Vodafone Station + AP für 2 Netzwerk mit DNS Server?

T

tnevermind

Gast
Moin,
ich wohne in einer WG und wir haben hier eine "tolle" Vodafone Station stehen. Nun kann das Scheißding im Gegensatz zu meiner alten Unitymedia Connectbox (und die war schon mist).

Mein Mitbewohner möchte gerne die Vodafone Station weiter benutzen, also ist meine Idee einen Accesspoint oder zweiten Router dahinter zu hängen um folgendes zu ermöglichen:

  • eigener DNS-Server wie z.B. Pi-Hole
  • integration eines VPN Dienstes
  • Eigener WLAN Bereich, damit alle Geräte die darüber laufen vom vpn und Pi-Hole profitieren.

Was benötige ich um dies umzusetzen ? Die VS kann oft nicht einmal in den Bridge Mode versetzt werden, also bleibt nur ein AP oder? Kann dieser das leisten was ich benötige ?

MfG
tnevermind
 
VPN könnte schon an DS-Lite scheitern, was Vodafone bei Kabelanschlüssen benutzt.
Nach draußen kannst du VPN aufbauen, aber nicht von draußen in dein Netz.

Du kannst einfach nen AP verbauen und deine Geräte dann eine statische IP vergeben, mit DNS: Pi-Hole und Gateway: Vodafone Station. DHCP wird die Vodafone Box wohl für den Rest übernehmen daher solltest keinen 2. DHCP ins Netz bringen
 
tnevermind schrieb:
  • (1) eigener DNS-Server wie z.B. Pi-Hole
  • (2) integration eines VPN Dienstes
  • (3) Eigener WLAN Bereich, damit alle Geräte die darüber laufen vom vpn und Pi-Hole profitieren.
1)
Einen eigenen DNS wie pihole kann man auch ohne zweiten Router nutzen. pihole installieren und den DHCP-Server des Router so einstellen, dass er direkt den pihole als DNS an die Endgeräte vergibt oder wenn das nicht geht, den Upstream-DNS des Routers selbst auf die IP des pihole setzen.

Ein Access Point hilft hierbei nicht, weil ein AP lediglich eine Verbindung WLAN<>LAN herstellt und sich einen Teufel um DHCP und DNS schert.

2+3)
Hierbei kommt es auf die Details an. Möchtest du von außen via VPN in dein Heimnetzwerk rein oder willst du aus deinem Heimnetzwerk über einen VPN-Dienstleister (zB Cyberghost) raus? Wegen 3 gehe ich mal von letzterem aus.

Bei einem ausgehenden VPN (Cyberghost und Co) ist DS-Lite egal und du benötigst lediglich ein VPN-Gateway (zB PI), das im Netzwerk zB die IP x.y.z.2 bekommt und alle Geräte, die darüber bzw. über dessen VPN-Verbindung online gehen sollen, bekommen von Hand eben diese IP-Adresse als Standardgateway verpasst.
Der DHCP-Server des Internetrouters verteilt hingegen weiterhin standardmäßig die .1 als Gateway, also die ungeVPNte Internetverbindung.

Einen "eigenen WLAN Bereich" benötigt man hierbei nicht, weil nach wie vor alle Endgeräte in ein und demselben Netzwerk sind und lediglich durch das Gateway mit oder ohne VPN ins Internet gehen.

Ja, man könnte auch alle VPN-spezifischen Geräte hinter einem NAT-Router verstecken und somit die Umstellung des Gateways beiseite lassen, aber das Problem ist dann, dass man innerhalb der eigenen 4 Wände plötzlich zwei separate Netzwerke hat und ein gegenseitiger Zugriff durch die Firewall und das NAT des zweiten Routers erschwert wird - man würde Portweiterleitungen im eigenen Netzwerk benötigen.
Hinzu kommt, dass man je nach Umgebung nicht mal eben so ein Gerät aus dem VPN nehmen kann, wenn es physisch hinter einem zweiten Router sitzt. Beispielsweise wenn man etwas tun möchte, bei dem einschlägig bekannte VPNs explizit geblockt werden, zB Netflix. Bei einem alternativen Gateway kann man einfach durch Umstellung der Gateway-IP binnen Sekunden wechseln.
 
Raijin schrieb:
1)
Einen eigenen DNS wie pihole kann man auch ohne zweiten Router nutzen. pihole installieren und den DHCP-Server des Router so einstellen, dass er direkt den pihole als DNS an die Endgeräte vergibt oder wenn das nicht geht, den Upstream-DNS des Routers selbst auf die IP des pihole setzen.

Ein Access Point hilft hierbei nicht, weil ein AP lediglich eine Verbindung WLAN<>LAN herstellt und sich einen Teufel um DHCP und DNS schert.

2+3)
Hierbei kommt es auf die Details an. Möchtest du von außen via VPN in dein Heimnetzwerk rein oder willst du aus deinem Heimnetzwerk über einen VPN-Dienstleister (zB Cyberghost) raus? Wegen 3 gehe ich mal von letzterem aus.

Bei einem ausgehenden VPN (Cyberghost und Co) ist DS-Lite egal und du benötigst lediglich ein VPN-Gateway (zB PI), das im Netzwerk zB die IP x.y.z.2 bekommt und alle Geräte, die darüber bzw. über dessen VPN-Verbindung online gehen sollen, bekommen von Hand eben diese IP-Adresse als Standardgateway verpasst.
Der DHCP-Server des Internetrouters verteilt hingegen weiterhin standardmäßig die .1 als Gateway, also die ungeVPNte Internetverbindung.

Einen "eigenen WLAN Bereich" benötigt man hierbei nicht, weil nach wie vor alle Endgeräte in ein und demselben Netzwerk sind und lediglich durch das Gateway mit oder ohne VPN ins Internet gehen.

Ja, man könnte auch alle VPN-spezifischen Geräte hinter einem NAT-Router verstecken und somit die Umstellung des Gateways beiseite lassen, aber das Problem ist dann, dass man innerhalb der eigenen 4 Wände plötzlich zwei separate Netzwerke hat und ein gegenseitiger Zugriff durch die Firewall und das NAT des zweiten Routers erschwert wird - man würde Portweiterleitungen im eigenen Netzwerk benötigen.
Hinzu kommt, dass man je nach Umgebung nicht mal eben so ein Gerät aus dem VPN nehmen kann, wenn es physisch hinter einem zweiten Router sitzt. Beispielsweise wenn man etwas tun möchte, bei dem einschlägig bekannte VPNs explizit geblockt werden, zB Netflix. Bei einem alternativen Gateway kann man einfach durch Umstellung der Gateway-IP binnen Sekunden wechseln.

1. Das mit dem AP habe ich mir schon gedacht. Leider kann man den DHCP-Sever bei der Vodafone Station nicht mehr ändern und auch nicht tricksen wie bei der alten Unitymedia Connectbox. Daher 2. Router oder AP oder was auch immer geeignet ist (das ist sogesehen meine Frage)

2. Ich will aus meinem Heimnetzwerk durch einen VPN raus. Um genau zu sein hätte ich gerne die Config, dass alle Geräte die mit dem neuen Netzwerk verbunden sind, über den VPN laufen, ohne dass das bei jedem Gerät eingerichtet werden muss. Auch das Pi-Hole soll in dem Netzwerk hängen. Die genannten Probleme sind bekannt und werden in kauf genommen.

Ja genau zwei Netzwerke in den eigenen 4 Wänden, das wäre eigentlich mein Wunsch. Das ganz normale und das VPN+Pi Hole Netzwerk. Frage ist nur, wie setze ich das um, da die Vodafone Station, nahezu keine Einstellungen zulässt, nicht einmal der Brigde Mode ist bei jedem aktivierbar....also große Scheiße.

Meine Idee war also, ein weiteres Gerät, Router, Pi , etc. an die VS anzuschließen und als eigentlichen Verteiler zu nutzen, ginge das? Ich google wohl besser mal NAT-Router
 
Asus Router können OpenVPN ootb, keine Ahnung ob wirklich alle, besser noch, merlin-fähige kannst Du sogar mit einem DNS-Sinkhole ausstatten, aber das geht dann ans Eingemachte, pihole kann natürlich stattdessen ebenso genutzt werden.

Bridge-Mode brauchst Du eigentlich nicht, hast dann halt eine Router-Kaskade. Nur IPv6 wird dann nicht gehen, was aber defacto immer noch nicht wild ist. 😉
 
  • Gefällt mir
Reaktionen: tnevermind
Bob.Dig schrieb:
Asus Router können OpenVPN ootb meine ich, besser noch, merlin-fähige kannst Du sogar mit einem DNS-Sinkhole ausstatten, aber das geht dann ans Eingemachte, pihole kann natürlich stattdessen ebenso genutzt werden.

Spannend ist nur die Verbindung zur Vodafone Station, nehmen wir mal an ich bekomme sie nicht in den Bridge Mode, dann kann ich soweit ich weiß ja nicht einfach einen weiteren Router an einen der Lan Ports anschließen und sagen, dass dieser ein neues Netzwerk mit neuem DHCP etc aufbauen soll, der würde dann doch nur wieder an die VS durchleiten oder nicht? Also als switch fungieren....
 
Kannst Du einfach anschließen, hat dann eigenes DHCP, DNS und alles, darf nur nicht der selbe IP Bereich sein (z.B. 192.168.1.0/24). Das kannst Du aber immer einstellen, spätestens am Asus (z.B. 192.168.2.0/24). Wichtig, der Asus wird im Router-Modus betrieben, nicht als AP!
 
Die wenigsten WLAN-Router bieten die Option bzw. sind dafür geeignet, sich mit einem VPN-Dienstleister zu verbinden. Selbst wenn der Hersteller mit VPN-Funktionalität wirbt, so bezieht sich das zu 99,9999% ausschließlich auf eingehende VPN-Verbindungen, also um von unterwegs zB auf das heimische NAS zuzugreifen. Das höchste der Gefühle ist dann maximal eine Standortverbindung zwischen Routern desselben Herstellers (zB Fritzbox <VPN> Fritzbox).

Dahingehend wirst du also entweder einen (semi)professionellen Router/Firewall benötigen, der frei konfigurierbar und nicht durch Consumer-Firmwares zugenagelt ist (EdgeRouter, MikroTik, pfSense, Sophos, etc) oder aber einen Router mit alternativer Firmware wie OpenWRT. Nur dort lassen sich individuelle ausgehende VPNs anbinden, weil man zB via SSH vollen Zugriff auf den Router hat.



tnevermind schrieb:
dann kann ich soweit ich weiß ja nicht einfach einen weiteren Router an einen der Lan Ports anschließen
Klar kann man das.

www
|
(WAN @ Provider-IP)
VStation
(LAN mit DHCP 192.168.1.1)
|
----Netz1---- Clients ohne VPN-Internet
|
(WAN @ 192.168.1.234)
Router2 mit VPN
(LAN mit DHCP 192.168.12.1)
|
----Netz2---- Clients mit VPN-Internet
 
  • Gefällt mir
Reaktionen: tnevermind
Raijin schrieb:
Die wenigsten WLAN-Router bieten die Option bzw. sind dafür geeignet, sich mit einem VPN-Dienstleister zu verbinden. Selbst wenn der Hersteller mit VPN-Funktionalität wirbt, so bezieht sich das zu 99,9999% ausschließlich auf eingehende VPN-Verbindungen, also um von unterwegs zB auf das heimische NAS zuzugreifen. Das höchste der Gefühle ist dann maximal eine Standortverbindung zwischen Routern desselben Herstellers (zB Fritzbox <VPN> Fritzbox).

Dahingehend wirst du also entweder einen (semi)professionellen Router/Firewall benötigen, der frei konfigurierbar und nicht durch Consumer-Firmwares zugenagelt ist (EdgeRouter, MikroTik, pfSense, Sophos, etc) oder aber einen Router mit alternativer Firmware wie OpenWRT. Nur dort lassen sich individuelle ausgehende VPNs anbinden, weil man zB via SSH vollen Zugriff auf den Router hat.




Klar kann man das.

www
|
(WAN @ Provider-IP)
VStation
(LAN mit DHCP 192.168.1.1)
|
----Netz1---- Clients ohne VPN-Internet
|
(WAN @ 192.168.1.234)
Router2 mit VPN
(LAN mit DHCP 192.168.12.1)
|
----Netz2---- Clients mit VPN-Internet


juhu wieder mal OpenWRT einsetzten, das habe ich nun bald 6 Jahre nicht mehr gemacht. Aber immerhin gibt es eine Lösung, vielen Dank! Netz 1 und Netz2 abgrenzen muss ich dann mal Versuchen, ob der DHCP in Netz2 funktioniert. Hatte ähnliches mal getestet um mein Pi-Hole als DHCP zu erzwingen, aber da sperrt sich die VS auch ziemlich. Ich forsche mal, was an Router im moment ideal für die OpenWRT Nutzung ist. Vielen Dank!
 
Im dargestellten Setup trennt der WAN-Port von Router2 bereits das Netz2 ab. Netz2 ist vollkommen autark von Netz1. Eigenes Subnetz, eigener DHCP, eigener DNS. Clients aus Netz2 könnten auf Geräte in Netz1 zugreifen (die Ziele würden denken es ist Router2, der was von ihnen will, Stichwort: NAT), aber andersherum können Netz1-Geräte nicht auf Netz2-Geräte zugreifen, weil der WAN-Port von Router2 nur einseitig durchlässig ist.

Sogesehen ist es dasselbe Szenario wie am Internetrouter. Von drinnen nach draußen geht alles, von draußen nach drinnen geht (ohne Portweiterleitung) nix. Im Falle von Router2 ist drinnen eben Netz2 und draußen Netz1 (und natürlich das www).
 
  • Gefällt mir
Reaktionen: tnevermind
Danke für die Aufklärung, dann schaue ich mich mal nach einem geeigneten Wlan Router um.
 
Zurück
Oben