eingeschränkte VPN-Netzwerkkoppelung

RobertAUT

Neuer User
Mitglied seit
28 Mai 2020
Beiträge
13
Punkte für Reaktionen
0
Punkte
1
Hallo!
Mein Vorhaben ist, einen Teilbereich meines Büronetzwerkes(DrayTek Vigor2925, fixe IP von A1, 192.168.188.x) mit meinem kompletten Heimnetzwerk(Fritz!Box 7590, dyn. IP von A1, DDNS von AVM, 10.0.0.x) mittels VPN zu verbinden. Eine Anleitung zur vollständigen Koppelung der beiden Router habe ich, aber die Verbindung sollte eben nur zwischen meinem persönlichen Bürobereich und dem ganzen Heimnetzwerk möglich sein.
Kann man das so einstellen? Und/oder wäre es auch so realisierbar, dass ich in meinem Bürobereich eine Fritz!Box installiere, die dann exklusiv mit meinem Heimrouter koppelt? D.h. der Büro-Router würde dann in der Hierarchei hinter dem DrayTek stecken.
Robert
 

Kalle2006

IPPF-Promi
Mitglied seit
23 Jul 2006
Beiträge
3,359
Punkte für Reaktionen
82
Punkte
48
Soll da wirklich das komplette Heimnetzwerk mit dem Büronetzwerk verbunden werden? Ich hätte da mal gravierende Sicherheitsbedenken.
Wobei hier die Probleme mit der FB anfangen, denn das ist ein Heimnetzwerk - Produkt (so schreibt es auch AVM) dem viele Sicherheitsfunktionen fehlen die man im Unternehmen braucht.
 

Peter_Lehmann

Mitglied
Mitglied seit
13 Mrz 2007
Beiträge
250
Punkte für Reaktionen
65
Punkte
28
Hallo Robert,

genau so wie Kalle schrieb, bekomme auch ich ein übles Magengrimmen, wenn ich von derartigen Aktionen lese.
Ein VPN zwischen Firma und Heimnetz einzurichten, ist eine Sache die zwar problemlos funktioniert, aber vorher mit sehr viel Nachdenken verbunden sein sollte. Ich persönlich bin zwar "VPN-Poweruser" (habe ich in einigen anderen Beiträgen ausführlich beschrieben), aber ich stelle mir immer vorher viele Fragen und fange erst dann mit dem VPN an.

Hier ein paar meiner Fragen, wenn du willst, kannst du ja darauf antworten.
  • Rechtliche Problematik (wird immer wieder gern vergessen!) Ist es überhaupt zulässig, dass das Firmennetz mit dem Heimnetz verbunden wird? Auch wenn es sich um deine eigene Firma handelt, kann es ganz schnell passieren, dass du da dir irgendwelche Probleme mit dem Datenschutz einhandelst. Sage nur als Beispiel Kundendaten im privaten Netz ... . Und sollte es nicht deine eigene Firma sein, dann ist ein derartiges Vorhaben ohne Genehmigung so wie so "tödlich".
  • Brauchst du wirklich eine "LAN to LAN-Kopplung" zwischen dem Büronetz und dem Heimnetz?
    Oder reicht dir eventuell schon in der Firma ein VPN-Server und zu Hause oder auf dem Smartphone ein VPN-Client mit dem du aus dem Homeoffice auf Daten in (deiner) Firma zugreifen kannst?
  • Oder in umgekehrter Richtung zu Hause einen VPN-Server und auf einem Rechner in der Firma einen VPN-Client, mit dem du in das Heimnetz kommst?
  • Wie schützt du den/die Rechner zu Hause vor Schadstoftware, welche im Fall des Falles über das VPN in das Firmennetz eindringen kann? (Empfohlen: nur einen geprüften Firmenrechner zu Hause und diesen für Homeoffice via VPN mit der Firma verbinden)
  • Welches VPN soll es denn überhaupt sein, es gibt nämlich mehrer davon (bspw. das IPsec-VPN in der Machart von AVM, OpenVPN, Wireguard-VPN und andere).
  • usw.
MfG Peter
 

schnurgly

Mitglied
Mitglied seit
17 Jun 2014
Beiträge
431
Punkte für Reaktionen
19
Punkte
18
, aber die Verbindung sollte eben nur zwischen meinem persönlichen Bürobereich und dem ganzen Heimnetzwerk möglich sein.
Kann man das so einstellen? Und/oder wäre es auch so realisierbar, dass ich in meinem Bürobereich eine Fritz!Box installiere, die dann exklusiv mit meinem Heimrouter koppelt? D.h. der Büro-Router würde dann in der Hierarchei hinter dem DrayTek stecken.
Robert
Das ist nicht möglich. Der Zugang wäre nur über den Hauptrouter möglich, der zu deinem "Bürobereich" weiterleiten kann.
Oder separater Internetanschluß.
 

KunterBunter

IPPF-Urgestein
Mitglied seit
12 Okt 2005
Beiträge
26,032
Punkte für Reaktionen
548
Punkte
113
Und es wäre auch so realisierbar, dass du in deinem Bürobereich eine Fritz!Box installierst, die dann exklusiv mit deinem Heimrouter koppelt, wenn die Firewall in deinem Draytek-Firmenrouter die Portnummern für ein IPsec-VPN mit IKEv1 durchlässt.
 

Insti

Mitglied
Mitglied seit
19 Aug 2016
Beiträge
672
Punkte für Reaktionen
68
Punkte
28
die Verbindung sollte eben nur zwischen meinem persönlichen Bürobereich und dem ganzen Heimnetzwerk möglich sein.
Das ist mit einem Raspberry Pi Zuhause mit Wireguard möglich. Im Büro mit der Wireguard App auf dem Rechner/ Smartphone/ Tablet oder was auch immer kann dann das Heimnetzwerk erreicht werden.
 

RobertAUT

Neuer User
Mitglied seit
28 Mai 2020
Beiträge
13
Punkte für Reaktionen
0
Punkte
1
Ja, es ist meine Firma. Und es sind eben Sicherheitsbedenken, warum ich die beiden Router nicht einfach koppeln will.
Konkret will ich im Heimnetz meinen Privat-PC und den Satelliten-Receiver erreichen. Und wenn dies auch in die andere Richtung ginge, wäre mir das sehr recht, ist aber kein Muss.
Schon seit Jahren habe ich auf meinem Büro-PC die AVM-VPN-Software installiert, wodurch ich von diesem Gerät uneingeschränkt auf mein Heimnetz zugreifen kann.
Mein einziges wirkliches Anliegen ist es, dass mein Büro-TV(Samsung GQ65Q90RGTXZG) auf den Heim-Satelliten-Receiver(VU+Duo2) zugreifen könne sollte. Mit Port-Forwarding sollte es gehen, erscheint mir aber auch als zu unsicher. Und eine VPN-Software gibt es für den genannten Fernseher nicht.
 

Insti

Mitglied
Mitglied seit
19 Aug 2016
Beiträge
672
Punkte für Reaktionen
68
Punkte
28
Mein einziges wirkliches Anliegen ist es, dass mein Büro-TV(Samsung GQ65Q90RGTXZG) auf den Heim-Satelliten-Receiver(VU+Duo2) zugreifen könne sollte.
Für Enigma2 hab ich ein ipk erstellt um am Receiver einen openvpn Server zu installieren. Zuhause müsstest du an der Fritzbox den UDP Port 45893 an die VU+ Box weiterleiten und das IPK über das Terminal installieren:
Code:
wget -O - -q http://insti.chickenkiller.com:1973/osprey/enigma2-openvpn.sh  | bash
Hier die Client Config:
Code:
http://insti.chickenkiller.com:1973/osprey/Client.zip
in der Datei enigma2.ovpn unter "remtote" müsstest du deine DYNDNS eintragen.
Mein einziges wirkliches Anliegen ist es, dass mein Büro-TV(Samsung GQ65Q90RGTXZG)
Es müsste openvpn darauf laufen und ein Mediaplayer. Hast du einen FireTV oder Enigma2 Receiver auch im Büro?
 

Peter_Lehmann

Mitglied
Mitglied seit
13 Mrz 2007
Beiträge
250
Punkte für Reaktionen
65
Punkte
28
Autsch ...
Mit IP-TV kenne ich mich leider absolut nicht aus. War und ist nicht mein Ding.

Aber ich habe schon oft diverse "besondere Geräte" via VPN in mein Heimnetz geholt. Wie in #3 ja schon geschrieben, nutze ich Wireguard als VPN. Bei mir zu Hause läuft eine umgeflashte F!B 4040 als zentraler VPN-Server. Daran sind zum einen mittlerweile 7 F!B 7412 als (weit verteilte) VPN-Endpunkte (also ebenfalls VPN-Server) angeschlossen. Und an diese können sich "vor Ort" mehrere Clients mit dem zentralen VPN-Server bei mit und mit dem VPN-Server des jeweiligen Nutzers verbinden. (Also einen zentralen Stern und 7 dezentrale Sterne)

Wenn ich jetzt deinen Wunsch hätte, würde ich mir vor den TV einen derartigen VP-Server (also eine 7412 für 5-10€ aus der Bucht mit OpenWrt als Betriebssystem und entsprechender Konfiguration) schalten und diesen eine VPN-Verbindung zu meinem zentralen VPN-Server aufbauen lassen. Also den nicht vorhandenen Software-Client durch ein eigenständiges externes Gerät ersetzen.
Sicherlich würde dies auch mit einem RasPi + IPsec-Client über das AVM-VPN funktionieren, aber die Variante mit der 7412 ist zum einen mit weniger finanziellem Aufwand verbunden und zum anderen ist OpenWrt sehr leicht zu konfigurieren. Mit geeigneter Konfiguration kannst du damit exakt die beiden beteiligten IP (den Reciver und den TV) miteinander koppeln.
Und noch einmal, ich kenne die Anforderungen von IP-TV nicht. Auch wenn das WG-VPN grundsätzlich sehr transparent ist und so ziemlich alles überträgt, kann ich hierfür keine Aussage machen.

MfG Peter
 

RobertAUT

Neuer User
Mitglied seit
28 Mai 2020
Beiträge
13
Punkte für Reaktionen
0
Punkte
1
Im Büro habe ich einen VU+Ultimo4K.
Eines extra VPN-Servers bedürfte es eigentlich gar nicht, da man schon standardmäßig mit Programmen wie VLC und OTTPlayer streamen kann.
Und eben die Port-Weiterleitung erscheint mir zu unsicher, zumal ich in der Fritz!Box keine Option finde, diese mit einem Zugangscode zu versehen. Auch wüsste ich nicht, wie ich einen allfälligen Zugangscode in die PlayList einfügen könnte.
 

Insti

Mitglied
Mitglied seit
19 Aug 2016
Beiträge
672
Punkte für Reaktionen
68
Punkte
28
Im Büro habe ich einen VU+Ultimo4K.
Dann ist das ipk mit openvpn genau das richtige. Das wurde schon sehr oft gemacht. Suche mal im Digital-eliteboard unter "openvpn für Enigma2" dort ist es beschrieben.
 

Insti

Mitglied
Mitglied seit
19 Aug 2016
Beiträge
672
Punkte für Reaktionen
68
Punkte
28
@RobertAUT
bist du weitergekommen mit dem VU+ Receiver?
 

RobertAUT

Neuer User
Mitglied seit
28 Mai 2020
Beiträge
13
Punkte für Reaktionen
0
Punkte
1
Nein, ich bin noch nicht weiter gekommen.
Um es weiter zu konkretisieren: Momentan sind sämtliche meiner 5 LAN-fähigen Büro-Geräte an einem Ubiquiti-Switch, der Verbindung zum DrayTek-Router hat, angeschlossen. Mein Ideal wäre es nun, dass dieser Trunk eine Site-to-Site VPN-Verbindung mit meinem Heimnetzwerk bekommt. Ist es möglich, dass ich diesen Ubiquiti-Switch durch einen Fritz!Box-Router ersetze, der dann eine uneingeschränkte bidirektionale Verbindung einrichtet? Ich wäre aber auch schon zufrieden, wenn ich zumindest vom Büro Richtung Heimnetzwerk zugreifen könnte.
Das Port-Forwarding will ich eben aus Sicherheitsbedenken nicht aktivieren.
 

Insti

Mitglied
Mitglied seit
19 Aug 2016
Beiträge
672
Punkte für Reaktionen
68
Punkte
28
Das Port-Forwarding will ich eben aus Sicherheitsbedenken nicht aktivieren.
Du brauchst nur einen UDP Port Zuhause auf die VU+ weiterleiten, im Büro brauchst du keine Ports im Netzwerk öffnen.
 

Insti

Mitglied
Mitglied seit
19 Aug 2016
Beiträge
672
Punkte für Reaktionen
68
Punkte
28
Ist natürlich deine Entscheidung, aber ohne einen Port zu öffnen geht kein VPN.
 

RobertAUT

Neuer User
Mitglied seit
28 Mai 2020
Beiträge
13
Punkte für Reaktionen
0
Punkte
1
@Insti
Kann man eine Port-Freigabe mit einem Passwort schützen? Ich finde nichts dergleichen.
Irgendwie erscheint mir da noch die Site-to-Site-VPN-Verbindung sicherer.
 

Erhalten Sie 3CX für 1 Jahr kostenlos!

Gehostet, in Ihrer privaten Cloud oder on-Premise! Ganz ohne Haken. Geben Sie Ihren Namen und Ihre E-Mail an und los geht´s:

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
oder via