VPN zur Trennung auf 2 Netzwerke, Lösung hinter Fritzbox?

[Raijin]

Ich habe mir eben überlegt: Einfach einen VLAN fähigen Switch nehmen, und auf dem PC dahinter OpenVPN Server installieren?

Leider nein. Ein VLAN-fähiger Switch kann zwar VLANs, aber das ist ungefähr so als wenn du dir zwei Switches nebeneinander stellst und dort jeweils physisch getrennte verschiedene Netzwerke (analog zu virtuell getrennten mit VLANs) aufbaust - irgendjemand muss sie noch miteinander verbinden, routen. Ein 08/15 Heimrouter kann aber keine VLANs bzw. mehrere LANs routen - zumindest nicht ohne alternative Firmware (OpenWRT, DD-WRT, o.ä.).

VLAN-Switch und (VLAN-)Router verhalten sich ungefähr so wie ein T-Stück bei der Kalt- / Warmwasserleitung (Switch) und der Einhebelmischer am Wasserhahn, der beides zusammenführt (Router). Ein L2-VLAN-Switch (smart managed, etc.) kann lediglich seine Ports aufsplitten, um zB statt 1x8 Ports eben 2x4 Ports oder auch 1x3 + 1x5 Ports zur Verfügung zu stellen. Untereinander routen kann er jedoch nicht. Das können nur L3-Switches, also die "richtigen" managed Switches - für deutlich mehr Euros.

Da Fritzbox und Co für solche Szenarien nicht ausgelegt sind und höchstens durch alternative Firmware oder die Gastfunktion meistens eher ein eher rudimentäres VLAN-Setup erlauben, ist ein fortgeschrittener (LAN)Router sinnvoll bzw. notwendig. Ein EdgeRouter-X mit 5 LAN-Schnittstellen (voll geswitcht mit VLANs oder 5x separate LANs) für 50€, ein entsprechender MikroTik-Router oder auch besagte Router mit alternativer Firmware können die VLANs bzw. die LANs dann untereinander routen bzw. via Firewall auch den Zugriff untereinander oder auch in Richtung Internet reglementieren. Man sollte jedoch etwas Erfahrung mitbringen, um solche fortgeschrittenen Router zu konfigurieren, da sie oftmals bis auf eine IP am ersten Port komplett nackt aus der Packung kommen - keine Firewall, kein gar nichts. Heißt: Sie sind mehr oder weniger offen wie ein Scheunentor, wenn man nicht zB die Wizards zur Einrichtung nutzt oder eben selbst Firewall, etc. sachgemäß einrichtet.

 

[Brudertuck]

Oder eben die Fritzbox weg, ein dsl Modem her und einen USG bzw Edge Router dahinter, entsprechender Switch und dann die Fritzbox nur noch für wlan und Telefonie als Client im Netzwerk laufen lassen. Dann hast du auch kein doppeltes nat.

Günstig ist das dann aber nicht mehr 😊

 

[Raijin]

Mit einem USG, EdgeRouter, MikroTik oder beliebigen anderen fortgeschrittenen Routern hat man sowieso kein doppeltes NAT - wenn man es nicht konfiguriert, ganz einfach. Für solche Router ist das Internet nichts anderes als ein weiteres großes LAN, da sie ja kein Modem haben sondern nur 3+ individuelle LAN-Ports. Was da angeklemmt wird und ob NAT und Firewall aktiv sein soll, muss konfiguriert werden, sonst routet der Router einfach durch. Eine Fritzbox als Internet-Router, dahinter ein EdgeRouter, MikroTik, etc. und dahinter wiederum die 2, 3, 10 (V)LANs. Alles kein Problem. Das NAT findet nur in der Fritzbox statt und die einzelnen (V)LANs sehen den EdgeRouter/MikroTik als ihr Standardgateway. Der ER routet einfach nur zur Fritzbox oder eben ins jeweils andere (V)LAN durch und das war's

 

[Brudertuck]

Nicht so ganz. Zumindest nicht beim USG. Das Netz ist voll mit Threads zu dem Thema Fritzbox und USG. Nur ein Beispiel:
https://idomix.de/unifi-security-gateway-fritzbox-doppeltes-nat

Besagtes Thema hält mich selbst davon ab mir einen USG zu holen. Alles umbauen möchte ich nicht.

 

[Raijin]

Beim USG ist das etwas anders, das stimmt. Dennoch kann man auch beim USG das NAT abschalten. Die Schwierigkeit liegt im UniFi-Controller. Wenn man das USG jenseits der Standardkonfiguration nutzt, kann es passieren, dass die Änderungen vom Controller überschrieben werden, wenn man irgendwas anderes ändert und das USG aktualisiert wird. Hier wird beschrieben wie man es macht. Hab den Thread etwas weiter durchgescrollt und in UniFi v5.7 soll "NAT control" implementiert sein. Da ich kein USG habe, kann ich das aber leider nicht nachschauen.

 

[Brudertuck]

Ok, muss ich mal lesen, wenn das so ist, wäre das ja spitze. Danke Dir. 👍🏻