Verbinden von zwei Büros über Tunnel und nutzen der öffentlichen IP eines Büros

[Munzem]

Hallo liebe Syno Gemeinde,

ich bin am verzweifeln, daher versuche ich mich bei euch, mit der Bitte mir eine Hilfestellung zu geben. Ich bin kein Netzwer-Profi, aber es muss irgendwie klappen.
Ich habe mal ein Bild angehängt, was die Darstellung etwas vereinfachen soll.

Mein Ziel ist es, das alle Endgeräte in Büro 2 über den VPN Tunnel mit Büro 1 verbunden sein sollen. Dabei sollen die Endgeräte in Büro 2 über die öffentliche IP von Büro 1 erreichbar sein.

Problem ist, das Büro 2 hinter einem NAT hängt, das nicht konfigurierbar ist, weiterhin werden einige Ports blockiert. Es steht ein Server in Büro 2 der damit nicht in gewünschten Maße öffentlich zugänglich ist. Das ist der Hintergrund.

Wie muss ich die Fritzboxen und DSen so konfigurieren, das mein Plan aufgeht?

Vielen Dank für eure Unterstützung.

 

[blurrrr]

Ich bin kein Netzwer-Profi, aber es muss irgendwie klappen.

Jop, da gibt es Leute die man bezahlen kann bei gewerblichen Einsätzen, die ggf. sogar wissen was sie tun...

Zudem - dies mal als "Tip" - ist es auch eine Frage der Kommunikationsrichtung beim Aufbau. Davon ab, gibt es - "grade" bei "gewerblichen" Einsätzen(!) - auch Lösungen, die mit solchen Dingen gar keine Problem haben (Stichwort wäre hier SSL-VPN als Site2Site-Variante) - als "billige" Lösung, könnte man sowas "evtl." über die Synos selbst lösen (Hinter-unkonfigurierbarem-NAT-Gerät baut die Verbindung zu dem anderen auf, wo man die Ports entsprechend freigeben kann).

Vielleicht überlegst Du Dir einfach mal, ob es nicht sinnvoller wäre, sowas einfach machen zu lassen (wenn auch teurer) mit entsprechende Hardware (die dann auch unabhängig von den eingesetzten Routern, etc. funktioniert). Stichwort hier wäre dann wohl eine vernünftige Hardware-Firewall... Einfach nur mal so als Gedanke, damit man vielleicht mal dauerhaft Ruhe im Karton hat... Ist eigentlich auch ganz einfach: Deine Zeit in Geld in Stunden bzw. vermutlich eher "Tagen" vs. einmal wen kommen lassen, der das mal eben fertig macht und gut ist...

Was Deine Zeichnung angeht... PPTP-VPN ist schon seit über 10 Jahren weg vom Fenster - willkommen in der Neuzeit! ?

 

[NSFH]

Mit 2 Fritzboxen ist das möglich. Hast du im Büro 2 was anderes stehen und kannst auch keine Ports öffnen wird das nie funktionieren.
Die Lösung mit 2 Fritz als site2site ginge zwar ist aber für produktiven Einsatz zu langsam.
Jemand mit Ahnung konfiguriert dir Büro2 auch so, dass dort dem Server nichts passieren kann.
Frag doch mal einen Admin.

Ich habe das mit 3 VPN Routern von Draytek realisiert, die 3 Liegenschaften miteinander über quasi Standleitung per VPN mit Zertifikatsabsicherung verbinden. Zugangsort für Internet liegt dabei nur in der Zentrale. Ist kein Hexenwerk mit den richtigen Geräten.

 

[Munzem]

Hallo NSFH,

danke für deinen Input. Die DS im Büro 2 erhält schon die externe IP von Büro 1 zugewiesen. Damit wäre ein Grundstein gelegt.

Wie kann ich die Endgeräte am Standort 2, jetzt über die DS "surfen" lassen? Das verstehe ich noch nicht ganz. Das muss doch irgendwie gehen. Dafür gibt es doch die Funktion innerhalb der DS "anderen Netzwerkgeräten ermöglichen, Verbindungen über die Internetverbindung dieses Synology Servers herzustellen".

 

[blurrrr]

Die DS im Büro 2 erhält schon die externe IP von Büro 1 zugewiesen.

???

Wie kann ich die Endgeräte am Standort 2, jetzt über die DS "surfen" lassen?

Das nennt sich dann "Standard-Gateway" (Netzausgang für die Clients im lokalen Netz). Normalerweise ist das der lokale Router und die Information wird über DHCP verteilt (müsstest Du dann dort ggf. anpassen, aber besser vorher bei einem lokalen Client manuell testen, bevor Du das ganze via DHCP verteilen lässt).

 

[Wollfuchs]

kannst Du das ein klein wenig detaillierter darstellen?
wie und wo erhaelt die DS2 welche IP von Buero1?

und welche Funktion in der DS meinst Du mit "anderen Netzwerkgeraeten ermoeglichen.."?

 

[Munzem]

???


Das nennt sich dann "Standard-Gateway" (Netzausgang für die Clients im lokalen Netz). Normalerweise ist das der lokale Router und die Information wird über DHCP verteilt (müsstest Du dann dort ggf. anpassen, aber besser vorher bei einem lokalen Client manuell testen, bevor Du das ganze via DHCP verteilen lässt).

Die DS im Büro 1 ist als VPN Server konfiguriert. Die DS im Büro 2 verbindet sich als Client mit dem VPN-Server und erhält die IP(PPTP).

Ich muss also in der FB im Büro 2 das Standard Gateway von Büro 1 angeben 192.168.2.0?

 

[Jagnix]

Wie @blurrrr schon sagte, es gibt Leute die können das. Nimm Geld in die Hand und lass es von einer Firma machen.

 

[blurrrr]

Schau mal hier: https://www.synology-forum.de/threads/openvpn-site-to-site-verbindung-zwischen-zwei-ds.73026/ (ist allerdings via OpenVPN gelöst, kost' aber auch nix)

Grundsätzlich wäre aber eher der Rat - andere Geräte - von 2 Leuten zu bevorzugen (welche Dir hier auch schon geantwortet haben und die sowas beruflich machen). Wenn es Dir den Aufwand (mit ungewissem Ausgang - je nachdem wieviel Elan und Zeit Du mitbringst) wert ist, versuch Dein Glück - Versuch macht klug!

Generell verhält es sich aber ganz ähnlich wie bei folgendem Szenario: Du legst einen Kinder-Krabbeltunnel (weisst schon, diese komischen Stoffdinger ?) zwischen 2 Gebäude (das ist der VPN-Tunnel). Nun muss den Hausbewohnern noch mitgeteilt werden, dass dieser Tunnel da ist und wohin er führt ("Route" für die Clients). Wenn die Bewohner von Haus B jetzt nur noch über die Haustür von Haus A aus- und eingehen sollen ("surfen"), dann muss das auch entsprechend mitgeteilt werden (dafür muss der Router an Standort A auch die Rückroute zu Standort B kennen, damit er die Antwort-Pakete durch den Tunnel wieder zurück an die Clients schicken kann - statische Route am Router an Standort A).

Ist halt alles nicht "mal eben" gemacht (daher auch "Zeit" und "Elan") und "relativ" komplex (für nicht-IT-Fachleute), aber auf der anderen Seite auch nix, was man niemals hinkriegen könnte ?

Egal wie Du Dich entscheidest - ich wünsche viel Erfolg dabei!

 

[Munzem]

Danke an alle für den Input.