Netzwerk im Netzwerk über Internet erreichen

[thegriffin83]

Hallo :-)

ich stehe vor folgendem Problem und bin auf eure Hilfe angewiesen:
An unserer Schule betreiben wir eine Fritzbox 7590, die an einen Netgear 750E 48-Port Switch angeschlossen ist. Vom Switch ausgehend sind nun mehrere Fritzboxen (4040er) angeschlossen, um unter anderem das WLAN in der Schule bereitzustellen. Eine Fritzbox steht im Lehrerzimmer. Diese erhält das Internetsignal von der FB7590 her, hat aber einen eigenen IP-Adressbereich. Im Lehrerzimmer stehen die 2 Server (Windows Server 2019) für die Administration der Lehrer-PCs. Ich würde nun gerne diese beiden Server über das Internet erreichen.
Wie komme ich von der FB7590 auf die FB4040, um dann auf die Server zugreifen zu können? Ginge das vielleicht mit einer VPN-Verbindung zwischen den FBs?
Freue mich über Hilfe!

 

[Nilson]

Von der Sinnhaftigkeit eines solchen Netzwerkes (als Schulnetz) abgesehen:
Portweiterleitung von der 7590 auf die 4040 und in der 4040 noch mal eine Weiterleitung auf den Server.

 

[foofoobar]

Ginge das vielleicht mit einer VPN-Verbindung zwischen den FBs?

Ja und ja oder auch anders, allerdings wenn du solche Fragen stellst wirfst du sicherlich den Schutz der personenbezogenen Daten auf den Zielrechnern nicht gewährleisten können. Und nein, irgentwelche obskure Sicherheitssoftware auf den Windowskisten wird den Schutz der personenbezogenen Daten nicht gewährleisten können.

Lass das daher von jemanden machen der sich mit so was auskennt.

 

[mojitomay]

Von außen auf den Server zugreifen ist umständlich. Wie Oben mit Portfreigaben.

Vom Server nach außen zuzugreifen ist hingegen relativ einfach (VPN, reverse Shell etc.). Ob das ein gangbarer Weg ist hängt natürlich vom Anwendungsfall ab.

 

[obtar]

die 4040 bei myfritz anmelden und vpn aktivieren.

 

[Eisbrecher99]

Wie schon gesagt wurde per Portfreigaben. Aber das musst du unbedingt mit dem Systemveranwortlichen abklären. Wenn du Lehrer bist und dabei etwas verbockst, begehst du ein Dienstvergehen, wenn Daten nach außen gelangen bzw. du hierfür überhaupt zugriffsberechtigt bist.

Die 4040er FritzBoxen werden höchstwahrscheinlich als Modem laufen bzw. eben als Gateway die 7590 konfiguriert haben und eventuell auch in einem anderen Subnet sich befinden.

Hintergrund können zur Verwendung der 4040er Router zwei Möglichkeiten sein: 1) Es waren genügend Fritzboxen übrig und man hat sich damit die Anschaffung von separaten AC-Points gespart, 2) je nach örtlichen Gegebenheiten und Zugriffsanzahl kann es sein, dass die 4040er Fritzboxen einfach ein besseres WLAN bzw. mehr simultane Zugriffe in entsprechender Geschwindigkeit liefern.

 

[DonConto]

Du willst keinen Windows Server direkt über das Internet erreichbar machen. Es sei denn du möchtest die Hütte abfackeln.

 

[F31v3l]

Bitte lasst euch beraten und das professionell machen.
Die Daten müssen geschützt werden. Gerade die Daten von Kindern sind besonders sensibel. Wenn da was schief geht, biste im dümmsten Fall richtig am Ar***: Strafanzeige, Schadensersatzforderungen von Eltern, Dienstvergehen (bis zu Entfernung aus dem Schuldienst)!

Außerdem ist so eine Routerkaskade immer eine Frickelei. Da gehört ein richtiger Router samt Firewall hin. Das Netz dann mittels VLANs aufteilen und für WLAN (semi-)professionelle AP.
Für eine solche Einrichtung ist der Schuträger verantworlich und es dürfte dafür auch öffentliche Mittel (Digitalpakt?) geben.
Macht einen Beschluss der Schulkonferenz und wendet euch damit an den Schulträger bzw. den IT-verantwortlichen des Schulträgers.

 

[snaxilian]

Du willst keine Server öffentlich erreichbar im Internet haben, vor allem nicht wenn dein Fachwissen über Netzwerke so rudimentär ist, dass du diesen Thread aufmachen musst.

Du willst von außerhalb darauf zugreifen? Dann ist ein halbwegs sinnvoll konfiguriertes VPN das Mittel der Wahl. Das kann auch eure 7590. Bei aktivem VPN bist du ein weiterer Client im Subnetz der 7590. Auf der 4040 könntest du eine Portweiterleitung auf den Server machen.
WICHTIG: Jedes Gerät im Subnetz der 7590 kann diese Portweiterleitung benutzen. Du MUSST also für eine starke Absicherung des Zugriffs auf den Server sorgen weil dir sonst so manch ein gelangweilter Schüler das System aufhebelt. Oder einen kleinen DoS machen/testen.

Der Knackpunkt bei dem Vorhaben ist nicht unbedingt die technische Machbarkeit sondern die Klärung der Verantwortung und damit auch Haftung sobald da personenbezogene bzw. generell schützenswerte Daten liegen.

 

[Raijin]

Ein Schulnetzwerk komplett aus Fritzboxxen? Irgendwie bezweifle ich stark, dass das mit den Regularien der Schulbehörde konform geht. Das ist Hardware für Privathaushalte, aber nicht für Firmen oder gar öffentliche Gebäude! Hinzu kommt, dass offenbar auch kein Fachwissen für die Administration vorhanden ist. Das ist ein Spiel mit dem Feuer und ich kann nur hoffen, dass die Schulbehörde nie davon Wind bekommt und dass unter den Schülern kein Skriptkiddie ist, das seine Netzwerkskills austesten will....
Nimm das bitte nicht persönlich @davelon83, aber als jemand, der beruflich mit Netzwerken zu tun hat, läuft es mir gerade eiskalt den Rücken runter. Du bist sicherlich ein engagierter Lehrer, löblich, aber du bist dir der Verantwortung und der Risiken wohl nicht ganz bewusst...


Portweiterleitungen sind zwar eine Möglichkeit, aber in keinster Weise empfehlenswert. Leitet man gar in der 7590 auf die 4040 und von dort auf den Server weiter, steht der Server offen im Internet. Auch aus dem Schülernetzwerk ist der Server dann zu erreichen.
Angesichts eines Threads in einem öffentlichen Forum ist davon auszugehen, dass die Server nicht adäquat gehärtet sind und das Sicherheitsrisiko in keinster Weise abzuschätzen ist.

Geht man von außen via VPN auf die 7590 und von dort dann via Portweiterleitung auf der 4040 zum Server, steht selbiger zwar nicht direkt im Internet, ist aber immer noch von den Schülern zugreifbar. Es ist in dieser Variante also nur die Gefahr aus dem Internet gebannt, nicht aber die Gefahr eines Schülers mit mehr KnowHow als der "Administrator".

Die einzig sichere Lösung ist in meinen Augen daher ein VPN ins Lehrernetzwerk, sei es über den VPN-Server in der 4040 oder aber über einen VPN-Server innerhalb des Lehrernetzwerks. Von allem anderen kann ich nur mit Nachdruck abraten! Eigentlich ist sowas ein Fall für Profis, weil schlimmstenfalls sensible Daten der Schule/Lehrer/Schüler auf dem Spiel stehen.