
Man kann sicher auch die Zugriffe auf das NAS beschränken (z.B. nach IP-Adressen). Da Du mit Wireguard und IPsec ja feste IP-Adressen hast, wäre das ein Weg. Auf dem NAS kannst Du ja auch Berechtigungen für die Zugriffe einrichten. Für Konkreteres zu diesen Fragen gibt's aber bitte das Handbuch.Was Du für uns tun kannst: Bitte weniger Fettdruck verwenden. Danke!
Viele Grüße, commodity
1und der zweite Router ist Unsinn.
Ganz besonders wenn man einen Layer 3 Switch sein eigenen nennt und das auch Segment damit abilden kann wie die restlichen Netze in einem Layer 3 VLAN Konzept.
