Zugriff auf zwei lokale Netzwerke

[mib2000]

Hallo zusammen

Kann mir ein Netzwerk-Guru vielleicht bei meinem Problem weiterhelfen?

Mein Setup:
Haupt-Router: 192.168.9.1 mit DHCP
VPN-Router: 192.168.8.1 mit DHCP

Meine Idee:
Der VPN-Router hat ein dauerhafte VPN-Verbindung zu einem VPN-Anbieter, sprich ist ein VPN-Client. Die Geräte in meinem lokalen Netz die nach aussen ebenfalls diese Verbindung nutzen wollen, sollen sich mit dem VPN-Router verbinden und die Geräte die keine geschützte Verbindung benötigen laufen über den Haupt-Router.
Der VPN-Router ist über seinen WAN-Port mit einem LAN-Port des Haupt-Router verbunden.

Frage:
Gibt es nun irgendwie eine Möglichkeite das ich aus dem 9er Netz (Haupt-Router) auch auf Geräte im 8er Netz (VPN-Netz) zugreifen kann und umgekehrt vom 8er Netz ins 9er Netz?

Aktuell ist zum Beispiel mein iPad mit dem 8er Netz verbunden, sprich die Verbindung nach aussen läuft über VPN. Wenn ich nun aber in meinem lokalen 8er Netz auf mein NAS zugreifen möchte dass im 9er Netz ist, geht das nicht. Ist sowas überhaupt machbar?

Vielen Dank für die Hilfe.

 

[MiketheBird]

Das was du da beschreibst ist genau eines der Szenarien weswegen das mit VPN Sicherheit nicht geht ...

Wieso willst du zwei parallele Aussenrouten und sicher Verbindungen durch unsicheres Weiterrouten vergiften?

Normalerweise würde man eine VPN LAN-LAN Kopplung statt VPN Client verwenden und das ganze Netz über VPN routen.

 

[mib2000]

Ja da hast Du natürlich recht, ein nicht geschütztes Netz hätte eine Verbindung zu einem geschützten Netz und das ist auf Sicherheitssicht nicht gut.

Meine eigentlich Idee war wie folgt, da mein Main-Router die VPN-Client Funktion nicht hat, dachte ich mir ich baue mit einem VPN-Router der dies kann ein zweites Netz auf und so können sich dann die Geräte die VPN benötigen über das VPN-Netz verbinden. Klar man könnte natürlich auch bei jedem Geräte einfach die entsprechende VPN-Anbieter App installieren uns sich so permanent verbinden, doch ich weiss nicht ob dies dann doch zum einen sinnvoll ist, zum anderen eventuell den Akku sehr belasten und zudem müsste man jedes Gerät einzeln konfigurieren. Ich dachte so mit einem VPN-Netz wäre es eleganter, eine Konfiguration und sämtliche Geräte dahinter können die Verbindung nutzen.

Mein Wunsch wäre eigentlich eine Lösung wo ich wirklich bei jedem Gerät in meinem Netz einzeln bestimmen kann ob es über ein VPN läuft oder nicht. Zudem möchte ich meinen Haupt-Router (Unifi UDM Pro) weiter nutzen.

 

[Macuser30]

Routerkaskade ist nicht optimal. Meinst du mit "Client", dass du eine Standortvernetzung hast, oder dich nur mit einem VPN-Anbieter verbindest? Einen Router raus aus dem System, dass kann einer von beiden machen. Kommt natürlich darauf an, was du für ein Gerät hast.
Ok, mal die Client-Variante, baue zwei VLAN's, eines geht normal ins Netz, das andere bekommt seine Route über den VPN. Regelbar über Firewall-Regeln oder Routing-Tags. Die beiden Netzwerke musst du noch an je ein WLAN (beispielsweise SSID VPN und Normal) weiterreichen (Bridge). Wenn du dich dann mit den entsprechenden Netzwerken verbindest, gehst du über VPN oder normal ins Netz.
Mit einer Fritzbox geht das aber nicht. Grüße

 

[pk2061]

Ich habe generell zu dem Setup die Frage: Warum brauchst du überhaupt ein VPN?
Was ist der zusätzliche Sicherheitsgewinn?

Ich verstehe, wenn du unterwegs bist und ein z.B. ein offenes oder öffentliches WLAN verwendest, weißt du nicht ob es böse Hacker innerhalb dieses Netzes gibt, die versuchen auf deinen Client zuzugreifen oder die Daten abzugreifen.
Dafür schützt du dich dann mit dem VPN um dir einen sicheren Tunnel aus dem „gefährlichen“ WLAN ins Internet zu bauen.

Aber diese Situation hast du doch im privaten Netz garnicht.
Du kennst doch alle Clients in deinem privaten Netz. (Sollte man zumindest).

Hinzu kommt: Die meisten Dienste arbeiten doch eh inzwischen mit Transportverschlüsselung vom Client zum Server im Internet (https für Webseiten oder TLS für Email etc).
D.h. da solltest du doch eh geschützt sein, egal ob die Verbindung direkt von deinem Router kommt oder von dem Endpoint deines VPN Anbieters.

Das soll jetzt keine Kiritk sein, ich verstehe es nur einfach nicht…

 

[roedert]

Frage:
Gibt es nun irgendwie eine Möglichkeite das ich aus dem 9er Netz (Haupt-Router) auch auf Geräte im 8er Netz (VPN-Netz) zugreifen kann und umgekehrt vom 8er Netz ins 9er Netz?

Das ist prinzipiell kein Problem, du müsstest im 8er Router eine statische Route 192.168.9.0 /24 eintragen mit Ziel die 8er-IP des 9er-Routers.
Und im 9er Router umgekehrt...

Der VPN-Router ist über seinen WAN-Port mit einem LAN-Port des Haupt-Router verbunden.

Da die meisten Consumer-Router NAT zwischen LAN und WAN machen, kannst du vom WAN-Port nicht mehr zum LAN-Port routen. Dort kannst du nur noch mit einzelnen Portfreigaben arbeiten.
Das Routing vom "VPN-Netz" ins "Haupt-Netz" sollte aber klappen. Dazu muss der VPN-Tunnel aber wissen, dass 192.168.9.0 /24 nicht durch das VPN geschickt wird.