Router | Projekt mit VPN-Fernzugang zu verschiedenen Netzwerken | Vorhaben möglich?

[DHC]

Ich arbeite an einem größeren Projekt.
Ich habe da mehrere Netzwerke und einen Zugang von außen (VPN-Router).
Mein Problem aktuell ist. Ich kann nicht direkt ohne Zeitverlust auf die einzelnen Netzwerk-Teilnehmer wechseln.
Wenn ich von einem Netzwerk in ein anderes Netzwerk möchte, muss ich im VPN-Router erst mal die IP-Adresse des gewünschten Netzwerke ändern und dann den Router neu starten. Dabei verliere ich jedes Mal ca. 5 - 10 Minuten zeit, bis der VPN-Router wieder einsatzbereit ist.
Da ich am Tag zig mal das Netzwerk wechseln muss, geht alleine für den Wechsel des Netzwerkes viel Zeit unnötig drauf.

Im VPN-Router kann ich mehrere Routen einstellen.
Nun möchte ich aber, wenn möglich, nicht für jedes Netz einen einzelnen LAN-Router einsetzen müssen.
Wenn möglich würde ich gerne nur einen LAN-Router kaufen wollen, der zwischen VPN-Router und den verschiedenen Netzwerken installiert ist.
Meine Idee ist. Den VPN-Router an einen Port (WAN) des LAN-Routers zu koppeln. Die anderen Netzwerke würde ich dann auf die LAN-Ports anschließen.
Nun muss zum einen im VPN-Router Routen zu den anderen Netzwerken eingerichtet werden.
Im LAN-Router müssen dann vermutlich noch mal Routen vom WAN-Port auf die verschiedenen Netzwerke eingerichtet werden.

Geht das überhaupt?

Hier ein Beispiel, wie ich mir das vorstelle:

VPN-Router                192.168.255.254    /24

Netzwerk 1                192.168.0.0      /24                        LAN-Router (WAN-Port)        192.168.255.1    /24
Netzwerk 2                192.168.1.0      /24                        LAN-Router (WAN-Port)        192.168.255.2    /24
Netzwerk 3                192.168.10.0    /24                        LAN-Router (WAN-Port)        192.168.255.3    /24
Netzwerk 4                192.168.11.0    /24                        LAN-Router (WAN-Port)        192.168.255.4    /24
Netzwerk 5                192.168.15.0    /24                        LAN-Router (WAN-Port)        192.168.255.5    /24
Netzwerk 6                192.168.16.0    /24                        LAN-Router (WAN-Port)        192.168.255.6    /24
Netzwerk 7                192.168.20.0    /24                        LAN-Router (WAN-Port)        192.168.255.7    /24
Netzwerk 8                192.168.21.0    /24                        LAN-Router (WAN-Port)        192.168.255.8    /24
Netzwerk 9                192.168.25.0    /24                        LAN-Router (WAN-Port)        192.168.255.9    /24
Netzwerk 10               192.168.26.0    /24                        LAN-Router (WAN-Port)        192.168.255.10    /24
Netzwerk 11               192.168.30.0    /24        In Zukunft        LAN-Router (WAN-Port)        192.168.255.11    /24
Netzwerk 12               192.168.31.0    /24        In Zukunft        LAN-Router (WAN-Port)        192.168.255.12    /24
Netzwerk 13               192.168.35.0    /24        In Zukunft        LAN-Router (WAN-Port)        192.168.255.13    /24
Netzwerk 14               192.168.36.0    /24        In Zukunft        LAN-Router (WAN-Port)        192.168.255.14    /24

 

[derchris]

Welche VPN Protokolle?

 

[tRITON]

Wieso musst Du immer die Netze koppeln?

Ich würde einfach einen VPN Client nehmen und dann kann ich per Klick wechseln. Wenn Du die Netz immer koppeln willst, musst du eben, wie du selbst erkannt hast. Die Netze so einstellen, dass alle zueinander passen. Das Risiko ist dann aber auch, dass nicht berechtigte Clients in den jeweiligen Netzen über dein Koppelnetz miteinander reden könnten.

 

[DHC]

@derchris
Was meinst du mit welchen Protokollen?

@tRITON
Es handelt sich hierbei um einen Industrial VPN-Router.
Der kann nicht so ohne weiteres zwischen verschiedenen Netzwerken switchen.
Wie schon geschrieben muss ich hier erst einmal die IP-Adresse des gewünschten Netzwerken ändern und dann das Gerät neu starten, damit die neue IP-Adresse übernommen wird.
Es ist halt leider so. Ich kann da nichts ändern.

Aktuell habe ich alle Netzwerke auf einen Switch gelegt und den Switch mit dem Industrial VPN-Router verbunden.
Das funktioniert zwar. Aber der Wechsel ist halt leider zeitintensiv.

Das Ganze ist nur temporär. Wenn das Projekt abgeschlossen ist, werden Switch und VPN-Router wieder ausgebaut.

 

[Tepesch]

Was für ein Router wird denn derzeit überhaupt verwendet? Vom Prinzip her wäre es kein Problem, einen Router in viele Netze zu hängen, schön per VLAN getrennt z.B. und dann per FW die Zugänge zueinander abschotten und nur öffnen, was benötigt wird. Und um per VPN darauf zuzugreifen, wäre es auch kein Problem, man muß nur der VPN mitteilen, welche Netze alle darüber erreichbar sein sollen. Ich nutze für sowas z.B. OPNsense als VM, die kann das echt gut. Ich weiß nur nicht, wie viele Netze die maximal ansteuern kann

 

[derchris]

Was meinst du mit welchen Protokollen?

Wireguard, IP-Sec, ... (für VPN)

aber kann auch sein, dass ich es auch noch nicht so ganz verstanden habe, was du erreichen willst.

 

[DHC]

Was für ein Router wird denn derzeit überhaupt verwendet?

Ewon Cosy+ (HMS Industrial Networks)

Wireguard, IP-Sec, ...

Ich glaube es handelt sich hierbei um OpenVPN. Mit Sicherheit kann ich das aber nicht sagen.

 

[Tepesch]

Laut Hersteller ist es OpenVPN. Ich habe auch nach einer kleinen Recherche eine von dem Anbieter ausgegebene Lösung gefunden. Toll finde ich diese aber nicht.

Nun kommt es auch stark drauf an, was wie in den Netzwerken verändert werden soll/darf. Diese Router scheinen aber sehr beschränkt zu sein, was dahinterliegende Netze angeht.

Und gemäß dem Fall, es darf der Router gewechselt werden, obliegt dir dann die komplette Einrichtung des neuen Routers. Bei der OPNsense z.B. darf man dann sehr viel von Hand machen. Dazu bedarf es natürlich entsprechenden Wissens. Auch wäre vorher eine Testumgebung dafür ratsam. Alternativ kannst du natürlich auch einen anderen Routerhersteller suchen, der das von Haus aus mitbringt. Ob es dann natürlich auch eine Version für den Einsatz in Fabrikhallen gibt, muss zusätzlich geprüft werden.

 

[DHC]

Ich habe auch nach einer kleinen Recherche eine von dem Anbieter ausgegebene Lösung gefunden.

Genau das hatte ich auch schon gefunden.
Das würde auch funktionieren.
Nur benötigt man hier für jedes Netzwerk einen eigenen LAN-Router.

Ich möchte das gerne mit einem einzigen LAN-Router erschlagen wollen.
Aktuell wurden provisorisch von jeden Netzwerk LAN-Kabel auf den Switch gelegt.
Den würde ich den gerne durch einen LAN-Router ersetzten wollen, der das macht, was ich mir vorstelle.
Falls das überhaupt möglich ist.

Wie gesagt. Das ist nur temporär und keine Dauerlösung.

 

[AAS]

Warum nicht einen vernünftiges Produkt installieren, bei dem du ein Routing festlegen kannst?

 

[DHC]

@AAS
Das Ganze soll nur temporär sein.

Der VPN-Router ist schon vorhanden. Dieser wird schon zig-fach auf der ganzen Welt eingesetzt. Er tut was er soll, zu einem akzeptablen Preis.

Wie wäre es mit dem folgenden LAN-Router?
MikroTik L009UiGS-RM

Kann der das, was ich mir vorstelle?

Bitte keine Diskussion zum vorhandenen VPN-Router. Das ist nun mal da und steht nicht zur Debatte.
Mir geht es nur um den LAN-Router und der Möglichkeit das Konstrukt, was ich mir ausgedacht habe umzusetzen. Wie gesagt. Falls das überhaupt möglich ist.
Falls nicht. Welche Möglichkeiten gibt es sonst noch?
Es sollte halbwegs kostengünstig sein.
Ich bin mir sicher, dass es hierfür sicher eine praktikable und halbwegs günstige Lösung geben sollte.

 

[JumpingCat]

Wenn möglich würde ich gerne nur einen LAN-Router kaufen wollen,

Bitte keine Diskussion

Wie sieht denn dein Netzwerk bisher aus? Du hast doch schon einen Router, oder?

Was ist ein LAN-Router?

Hier ein Beispiel, wie ich mir das vorstelle: [...]

Genauso so macht man das wenn die Netze alle unterschiedlich sind. Entweder sind die Ziele alle per Default aktiv oder du klickst halt im Router einmal auf verbinden.

 

[DHC]

@JumpingCat
Wie die Netzwerke aktuell aussehen habe ich im Eingangspost geschrieben.

Mit LAN-Router meine ich halt einen einfachen Router der zwischen den verschiedenen Netzen routet, bezogen auf die LAN-Ports. In dem Fall von einem Netzwerk zum VPN-Router. Die Netzwerke sollen/müssen nicht untereinander kommunizieren.

Der VPN-Router ist z. B. mit Port x (1/WAN/ was auch immer) verbunden.
Die anderen Netzwerke sind mit den Ports x+1 bis x+n verbunden.

Der VPN-Router hat z.B. die Konfiguration 192.168.255.0 /24 mit der IP-Adresse 192.168.255.254 /24
Hier können mehrere Routen erstellt werden, wie in der Tabelle im Eingangspost aufgeführt (Beispiel).
Aber laut Hersteller benötigt man für jedes Netzwerk einen eigenen Router. Den möchte ich mir sparen.

Nun benötige ich einen Router, der z. B. die IP-Adressen 192.168.255.1-14 auf die einzelnen Netzwerke routet.
Wie auch immer das gemacht wird. Wenn das überhaupt geht, wie ich mir das vorstelle.

Ich bin kein IT-Experte. Sonst müsste ich hier nicht so blöde Fragen stellen.

Ich hoffe, dass ich das Ganze Konstrukt halbwegs verständlich erklären konnte. Falls nicht, dann bitte nachfragen.

 

[Tepesch]

Also von Prinzip her benötigst du nur einen Router. Dort kommt deine eine VPN an. Auf der Gegenseite, also deinem Arbeitsplatz, gibst du in der VPN-Verbindung an, dass du in deine ganzen Zielnetze hin möchtest, den Rest macht der Router am Ziel. Und dieser benötigt nach extern eine Adresse als WAN und intern je LAN eine IP in dem jeweiligen Netz. Wenn dann der Router aus jedem Netz als Standardgateway erreichbar ist, kümmert sich der Router dann auch um alles weitere und man muß nur noch die Firewall im Router selbst konfigurieren. Wie schon erwähnt nutze ich OPNsense. Damit habe ich keine Probleme, es hat die gewünschten Funktionalitäten und es gibt unzählige Hinweise, Anleitungen und Dokumentationen dazu.

Um dem Ganzen Herr zu werden, ist ein Grundverständis von IP und Routing aber wichtig. Kaputt machen möchte man schließlich auch nichts, und es muss definitiv sicher betrieben werden. Damit kommen noch Anforderungen im Aufbau und Betreiben einer Firewall hinzu.

Und da es sich dort nach deiner Beschreibung um eine produktive Umgebung handelt in einem produzierenden Gewerbe, würde ich an der Stelle vorschlagen, sich eventuell auch an ein Systemhaus in der Nähe zu wenden. Die meisten Systemhäuser bieten auch Netzwerktechnik an und haben Leute vom Fach, die die Einrichtung übernehmen und anschließend unterstützen können.

 

[DHC]

@Tepesch
Danke für deine Rückmeldung.

Wie schon geschrieben wird das Konstrukt nur temporär eingesetzt.
Wenn alles erledigt ist, wird das Konstrukt wieder zurück gebaut.

Die Netzwerke kommunizieren aktuell ja auch indirekt miteinander über entsprechende Netzkoppler.
Darüber kann ich aber selbst keine beliebige Datenpakete verschicken. Da kann nur über vorher definierte Strukturen Daten ausgetauscht werden.

Ich denke ich werde mir einfach mal den MikroTik L009UiGS-RM kaufen und schauen, ob ich damit das realisieren kann, was ich mir vorgestellt habe.

Ansonsten ist es halt, wie jetzt auch. Dann muss ich halt bei jedem Wechsel einige Minuten warten.
Das hat bis jetzt ja auch funktioniert. Aber wegen dem Zeitverlust halt lästig.

 

[Tepesch]

Wenn es schon Netzkoppler gibt, dann sind dies auch Router. Gäbe es nicht die Möglichkeit dort einen Admin zu fragen, ob man nicht gewisse Ports in der Firewall aufgemacht bekommt?

 

[DHC]

@Tepesch
Diese Koppler sind keine Router, wie man sie sonst in der IT-Welt kennt.
Da gibt es nichts zu konfigurieren oder zu administrieren. Man kann da nur Datenslots mit einer entsprechenden Größe (Bytes) definieren. Über definierte Datenstrukturen werden dann Daten ausgetauscht.
Es handelt sich hierbei um PN/PN Coupler.

 

[Tepesch]

Ja OK, damit geht das dann natürlich nicht.