VPN-Zugriff mit VPN-Router + Token

[tomm1984]

Hallo,

ich möchte gern gezielten Personen Zugriff auf mein Netzwerk gewähren und hörte von VPN-Routern, bspw. auf eine Netzwerkfreigabe.

Kann ich mir das so vorstellen, dass ich solch ein Gerät* samt Token (am besten per Mobile-App) erwerbe, dass in mein Netzwerk einbinde (vermutlich hinter meinen "Internet-Router", da dieser auch WLAN bereitstellt) und dann Port-Forwarding einrichte? Ja, mein Internetanschluss besitzt bereits eine feste IP.

Also sagen wir mal so:

1. externe IP-Adresse 123.123.123.123
2. Port-Forwarding des Internet-Routers, bspw. 123.123.123.123:5000 auf die interne IP des VPN-Routers bzw. auf die Netzwerkfreigabe
3. internes Netz + Port-Forwarding des VPN-Routers: 192.168.1.1:8000 zeigt auf die Netzwerkfreigabe 192.168.1.20

Und bei Punkt 2 wird der Benutzer nach einem Token gefragt, den er auf seinem Smart-Phone generiert (nachdem die App einmalig mit dem VPN-Router synchronisiert wurde).

Irgendwie so... Ist das korrekt?

Fragen:
a) Funktioniert das so, wie ich mir das vorstelle?
b) *heißen diese Geräte wirklich so? Und wie heißen jene, die mit Mobile-App-Token daherkommen?
c) Gibt es eine klassische Empfehlung / Anbieter für solche Geräte oder sind das alle gängien Hersteller wie TP-Link, D-Link etc.?

Dankeschön.

 

[smart-]

Wie kommst du zu einer festen IP?!
Welcher Router ist vorhanden?

 

[Roesi]

Kabelanbieter und einen Gewerblichen Anschluss normal möglich.
Aber dann sollten keine Frage nach DLink sowie mobile Apps kommen.🧐

 

[tomm1984]

Feste IP: Bin im Ausland; hier kann man so etwas einfach als Privatperson buchen ... nicht wie in DE :-/

Router:

• schwer zu sagen
• irgendwie der hier: https://support.myrepublic.com.sg/h...-Manual-Troubleshooting-Guide-Latest-Firmware
• Brand: Technicolor
• Bezeichnung: WiFi Hub AC1600 Dual-Band Gigabit router

 

[RangnaR]

Jeder Router oder Rechner mit OpenVPN sollte dazu fähig sein.

Ich hätte da aber 2 Rückfragen.

Wenn der VPN nicht auf den Internet-Router läuft, sind Verbindungen ins ganze private Netz aufwändiger, Routing. Auf einem gesonderten Rechner/Router also eher sinnvoll mit Zugriff nur auf die lokalen Dienste des Rechner/Router mit dem VPN.

Token? App? Dir ist klar, das du dein VPN pflegen musst und neben Clients die Zugangsdaten verteilen musst. Auch ein Authenticator muss initialisiert werden, wenn man so etwas einrichtet.

Nur Zugriff auf eine Netzwerkfreigabe? Vielleicht wäre NextCloud oder SeaFile sinnvoller?

 

[kallii]

Ich nutze einen VPN-Server welcher Radius Authentifizierung unterstützt. Damit kann ich dann mit dem Dienst DUO (welcher einen Radius Connector mitbringt) spielend einfach am Handy den VPN Zugang bestätigen.

Heißt, ich möchte mich z.b. am Notebook mit dem heimischen VPN verbinden, so muss ich dies nochmal mit einem Fingerabdruck und dem Klick auf "allow" oder "zulassen" bestätigen. Ich finde die Manuelle Eingabe eines PINS hinderlich, so ist zumindest entweder der Fingerabdruck oder aber der PIN zum Handy nötig um die VPN Verbindung bestätigen zu können. Damit sichere ich übrigens auch mein Outlook Web Access sowie RDP Verbindungen ab.

 

[Merle]

Mit OpenWRT lässt sich das ohne 2FA realisieren. (Self signed cert + Passwort) Wenn der Zugriff vom äußeren Netzwerk ins innere Netzwerk (nennen wir es mal pseudo-DMZ) gewünscht ist, muss noch eine Route in den äußeren Router (also muss er das können). Zudem die notwendigen Freischaltungen am inneren Router. Wenn das nicht gewünscht ist geht es so.
2FA ist mir im nicht aufwendigen/teuren Szenario nicht bekannt.

 

[snaxilian]

Wenn du "nur" VPN brauchst dann tut es jeder Router der OpenVPN oder IPsec unterstützt. Aber du hättest ja gern 2FA (sehr löblich!). Das werden vermutlich die wenigsten bis keine Anbieter in deiner Preisklasse unterstützen. Zumal so etwas im Enterprise Bereich oft mehr als ein Gerät ist, nämlich Firewall an sich und irgendeine Art von Authentication System.

Aber: Dein Vorhaben lässt sich mit ein bisschen Linux-Kenntnissen und OpenVPN realisieren. Als Hardware könnte man dann je nach gewünschter Hardware alles nehmen, auf dem openVPN und ein Linux läuft. Also vom kleinen Raspberry Pi (mit der entsprechend niedrigen Performance) bis hin zum Server. Sinnvoll wäre aber vermutlich irgend ein kleiner passender NUC/Brix/ZBox o.ä.
Hier hat das mal einer mit nem Ubuntu 16.04., OpenVPN und der Authenticator App von Google umgesetzt: https://medium.com/we-have-all-been...mfa-with-openvpn-on-ubuntu-16-04-774e4acc2852

 

[kallii]

2FA ist mir im nicht aufwendigen/teuren Szenario nicht bekannt.

Schau dir SoftEther VPN an =) (Multiplatform...)

 

[Paradox.13te]

Wenn du "nur" VPN brauchst dann tut es jeder Router der OpenVPN oder IPsec unterstützt.

Ich bin gerade mal über dessen "MyRepublic Wi-Fi Hub" Bedienungsanleitung geflogen. Keine Unterstützung für VPN... (Zumindest habe ich auf die schnelle nix gesehen)