Zusätzliches, getrenntes Netzwerk, von außen erreichbar

[h00bi]

Hallo zusammen,

für ein Coding-Bastelprojekt brauchen wir ein unabhängiges, getrenntes Netzwerk, welches aber von außen (WAN) zugänglich ist.
Zur Auswahl stehen zwei Anschlüsse, 1x ADSL und 1x VDSL (je nachdem welchen Standort wir gemeinsam nutzen.
Feste IP ist bei beiden Anschlüssen kein Problem. Wegen dem höheren Speed würden wir natürlich den VDSL Anschluss bevorzugen.

Der Haken: Auf beiden Anschlüssen hängt Consumer Hardware. Am VDSL Anschluss eine Fritzbox 7490, am ADSL ein nicht genauer bekannter 724er Speedport (gibts als Typ A, B und C).
Der erste Plan war in der FB das Gastnetz auf LAN4 zu aktivieren und das zu nutzen. Leider kann ich von außen keine Ports aufs Gast-LAN weiterleiten.

Welche Möglichkeiten habe ich OHNE einen der beiden Router zu ersetzen?
Klar, man könnte einfach einen der Router durch einen MikroTik / USG / pfSense ersetzen der mehrere getrennte Netze aufspannen kann.
Da dann aber auch das private Netz am neuen Router hängt und sich keiner der Jungs mit o.g. Routern auskennt würde man das gerne vermeiden (wegen Telefonie und eigener Services).

Als externer Einstiegspunkt reicht ein einzelner Port (z.B. für OpenVPN oder SSH).
Die externen (VPN) User sollen nur Zugang zum Bastel-Netzwerk bekommen, nicht zum privaten Netz des "Hosters".

 

[Pawel23]

Man könnte zwei Router hintereinander schalten.

Router #1 -> Bastel-Netz -> Router #2 -> privates Netz

Ob das sinnvoll ist gegenüber einem MikroTik / USG / pfSense sei mal dahingestellt.

 

[Ebrithil]

Wie wärs mit einem Virtuellen Netzwerk, dass dann per VPN exposed wird?

 

[martinallnet]

Mit z. B tinc ein getrenntes Netz schaffen.

 

[Raijin]

Wie genau soll der Zugriff von außen denn aussehen? Willst du ins komplette Netzwerk oder nur zB auf einen (oder mehrere) Server?

Für den ersten Fall empfehle ich auch ein VPN. Dazu zB einen MikroTik-Router, o.ä. ins Netzwerk hängen. Dann noch im Hauptrouter den/die VPN-Port(s) zum MikroTik weiterleiten und von außen mit dem VPN verbinden. Das Routing ins Bastel-LAN muss dann vom Client über die VPN-Verbindung gehen und der MikroTik macht den Rest.

Im letzteren Fall reichen entsprechende Portweiterleitungen im Hauptrouter. Zusätzlich muss dann aber eine statische Route ins Bastel-LAN über den MikroTik, o.ä. eingetragen werden.

Wovon ich abrate ist ein herkömmlicher NAT-Router. Diese blocken nämlich nur den Traffic vom WAN ins LAN, aber nicht andersherum. Wäre ja auch doof, nix surfen mehr... Bei LAN-in-LAN Setups heißt das aber, dass das Hauptnetzwerk nicht ins Bastel-LAN kommt bzw. nur mit Portweiterleitungen, das Bastel-LAN kommt hingegen ungehindert ins Haupt-LAN. Ob das ein Problem ist, hängt von der Art des Bastel-LANs ab bzw. deren Teilnehmer. Ein NAT-Router hinter einem NAT-Router bedeutet aber Doppel-NAT und ist wie man auf englisch so schön sagt ein "pain in the ass".