DS aus Netzwerk auskoppeln

[Aristophanes]

Guten morgen
zu Hause verwende ich eine Fritzbox um ins Internet zu gehen.
Meine Frage an euch:
Kann ich i-wie eine DS zu Hause so anschließen, dass sie nicht teil des Netzwerks ist?

Der Hintergrund:
Ich habe eigentlich keinerlei Portfreigaben etc. in der FB eingerichtet. Wenn ich auf meine DS etc zugreifen möchte geht das also alles nur über VPN. Das funktioniert alles auch wunderbar und so soll es auch bleiben.
Nun möchte ich aber auch eine kleine Website hosten, DS Note für andere zur Verfügung stellen, den DS Chat mal testen etc... Da hier auch andere mit ins Spiel kommen, ist das VPN nicht mehr optimal. Glücklicherweise hab ich noch eine 213j "übrig".

Mein Plan: Ziel wäre es, die DS i-wie so zum laufen zu bekommen, dass sie von außen ereichbar ist, ohne wirklich ein Teil meines Netzwerkes zu sein. Ist dies überhaupt sinnvoll, oder mache ich mir einfach nur zu viele Gedanken? Letztlich sollte diese DS dann nur eine Art "Spielwiese" sein. Es werden keine wichtige Daten darauf kopiert.
Ich habe gesehen, dass man bei der FB den vierten Port als Gästenetzwerk einrichten kann - wäre das schon eine Lösung? Zusätzlich hab ich vor einen Raspberry Pi als DNS-Server einzurichten. Keine Ahnung ob das was hilft, aber ich werfe es einfach mal in den Raum .

Kann mir jemand helfen?

Grüße

 

[bfpears]

Hi,
das was du suchst heißt DMZ https://de.wikipedia.org/wiki/Demilitarized_Zone

Ich habe mich Anfang des Jahres schlau gemacht ob so etwas mit dem Gastnetz der FB geht,
zu dem Zeitpunkt hat AVM es leider nicht vorgesehen das man eine Port-Weiterleitung in das Gastnetz macht.

Ich hatte das Gefühl das früher schon mal Home-Router mit DMZ angeboten wurden, aber jetzt finde ich so gut wie nichts.

BF

 

[Puppetmaster]

Alternativ kann man das auch mit zwei kaskadierten Routern darstellen.

 

[Aristophanes]

Hallo Puppetmaster
ja, sowas habe ich mir auch schon überlegt, du meinst es ja so in der Art, oder?



Aber dazu eine Frage. Momentan kann ich bei mir lokal die IP eines Gerätes bei meinen Eltern zu Hause (wohnen nicht im gleichen Haus) eingebe darauf zugreifen, weil unsere beiden FB eine VPN verbindung haben.
Würde das dann so auch noch funktionieren? Müsste ich das VPN dann einfach am zweiten Router konfigurieren? Aber dann findet doch mein Vater zum Beispiel nicht mehr meine Geräte, da die Anfrage am ersten Router hängen bleibt, oder? Wenn aber das VPN am ersten Router konfiguriert ist, findet er die IPs ja nicht....
:-/

Grüße

 

[jugi]

Ich wünsche schonmal viel Spaß:
1. Die Fritten können IPv6 nicht vernünftig zu einem 2. Router weiterleiten
2. Eine Fritte als zweiter Router geht nur mit alter Software und auch nicht mit jeder HW
3. Das VPN an der zweiten Fritte einzurichten würde in der Ersten die Weiterleitung der IPSec Pakete erfordern - das kann die aber AFAIK nicht.

=> wir haben keinen Routerzwang mehr, wenn du das wirklich alles realisieren willst schmeiß die Fritten direkt in die Tonne und kauf dir gescheite HW.

 

[Aristophanes]

Hallo jugi,
Kannst du mal bitte einen Router vorschlagen, der sich für den Privatgebrauch eignet? Kann das der Synologyrouter?
Liebe Grüße

 

[jugi]

Weiß ich nicht, ich würde eher bei sowas wie OpenWRT/DDWRT und pfSense nachschauen.

 

[iLion]

Ich wünsche schonmal viel Spaß:
3. Das VPN an der zweiten Fritte einzurichten würde in der Ersten die Weiterleitung der IPSec Pakete erfordern - das kann die aber AFAIK nicht.

Hmm, was meinst Du damit genau. Ich habe ein Konstrukt laufen, bei dem ein Lancom Router eine VPN Verbindung zu einem anderen Lancom Router aufbaut, wobei die Verbindung von einer FRITZ!Box bereitgestellt wird und die notwendigen Ports von der FRITZ!Box an den Lancom weitergeleitet werden. Klappt seit Monaten stabil und zuverlässig.

 

[jugi]

Stimmt, scheint doch zu klappen: https://avm.de/service/fritzbox/fri...26_Firewall-fuer-FRITZ-Fernzugang-einrichten/
(Ich hatte aber massive Probleme damit - weiß gerade allerdings ehrlich gesagt auch nicht mehr genau was es war…)

 

[blurrrr]

Auf Deinem "richtigen" NAS liegen vertrauliche Daten, welche nur via VPN erreichbar sind.... Schön zu hören!

Für die Spielerei ggf. eine DS11x anschaffen, reicht dafür alle mal (auch für Dateiaustausch), einfach ins Gastnetz hängen und via "Quickconnect" nutzen (Holepunching) ganz ohne dauerhafte Portfreigaben. Wenn Du Dein NAS mit Deinen Daten so ans Internet hängst und die "neuen" Apps "bedenkenlos" (tust Du ja glückerweise nicht) nutzt, kann es u.U. komprimitiert werden und ggf. werden die privaten Nutzdaten in Mitleidenschaft gezogen.

(Alternativ: falls Du noch alte Hardware rumstehen hast.... schau mal bei Sophos vorbei, die haben mit Ihrer Home-Variante was richtig schönes an Firewall für Heimanwender (inkl. VPN, VLAN, und und und....), allerdings muss man sich auch etwas mit der Thematik auskennen...).

Die Sache mit der Routerkaskade ist eher... fragwürdig. Grade in Zeiten von "VoIP" und (noch) "NAT". Mit rein IPv6 bestimmt kein Problem mehr.

Wo wir grade bei den Routerkaskaden sind... es gelten die gleichen Regeln wie bei Firewalls... es macht schlicht keinen Sinn 2 gleiche Firewalls zu nutzen. Die Firewall soll "Schutz" bieten, daher sollten bei 2 Firewalls (hintereinander!) normalerweise auch verschiedene (Hersteller) genommen werden. Warum? Wird die eine geknackt ist die Wahrscheinlichkeit "sehr" hoch, dass die 2. binnen Sekunden das gleiche Schicksal erleidet. Ist es von Grund auf eine völlig andere wird es dagegen schon etwas schwerer.

Aber: natürlich geht's quick'n dirty... lass alles so wie es ist, häng eine 2. Fritzbox (Bsp: 4040 (Gbit)) mit der WAN-Seite an deinen Router, häng den Rest LAN-seitig an den "hinteren" Router, fertig, läuft alles. Allerdings könnte es (und wird es) Probleme mit VoIP (Internettelefonie) im "hinteren" Netz geben, bei mehreren Teilnehmern sowieso *prophetisch guck*. Davon ab wären die Daten auf dem NAS dann noch immer potentiell gefährdet

Schlussendlich nochmal die Antwort auf die eigentliche TO-Frage: Ja, häng das NAS an LAN-Port4, aktiviere den Gastzugang dafür und nutze das Gerät via Quickconnect (via Synology-Relayserver), dafür brauchst Du dann auch keine statischen Portfreigaben.