Ungewöhnliche VPN Realisierung moglich?



  • Hi,

    ich habe gerade das Problem, dass ich ein (zumindest für mich) ungewöhnliches VPN Netz realisieren muss, und möchte wissen, ob das so möglich ist, mal sehen ob ich das vernünftig erklärt bekomme.
    Gegeben:
    Firmenstandort

    • SBS 2003R2 mit DHCP / WSUS usw
    • Fritzbox 7170 als Router
    • diverse Clients

    Homeoffice:

    • FritzBox 7170 als Router / DHCP usw
    • HomeClient der per RDP auf den Server zugreift

    In Zukunft muss aus diversen Gründen der Internetzugang im Firmenstandort sehr restriktiv gehandhabt werden, so dass der SBS nicht mehr ans Internet darf um per RDP erreichbar zu sein, jetzt muss ich aber den HomeClient weiter in den Firmenstandort einbinden.

    Meine Wunschvorstellung wäre also wie in den beiden Diagrammen, ist das so ohne weiteres möglich? Oder soll ich lieber ein klassisches Site to Site VPN wählen? Der Roadwarrior ist hier nicht erlaubt, der HomeClient darf also nicht mit dem VPN Server reden um eine Verbindung aufzubauen.

    Firmenstandort:```

    WAN / Internet
                :.
                : DialUp-/PPPoE-/Cable-/whatever-Provider
                :
          .-----+-----.  IP 192.168.177.1
          |  Fritzbox |  DNS Server aktiviert
          '-----+-----'  DHCP aus / WLAN an und darf auf das Netz zugreifen
                |
                |
            LAN |  192.168.177.0/24
                |
          .-----+------.
          | LAN-Switch |
          '-----+------'
                |
        ...-----+-----+---------------------------------------+--------- (Clients)
          |   |
    .-----+------. DHCP Server .-----+-----.  IP  192.168.177.3
    |    SBS    | DNS Server |  pfSense  |  DNS aus / DHCP aus
    '------------' Fileserver usw '-----+-----'  VPN Server

    
    HomeOffice:
    
    					  WAN / Internet
    							:.
    							: DialUp-/PPPoE-/Cable-/whatever-Provider
    							:
    					  .-----+-----.  IP 192.168.178.1
    					  |  Fritzbox |  DNS Server aktiviert
    					  '-----+-----'  DHCP an  / WLAN an und darf auf das Netz zugreifen							
    							 |
    						WAN | 
    							 |
    					  .-----+-----.  IP  192.168.178.2
    					  |  pfSense  |  DNS aus / DHCP aus
    					  '-----+-----'  VPN Client
    							 |
    						LAN |  192.168.177.0/24 
    							 |
    					  .-----+------. 	Feste IP 192.168.177.201
    					  | HomeClient |	aller Trafic soll durchs VPN
    					  '------------'
    
    
    Danke für sachdienliche Hinweise und dann hoffe ich mal, mich mit meinem ersten Post nicht zu dumm anzustellen :-)
    
    Gruss
    J


  • hi,

    ich würde, fall erlaubt, das VPN zwischen den Fritz!Box Geräten erstellen.



  • Hatte ich auch vor, geht aber leider nicht .-/
    Im Homeoffice sind auch die Kinder und die Telefonie über die Fritz….
    Aber so wie es aussieht, mache ich doch ein klassiches Site to Site VPN, werde die FritzBox in der Firma ersetzen und im Homeoffice die Gegenstelle einfach in die DMZ der Fritz Box stellen, so dass diese einen ungefilterten Zugang hat.

    Falls noch jemand Ideen hat, immer raus damit


  • LAYER 8 Moderator

    DMZ bei ner Fritz!Box? Seit wann? ;)

    Ja AVM baut lustige Boxen und ich mag sie. Für zu Hause. Einen Firmenzugang mit der Fritzbox? Wäre die letzte Möglichkeit und ein Strohhalm den ich greifen würde. Ja Voip und Telefon und so weiter sind damit lustig, aber in deinem Diagramm steht auch was von DNS und die FB hat nun wirklich keinen DNS Server. Es sei denn es läuft noch zusätzlich Freetz o.ä. darauf.
    Zudem hoffe ich dass die Firma auch dir gehört, denn so weit es mir bekannt ist, sind Site2Site VPNs in Firmen mit einem Homeoffice nicht "sehr beliebt" (sprich: der Security Guy in der Firma würde dich nen Kopf kürzer machen wenn er das mitbekommt - zumindest unserer ;)), denn was haben XBox, Playstation oder das Laptop der Tochter im VPN/Netz der Firma zu suchen? Richtig - nada :)

    Da das Diagramm oben etwas verschoben ist, bin ich irritiert aber ich sehe die Sense in der Firma hinter dem Router etc. als reiner VPN Endpunkt. Warum? Warum nicht die FB als Modem "mißbrauchen" (oder billig eins hinstellen - scheint ja DSL zu sein) und die Sense ihren Job als echter Router machen lassen - und zudem als echter DNS Server (den sie wesentlich besser macht als eine FB - das weiß ich aus Erfahrung!) Damit stünde die Sense an einer Stelle, wo sie dir alles machen kann, VPN Endpunkt, Paketfilter etc. etc.

    Vielleicht kannst du das Setup etwas näher beschreiben bzw. uns noch erhellen, wie und warum der Zugriff auf den Server eingeschränkt wird und wie die Anbindung ans Homeoffice sein muss/soll. :)


Log in to reply