[Ist das möglich?] VPS mit Firewall und Windows-Server per vLAN und Einbindung lokaler Geräte

  • Hallo Community,


    Ich habe eine Frage an die Netzwerkspezialisten unter euch und mir geht es in erster Linie um die Machbarkeit. Ich möchte folgendes erreichen:

    • Ein Netcup Server, auf dem eine Sophos Firewall läuft. Diese ist bereits vorhanden. Es gibt eine öffentliche IP und ein vLAN-Interface. Für das vLAN ist die Sophos der DHCP.
    • An das vLAN soll ein Windows Server 2019 (zweiter Netcup Server) und dieser soll ausschließlich über das vLAN und damit über die Sophos erreichbar sein. Nicht über die öffentliche IP.
    • Mein lokales Netzwerk Vorort baut eine Site2Site Verbindung zum Firewall Server auf und die lokalen Clients erhalten ihre IPAdresse aus dem vLAN, in welchem auch der Windows Server arbeitet. Als lokale Geräte sind möglich eine FritzBox oder eine Sophos XG Firewall.
    • In dem virtuellen „Netz“ sollen Broadcast Signale genutzt werden können.

    Ist so etwas denkbar, oder Zuviel des Guten?


    Danke euch.

  • Inwiefern ist wichtig, dass die lokalen Clients eine IP-Adresse aus dem NetCup-vLAN und noch dazu per DHCP erhalten? Warum können das nicht zwei getrennte IPv4-Netze sein?


    Ein Site2Site-VPN gestaltet man üblicherweise als Layer-3-VPN, ein Layer-2-bridging ist technisch aufwändig und bringt allerlei Probleme mit sich, Stichwort Proxy-ARP, DHCP-Helper etc... die ich mir nur antun würde, wenn das wirklich nötig ist.

  • Eine Möglichkeit, die ich auch auf meine Virtuoso Container innerhalb des vLANs bei Netcup nutze, ist ein dedizierter VPN-Tunnel, der über die öffentliche IP eines festgelegten Virtuoso Containers die Verbindung über VPN zum vLAN bei Netcup herstellt und somit mein LAN von Zuhause mit dem vLAN verbindet. Somit sind alle weiteren Container im vLAN bei Netcup mit einer nicht öffentlichen IP auch von außen nur über mein LAN von Zuhause aus erreichbar.

  • Warum müssen unbedingt Broadcast Signale genutzt werden?

    OpenVPN sollte das im Bridge Modus können. Muss halt konfiguriert werden.

    Wenn du nur den Server erreichen willst, einfach die entsprechenden Routen richtig zwischen den Routern pushen.