ComputerBase Menü
Aktuelles

NAS im VLAN für VPN-Zugriff

F

ForgFat

Newbie
Registriert
Juli 2024
Beiträge
1
Guten Morgen,

ich stehe derzeit vor folgender Herausforderung:

Ich habe eine Synology DS224+, die zukünftig als Datenspeicher für eine Firma dienen soll.
Die DS224+ wird bei mir zu Hause stehen.
Auf die DS224+ werden die Mitarbeiter der Firma über VPN zugreifen sollen.

Da ich die DS224+ nicht einfach in mein Heimnetz hängen und den VPN-Usern damit die Möglichkeit geben möchte, sich in meinem Netz umsehen zu können, habe ich an ein VLAN gedacht.
Meine Idee war, ein Managed Switch (Zyxel GS1200-5) an meine Fritzbox (6690 Cable) zu hängen und an dieses die DS224+.
Die Idee: wenn die DS224+ im VLAN hängt und auf dieser der Synology VPN-Server läuft, über den sich die Mitarbeiter verbinden können, landen diese ausschließlich im VLAN und haben Zugriff auf die NAS, aber nicht auf mein eigenes Heimnetz.

Da ich auf diesem Gebiet noch nie unterwegs war, also ein Neuling bin, hier vor dem Kauf der Geräte meine Frage an die Experten:
Ist die Umsetzung nach meinen Überlegungen so möglich?
 
Guten Morgen,

Hast du im Kabelnetz überhaupt eine öffentliche IP-Adresse?
Warum stellst du die DS224+ nicht in die Fa. und greifst ggf. von daheim (LAN zu LAN VPN) darauf zu?
Wäre einfacher.

Oder: Mitarbeiter VPN zur Fa. und LAN zu LAN VPN zur dir daheim?
Hat den Vorteil das du den VPN-Zugriff auf EINEN LAN-Port beschränken kannst.

https://avm.de/service/wissensdaten...Boxen-fur-einzelne-LAN-Anschlusse-einrichten/

"Beim Einrichten einer IPSec-VPN-Verbindung zwischen zwei FRITZ!Box-Netzwerken können Sie den VPN-Tunnel auch auf einzelne LAN-Anschlüsse der FRITZ!Boxen begrenzen."

Ob das auch mit WireGuard geht, habe ich jetzt nicht gefunden.
 
  • Gefällt mir
Reaktionen: drago1401
Moin,
ohne dir nahetreten zu wollen, ist das ganze Vorhaben in meinen Augen nicht sinnvoll:
  • Ausfallstrategie (Hardware, Internet)?
  • Backupstrategie?
  • Sichere Konfiguration?
Um nur ein paar wesentliche Punkte zu nennen.

Auch wenn hier viele Profis im Forum unterwegs sind, ist es mMn nicht ratsam, mit deinem wenigen Vorwissen und mit Hilfe eine Forums technische Infrastruktur für eine Firma aufzubauen, vor allem diese dann auch noch zuhause aufzustellen.
Es stellen sich im Schadensfall versicherungstechnische Fragen. Und je nachdem, was für Daten auf dem server sind, könntest Du Probleme wegen der DSGVO bekommen.

Besser offiziell jemanden einbinden, der sich damit auskennt (Systemhaus o.ä.)

justmy2cents
 
  • Gefällt mir
Reaktionen: Ja_Ge, guzzisti, Tzk und 5 andere
Mit VLANs segmentiert man Netzwerke auf Layer 2, man zieht quasi virtuelle Netzwerkkabel.
Wenn, ob absichtlich oder nicht, auf Layer 3 (IP) ein passendes Routing existiert und nicht via Firewall/ACLs die Kommunikation eingeschränkt wird, können die Systeme wieder miteinander reden.

VLANs sind daher eher ein Element zur Strukturierung, aber wenn überhaupt nur indirekt ein Sicherheitsmechanismus.
 
  • Gefällt mir
Reaktionen: eigsi124 und Raijin
Firma --> Systemhaus

Wie oben beschrieben: hier geht's darum, wer im Schadensfall den Kopf hinhält. Und spätestens beim Urheberrecht reden wir hier von sehr hohen, fantasievollen Streitwerten...
 
  • Gefällt mir
Reaktionen: Ja_Ge und Tzk
Rein technisch kann man das so machen. ABER ( ;) ) man sollte sich Gedanken machen ob diese Umsetzung sinnvoll ist. Ein paar Sachen die mir dazu spontan einfallen:

  • wie erfolgt die Buchhaltung deinerseits (Gewerbe)?
  • wie steht es um den Datenschutz, wenn du Daten einer fremden Firma bei dir zuhause hostest? Also Zugang zum NAS durch Fremde/Freunde etc.?
  • darfst du deine heimische Leitung gewerblich nutzen?
  • Kabel ist ein shared Medium, hast du eine garantierte Mindestbandbreite und Latenz?
  • was ist mit der Verfügbarkeit der Daten? Also z.B. Leitung oder NAS verreckt?
  • Datensicherungskonzept?
  • Was sagt die DSGVO dazu, weil du Firmendaten (evtl auch Kundendaten) auf deinem NAS speicherst?

Die große Frage ist generell ob ihr nicht besser dran seid, wenn die Daten bei einem vernünftigen Hoster im Rechenzentrum liegen. Das betrifft sowohl die Verfügbarkeit, Sicherung als auch Anbindung. "Ich schmeiss das einfach daheim aufs NAS" hört sich im ersten Moment schön einfach an, aber der Rattenschwanz ist in der Praxis seeeehr lang.

Wir setzen in der Firma zum Beispiel auf redundante Anbindung von allen Standorten über zwei Provider und zusätzlich an wichtigen Standorten noch auf ein LTE Backup sowie ein weiteres offenes DSL. Also insgesamt 4 (!) verschiedene Zugänge zum Internet, die allerdings verschiedene Zwecke erfüllen und teilweise technische Einschränkungen haben.

Wenn wir kritische Daten auslagern wollen, dann muss uns der externe Partner etliche Dinge nachweisen. Das fängt bei Zertifizierungen an, geht über einen Datenschutz- und Sicherheitsbeauftragten weiter und vieles weiteres.
KillerCow schrieb:
VLANs sind daher eher ein Element zur Strukturierung, aber wenn überhaupt nur indirekt ein Sicherheitsmechanismus.
Zum Vergrößern anklicken....
Die Netzwerke zu trennen halte ich erstmal für eine gute Idee. Ansonsten hätte man tatsächlich das Problem das a) die Angestellten ins private Netz kommen und b) das alle aus dem privaten Netz ans NAS kommen. Beides kann wohl kaum (im Sinne des Datenschutzes) gewünscht sein.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: guzzisti
was zum Geier haben die Mitarbeiter auf der NAS zu suichen???

Dafür gibt es Synology Drive und Openvpn.
DDNS Adresse erstellen, letzencrypt Zertifikat dazu, (kann alles auf Syno gemacht werden)
Drive und Firewall entsprechend Konfigurieren.

Dafür brauchst du kein Vlan.

nur ein Tipp am Rande:
jeden Benutzer eine VPN ID erstellen und Extra Drive ID... also 2 Accounts pro Benutzer...
und Drive/Webzugriff nur per VPN erlauben.
 
So wie du dir das vorstellst kann es sowieso nicht funktionieren. Einen VLAN-Switch sägt man durch die Konfiguration mehrerer VLANs effektiv nur in mehrere Teile. Das muss man sich wirklich so vorstellen. Aus einem 24er Switch werden dann zB 3x 8er Switches oder 1x 12er, 1x 8er und 1x 4er oder eine beliebige andere Kombination. Dadurch haben die VLANs untereinander aber keinerlei Verbindung, weder untereinander noch in Richtung Internet. Es muss dazu auch einen Router geben, der diese VLANs miteinander und/oder mit dem Internet verbindet. Eine Fritzbox kann das schlicht und ergreifend nicht.

Wenn dir das technische Verständnis zu VLANs und deren Anwendung fehlt und du nicht das nötige Equipment dazu hast, ist das wirklich eine ganz miese Idee. Fitmendaten sind essentiell und wenn du Mist baust, was ohne Fachwissen mittelfristig recht wahrscheinlich ist, kann das in einer Katastrophe enden.

Frage bitte ein Systemhaus und die können euch eine fachkundige Beratung geben. Unter Umständen bietet das Systemhaus gar eine Cloud Infrastruktur und das wäre in deinem Fall wohl sinnvoller und auch sicherer als ...

"Ich habe keine Ahnung, aber frage mal für die Firma in einem Forum für Heimnetzwerke was anonyme Leute dazu meinen"
 
  • Gefällt mir
Reaktionen: Tzk und KillerCow
Bringt nichts, die fritzbox kann kein vlan. Mit dieser Hardware hast du ein vlan von der nas zum Switch, die fritzbox würde das vlan aufheben. Du kannst aber das vpn direkt an der nas starten, so kommen die firmen Mitarbeiter direkt auf die nas ohne Zugang zu deinem Netzwerk (sofern du es richtig konfigurierst)
Der Einwand das du kabelinternet und somit keine öffentliche IPv4 hast wäre nicht so schlimm denn du hast bestimmt IPv6.
Und als Zusatz: willst du dir die Sicherheit einer Firma wirklich aufbürden? Eine einzige falsche Einstellung und die Firma inklusive Daten kann gehackt werden
 
KillerCow schrieb:
VLANs sind daher eher ein Element zur Strukturierung, aber wenn überhaupt nur indirekt ein Sicherheitsmechanismus.
Zum Vergrößern anklicken....

Dem muss ich leicht widersprechen: mit VLANs schaffst Du erst die Möglichkeit zur Segmentierung und sinnvollen Filterung des Traffics. Sie schränkten die Broadcastdomänen ein, die Dir je nach Situation sehr unschöne Probleme schaffen.

Damit tragen sie direkt und alternativlos zur Sicherheit bei. Oder man steigt gleich Mikrosegmentierung ein und macht sich gleich richtig Freu(n)de.

Wer es in Gedanken durchspielen will: ein Netz mit einem VLAN und drei IP-Subnetzen darin. Welche Clients können von Broadcasts jeweils erreicht werden?
Ergänzung ()

Warum eigentlich kein NAS direkt in der Firma und dann ein (verschlüsseltes) Backup auf das NAS am 2. Standort?

Damit ließe sich die Technik „einfacher“ gestalten, aber es beantwortet nicht die organisatorischen/rechtlichen Fragen, die hier berechtigterweise gestellt wurden.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

D
Fritz und VLAN für IoT+SmHo
Antworten
16
Aufrufe
7.533
Raijin
Raijin
T
VPN Zugriff über Aldi Talk?
Antworten
5
Aufrufe
2.062
Techflaws.org
T
D
VPN-Zugriff bei Vodafone Cable (DS-Lite) mit Wireguard
Antworten
16
Aufrufe
17.026
lukas12342
L
E
EFH-Netzwerk - VLAN für "Smart-Geräte" sinnnvoll
Antworten
17
Aufrufe
1.925
Raijin
Raijin
A
  • Gesperrt
VPN-Zugriff auf Fileserver am Arbeitsplatz - Fehler
Antworten
8
Aufrufe
889
Alphabetics
A
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz