Erreichbarkeit im kaskadierten Netzwerk

Planlos2021

Benutzer
Mitglied seit
12. Aug 2021
Beiträge
3
Punkte für Reaktionen
0
Punkte
1
Guten Abend,
nach vielen Stunden Recherche und erfolgloser Umsetzung jetzt die Frage hier an die Experten:

Ich habe betreibe eine FB 7490 als Internetrouter und habe dort ein lokales Netzwerk z.B. 192.168.100.1 als Gateway. Dort hängt als einziger DHCP Client ein Linksys-Router welcher mit externem VPN Dienstleister als DHCP jede Menge Clients in einem eigenem lokalen Netzwerk z.B. 195.168.200.1 betreibt. Ein Client ist u.a. ein Managed TP Switch an welchem meine DS220+ hängt. Und an genau die NAS möchte ich aus dem Internet (Alexa) zugreifen können.

Folgendes habe ich bisher gemacht: Ich habe in der FB eine DynDNS Adresse eingerichtet und erreiche die FB auch aus dem Internet. Dann habe ich auf der FB eine statische IP4 Route eingerichtet damit die Netzwerke sich sehen können. Anschließend eine Portweiterleitung auf der FB auf den Linksys Router für die NAS. Auf dem Linksys Router habe ich dann ebenfalls eine Portweiterleitung mit dem gleichem Port auf die NAS gemacht.

Ich kann allerdings nicht aus dem Internet auf die NAS zugreifen bzw. in der Synology App Alexa aktivieren. Das Zertifikat auf der Synology habe ich erfolgreich installiert. Was fehlt noch bzw. was könnte ich in dem Konstrukt besser machen?

Bitte habt Nachsicht, ich bin allenfalls ein ambitionierter Laie ;-)

Danke für EUre Hilfe!
B.
 
Zuletzt bearbeitet:

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.157
Punkte für Reaktionen
2.106
Punkte
259
Also ich verstehe (irgendwie) das Konstrukt, aber ich verstehe den tieferen Sinn für so etwas nicht.

Meine Vorgehensweise wäre es, diese Netzwerkstruktur radikal zu vereinfachen, statt durch diesen Verhau irgendwie einen Zugriffspfad zu bauen.

Aber vielleicht ist das zu direkt gedacht (Der weise alte Häuptling sagt „Weißer Mann machen gerade Linie“).
 

himitsu

Benutzer
Sehr erfahren
Mitglied seit
22. Okt 2018
Beiträge
2.905
Punkte für Reaktionen
343
Punkte
123
Sich eine Line reinzuziehen ist nicht immer eine Lösung.

Wie schon jemand bemerkte, dass in einer schnurgeraden Allee mehr Autos gegen Bäume fahren, als wenn abwechlungsreich ab und an mal ein kleiner Schlenker vorkommt.


Einen Lösung hab ich jetzt nicht, aber noch einen Tipp, den man sich eventuell überlegen könnte.
* deine DS hat noch einen zweiten LAN, welchen man nur für den externen Zugriff auch vollkommen anders verkabeln könnte.

z.B. sind hier in der Firma zwei Router mit 2 Kabeln verbunden, wo jeweil Firmennetz und Gastnetzt durchlaufen. (FritzBox will nicht das GastWLAN durch den WAN routen)
 
Zuletzt bearbeitet:

Planlos2021

Benutzer
Mitglied seit
12. Aug 2021
Beiträge
3
Punkte für Reaktionen
0
Punkte
1
der Sinn meiner Architektur ist ja eigentlich klar: alle meine Clients laufen mit VPN Dienst bzw. ich kann auf Client Ebene denselben steuern.
Wenn es einfacher geht dann gerne! aber wie?

@himitsu Deinen Tipp konnte ich geistig noch nicht durchdringen ;-)
 

Ramihyn

Benutzer
Mitglied seit
14. Mai 2017
Beiträge
332
Punkte für Reaktionen
60
Punkte
34
Wozu hast du effektiv die Routerkaskade aufgebaut? Wenn der zweite Router der einzige ist, der an der Fritte hängt, nutzt du die so eingerichtete DMZ ja überhaupt nicht. Wäre es da also nicht viel einfacher, auf den zweiten Router komplett zu verzichten?
 

Planlos2021

Benutzer
Mitglied seit
12. Aug 2021
Beiträge
3
Punkte für Reaktionen
0
Punkte
1
auf dem zweiten Router läuft eine FW von einem VPN Provider. hat den Vorteil, dass alle Clients dahinter automatisch vollen VPN Dienst genießen
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.157
Punkte für Reaktionen
2.106
Punkte
259
Den Sinn davon stelle ich in Frage.

Lässt du deinen Traffic über deinen ISP laufen (sagen wir mal die Telekom), dann "sieht" ihn ein in Deutschland börsennotiertes, EU- und D-Recht unterliegendes Unternehmen, dass für dich (und deinen Anwalt) greifbar ist.

Der typische VPN-Provider "sieht" deinen Traffic genau so wie der heimische ISP (der ihn dann nicht mehr "sieht"). Also ein üblicherweise in irgendeinem Remote-Standort angesiedeltes, hiesigem Recht nicht unterliegendes Unternehmen, bei dem dein Anwalt (oder das Gericht) vermutlich nicht mal eine ladefähige Adresse ermitteln könnten. Alles auf die schöne bunte Darstellung einer heilen Welt ohne Datenlogs hin - der kannst du glauben, oder du lässt es sein.

Wenn du meinst, ein VPN zu benötigen, dann hoste es selbst (Anwendungsfall sichere Einwahl von außen). Oder wähle dich dann, wenn du es benötigst, vom jeweiligen Client aus beim Provider ein (Anwendungfall was auch immer, Netflix, Torrent o.ä.).

Aktuell zerschießt dir vermutlich die Konstruktion deinen eigenen Zugriff. Ich denke, du kommst bis vor die Firewall des 2. Routers, und dort ist dann Schluss.

Um das zu testen, würde ich es tatsächlich einmal komplett vereinfachen. Router 2 weg, FB, von dort Portweiterleitung, am Ende lauscht die DS mit entsprechender Einstellung. Wenn das erst mal klappt, kannst du es wieder kompliziert machen, bis es wieder aussteigt. Dann hast du einen konkreten Ansatzpunkt, wo etwas nicht durchlässig ist.
 
  • Like
Reaktionen: the other

mb01

Benutzer
Mitglied seit
13. Mrz 2016
Beiträge
485
Punkte für Reaktionen
56
Punkte
28
Doppeltes NAT bzw. zwei Router hintereinander sind immer nur eine Notlösung. Im Prinzip sollte es aber mit Portweiterleitungen in beiden Routern funktionieren, zumindest wenn man genau weiß, welche Ports/Protokoll benutzt werden ... und nichts anderes dazwischengrätscht. Ich hab keine Ahnung, wie Alexa da funktioniert ... aber DSM auf Port 5000/5001 erreichst du bei entsprechender Weiterleitung auch nicht?

Ich würde aber mal überlegen, ob du die Fritzbox nicht rausschmeißen kannst und stattdessen ein Modem einsetzt, welches direkt per PPPOE vom VPN-Router angesteuert wird. Vorteil wäre, dass der VPN-Router dann direkt die Internetverbindung aufbaut und die zweite NAT-Ebene wegfällt. Und wenn du Festnetztelefonie und Smarthome der Fritzbox nutzt: Die Fritzbox lässt sich notfalls auch als Client ins LAN hängen, um das weiter zu nutzen.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat