Portfreigabe für bestimmen RemoteRechner
-
Hallo zusammen, leider habe ich mit der Suche nichts genaues gefunden(sicher mangels richtiger Suchbegriffe):
Folgendes habe ich vor.
Ein entferntes Gerät (nicht lokal) soll mit einem Dienst im lokalen Netzwerk sich unterhalten können.
Lokal ist eine Fritzbox welche alle Ports an den Pfsense weitergibt und auf der anderen Seite nur eine Fritzbox.
Beide IPs sind dynamisch und ändern sich alle 24h.
Der Dienst ist nicht gesichert (via Passwort oder ähnlichen).
Das entfernte Gerät soll nicht vollzugriff auf das Netzbekommen.
Mir fallen nur 2 Lösungen ein.
VPN, welches aber auf der entfernten Seite schwer einzurichten ist (Fritzbox müsste angepasst werden, oder Zusatzgerät), zusätlich müsste ich dem PFsense beibringen nur einen bestimmten Port durchzulassen. Oder VPN Zwischen den beiden Fritzboxen (2x anpassen der FB FW) und dann die NAT-Rule mit Source der "lokalen" Fritzbox begrenzen.
Oder
Eine NatRegel im Pfsense erstellen mit dem Port und hier ebenfalls als Source die entfernte IP eintragen. Da diese sich alle 24h ändern hatte ich an einen alias gedacht, eine DynDNS adresse.
Die entfernte FB aktuallisiert den Dyndns eintrag, der Pfsense sieht beim Source wieder die aktuelle IP.Ist nicht das topNotch Sicherheitsprinzip, aber da jede Internet-IP nur einmal vergeben sein sollte, sollte dass klappen, oder?
Gebe es noch andere Sinnige Optionen(Dienst umschreiben mit Passwortabfrage ist nicht im Bereich dessen, was ich kann)?
-
https://en.wikipedia.org/wiki/Ssh_tunnel#Secure_Shell_tunneling könnte evtl. eine sichere Alternative sein.
-
Ein entferntes Gerät (nicht lokal) soll mit einem Dienst im lokalen Netzwerk sich unterhalten können.
Ein Gerät (PC/NB) oder ein Netz? Das ist ein Unterschied.
VPN, welches aber auf der entfernten Seite schwer einzurichten ist
Nur wenn es das ganze Netz und nicht nur ein Gerät ist. Ansonsten wäre ein OpenVPN Zugriff gar kein Problem.
zusätlich müsste ich dem PFsense beibringen nur einen bestimmten Port durchzulassen
Warum? OpenVPN läuft auf der Sense selbst. Die FB schreibst du gibt alles weiter (exposed Host) ergo musst du erstmal gar nichts "durchlassen", sondern nur den Zugriff auf den OpenVPN Server der Sense erlauben.
Eine NatRegel im Pfsense erstellen mit dem Port und hier ebenfalls als Source die entfernte IP eintragen.
Du kannst als Alias auch ein Hostname eintragen, der wird dann alle x Minuten aktualisiert. Wenn sich die Dyndns Adresse ändert würde einige Minuten später auch der Eintrag in der Sense ändern und du hättest theoretisch wieder Zugriff. Trotzdem ist das natürlich ein wenig wacklig gegenüber einem simplen VPN Zugang, der sich sehr einfach einrichten und konfigurieren lässt, damit auch nur dieser eine Zugang erlaubt ist.
Gruß