Externes Netzwerk mit Internem verbinden

[nzumh]

Moin!

Ich habe eine Frage, die mir seit Tagen den Kopf zerbricht.

Fragestellung: Kann man mit einem extern verbunden Gerät (z.B. LTE) auf ein Lokales-Netzwerk zugreifen (192.x.x.x) ?

Der Grund für diese Frage ist, dass ich einen Messe-Kunden habe, welche seinen Server von Messe zu Messe mitnimmt und von den Messebetreibern dann die Internet-Leitung nutzt.

LAN 1 = Netzwerk von den Messebetreibern (DHCP)
LAN 2 = Lokales Netzwerk vom Kunden (statische IP)

Um nun nicht jedes Mal die Konfigurationen von den Endgeräten (Android Handscanner) ändern zu müssen, benötigen wir eine Art VPN, womit die Handscanner auf den Server (IP-technisch) zugreifen können.

Leider können wir keine Freigaben über den Server der Messebetreiber machen. Darum ist die Möglichkeit sehr eingeschränkt.

Vielleicht hat ihr da einen Geistesblitz!

Ich bedanke mich schonmal!
Liebe Grüße

 

[cartridge_case]

Das macht doch jeder Router?!

 

[snakesh1t]

Ihr könntet einen VPN-Router hinter den Messe-Router hängen und dann ein Server2Client VPN einrichten.
Client wäre in dem Fall der Messe-Router und Server der Router in der Firma.
Sollten die Ports im Messe-Router nicht zugeballert sein, sollte es kein Problem sein.
Dann könntest du dem Messe-Server sogar statische IP-Addresse geben und einen eigenen DHCP für deine Geräte laufen lassen.

 

[Havoc2k3]

Hallo nzumh ,

ich kann zwar aktull kein Lösungsvorschlag anbieten, jedich würde mich interessieren, womit du die Grafik erstellt hast ?

Mfg

 

[cloudman]

Ein Zero Trust VPN wie Tailscale, ZeroTier o.ä benutzen dürfe am einfachsten sein

 

[snakesh1t]

Hallo nzumh ,

ich kann zwar aktull kein Lösungsvorschlag anbieten, jedich würde mich interessieren, womit du die Grafik erstellt hast ?

Mfg

Microsoft Visio müsste das sein

 

[Raijin]

Leider können wir keine Freigaben über den Server der Messebetreiber machen. Darum ist die Möglichkeit sehr eingeschränkt.

Freigaben? Wozu?

Zum einen stellt sich natürlich die Frage was "Server schleppen" bedeutet. Für Demozwecke wird als Server mutmaßlich ein 08/15 PC ausreichen, wenn nicht gar ein Laptop. Natürlich kommt das auf die Software an.

Wie auch immer, "Freigaben" im Messeserver wie du sie vermutlich meinst - Portweiterleitungen nebst Ausnahme in der Firewall -, sind nicht nötig. Wenn der Scannerserver im Firmennetzwerk deines Kunden steht, wird entweder direkt auf dem Scannerserver oder auf einem anderen Server der Firma ein VPN-Server eingerichtet, ggfs sogar direkt auf dessen Internetrouter. Bei letzterem sind keine weiteren Aktionen nötig (außer aktivieren und konfigurieren der VPN-Funktion), aber bei einem separaten VPN-Server im Kundennetzwerk muss der Internetrouter des Kunden den/die Ports des VPNs an den VPN-Server weiterleiten.

Auf der Messe steckt der Kunde einen 08/15 Router mit WAN ins Messenetzwerk und entweder fungiert auch hier der Router direkt als VPN-Gateway oder aber es wird auch hier ein separates VPN-Gateway benötigt, zB ein Mini-PC, Laptop, o.ä.


VPN: CLIENT>------------------------------------------------------------------------------>SERVER
Scanner --- KundenRouterMitVPN --- MesseInternetRouter --- www --- KundenInternetRouterMitVPN --- Server

 

[SaxnPaule]

So wie ich das verstehe, hängen die Scanner doch direkt am "Kunden-Server".

Warum werden die denn nicht einfach statisch konfiguriert?

Alternativ einen Router zwischen Messe Server und "Kunden Server" stecken.

Messe Server => (WAN) Router (LAN) => Kunden Server

 

[Raijin]

Irgendwie verstehe ich das Problem allgemein nicht wirklich.

Um nun nicht jedes Mal die Konfigurationen von den Endgeräten (Android Handscanner) ändern zu müssen, benötigen wir eine Art VPN, womit die Handscanner auf den Server (IP-technisch) zugreifen können.

Das klingt derart unspezifisch und vor allem nach nahezu nicht vorhandenem KnowHow, dass man sich fragen muss, ob man nicht einfach einen Fachmann ins Boot holt, der sich mit Netzwerken auskennt. Internetforen sind keine geeignete und belastbare Quelle, wenn es darum geht, dass ein offenkundiger Laie nicht weiß was er da tut und seinem "Kunden" scheinbar eine Leistung verkauft, die er selbst nicht zu leisten imstande ist.

 

[nzumh]

Der Messe-Server kann nicht bearbeitet werden.

Hallo nzumh ,

ich kann zwar aktull kein Lösungsvorschlag anbieten, jedich würde mich interessieren, womit du die Grafik erstellt hast ?

Mfg

Hi, die Grafik ist mit Visio Professional erstellt worden

 

[Incanus]

Von einer Bearbeitung des Messe-Servers war auch nie die Rede.

Die anderen Verständnisfragen sind noch unbeantwortet. Die Verbindung Handscanner zum Kundenserver hat ja mit dem Messe-Server gar nichts zu tun.

 

[Raijin]

Eine irgendwie geartete VPN-Verbindung vom Kundennetzwerk auf der Messe zu einem VPN-Server im Kundennetzwerk in dessen Firma würde lediglich durch das Messenetzwerk gehen. Normalerweise sollte dieses nicht gesondert reglementiert sein, also ausgehend alles erlaubt. Selbst wenn bestimmte ausgehende Ports geblockt sein sein sollten, könnte man dies beispielsweise mit OpenVPN via TCP 443 umgehen.
Die Frage ist aber ob das überhaupt notwendig ist, da der Server für Demo-Zwecke auf einer Messe ja unter Umständen deutlich kleiner und portabler ausgelegt werden kann als es in einer Produktivumgebung der Fall wäre.

Aber nochmal: Ich bezweifle, dass du der richtige für diese Aufgabe bist. Insbesondere dann, wenn du dafür womöglich sogar Geld verlangst, lässt du die (Denk-)Arbeit von einem öffentlichen Forum erledigen, in dem schlimmstenfalls sogar bewusst falsche oder gar gefährliche Informationen verbreitet werden. Oder weißt du was @Incanus, @SaxnPaule , einer der anderen inkl. mir beruflich machen? Wir können hier beliebigen Sh*t erzählen und du baust das einfach ein, weil dir das Hintergrundwissen fehlt.....

 

[nzumh]

Aber nochmal: Ich bezweifle, dass du der richtige für diese Aufgabe bist. Insbesondere dann, wenn du dafür womöglich sogar Geld verlangst, lässt du die (Denk-)Arbeit von einem öffentlichen Forum erledigen, in dem schlimmstenfalls sogar bewusst falsche oder gar gefährliche Informationen verbreitet werden. Oder weißt du was @Incanus, @SaxnPaule , einer der anderen inkl. mir beruflich machen? Wir können hier beliebigen Sh*t erzählen und du baust das einfach ein, weil dir das Hintergrundwissen fehlt.....

Es war ja auch lediglich eine Frage, ob sowas möglich wäre.

Ich wurde gefragt, ob sowas möglich ist und mir ist dazu nichts eingefallen. Darum wollte ich einfach mal Nachfragen. Natürlich habe ich keinen Kundenauftrag angenommen, dem ich nicht gewachsen bin.

 

[Incanus]

Aber was soll denn nun möglich sein? Die Notwendigkeit einer Verbindung ins Internet zur IP-Vergabe der lokalen Handscanner ist noch immer nicht geklärt.

 

[redjack1000]

Es war ja auch lediglich eine Frage, ob sowas möglich wäre.

Ja, ich würde es wie folgt machen ->

VPN Gateway in das Netzwerk integrieren, somit ist man unabhängig vom Netzwerk was davor ist und interne Netz (Kundenserver) bleibt unangetastet.

Cu
redjack

 

[Raijin]

Es war ja auch lediglich eine Frage, ob sowas möglich wäre.

Aber was denn nun genau? Soll der Server nicht mit auf die Messe und stattdessen in der Firma bleiben? Oder benötigt der Server auf der Messe seinerseits eine Verbindung ins heimische Firmennetzwerk und diese soll verschlüsselt durch das Messenetzwerk? Oder geht es nur um die IP-Adressen, weil du das so explizit angesprochen hast?

@redjack1000 's Vorschlag würde beispielsweise den Traffic des Scannerservers ins Internet durch ein VPN tunneln, sei es ins öffentliche www über einen VPN-Dienstleister oder direkt in das Firmennetzwerk deines Kunden. Ist das das Ziel?

IP-Konfiguration bzw -Vergabe haben erstmal nur indirekt mit VPN zu tun und wenn die IPs dein Problem sind, wäre VPN keine Lösung. Wenn der Server weiterhin zur Messe mitkommt und keine speziell gesicherte Verbindung zur Firma benötigt wird, braucht man kein VPN, sondern einfach nur einen 15€ 08/15 Router von TP-Link, o.ä., den man mittels WAN-Port ins Messenetzwerk hängt und der an den LAN-Ports ein eigenständiges Netzwerk bietet, inkl DHCP, falls nötig. Dieses Set aus Router, Server und Scanner kann man einfach so von Messe zu Messe tragen und benötigt vom Gastgeber lediglich ein LAN-Kabel, das in den WAN-Port des eigenen Routers kommt. Das Netzwerk des Messestands ist aber stets identisch.

www
|
InternetGateway des Veranstalters
|
(WAN)
KundenRouter (zB TP-Link Archer xyz)
(LAN + optional WLAN)
|
+--- Server
+--- Scanner

Wichtige Anmerkung: Das Subnetz des KundenRouters sollte möglichst ungewöhnlich sein, also nicht 192.168.0.x o.ä., um die Gefahr für Konflikte mit dem Subnetz des Messe-Veranstalters zu minimieren. Zum Beispiel sowas wie 10.213.147.x

 

[Raijin]

Anmerkung #2: Da der Server augenscheinlich bereits über zwei Netzwerkschnittstellen verfügt, könnte der Server auch selbst Router/Firewall/DHCP spielen, sei es nativ oder innerhalb einer VM (zB pfSense/OPNsense oder auch OpenWRT). Die Funktion des VPN-Clients - sofern überhaupt benötigt - könnte er ebenfalls übernehmen. Ein zusätzlicher Router wäre damit hinfällig. Es ist jedoch einfacher, einen 08/15 Router wie man ihn auch von zu Hause kennt zu verwenden, wenn man sich nicht sicher genug fühlt, das in einer VM nachzubauen. Zudem bringt so ein Router auch gleich einen 4-Port-Switch mit, der ggfs bereits ausreicht.
Bezüglich der WLAN-Funktion muss man sich selbstredend beim Veranstalter informieren ob individuelle WLANs überhaupt erlaubt sind.