Wie kann ich nur bestimmte IPs im VPN freigeben?
Hallo,
ich habe eine Fritzbox 7590, auf der ich Wireguard aktiviert habe. Das funktioniert für mich auch sehr gut. Habe dazu bei No-IP eine feste Domain erstellt, mit der ich mich verbinden kann.
Ebenfalls direkt an der Fritzbox angeschlossen sind
* Philips HUE (läuft immer & hat feste IP)
* NAS (läuft immer & hatfeste IP)
* RaspberryPi (läuft immer & hatfeste IP)
* PC (läuft nur wenn ich den einschalte und hat keine feste IP)
* WLAN -> Handy, Fernseher, Tablet... ... ...
Jetzt ist es aber so, dass andere auch auf die NAS bzw. auf dem Raspberrry Pi zugreifen sollen.
Wenn ich denen aber Wireguard freischalte, haben die natürlich zugriff auf mein Komplettes Netzwerk.
Wie kann ich es jetzt anstellen, dass einige Benutzer Zugriff nur auf die NAS bekommen und andere auch noch auf dem RaspberryPi.
Aber keiner (ausgenommen mir) soll zugriff auf den Rest meines Netzwerkes haben.
2 Antworten
Das wirst du alleine mit der Fritz!Box nicht bewerkstelligen können. Dafür wären eigentlich mehrere Subnetze mit Firewall-Regeln angebracht.
Du könntest ins Netz der FritzBox z.B. eine OPNsense setzen und darüber zusätzliche Subnetze realisieren - du musst dich aber mit auseinandersetzen und benötigst weitere Hardware
Mh, generell Dinge wie IPs, Subnetting, NAT (bei IPv4), statische Routen, Kommunikation im Netz, Firewall-Regeln, eventuell VLANs
Was für weitere Hardware benötige ich denn noch? Das wäre das geringste Problem.
Das einfachste wäre ein beliebiger PC mit einer Netzwerkkarte - optimalerweise mindestens zwei Ports, einmal für die Kommunikation "nach außen" (bei dir mit der Fritzbox), einmal für das Netzwerk dahinter. Da kannst du dann auch einen Switch nehmen, damit mehrere Geräte darüber geroutet werden.
Mit einem managed Switch lassen sich dann auch VLANs und mehrere Subnetze einfach realisieren
Mein Vorschlag: VPN am Router deaktivieren. Viele NAS haben eine integrierte VPN-Funktion. Bzw. auch den Raspi könnte man mit einem VPN-Dienst ausstatten und evtl.(!) so konfigurieren, dass man nur auf das Gerät selbst kommt. Wären dann zwei völlig verschiedene VPN. Dann halt noch entspr. Port-FW am Router.
Nachteile:
- Man muss auf 2 Geräten aufpassen, dass es noch Sicherheitsupdates gibt.
- Die Gerät haben evtl. weniger VPN-Performance.
- Man muss 2 Geräte richtig konfigurieren.
Manche Router (insb. besser, die eher eine VPN-Funktion haben), können auch einfach über LAN einen vorhandenen Router als Internet-Zugang verwenden. Ggf. muss am Haupt-Router Port-FW eingerichtet werden.
Nachteile:
- Du müsstest am "Unter-Router" Port-FW einrichten, um auf die Geräte dahinter zu kommen.
- Und natürlich muss auch der "Unter-Router" mit VPN-Funktion mit Sicherheitsupdates versorgt werden.
notting
Kannst du mir auch ein paar punkte sagen, wo ich mich genauer einlesen müsste?
Das ganze Netzwerkthema ist ja dann doch riesig.
Was für weitere Hardware benötige ich denn noch? Das wäre das geringste Problem.