Interne Portfreigabe bzw. Portweiterleitung

[Eberh@rd]

Ich habe hier zwei Win10Pro-PCs "PC1" und "PC2" in demselben WLAN. PC2 ist zusätzlich über VPN mit einem Intranet verbunden.

Auf PC1 läuft eine Software, die Zugriff via Intranet auf einen bestimmten Server braucht, und die hierzu eine (nur in dem Intranet zugängliche) Domain namens XYZ.com abfragt.

Kann ich in der FRITZ!Box eine interne Portfreigabe oder Weiterleitung einrichten, so dass die FRITZ!Box (nur) Anfragen an XYZ.com nicht nach draußen, sondern intern an PC "B" weiterleitet?

 

[frank_m24]

Das wird schwierig. Eine Portfreigabe hilft da nicht. Grober Fahrplan: Du brauchst eine Route auf PC1, und PC2 muss als Paketforwarding übernehmen. Außerdem brauchst du eine Route für den Rückweg im VPN Netz.

Der Reihe nach:

Ist sichergestellt, dass die Namensauflösung auf PC1 funktioniert? Wenn die Namensauflösung von xyz.com nur im Intranet verfügbar ist, muss auch noch das DNS Setup von PC1 angepasst werden. Nehmen wir an, das geht.

Der nächste Schritt ist, dass PC2 die IP Pakete weiterleiten muss, in der Hoffnung, dass der VPN Client das erlaubt. Nicht alle tun das.

Und dann muss du eine Host- oder Subnetzroute auf PC1 einrichten. Beispiel: Das VPN Netz ist 192.168.200.0/24. und dein PC2 hat die IP 192.168.175.9 Dann lautet der Befehl dafür auf PC1:
route add 192.168.200.0 mask 255.255.255.0 192.168.175.9

Ein zusätzliches "-p" vor dem "add" fügt die Router dauerhaft hinzu, lässt sie also einen Reboot überstehen. Bitte als Admin in einer Eingabeaufforderung oder Powershell eingeben.

Das Problem bleibt der Rückweg. Dafür musst du im VPN Netz - am besten auf dem Defaultfateway dort - eine Route für den Rückweg in dein lokales Subnetz anlegen.

Alternativ musst du PC2 zum NAT Router machen, aber das ändert dein komplettes Netzwerksetup zu Hause. Ich glaube nicht, dass du das willst.

Insgesamt ist die Lösung nicht komfortabel und nur schwer einzurichten.

 

[Eberh@rd]

Vielen Dank. Auf PC2 habe ich keine Adminrechte, und IP-Routing ist darauf deaktiviert.

Ich schätze, dann scheitert es schon daran, korrekt?

 

[frank_m24]

Ja. Dann muss der VPN Client auf PC1. Oder die Software auf PC2.

 

[Eberh@rd]

O.k. danke alles klar.

Die Software ist schon auf PC2, soll aber auf PC1 genutzt werden. Nutzung des VPN-Client auf PC1 ist zwar möglich aber leider nicht zulässig.

Könnte ich vielleicht in der FRITZ!Box einen VPN-Zugang einrichten, der ausschließlich Anfragen von der fraglichen Software (von PC1) an das VPN/Intranet weiterleitet?

Einen Mitschnitt der Abfrage dieser Software habe ich via Wireshark erstellt, darin enthalten u.a. Quelladresse mit Port und Zieladresse mit Port.

 

[frank_m24]

Könnte ich vielleicht in der FRITZ!Box einen VPN-Zugang einrichten, der ausschließlich Anfragen von der fraglichen Software (von PC1) an das VPN/Intranet weiterleitet?

Wenn die Software die einzige ist, die auf das Zielnetz zugreift, dann leitet der VPN Zugang natürlich auch nur die Anfragen weiter. Ansonsten: Den Zugriff zuverlässig auf ein Subnetz und eine Anwendung zu beschränken, könnte man über die Firewall versuchen. Aber ob man das uneingeschränkt hinbekommt, wage ich zu bezweifeln.

Viele kritischer ist der Umstand, dass der VPN Zugang auf der Fritzbox ist. Denn damit steht er nicht nur PC1 zur Verfügung, sondern auch allen anderen Geräten im Netz. Und dann: Erlaubt die VPN Gegenstelle Verbindungen durch eine Fritzbox?

 

[Eberh@rd]

Ich glaube, in der Fritzbox kann man (neuerdings?) einstellen, welches Gerät im lokalen Netzwerk Zugriff auf ein VPN haben darf.

Das VPN läuft normalerweise über den Cisco AnyC*nnect Client. Die Zugangsdaten liegen mir vor.

 

[frank_m24]

Das mit dem Cisco VPN und der Fritzbox könnte sogar klappen. Das kommt dann wohl auf die Detailkonfiguration an. Und ja: man kann den Zugriff auf einen PC reduzieren, aber nicht auf eine bestimmte Anwendung. Wie gesagt, vielleicht kann man aus der Windows Firewall was bauen. Aber das wird kompliziert.

Der CISCO VPN Client ist auch einer derjenigen, die sich nicht fürs Routing benutzen lassen. Das mit PC2 hätte also eh nicht funktioniert.

 

[erik]

Ich denke, das hier gewünschte wird vom Arbeitgeber absichtlich nicht unterstützt bzw. erlaubt. Wäre ja ein riesiges Sicherheitsloch, wenn jeder, der einen PC mit VPN gestellt bekommt, per Weiterleitung dann sein privates Netz mit dem Firmennetz verbinden könnte.

 

[Eberh@rd]

Das ist sogar ein noch größeres als ein riesiges Sicherheitsloch, weil man hier jeden beliebigen PC mit dem Firmennetz verbinden kann, sei es lokal oder via VPN (Zugangsdaten muss man natürlich haben).

Deshalb wollte ich ja nur die eine Domain weiterleiten, und nicht den ganzen PC ans Firmennetz anschließen. Aber das scheint technisch ja nicht möglich zu sein, jedenfalls nicht so simpel wie ich mir das vorstellte.

 

[Theo Tintensich]

Die Software ist schon auf PC2, soll aber auf PC1 genutzt werden.

Wie wäre es, wenn ihr von PC1 per RDP auf PC2 zugreift und auf diesem PC die Software laufen lasst.

RDP nennt sich auf Windows-PCs "mstsc.exe", das Ziel wäre dort der PC2, per Name oder IP. Für die Anmeldung per RDP wird ein Benutzer auf PC2 benötigt, der dort RDP-Rechte hat.

Per Default ist RDP nicht aktiv.
"Dieser PC => rechte Maustaste => Eigenschaften => Erweiterte Systemeinstellung => Reiter Remote:
(*) Remoteverbindung mit diesem Computer zulassen
Benutzer auswählen => lokaler Benutzer (oder, wenn die Systeme in der Domäne, Domänenbenutzer) auswählen

Für angemeldete Benutzer wird der Arbeitsplatz dann gesperrt.

 

[Eberh@rd]

Bei der Software handelt es sich um eine grafikintensive 3D-Applikation, aus welchem Grund sie auf dem viel leistungsfähigeren PC1 laufen sollte...

Was sieht eigentlich der Server, wenn man sich per Cisco AnyC*nnect Client einwählt? Sieht der Server den Nutzernamen, den PC-Namen oder immer beides?

Würde es irgendwas bringen, PC1 und PC2 statt über die FRITZ!Box mit einem LAN-Kabel zu verbinden?