Hi …
Hallo zusammen,
… das war mal - ganz ehrlich - eine richtig gute Problembeschreibung. Ich vermute allerdings, dass „servergespeicherte Profile“ nicht vorhanden sind, das wäre m.E. ein ziemlicher Unsinn, aber Du meinst vermutlich dass für die Domänenanmeldung ein servergespeichertes Passwort zum Einsatz kommt. Ein servergespeichertes Profil ist damit zwar entfernt verwandt, aber das sind dennoch zwei paar Schuhe.
Wenn ihr wirklich servergespeicherte Profile habt wäre es nützlich, das für den entfernten Benutzer nicht zu aktivieren.
Ich vermute, so etwas löst man über zwei Router mit
VPN-Funktion, die quasi eine direkte Verbindung von dem
Ein-PC-Netz der externen Person zum Wohngemeinschafts-LAN
herstellen.
Generell brauchst Du ein VPN. Richtig. Das kann auf zweierlei Art gebaut werden:
- PC zu Router. Der entfernte PC benötigt eine entsprechende VPN Client Software, bei AVM nennt sie sich z.B. Fritz!Fernzugang. Allgemein gesprochen gibt es x VPN Client Softwareprodukte, freie und kommerzielle, und das was AVM (gratis) liefert ist gerade mal eine Grundausstattung, aber nicht mehr. Eine „richtige“ Domänenanmeldung ist damit beispielsweise nicht möglich, aber man kann damit z.B. über ein Schattenkonto oder über ein gecachtes Profil auf Domänenressourcen zugreifen. Andere VPN Clients machen das besser,
Problem allerdings bei VPN gegen einen simplen Consumer-Router: VPN ist dank einer völlig versemmelten Normung (die faktisch nicht stattgefunden hat) nur ein sehr flexibles Rahmenwerkel mit sehr wenig Diagnose- und vielen Einstellmöglichkeiten, also muss man clientseitig x Parameter richtig einstellen, wobei es nicht gesagt ist dass der Hersteller des Routers das überhaupt dokumentiert. Der Fritz!Fernzugang löst das, indem ein eigenes Konfig-Tool eine passende Importdatei für Router und Client erzeugt (schau mal rein - es sind an die 30 Parameter die man richtig zusammensuchen müsste). Ohne so ein Tool oder eine exakte Doku ist eine Client-Router VPN Verbindung kaum hinzubekommen. Vorteil dieser Lösung: wenn der entfernte PC ins Netz soll, wählt der Benutzer es an, wenn nicht, legt er auf, das ist zwar eventuell unbequem, aber es sogt für maximale Übersichtlichkeit --> die Lösung ist, wenn sie mal läuft, weitgehend narrensicher.
- Router zu Router. Das Problem dieser Konfig ist, dass immer komplette Netze gekoppelt werden. und es gibt wieder das bereits vom PC her bekannte Problem der VPN Verbindungsparanetrisierung - jetzt aber, bedingt durch die einfachen Klickibunti-Oberflächen der Router - mit noch weniger Einstell- und Diagnosemöglichkeiten. In der Folge geht so eine Konfig nur zuverlässig, wenn die Router vom gleichen Hersteller kommen, manchmal sogar aus der selben Baureihe stammen, damit die voreingestellten Verbindungsparameter zusammenpassen. Das ist das erste Problem. Das Zweite ist, dass die beiden Netze nicht die gleiche IP Netzwerk-Adresse nützen dürfen. Bei AVM Fritzboxen wird das lokale Netz ab Werk immer auf 192.168.178.0 liegen, bei anderen Herstellern sind die Netze 192.168.0.0 oder 192.168.1.0 gebräuchlich. Weches 192-er Netz man sich aus dem zulässigen Bereich (192.168.xxx.0) wählt, ist egal, aber jede Seite muss ein Anderes wählen, wenn also beide Seiten eine Fritzbox in Standardkonfig betreibt, muss eine davon ihre Konfig ändern. Krücken wie NAT wollen wir mal außen vor lassen, die Nebenwirkungen wären unverhältnismäßig im Vergleich zum Aufwand dass einer seine IP Adressen ein Mal umstellt. Hauptnachteil ist bei dieser Variante, dass beide Netze nun 24/7 gekoppelt sind, und zwar für alle Geräte. Lässt der externe Teilnehmer einen Gast in sein Netz, ist der auch automatisch in eurem Netz. Theoretisch könnte man sowas auf den Routern per Firewall regeln, aber soweit mir bekannt unterstützen gängige Consuler-Modelle Firewalling nur gegenüber dem internet, aber nicht gegenüber inneren Clients oder VPN Verbindungen.
Falls dem so ist, kann man da beliebige, handelsübliche Router
mit VPN-Funktion verwenden?
Gleicher Hersteller hält den Ärger klein, außer man hat für genau die Routerpaarung eine Beispielkonfig was man wo genau einstellen muss, was dann auch schon mal ein Indiz (kein Beweis …) ist, dass genau diese beiden Router überhaupt miteinander „können“.
Wie leicht oder schwierig (und
auch sicher!) ist das Einrichten dieser Geräte? Falls das ein
völlig falscher Ansatz ist, wie würde man obiges Szenario
sonst umsetzen?
Wie schon gesagt, das ist herstellerabhängig. Bei Fritzbox zu Fritzbox ist das ein Klacks, vorausgesetzt man hat die Hausaufgaben gemacht (verschiedene IP Netze).
Und die ALternative ist ein VPN CLient für den PC des Gastbenutzers.
Mein Hintergrund: Ich kenne mich mit LANs und auch mit dem
Einrichten von Linux/Samba-PDCs aus, bin aber ein VPN-Newbie
und habe im Netz bisher keine verständlichen Umsetzungsdetails
für das geschilderte Problem gefunden.
Das ist auch kein Wunder. VPN ist - meiner bescheidenen Meinung nach - ein „Kotzthema“. X Hersteller kochen ihr eigenes Süppchen, will heißen, sie versuchen ihren Kunden ohne Rücksicht auf das was der Rest der Welt macht ihre Lösung aufzuzwingen, und sei es nur dadurch, dass sie die Konfigurationsdaten nicht offen legen. VPN herstellerübergreifend ist daher Glückssache, und VPN an Fritzbox ist für den Endbenutzer nur so lange beherrschbar wie der Konfigurationsgenerator funktioniert (was er meiner Erfahrung nach zuverlässig tut). Dafür ist man allerdings auf den recht rudimentären Funktionumfang des Fritz VPN Clients eingeschränkt. inwiefern das stört oder nicht hängt davon ab, was genau der entfernte Client in eurem Netz tun soll.
IP Kontakt haben, was z.B. für gemeinsames Zocken reicht: kein Problem. Volle Domänenanbindung mit allem Schnisckschnack von Login-Scripten bis Gruppenrichtlinien (sofern das Samba überhaupt könnte): mit dem Fritz!VPN Client m.E. nicht 100% zu machen, wenn das unbedingt erforderlich ist wäre das ein Grund für Router - Router VPN, aber selbst dann - durch die prinzipbedintgt schlechteren Performancewerte des Internet - VPN wird der externe CLient immer, egal was ihr macht, eine Domänenanbindung 2. Klasse erhalten, da wäre „gar keine Domänenanbindung“ oft unterm Strich die bessere Lösung aus Sicht des externen Benutzers. Eine Domäne kann nämlich auch ein ganz schöner Klotz am Bein sein, im LAN mit geringer Benutzeranzahl ist das tolerierbar, von extern über VPN u.U. lästig.
Jetzt ist entscheidend, wie genau die Domöne dem externen Besucher nützen soll, aber das ist eigentlich ein zweites Thema und fast nicht vom VPN abhängig.
Über Tipps und Infos würde ich mich freuen.
Danke und viele Grüße
A.
Gruss Armin.
