zeppelin
Goto Top

Router entscheidet VPN oder Internet

Hallo zusammen,

unterstützend zu meiner Frage, habe ich ein Bild erstellt.

Ich möchte erreichen, dass der Router (2) in der Lage ist zu unterscheiden ob die Anwender ins Internet gehen möchten oder auf ein privates Netzwerk (VPN) zugreifen möchten.

Beispiel: Der Benutzer öffnet sein Browser und sucht dort über eine Suchmaschine nach Turnschuhen. Der Router (2) leitet die Anfrage weiter an das Internet (4).

Beispiel 2: Der Benutzer gibt in sein Browser www.VPN123.de und der Router (2) leitet die anfrage weiter an Router (3).

Ich würde das als Switch-DNS Bezeichnen, weiß aber nicht ob es so etwas gibt.

Ich würde gern wissen ob es Router gibt, die das können und wenn ja wie heißt diese Technologie? Könnt Ihr mir vielleicht auch Router nennen die das können? Geht sowas auch mit einer FritzBox?

danke...
verbindung

Content-ID: 471461

Url: https://administrator.de/forum/router-entscheidet-vpn-oder-internet-471461.html

Ausgedruckt am: 23.12.2024 um 07:12 Uhr

emeriks
Lösung emeriks 10.07.2019 aktualisiert um 17:34:26 Uhr
Goto Top
Hi,
also wenn, dann meinst Du sicher "Split DNS".

Andereseits ist das vollkommen egal, weil ein Router nicht anhand von FQDNs (URL) routet sondern anhand von IP-Adressen.

Wenn Du anhand der URL "routen" willst, dann brauchst Du dafür einen Proxy.

Wenn Du anhand der IP-Adresse routen willst (normal) und der FQDN "www.VPN123.de" soll bei Anfragen von intern auf eine andere IP-Adresse aufgelöst werden als bei Anfragen von extern, dann braucht der Client einen DNS-Server, welchen ihm diesen FQDN auf die andere, interne Adresse auflöst. Und wenn es diese Domain "VPN123.de" nur intern gibt, dann brauchst Du kein Split-DNS. Wenn es die Zone intern und extern gibt und Du von internen Clients FQDNs aus dieser Domäne auflösen musst, welche es nur extern gibt, dann brauchst Du Split-DNS.

E.
aqui
Lösung aqui 10.07.2019 aktualisiert um 19:06:16 Uhr
Goto Top
Richtig ! Ein Router "kennt" nur IP Adressen, niemals aber FQDNs oder Namen.
Das was du da willst machen die Router schon von sich aus automatisch. Auch eine FritzBüx.
Versteht man dich mit der Skizze richtig ist das ja eine Site to Site Kopplung mit 2 Routern, richtig ?
Router 3 wird also seine IP Adressen bzw. IP Netze mit seinem verwendeten VPN Protokoll automatisch dem Router 2 bekannt machen beim VPN Tunnelaufbau, so das Router 2 alle diese IP Adressen und IP Netze von 3 "kennt". Ebenso lernt auch Router 2 alle IP Netze und Adressen von Router 3 über den Tunnel.

Fragt der Client jetzt ein bestimmtes Ziel an (IP Adresse) entscheidet Router 2 anhand seiner Routing Tabelle ob er das Paket in den VPN Tunnel routet oder ins Internet. Simpler Standard also...
Guckst du auch hier:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Bzw. die diversen VPN Tutorials hier im Forum.
Zum Rest hat Kollege @emeriks oben ja schon alles Wesentliche gesagt.
Zeppelin
Zeppelin 10.07.2019 um 23:53:12 Uhr
Goto Top
Vielen Dank an dieser Stelle für eure Kommentare.

Der Benutzer (1) soll über Router (2) auf ein Netzwerk zugreifen, welches aus dem öffentlichen Netzwerk nicht zu erreichen ist. Die Adressen, können nicht aufgelöst werden, solange man mit dem Netzwerk verbunden ist.

Jetzt war meine Überlegung, ein VPN-Tunnel zwischen Router (2) und Router (3) aufzubauen damit der/die Benutzer (1) auf nicht öffentliche Seiten zugreifen können.

Wir (Router 3) haben ein Intranet, welches wir über eine Standleitung (exklusiv nur für uns) erreichen können. Dieses Intranet ist mehrfach durch diverse Firewalls abgesichert. Es ist nur möglich aus unserem Netzwerk darauf zuzugreifen.

Ich möchte einem anderen Standort ein Zugriff auf dieses Netzwerk ermöglichen. An dem anderen Standort, arbeiten 1-2 Mitarbeiter. Es ist nicht wirtschaftlich dort eine Standleitung zu verlegen. Weshalb die Überlegung im Raum steht ein VPN-Tunnel über das öffentliche Netz aufzubauen. Hinter dem Router (3) stehen mehrere Hardware-basierte Firewalls. Ich denke, dass nur die Firewall, welche unmittelbar mit dem Router (3) verbunden ist konfiguriert werden müsste um den VPN-Tunnel aufzubauen.


Eine andere Idee ist mir grade noch in denn Sinn gekommen. Im Grunde genommen, würde auch ein Software-Basierter VPN-Tunnel ausreichen. Unsere Firewall bietet eine Client-Software an mit welcher es möglich ist ein VPN-Tunnel in unser Netzwerk aufzubauen. Damit würde sich das Thema mit dem Split DNS erübrigen???

Zum testen, könnte ich ja die Seiten die nicht öffentlich zu erreichen sind aufrufen und dann mit der Client-VPN-Lösung testen. Ich werde das mal testen :D manchmal, hilft es auch sein Problem aufzuschreiben...
emeriks
Lösung emeriks 11.07.2019 um 08:22:05 Uhr
Goto Top
Jetzt dämmerts mir.
Die Clients an dem Standort mit 1-2 Mitarbeiter bekommen Ihre IP-Konfiguration von der Fritte vor Ort und damit auch die Fritte als DNS-Server. Und nun willst Du erreichen, dass bestimmte Ziele, welche über FQDN angesprochen werden sollen, über den VPN-Tunnel gehen, direkt ins Intranet Eurer Zentrale. Ist dem so?

Falls ja:
Einfach die HOSTS-Dateien auf diesen 1-2 Clients bearbeiten und die betreffenden Ziele mit den internen IP-Adressen und FQDNs dort eintragen.
Zeppelin
Zeppelin 11.07.2019 um 11:51:55 Uhr
Goto Top
Genau so sieht es aus ...

Ein weiterer schritt, der noch in der Planung steht jedoch mit einem VPN-Tunnel möglich wäre, denke ich ist die Funktion beim drucken "Follow Me" mittels RFID-Chip wird dann gedruckt. Ich will nicht an allen Standorten ein Plotter aufstellen müssen.

Zum Ursprung zurück, ja die 1-2 Clients sollen bestimmte Ziele, welche über FQDN angesprochen werden sollen, über den VPN-Tunnel gehen, direkt in unser Intranet.

Ich werde es mir mal anschauen. Danke!!!
aqui
Lösung aqui 11.07.2019 um 16:02:37 Uhr
Goto Top
Das Prinzip mit den Host Dateien ist hier erklärt:
XP-Home mit 2 Kabelgebundenen und WLAN PCs
Zeppelin
Zeppelin 11.07.2019 um 17:21:45 Uhr
Goto Top
Danke :D