VPN Router nach ISP-Router installieren? 2. Heimnetzwerk parallel

[L4m3r]

Hallo werte Gemeinde,

mir schwebt seit einiger Zeit die Idee im Kopf, dass ich mein Heimnetzwerk in 2 Zonen aufteilen möchte. Eine normale Zone sowie eine VPN-Zone.

Der Hintergedanke ist, dass ich Geräte, wie z.B. SmartTV, Receiver, Konsole, Drucker, etc. direkt über die anliegende Verbindung vom ISP ins Internet lasse. Andere Geräte, wie z.B. Laptop der Freundin, Smartphones, Gäste WLAN etc. sollen über eine vom 2. Router aufgebaute VPN Verbindung ins Internet gehen können.

Dazu habe ich folgendes Konzept erstellt:



Die roten Geräte sollen Ihre Verbindung gerne so aufbauen wie in üblichen Heimnetzwerken Standard ist. Der DHCP Client vergibt die IPs 192.168.1.xxx.
Der VPN Router soll nach dem ISP Router installiert werden. Dieser baut eine VPN-Verbindung zum Anbieter meiner Wahl auf.
Geräte die sich im VPN-Netzwerk befinden sollen dann über dessen DHCP die Adressen 192.168.2.xxx zugewiesen bekommen.

Dabei hoffe ich auf eure Erfahrungen seitens der Hardware (VPN-Router) hier im Board und bin auf eure Hilfe angewiesen. Ihr könnt das gerne als Kaufberatung verstanden wissen. Dennoch geht's mir auch um die Einrichtung des Netzwerks bzw. der Netzwerke.
Ich habe an einen Router gedacht auf welchen ich z.B. DD-WRT flashe oder aber an einen, der VPN vom Werk aus mitbringt.

Ist das geplante Netzwerkkonzept so durchführbar?
Vertragen sich die 2 Netzwerke untereinander? Kann ein grünes Gerät mit einem roten Gerät kommunizieren (z.B. Smartphone -> NAS)
Grundkenntnisse in Netzwerktechnik sind eigentlich vorhanden - ihr dürft mich aber gerne belehren.

Ich bedanke mich vorab für eure Bemühungen!

//EDiT 17.08.17

Anschaffung Hardware für pfsense Firewall getätigt. Siehe Post: https://www.computerbase.de/forum/t...-heimnetzwerk-parallel.1703047/#post-20364862

 

[scooter010]

Ob die Kommunikation zwischen grün und rot klappt, hängt daran, ob es im grünen router eine entsprechende Regel gibt, eine Route im genau zu sein.

Edit: gelogen, die Route muss in beiden router konfiguriert sein

 

[HominiLupus]

Ob die Kommunikation zwischen grün und rot klappt, hängt daran, ob es im grünen router eine entsprechende Regel gibt, eine Route im genau zu sein.

Nein, der VPN Router ist schlicht ein Client vom Internetrouter wie jeder andere, höchstens eine Portweiterleitung, würde auch ohne funktionieren aber mit ist es ein bisschen effizienter. Das Routing ist völlig normal und keinerlei Spezialfall.

Man nimmt einen RPi oder so was (kommt auf die gewünschte Internetgeschwindigkeit an) und lässt den einen VPN Tunnel zu irgendwo (Ich gehe von einem VPN Anbieter aus) aufmachen. Der RPi fungiert dabei gleichzeitig als ein AP. Fertig.

 

[L4m3r]

Kann ich dem VPN Router nicht einfach eine feste IP geben, die im gleichen Subnetz ist wie das der Fritzbox, sodass die Geräte untereinander reden können?

 

[HominiLupus]

Die FB gibt dem VPN Router schon eine IP, da musst du gar nix machen nur richtig anschließen. Statische IP geht auch, ist aber mehr Aufwand.

 

[martinallnet]

Verstehe ich das richtig, das die Geräte am VPN-Router über VPN in das Internet gehen sollen aber trotzdem Zugriff auf das Heimnetzwerk haben sollen?

Wenn nicht, dann stell dir für solche Geräte einfach einen Freifunkrouter hin.

 

[L4m3r]

Verstehe ich das richtig, das die Geräte am VPN-Router über VPN in das Internet gehen sollen aber trotzdem Zugriff auf das Heimnetzwerk haben sollen?

Jawohl. So ist der Plan.

 

[martinallnet]

Das erfordert dann schon aufwändigere Routing-Regeln.
Da habe ich dann schon wieder keine Ahnung, ich weiß das z. B. mein Asus Router per MAC-Adresse oder IP bestimmte Geräte über VPN in das Internet lassen kann, also Opt-In.
Der hat VPN-Server und Client gleich in der Firmware.

 

[Raijin]

Es gibt prinzipiell zwei Varianten für dein Vorhaben:

1. Separates VPN-nutzendes Netzwerk
Dazu würde ein zweiter Router installiert werden, der ein eigenes (W)LAN verwaltet und mittels Firewall den Zugriff vom/zum Hauptnetzwerk regelt. Alle Geräte hinter diesem Router würden per DHCP eine IP aus seinem IP-Bereich bekommen und als Gateway den Router selbst nehmen. Dieser leitet den Traffic entweder vollständig oder zB anhand von bestimmten Ports, o.ä. über das VPN.

2. Zweites Gateway im selben Netzwerk
Ein Raspberry PI o.ä. im Netzwerk würde als normaler Client angeschlossen werden. Der PI baut die VPN-Verbindung auf. Geräte, die per PI via VPN online gehen sollen, bekommen als Standardgateway nicht den www-router, sondern die IP vom PI. Dazu müsste man das Gateway am Gerät manuell konfigurieren.

Ich persönlich bevorzuge #2, da man so individuell entscheiden kann ob man via ISP oder via VPN online gehen will. Bei #1 wird ein Client dazu gezwungen, das VPN zu nutzen. Das kann auch Nachteile haben. So können zB Online-Banking, Streamingdienste (Netflix, etc) und Online-Shops allergisch auf VPNs reagieren und die Verbindung einfach blocken. Statt der gewünschten Seite kommt dann ne Info-Page "Eine VPN-IP wurde erkannt, bitte deaktivieren Sie ihr VPN und versuchen Sie es erneut". Dumm nur, wenn man ja im separaten Netzwerk "gefangen" ist. Bei WLAN-Geräten mag das unkritisch sein (einfach ins Haupt-WLAN einloggen), aber bei LAN-Geräten hinter dem VPN-Router kann's doof sein, weil man je nach Netzwerkstruktur eben nicht mal eben so das Kabel umstöpseln kann...

 

[martinallnet]

Bei 2. kann der Nutzer aber auch unerlaubt manuell den Standardgateway wechseln und das VPN umgehen.

 

[Raijin]

Das ist richtig. Ist natürlich eine Frage der Anforderungen. Wenn ich jemandem misstraue und ihn deshalb in ein abgeschottetes VPN-Netzwerk verfrachten will/muss, dann lasse ich ihn zB überhaupt nicht in mein Netzwerk. Ein gewisses Vertrauen ist in meinen Augen unumgänglich. Schließlich ist es wenig sinnvoll, ein Gast-(W)LAN zu verbarrikadieren, über VPN zu leiten, und und und, nur weil ich Angst habe, dass die Gäste Unsinn treiben? Wenn ich solche Befürchtungen habe, können die Gäste gerne über ihre Mobilfunkverbindung online gehen

 

[L4m3r]

Herzlichen Dank für die Antworten!

Ich tendiere zur Variante 1.
(W)LAN 1 ISP erhält via DHCP der Fritzbox Adressraum 192.168.1.xxx, Gateway = Fritzbox
(W)LAN 2 VPN erhält via DHCP des VPN-Routers Adressraum 192.168.2.xxx, Gateway VPN-Router.

Im VPN-Router respektive der Fritzbox würde ich das Routing so anpassen, dass bidirektional unter den Teilnehmern kommuniziert werden kann. Bei diversen ASUS-Routern scheint das ohne Probleme zu gehen. In der Fritzbox (Leihgerät von KDG) muss ich nach dieser Option erst einmal nachschauen.

Variante 2 hat den Nachteil, dass ich jedem Endgerät manuell beibringen müsste, welches Gateway zu benutzen ist. Gerade wenn Fremdgeräte oder Gäste das WLAN benutzen, sollen diese aber vom DHCP des VPN-Routers auch das VPN-Gateway mitgeteilt bekommen.
Geräte, denen ich vertraue, kommen ins rote Netzwerk, sodass es bspw. beim OnlineBanking zu keiner Blockade kommt.

 

[Raijin]

Geräte, denen ich vertraue, kommen ins rote Netzwerk, sodass es bspw. beim OnlineBanking zu keiner Blockade kommt.

Was impliziert, dass du den Gast-Geräten nicht vertraust. Käme bei mir gar nicht in die Tüte

Wie dem auch sei, ein Hinweis noch:

Wenn du das Setup testest, bedenke, dass ohne NAT die Geräte aus dem Gast-Netzwerk im Haupt-Netzwerk mit ihrer Gast-IP aufschlagen - so ein Zugriff denn überhaupt erwünscht und durch den VPN-Router erlaubt ist. Um Folgethreads zu vermeiden, solltest du einerseits die Firewall des Zielgeräts im Haupt-Netzwerk dahingehend prüfen ob sie auch Zugriffe von Fremdnetzen erlaubt (zB Windows-Firewall -- Advanced -- Inbound -- zB ICMP-v4 Echo Request -- Properties -- Scope -- source = "any" oder explizit IPs/Subnetze angeben.

Darüberhinaus brauchen Geräte aus dem Haupt-Netzwerk eine Route ins Gast-Netzwerk, um antworten zu können. Diese kann entweder direkt auf dem Gerät eingerichtet werden (zB dem Server/NAS) oder aber im Default-Gateway des Haupt-Netzwerks, also dem ISP-Router.

 

[L4m3r]

Hallo,

nochmal Danke für die Antwort!

Das war ja unter Anderem die Frage, wie das Setup aussehen müsste. NAT kann ich auf der Fritzbox nicht deaktivieren.
Reicht denn statisches Routing in beiden Routern aus, dass Drucker und Laptop dennoch miteinander sprechen können?

VPN Router bekommt als Client von der Fritzbox die 192.168.1.50 zugewiesen, der VPN Router selbst arbeitet aber mit 192.168.2.XXX.
- Laptop erhält vom VPN-Router die 192.168.2.50.
- Laptop (VPN) möchte Drucker mit 192.168.1.100 erreichen.
- VPN Router kriegt gesagt (Routing Tabelle?), dass alles was nach 192.168.1.XXX adressiert ist, über die Fritzbox geht.
- Fritzbox erhält Anfrage vom 2'er Netz zum Drucker.
- Fritzbox kriegt gesagt (Routing Tabelle), dass alles was von 192.168.2.XXX kommt an die 192.168.1.XXX geht.

Der Laptop geht über Gateway des VPN-Routers ins Internet, kann aber dennoch den Drucker benutzen.
Das muss doch mit einem halbwegs vernünftigen VPN-Router (Vorschläge?) machbar sein, oder irre ich mich da so gewaltig?


//EDiT

Könnte ich mir nicht einfach beispielhaft ein solches Geschoss für das VPN-Netzwerk zulegen, welches ausschließlich über VPN ins Internet geht, aber dennoch beide Netzwerke miteinander verbindet?

https://www.amazon.de/Hardware-Fire...8&qid=1502746493&sr=8-2&keywords=pfsense+wlan

 

[Raijin]

Eine Fritzbox oder jeder andere Consumer-Router eignet sich prinzipiell nicht als Netzwerkrouter in dieser Form. Die Asus, Netgear, AVMs und Co für den Heimbereich machen grundsätzlich NAT am WAN-Port, weil das ihr Sinn und Zweck ist. Einzig mit OpenWRT, DD-WRT, o.ä. als Firmware kann es funktionieren, weil dann effektiv ein Linux auf dem Router läuft, das entsprechend konfiguriert werden kann.

Ansonsten bieten sich zB MikroTiks, EdgeRouter oder Firewall-/Router-OS wie pfSense, o.ä. an. Die können sowas ohne Probleme. Der Haken ist: Solche Geräte/Betriebssysteme setzen fortgeschrittenes KnowHow voraus. Ein EdgeRouter kommt beispielsweise komplett nackt, nur eine IP an eth0. Den Rest, Firewall, Routing, NAT, VPN, etc. muss man von Hand konfigurieren - zum Teil sogar auf Kommandozeile. Klar, es gibt Wizards und Configs zum Runterladen nebst etlichen Tutorials, aber auch da sollte man wissen was man tut.

Ein Szenario könnte so aussehen:

1 VPN-Router (EdgeRouter/MikroTik/pfSense) per eth0---LANx an Fritzbox
2 VPN-Router: eth1 = VPN-Netzwerk (Switches, Access Points, Clients)
3 Fritzbox: Statische Route zum VPN-Netzwerk via VPN-Router.
4 VPN-Router: Firewall regelt erlaubten/geblockten Traffic zwischen FB-LAN und VPN-LAN
5 VPN-Router: VPN einrichten
6 VPN-Router: Route Richtung www via VPN-Tunnel


Es gibt zahlreiche Szenarien mit verschiedenen Vor- und Nachteilen. In jedem Fall ist aber ein gewisses Maß an KnowHow Pflicht. Es bringt zB nichts, wenn man Firewall-Regeln, die in einem Consumer-Router vorkonfiguriert und für den Anwender nicht sichbar sind, aus einem Tutorial im www einfach abtippt, wenn man keine Ahnung hat was sie bedeuten.


Ein EdgeRouter-X kostet zB ~50€. Damit kann man prinzipiell jedes Szenario realisieren. Nachteil beim ER-X ist allerdings, dass er mit OpenVPN nur ~10 Mbit/s schafft. IPsec dagegen läuft bei entsprechender Konfiguration mit ~100 Mbit/s. Sofern man einen PC/Laptop mit 2 Netzwerkschnittstellen hat (zB LAN+WLAN) kann man das Szenario auch vorab mit einer VM (zB pfSense, o.ä.) testen bevor man sich einen Router anschafft. Die VM übernimmt dann während des Tests die Funktion des VPN-Routers.

 

[L4m3r]

Guten Abend bzw. Guten Morgen,

ich habe nun nach mehrtägiger Recherche durchgerungen ein APU2C2 Board zu bestellen, auf dieses ich eine pfsense-Firewall installieren werde. (Link zum Board: http://www.pcengines.ch/apu2c2.htm). Passend dazu eine 16 GB SDD, Formfaktor mSATA, mini-PCIe WLAN-Modul samt Leitung und Antennen.

Dabei half mir dein Grundsetting sehr.

1 VPN-Router (EdgeRouter/MikroTik/pfSense) per eth0---LANx an Fritzbox
2 VPN-Router: eth1 = VPN-Netzwerk (Switches, Access Points, Clients)
3 Fritzbox: Statische Route zum VPN-Netzwerk via VPN-Router.
4 VPN-Router: Firewall regelt erlaubten/geblockten Traffic zwischen FB-LAN und VPN-LAN
5 VPN-Router: VPN einrichten
6 VPN-Router: Route Richtung www via VPN-Tunnel

Darauf aufbauend habe ich angefangen diverse Beiträge auf https://www.administrator.de zu studieren.
Insbesondere halfen mir die Artikel über das Routing im Allgemeinen, die Vernetzung 2'er IP-Netzwerke sowie über das Setup einer VPN-Verbindung.
(https://www.administrator.de/wissen/routing-2-netzwerkkarten-windows-u-linux-56073.html#toc16; https://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall-eigenbau-fertiggerät-149915.html)

Ich hoffe, dass mein Vorhaben von Erfolg gekrönt sein wird.
Anderenfalls wende ich mich vertrauensvoll wieder an euch.

Besten Dank!