Fritzbox 7590 und Server per VPN

Haraldson

Lt. Junior Grade
Registriert
Nov. 2011
Beiträge
260
Guten Abend liebe Community,

hätte eine Frage an euch: Lässt es sich realisieren mit einer Fritzbox 7590 (Fritz OS 12) das man die VPN Funktion der Fritzbox nutzt und die VPN Nutzer von einem Netzwerk ausschließen kann?

Folgender Hintergrund: Wir müssen demnächst eine Projekt realisieren und dafür einen Server bearbeiten per RDP bzw. Video Redirection vom IRMC welcher eine statische IP hat. Jetzt steht dieser Server aber bei mir daheim und es werden insgesamt 3 Leute darauf zugreifen müssen.

Netzwerk schaut so aus: Vorgeschaltet ist eine Connectbox von UPC (Österreich) im Brigde Modus, dahinter kommt eine Fritzbox 7590 mit Mesh Repeater daher welche als Router, Modem, DHCP ect. dient.

Nun gibt es ja die Möglichkeit sich mittels Shrew Soft VPN Client zu verbinden damit man auch von unterwegs ins heimische Netz kommt. Gibt es da eine Möglichkeit irgendwie ein VLAn zu erstellen bzw. die VPN Nutzer in ein anderes Netz als das Heimnetz zu stellen? Möchte nämlich nicht das die 2 anderen User auf meinen PC, NAS, Repeater ect. kommen. Zwar sind diese Geräte eh abgesichert mittels 2FA ect. aber man weis ja nie.

Habe bisher leider keine Möglichkeit gefunden das man den VPN Nutzern eine manuelle virtuelle IP zuweisen kann. Diese vergibt die Fritzbox scheinbar selbst außerhalb des festgelegten DHCP Bereiches, aber im selben Subnet.

Eine Möglichkeit an die ich gedacht habe ist folgende: Man kann auf der Fritzbox ja kein DMZ erstellen. Allerdings ein Gastnetz an LAN Port 4. Nun könnte ich die Fritzbox von außen erreichbar machen, die 3 User anlegen und eine Portumleitung einrichten das wenn diese sich direkt auf Adresse X anmelden weitergeleitet werden an 1) IRMC vom Server 2) RDP Port vom Server und somit eine RDP aufbauen können.

Haltet ihr dies für praktikabel? Oder hat wer eine andere Idee? Möchte erwähnen das ich keine zusätzliche Hardware ect. investieren möchte (max. nen 10-20 € Switch falls benötigt)

Bin für alle Vorschläge dankbar.
 
Handelt es sich bei dem Server um ein Produktivsystem oder um ein Schulungsprojekt?
 
Schulungsprojekt. Es geht darum ein Projekt im Netzwerkbereich aufzubauen. Gedacht sind ein Server auf dem mehrere VMs laufen (z.B. ein DC, ein File, ein BackUp) die sich untereinander erreichen können. Zusätzlich vlt. 2-3 Clients die per AD und GPO verwaltet werden und unterschiedliche Rechte haben.

Mir ist nur der Schutz meiner Daten wichtig. Auch wenn es unwahrscheinlich ist das man auf meine NAS kommt (2FA) oder auf meinen PC einloggt oder die Konfig der Fritzbox ändert so möchte ich mich einfach gerne absichern.

Es geht eigentlich rein um den Verbindungsaufbau der 2 externen User zu dem Server, den Rest erarbeiten wir uns selbst.
 
Zuletzt bearbeitet:
Wenn der Server in deinem Netz nicht benötigt wird diesen in das Gastnetz hängen und Portweiterleitung für RDP in dem Router einrichten. Oder Anydesk / Teamviewer benutzen. Wenn keine feste DSL IP vorhanden ist von der Fritzbox das Fritzddns benutzen.
 
  • Gefällt mir
Reaktionen: Haraldson
Was hältst du von Teamviewer und dann den Server ins gast netzwerk?

Wenn du den anderen Leuten allerdings nicht vertraust würde ich auch das nicht zulassen...du musst dir überlegen, dass sie über deinen anschluss böse sachen im netz treiben können für die du dann erstmal belangt wirst
 
Naja das Problem ist wir müssen die Erstellung ect. mitdokumentieren, d.h. Screenshots ect. brauchen wir. Diese wären am ehestens per Video Redirection vom IRMC realisierbar. Da Teamviewer erst ab einem Gastsystem läuft ist das eheer keine Lösung . . . .
Ergänzung ()

cscmptrbs schrieb:
Wenn der Server in deinem Netz nicht benötigt wird diesen in das Gastnetz hängen und Portweiterleitung für RDP in dem Router einrichten.

Ja sowas in die Richtung hab ich mir auch schon überlegt . . . .
 
Zuletzt bearbeitet:
Wäre es nicht am einfachsten folgendes zu machen:

  • Hypervisor auf dem Server aufsetzen
  • Ein Internes Netz „im Hypervisor“ konfigurieren
  • Eine virtualisierte Firewall als Übergang zwischen deinem LAN und dem Hypervisor Netz nutzen
  • einen VPN Server (kann auch die Firewall machen) in dem Hypervisor Netz aufsetzen, auf den sich die Leute verbinden können.
  • Mit der Firewall entsprechend eine Kommunikation in dein LAN unterbinden.
Dadurch können alle geplanten Services optimal genutzt werden und gleichzeitig ist das Ganze isoliert.
 
Hallöchen,

sry das ich so lange nicht zurückgeschrieben habe, hatte etwas Stress auf Arbeit.

Also es ist jetzt folgendermaßen gelöst:

Um für das Schulungsprojekt auch etwas über Firewalls zu lernen und diese auch zu konfigurieren haben wir jetzt eine Fortigate davor geschalten (siehe Netzwerkplan nachfolgend). Somit habe ich auch das Problem lösen können mit der VPN Verbindung, da wir uns jetzt über die Fortigate einwählen und diese den jeweiligen VPN User gleich ins richtige Netz routet.

Netzwerkplan Base.jpg


Aktuell ist die Verbindung wie folgt: Internet --> Connectbox (Bridge Modus) --> Vom LAN 1 der Connectbox zum WAN 1 der Fortigate --> hier wird dann getrennt --> LAN 5 zum WAN der Fritzbox und LAN 1 zu einem 5er DLINK Switch unmanaged und dann zum Server. Internet funktioniert einwandfrei dank IPV4 Policy

Gibt es nun eine Möglichkeit das ich wenn ich mich per VPN ins Heimnetz wähle das ich die Fritzbox erreichen kann? Der Fritzbox habe ich eine statische IP in der Fortigate gegeben, allerdings erreiche ich diese nicht wenn ich per VPN verbunden bin. Liegt das evt. daran das die Verbindung zum WAN der Fritzbox geht und nicht zum LAN?

Möchte nämlich die Fritzbox gerne behalten denn diese soll DHCP Server für mein Heimnetz spielen und weiterhin hängt da der Meshrepeater drauf. Da es sich ja nur um ein Schulungsprojekt handelt (dauert ca. 1 Monat) will ich mein Heimnetz auch nicht sonst wie umbauen um es dann später zurückstellen zu müssen. Muss ich bei der Fritzbox irgendwas umstellen damit ich per VPN drauf komme? Funktioniert die Fritzbox auch noch mit DHCP und Internet wenn ich statt dem WAN Port einen Lan Port nehme und als GW die Fortigate eintrage?

Danke schonmal im Vorraus für die Antworten
 
Zurück
Oben