vlan ohne überprückung des NAT bei netgear r7000

[killerkappi]

Hallo zusammen
Ich habe bei mir ein r7000 am laufen und wollte nun mein lan in mehrere fraktionen unterteilen. Nun laut anleitung wird dan jedoch das nat überbrückt. verstehe ich da was falsch oder gibt es eine variante dies ohne brücke zu machen? Nun mein eigentliches ziel ist es Den Lanport 4 mit dem 5ghz netzwerk in ein einzelnes lan zu stecken welches ebenfalls zugriff aufs internet hat aber halt eben nicht auf die anderen pc's. Nun der Grund ist das an diesem Port ein switch hängt wo dan mein PC und Homeserver drauf liegt, welchen ich gerne mit portweiterleitung übers internet nutzen würde. Und ich will die restlichen pcs sichern

 

[riff-raff]

tut es nicht ein einfacher Portmap zum Server?

Port 443 z.B. zum Server, da von mir aus ownCloud, fail2ban aktiv und fertig.

An sonsten alles dicht machen und nur VPN

 

[killerkappi]

Nun ich habe es mit VPN versucht jedoch ist nur 1 gleichzeitiger nutzer erlaubt bei openvpn ansonsten müsste ich mir weitere mieten.

 

[riff-raff]

was für Dienste willst du denn überhaupt von Außen nutzen?

 

[killerkappi]

mcmyadmin(beinhaltet einen web server und den eigentlichen server), owncloud, und evtl noch ssh.

 

[riff-raff]

Ich würde nur den Server-Port nach außen mappen und ggf. 443 als HTTPS für owncloud.

SSH und auch das manage-interface für den MC-Server würde ich nur via VPN nutzen, alles andere wäre mir zu heiß. VPN mit einer Verbindung reicht doch auch, es konfigurien doch nicht 20 Leute gleichzeitig via SSH oder Webinterface den MC-Server.

Wie bereits gesagt, owncloud auf jeden Fall noch mit fail2ban absichern.

 

[killerkappi]

Ja aber ich dachte mir wenn ich ein VPN einrichte dan würde ich auch gleich den server darüber laufen lassen und da sind dan schon mal 8 leute drauf

 

[riff-raff]

Hast du OpenVPN als OMV-Plugin oder vom Nighthawk konfiguriert?

Bei mir läuft VPN via Fritzbox, wenn das VPN steht dann ist via user+pw Zugriff auf alle Services zu haben (NFS, Samba, FTP, DLNA, ...). Einzig OwnCloud hab ich offen mit o.g. Sicherungen. Sonst ist es sau blöd mit Dateifreigaben. Via VPN können auch mehrere Leutz aufs Netz und das auch gleichzeitig.

Ich würde nur die Ports für den MC-Server und owncloud auf machen, rest dicht. Wenn du unbedingt von der Ferne warten und auf alles zugreifen willst, VPN.
Da kannste dir auch die VLAN-Geschichte sparen.

 

[killerkappi]

Nun ich hatte mal open vpn auf meinem router am laufen hatte dan aber andauernd zugriffe auf mein lan und zwar nicht nur auf den server sondern auf alle geräte. Daher läuft das omv plugin.

Ergänzung (28. November 2015)

Nun open vpn funktioniert bei mir über eine konfigurationsdatei jedoch konnten diese trotzdem auf mein lan zugreifen. DIe Möglichkeit für ein passwort ist nicht vorhanden

 

[riff-raff]

Ach die Minecraft-Gamer sollen nicht ins LAN? Ja eben drum, VPN für dich wenn der Fernzugriff sein muss und nur die Server-Ports für die Gamer offen. Dann muss nicht jeder immer nen VPN aufmachen um zu zocken und von deinem LAN sehen sie auch nix.

 

[killerkappi]

Dan bin ich jedoch wieder beim alten stand. Ich will eigentlich verhindern das alle theoretisch auf meinen server zugreifen können. Daher will ich einen Passwort verschlüsselten VPN damit nicht jeder die chance hat bis zu meinem server zu kommen.

 

[riff-raff]

Und wie wäre es mit der Nutzung von Hamachi?

Alle zugreifen ist aber übertrieben. Nur ein Service/Port und den sicher auch mit Passwort geschützt?! Das schränkt den zugelassenen Nutzerkreis und den Zugriff schonmal stark ein.

Es sei denn du hast den Server zum exposed Host gemacht.

 

[killerkappi]

Hamachi hat eine limite von 5 nutzern. Und nein ich habe nur einzelne ports weitergeleitet. Ich würde sehr gerne alles über einen VPN machen doch dieser müsste dan passwort geschützt sein

 

[riff-raff]

VPN hat doch eine zweistufige Autentifizierung via PSK und User ... (IKE)

 

[killerkappi]

Dachte ich auch aber mir wird nur eine Konfigurationsdatei gegeben vom router diese muss ich dan im openvpn einfügen. Ich gehe mal davon aus das dort die autentifizierung ist oder?

 

[riff-raff]

Gut möglich.

 

[killerkappi]

Denn mit dieser Datei kann ich mich dan direkt verbinden das funktioniert auch soweit.

 

[killerkappi]

Nun ich habe nun mal mein vpn eingerichtet und mich mit dem handy übers 4g verbunden mit dem vpn auf dem router kommt die meldung das es verbunden sei auf dem handy auch. nun gebe ich folgendes ein:https://lokaleipdesservers:5555 und es findet nichts obwohl ich ja schliesslich im lan sein sollte

 

[Raijin]

Nun ich habe es mit VPN versucht jedoch ist nur 1 gleichzeitiger nutzer erlaubt bei openvpn ansonsten müsste ich mir weitere mieten.

Hm? Verstehe ich nicht so recht. Wer wie was wo begrenzt die Anzahl der Nutzer bei OpenVPN? Grundsätzlich ist das eine Einstellungssache. Ich habe einen VPN-Server mit insgesamt knapp 40 Usern, von denen gleichzeitig um die 10 verbunden sind.

Auch ist der Zugriff auf das LAN hinter dem Server Einstellungssache. Sofern der Server korrekt konfiguriert ist, können quasi unbegrenzt viele User gleichzeitig verbunden sein und haben auch nur auf bestimmte Geräte im LAN Zugriff - oder eben auf keine.

Du musst einen VPN-Server nicht als All-In-One-Lösung sehen. Die Regeln in der Firewall muss man trotzdem anpassen, um eben zu vermeiden, dass ein ungewollter Zugriff stattfindet. Genauso wie man beispielsweise auch NAT einrichten muss, wenn es denn benötigt wird. Beides hat nur indirekt mit OpenVPN zu tun, weil das vom Betriebssystem gehandhabt wird (zB iptables bei Linux).

 

[killerkappi]

Dies ist das limit auf dem server selbst auf dem router habe ich nichts ähnliches gefunden.