7
2 Netzwerke + VPN mit Fritzbox aufbauen
Hallo zusammen,
ich bin gerade dabei mein Netzwerksetup zu vereinfachen und benötige noch etwas Unterstützung.
Ausgangssituation:
Aktuell wird das Netzwerk von einem LANCOM 1721+VPN Router verwaltet. Was damals schon sehr wichtig war - Trennung des Internetnetzes vom lokalen Netzwerk - ist es immernoch.
Wichtig ist, dass der Fernzugriff über eine sichere Verbindung erfolgt.
Die Frage ist, ob es möglich wäre das Setup zu vereinfachen. Die Zielkonfiguration besteht aus einem Fritzboxrouter und das LANCOM-VPN wird durch die Fritzbox abgelöst.
Fraglich ist noch, ob die beiden internen Netzwerksegmente mit der VLAN oder Gastfunktion der Fritzbox getrennt werden können wie bislang.
Besten Dank!
ich bin gerade dabei mein Netzwerksetup zu vereinfachen und benötige noch etwas Unterstützung.
Ausgangssituation:
Aktuell wird das Netzwerk von einem LANCOM 1721+VPN Router verwaltet. Was damals schon sehr wichtig war - Trennung des Internetnetzes vom lokalen Netzwerk - ist es immernoch.
- ETH1 = Internetnetzwerk, WLAN, DHCP aktiv
- ETH2 = Lokales Netzwerk, Deny ALL mit einigen Firewallfreigaben z.B. RDP, kein DHCP, VPN Zugriff via LANCOM.
Wichtig ist, dass der Fernzugriff über eine sichere Verbindung erfolgt.
Die Frage ist, ob es möglich wäre das Setup zu vereinfachen. Die Zielkonfiguration besteht aus einem Fritzboxrouter und das LANCOM-VPN wird durch die Fritzbox abgelöst.
Fraglich ist noch, ob die beiden internen Netzwerksegmente mit der VLAN oder Gastfunktion der Fritzbox getrennt werden können wie bislang.
Besten Dank!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 618597
Url: https://administrator.de/contentid/618597
Printed on: April 28, 2024 at 10:04 o'clock
7 Comments
Latest comment
Moinsen!
Das wirst du testen müssen.
Ich meine: Ja, sollte gehen.
ETH1 Gastnetzwerk. Darf ins Internet aber nicht ins lokale Netz der FB. Warum nicht?
ETH2 lokales Netz. Ist per VPN verbunden mit Irgendwo. (Gegenstelle muss IPSec supporten) Tutorials gibts zuhauf. Auch hier.
Ports öffnen wo es benötigt wird. (RDP????? never)
Aber: Mit der FB kann man ne Menge umsetzen. Standards oft. Feintung ist nicht.
Letztlich solltest du doch eher überlegen ob ne ordentliche Firewall nicht angemessener ist.
Kommt halt auf deine nicht näher beschriebene Umgebung an.
VG
Buc
Das wirst du testen müssen.
Ich meine: Ja, sollte gehen.
ETH1 Gastnetzwerk. Darf ins Internet aber nicht ins lokale Netz der FB. Warum nicht?
ETH2 lokales Netz. Ist per VPN verbunden mit Irgendwo. (Gegenstelle muss IPSec supporten) Tutorials gibts zuhauf. Auch hier.
Ports öffnen wo es benötigt wird. (RDP????? never)
Aber: Mit der FB kann man ne Menge umsetzen. Standards oft. Feintung ist nicht.
Letztlich solltest du doch eher überlegen ob ne ordentliche Firewall nicht angemessener ist.
Kommt halt auf deine nicht näher beschriebene Umgebung an.
VG
Buc
Du willst einen Lancom durch eine FritzBox ersetzen?
Warum?
Macht der Lancom die Telefonie?
Wenn du nur Infos brauchst, ob du das Setup damit vereinfachst..hier ein paar Punkte:
- Die FritzBox kann ein Gastnetz zur Verfügung stellen, du hast aber keinerlei Firewallzugriff
- LAN-LAN-Kopplung ist bei FB möglich (bisher nur mit einer anderen FB getestet)
- Die FB lässt LAN-seitig grundsätzlich alles nach außen durch, du kannst mit der FB nicht den IP-Bereich des Gastnetzes anpassen
- die FB kann keine VLANs
Letztlich musst du wissen, ob du wirklich von einem Business Router zu einem Consumer Gerät wechseln willst. Ich persönlich bin kein Fan von Lancoms, dort ist irgendwie alles anders als bei anderen Herstellern.
Ich würde aber auch keine FritzBox im Business-Bereich empfehlen.
In deinem Fall würde ich den Weg vorschlagen, die FB leidiglich für Internet + Telefonie + WLAN zu nutzen und dahinter als exposed Host einen Router (z.B. den Lancom, der dann deine beiden Netze trennt und die Site2Site mit einem entsprechendem Gegengerät aufbaut). OPNsense oder pfSense nenne ich hier gerne + entsprechende Routerboards.
MfG
Warum?
Macht der Lancom die Telefonie?
Wenn du nur Infos brauchst, ob du das Setup damit vereinfachst..hier ein paar Punkte:
- Die FritzBox kann ein Gastnetz zur Verfügung stellen, du hast aber keinerlei Firewallzugriff
- LAN-LAN-Kopplung ist bei FB möglich (bisher nur mit einer anderen FB getestet)
- Die FB lässt LAN-seitig grundsätzlich alles nach außen durch, du kannst mit der FB nicht den IP-Bereich des Gastnetzes anpassen
- die FB kann keine VLANs
Letztlich musst du wissen, ob du wirklich von einem Business Router zu einem Consumer Gerät wechseln willst. Ich persönlich bin kein Fan von Lancoms, dort ist irgendwie alles anders als bei anderen Herstellern.
Ich würde aber auch keine FritzBox im Business-Bereich empfehlen.
In deinem Fall würde ich den Weg vorschlagen, die FB leidiglich für Internet + Telefonie + WLAN zu nutzen und dahinter als exposed Host einen Router (z.B. den Lancom, der dann deine beiden Netze trennt und die Site2Site mit einem entsprechendem Gegengerät aufbaut). OPNsense oder pfSense nenne ich hier gerne + entsprechende Routerboards.
MfG
Danke für die Infos.
- Kein Zugriff auf Shares, Drucker usw. Ist zwar nochmal alles via Benutzerkontensteuerung gesichert. Ich möchte aber auf Firewallebene keine Zugriffe dulden. Ist ja auch üblich bei Gastnetzen das so zu handhaben.
- Ja, klar. Aktuell nutze ich dazu den Lancom VPN-Client. IPSec muss sein, war damals auch mit ein Grund für den Lancom. Nein RDP ist auf keinen Fall offen. Genau dazu ist ja der VPN-Tunnel. Andere Ports können aber von Innen geöffnet werden für Mailversand z.B.
Umgebebung ist semiprivat sag ich mal :D
- Kein Zugriff auf Shares, Drucker usw. Ist zwar nochmal alles via Benutzerkontensteuerung gesichert. Ich möchte aber auf Firewallebene keine Zugriffe dulden. Ist ja auch üblich bei Gastnetzen das so zu handhaben.
- Ja, klar. Aktuell nutze ich dazu den Lancom VPN-Client. IPSec muss sein, war damals auch mit ein Grund für den Lancom. Nein RDP ist auf keinen Fall offen. Genau dazu ist ja der VPN-Tunnel. Andere Ports können aber von Innen geöffnet werden für Mailversand z.B.
Umgebebung ist semiprivat sag ich mal :D
Aktuell habe ich die Fritzbox schon als VDSL-Gegenstelle im Einsatz genau wie Du sagst für Telefonie WLAN und Internetgateway. Die Konfigurationsmöglichkeiten sind natürlich nett, aber doch recht umständlich für meine Zwecke. Ich dachte, meine Anforderungen sind Basic und lassen sich heute leichter implementieren, als noch vor 10 Jahren.
Kann natürlich sein, dass meine Deny-all-Strategie doch nicht so ganz mit der FB aufgeht.
Danke und Gruß
Kann natürlich sein, dass meine Deny-all-Strategie doch nicht so ganz mit der FB aufgeht.
Danke und Gruß
Eine kleine Firewall wäre wie immer die ideale Lösung dafür:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Damit kannst du die beiden lokalen IP Netze bedienen plus die remoten FritzBoxen mit dem Site-to-Site VPN und auch einem Client VPN zur sicheren Einwahl in alle IP Netze für remote User.
Ein simpler Klassiker für solch ein Standard Firewall Design.
Aber all das supportet der Lancom auch out of the Box wenn man ihn entsprechend konfiguriert.
Neue Hardware bedeutet hier also nicht besseres Netzwerk.
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Damit kannst du die beiden lokalen IP Netze bedienen plus die remoten FritzBoxen mit dem Site-to-Site VPN und auch einem Client VPN zur sicheren Einwahl in alle IP Netze für remote User.
Ein simpler Klassiker für solch ein Standard Firewall Design.
Aber all das supportet der Lancom auch out of the Box wenn man ihn entsprechend konfiguriert.
Neue Hardware bedeutet hier also nicht besseres Netzwerk.
Das ist im Prinzip die Selbstbaulösung, wie ich sie aktuell mit dem Lancom implementiert ist. Ich dachte so eine Standardanforderung sollte von einer besseren Fritzbox abgedeckt sein. Dann wäre die ganze Konfig in einem Webinterface (WLAN, VPN, Telefon, Firewall,DMZ, LAN, VDSL).
Also danke für die Lösung. Sowas hatte ich vor Ewigkeiten via Astaro. Nur wollte ich keinen ganzen Rechner für so eine einfache Aufgabe laufen lassen.
Ich lass es mir nochmal durch den Kopf gehen
Gruß!
Also danke für die Lösung. Sowas hatte ich vor Ewigkeiten via Astaro. Nur wollte ich keinen ganzen Rechner für so eine einfache Aufgabe laufen lassen.
Ich lass es mir nochmal durch den Kopf gehen
Gruß!
