Zugriff von außen

[PeterF]

Guten Tag,

wir leben in modernen Zeiten. Fast jeder benutzt heute mobile Endgeräte wie Smartphones oder Tablets, um jederzeit erreichbar zu sein oder jederzeit mit diesen Geräten von unterwegs auf seine Geräte im Heimnetz zugreifen zu können. Um das zu tun ist es wichtig zwei grundlegende Konzepte zu verstehen. DDNS (Dynamic Domäne Name System) und VPN (Virtual Private Network). Beides ist sehr wichtig zu verstehen, wenn es um den Zugriff von außen geht, Z.B auf die Oberfläche des eigenen Routers oder auf die Oberfläche der Lupus-Zentrale.

Ich bin kein IT-Spezialist, deshalb habe ich im Internet nach Videos gesucht, die beide Themen auch für Laien gut erklären.

Ich möchte ein Video zum Thema DDNS mit euch teilen, das meiner Meinung nach sehr gut gemacht ist, um die dahinter liegenden Abläufe zu verstehen. In dem Video wird nur ganz kurz auch von Portweiterleitungen gesprochen. Diesen Teil einfach ignorieren, weil - wie hier in diesem Forum ja auch schon oft geschrieben - Portweiterleitungen ein Sicherheitsrisiko darstellen.

Für das Thema VPN, d.h. sicheren Zugriff ohne Portweiterleitungen habe ich noch kein gutes Video gefunden, ich bin mit der Suche aber erst am Anfang. Wer ein gutes Video kennt, bitte hier teilen.

So, hier jetzt das Video zum Thema DDNS, viel Spaß!

https://www.youtube.com/watch?v=1qpJat0UBwg

Beste Grüße
PeterF

[justasimpleguy]

Man sollte an dieser Stelle auch die sehr entscheidenden Nachteile von DynDNS erwähnen, die diese Technologie für sicherheitsbewusste Anwender eigentlich Tabu macht:

- Wenn man es standardmäßig konfiguriert, ist der Zugriff immer unverschlüsselt
– Aber viel schlimmer: Jeder der Zugriff auf die URL hat (es soll Menschen geben die DDNS-URLs systematisch und automatisiert durchprobieren , landet direkt auf dem jeweiligen Endgerät. Da ist keine FritzBox oder sonst etwas mehr dazwischen, sondern direkt das NAS oder eben die Lupusec.

Ganz ehrlich, ich würde kein einziges Gerät so ins Internet stellen - noch nicht einmal meinen Toaster (sofern der denn DynDNS unterstützen würde) und erst recht kein Gerät mit privaten Daten (NAS) oder etwas das mit Sicherheit/Smarthome zu tun hat.

Für so etwas nutzt man eine VPN und wer das technisch nicht hinbekommst, sollte erst Recht die Finger von DynDNS lassen.

[bastelheini]

(23-10-2020 21:29)justasimpleguy schrieb:  Man sollte an dieser Stelle auch die sehr entscheidenden Nachteile von DynDNS erwähnen, die diese Technologie für sicherheitsbewusste Anwender eigentlich Tabu macht:

- Wenn man es standardmäßig konfiguriert, ist der Zugriff immer unverschlüsselt
– Aber viel schlimmer: Jeder der Zugriff auf die URL hat (es soll Menschen geben die DDNS-URLs systematisch und automatisiert durchprobieren , landet direkt auf dem jeweiligen Endgerät. Da ist keine FritzBox oder sonst etwas mehr dazwischen, sondern direkt das NAS oder eben die Lupusec.

Ganz ehrlich, ich würde kein einziges Gerät so ins Internet stellen - noch nicht einmal meinen Toaster (sofern der denn DynDNS unterstützen würde) und erst recht kein Gerät mit privaten Daten (NAS) oder etwas das mit Sicherheit/Smarthome zu tun hat.

Für so etwas nutzt man eine VPN und wer das technisch nicht hinbekommst, sollte erst Recht die Finger von DynDNS lassen.

Ich habe keine Ahnung, was du da gerade so schreibst, aber da ist irgendwie was durcheinander und damit komplett daneben...

1. DNS = Domain Name Service. Nichts weiter als ein Dienst, der dir zu einer Domain (z.B. alarmforum.de) die jeweilige IP des Zielservers rausrückt. Denn nur mit Kenntnis dieser können dann Daten ausgetauscht werden, sprich die Website geladen werden. Die Server-IP ist idR statisch, d.h. ändert sich nicht bzw. sehr selten (über CDN/GTM sprechen wir jetzt mal zur Einfachheit halber nicht).

2. DynDNS = Dynamisches DNS! Also das gleiche wie oben. Dynamisch deshalb, weil es sich eben "schnell" ändern lassen muss, wenn sich deine öffentliche IP deines Internetzugangs ändert! Wenn man keine statische IP hat (die kostet idR extra), braucht man eben einen (Dyn)DNS, um einen sich fixen, ggf. merkbaren Domainnamen in eine sich ständig (dynamisch) ändernde IP zu übersetzen. Thats all!

Und einstellen tut man das idealerweise allein auf dem Internetzugangsrouter. Denn nur der weiß, wann sich die externe IP ändert und sendet entsprechend sofort das Update raus.

Und über diesen DynDNS-Domain-Namen wählt man dann per VPN ins lokale Netzwerk ein...

Das was du da schreibst, hört sich an, als würdest du das mit Portfreigaben/-Weiterleitungen vermischen...

[justasimpleguy]

(23-10-2020 23:57)bastelheini schrieb:  Das was du da schreibst, hört sich an, als würdest du das mit Portfreigaben/-Weiterleitungen vermischen...

Ähh... genau das macht DynDNS bei einer Lupusec (und auch gängigen NAS-Systemen).

[PeterF]

Gut, dass wir das Thema hier ausführlich diskutieren, da es immer wieder zu Missverständnissen kommt.
Wer eine Alarmanlage betreibt und von außen auf diese zugreifen möchte, der muss über die notwendigen Netzwerkkenntnisse verfügen, sonst wird es gefährlich. Ich bin kein Spezialist, habe mir aber in den letzten Jahren entsprechende Kenntnisse angeeignet.

Ich versuche es mal mit meinen einfachen Worten.
Im Heimnetz vergibt der Router für jedes Endgerät eine private, statische IP-Adresse (DHCP). Die Nummern kann man auf der Weboberfläche des Routers nachschauen. Mit diesen Nummern greift ihr im Heimnetz auf eure Geräte zu und die Geräte kommunizieren untereinander über diese Nummern. Nach außen werden diese Nummern nicht weitergeroutet.

Die Kommunikation nach außen (Internet) erfolgt über die öffentliche IP-Adresse des Routers. Diese Nummer findet ihr auch in der Weboberfläche des Routers. Gebt ihr auf eurem Rechner in Google Schalke 04 ein, leitet der Router über die öffentliche IP-Adresse die Anfrage zu einem DNS Server (Domain NameSystem) weiter. Dort liegt ein riesiges Verzeichnis, dass jedem Domainnamen (Schalke 04) eine eindeutige IP-Adresse zuordnet, damit erfolgt dann die Weiterleitung eurer Suchanfragen auf die Webseite von Schalke 04. Der Server, auf dem diese Seite liegt, kennt die Adresse des Anfragers (öffentliche IP-Adresse eures Routers) und schickt die Seite auf euer Endgerät zurück. Dieser Datenaustausch läuft verschlüsselt ab (HTTPS-Protokoll). Der DNS Server steht meistens bei eurem Internetprovider und hat eine Nummer, die man auf der Weboberfläche des Routers nachschauen kann.

So weit, so gut. Jetzt zu dem Zugriff von außen. Dieser Zugriff kann natürlich auch nur über die öffentliche IP-Adresse erfolgen. Blöd ist nur, dass der Internetprovider diese aus Sicherheitsgründen öfters mal ändert.
Im oben beschriebenen Fall ist das kein Problem, weil der Adressat eurer Anfrage sich die gerade gültige Nummer merkt und die Daten dorthin zurückschickt.
Welche Nummer gilt aber, wenn ihr von außen zugreifen wollt. Eine Änderung der Nummer bekommt ihr gar nicht mit. Genau aus diesem Grund richtet man sich ein DDNS (Dynamic Domain System) ein, entweder direkt im Router oder bei einem Fremdanbieter. Dazu muss der eigene domainname (z.B. Test) definiert und mit einem Passwort versehen werden. Ändert sich nun die öffentliche IP-Adresse, dann teilt das euer Router dem externen Domäinbetreiber mit, dieser übernimmt dann die aktuelle Nummer und somit kommt ihr über den Domainnamen Test immer von außen auf Euren Router. Wollt ihr aber auch den Zugriff auf ein Endgerät muss eine Portweiterleitung erfolgen. Dazu gibt man den Domainnamen zusammen mit der entsprechenden Portnummer ein.
Die Portweiterleitung muss im Router definiert werden.

Aber Vorsicht, dieser Weg ist sehr gefährlich. Wenn ihr einen Port öffnet, dann bohrt ihr ein Loch in die Firewall eures Routers, was als Einfallstor für Angriffe von außen auf euer Netzwerk verwendet werden kann.

Es gibt einen sicheren Weg über VPN Virtual privat Network. Das wird zwischen dem VPN Client (euer Handy von unterwegs) und eurem Router (VPN Server) ein sogenannter Tunnel aufgebaut, der Datenaustausch erfolgt im Internet praktisch nicht sichtbar und verschlüsselt.
Wie das genau funktioniert wurde hier schon öfters beschrieben. Ich werde noch nach Videos schauen, die es für den Laien verständlich machen.

Sorry für den langen Text und ich hoffe, dass ich es richtig erklärt habe.

Beste Grüße
PeterF

[peteralarm]

Schlecht recherchiert z.B.

(24-10-2020 10:00)PeterF schrieb:  Im Heimnetz vergibt der Router für jedes Endgerät eine private, statische IP-Adresse (DHCP). Die Nummern kann man auf der Weboberfläche des Routers nachschauen. Mit diesen Nummern greift ihr im Heimnetz auf eure Geräte zu und die Geräte kommunizieren untereinander über diese Nummern. Nach außen werden diese Nummern nicht weitergeroutet.

DHCP = Dynamic Host Configurations Protokoll, wie der Name schon sagt Dynamic, nicht statisch. Wie lange die gültig bleibt, hängt von der Lease ab, welche der DHCP Server im Netzwerk festlegt.
Es sind keine "Nummern" sondern Adressen im Netzwerk. Etwa nach dem Muster: Name.Ort.Straße.Hausnummer (nur um das mal sinnbildlich darzustellen).

DNS = Das DNS ist ein weltweit auf Tausenden von Servern verteilter hierarchischer Verzeichnisdienst, der den Namensraum des Internets verwaltet.
Auszug Wikipedia: https://de.wikipedia.org/wiki/Domain_Name_System

[smith007]

@perteralarm
In 2 Absätzen kurz und knapp korrekt erklärt.

@Allgemein
Zur Einrichtung eines VPN ist schon netzwerktechnisches Grundwissen Voraussetzung.
Das macht man nicht mal soeben und man sollte auch wissen was man da macht.
Auch bei VPN gibt es Sicherheitslücken von daher sollte man auch prüfen ob der VPN Server auf dem aktuellsten Stand ist.
Stichwort Hardbleed und OpenVPN.

Notfalls jemanden zu Rate ziehen der sich wirklich damit auskennt.
Und bitte nicht alles kreuz und quer durcheinanderwürfeln.

Nur noch kurz den Begriff DDNS bzw DynDNS erklärt.
Bedingt das sich die Ip-Adresse je nach Anbieter nach einer gewissen Zeit ändert.
Die Nummer ändert sich nicht aus Sicherheitsgründen sondern weil es nur einen bestimmten IP-Pool von Anbieter pro Einwahlknoten gibt,
der immer wieder neu vergeben wird. Stichwort Lease-Time. Ist also techn. bedingt.
Früher war es alle 24h (Zwangstrennung) heute hat sich das schon je nach Anbieter verlängert.

Man kann nun mittels eines DDNS-Dienstes (leider so nicht mehr überall kostenlos)
sich eine Subdomain bei einem DDNS-Anbieter einrichten.

Beispiel: meinnetzwerk.ddns.com

Meist kann man unter mehreren Domains wählen und sich wie in unserem Beispiel die Subdomain aussuchen wenn nicht schon vergeben.
Einige Router haben den entsprechenden Client einige Anbieter meist schon integriert.
Dieser Client im Router meldet dann bei jedem IP Wechsel die neue IP zum DDNS-Anbieter.
Heißt, beim Aufruf von meinnetzwerk.ddns.com kommt man dann immer auf die richtige Zieladresse.
Der Client selber muss nicht zwingend auf dem Router laufen er kann auch auf einem anderen Rechner laufen der
dauerhaft aktiv ist.

Mit den Voraussetzungen kann man dann auf den eingerichteten VPN Server zugreifen der dann einen Tunnel aufbaut.
Die Fritzboxen haben soweit ich weiß dieses schon integriert inkl. DDNS-Client.
Da ich keine FritzBox nach außen nutze, kann ich dazu leider nichts sagen.

Mann ist dann praktisch direkt mit seinem Netzwerk zu Hause verbunden und kann darin rumfuhrwerken.
Das ganze sollte man dann aber noch einschränken auf das Ziel was man eigentlich erreichen will.

Wenn ich das richtig gelesen habe geht es bei Fritz auch nur mit IPV4.
Wenn der Anbieter nur DS-LITE (DualStack) anbietet wird es problematisch
bei Verbindungen von außen nach innen.
Hier mal bei Wiki nachschlagen zur weiteren Erklärung.

Wollt jetzt zwar nicht soviel schreiben aber ich hoffe etwas Licht ins dunkle gebracht zu haben.
Grade auf was die Fallstricke hierbei angeht wie DS-Lite.

Gruß Christian

[peteralarm]

Hallo Christian,
gut und richtig erklärt, mir brauchst du das aber nicht zu erklären ich weis wie das funktioniert. [...]
Wem das jedoch alles zu hoch und zu kompliziert ist, dem kann ich eine FIP Box empfehlen, auch nicht umsonst, aber sehr zuverlässig und ohne die Gefahr, das dabei ein unerwünschter Durchgriff auf das eigene Netzwerk möglich ist.
Zu finden unter http://www.feste-ip.net
Ich selbst nutze den VPN Tunnel der Fritz Box und habe auch noch eine Portweiterleitung laufen über die ich mir jedoch keine Sorgen mache, da bei mir IPFire als Firewall läuft und wer sich die Mühe macht, meine Portweiterleitung zu hacken, der kommt nur auf dem einen Gerät raus, da liegen nur Sachen drauf, welche ich eh teile also nichts privates oder sonst wichtiges, aber sonst nirgendwo im Netzwerk, weil das ganz andere IP Bereiche sind

Trotzdem, guter Beitrag von dir welcher wohl auch dem einen oder anderen weiterhelfen kann.

Gruß
peteralarm

-------------
Edit: unnötige Spitzen entfernt
Ollik

[smith007]

Weis ich doch ;-)

Der Rest war auch für die Allgemeinheit gedacht.
Habs mal kenntlich gemacht.

Gruß Christian

[peteralarm]

Na, dann passt es ja :-)
Gruß peteralarm

[bastelheini]

(24-10-2020 07:24)justasimpleguy schrieb:  

(23-10-2020 23:57)bastelheini schrieb:  Das was du da schreibst, hört sich an, als würdest du das mit Portfreigaben/-Weiterleitungen vermischen...

Ähh... genau das macht DynDNS bei einer Lupusec (und auch gängigen NAS-Systemen).

Genau das gleiche, wie die FB bzw. der eingesetzte Internetrouter. Nur, dass die von dir genannten Geräte die Prüfung der externen IP und den ggf. nötigen folgenden Push zum DynDNS-Server ständig periodisch wiederholen müssen (z.B. 1x pro Stunde), da sie nicht "automatisch" wissen, wenn sich die externe IP geändert hat. Im schlimmsten Fall sind dann deine Dienste nicht erreichbar - je größer das Wiederholungsintervall ist.

https://help.dyn.com/remote-access-api/

[smith007]

@bastelheini
Genauso ist es auch.

@justasimpleguy
Mit Einrichtung einer DDNS-URL landet man i.d.R. nicht automatisch direkt auf dem Endgerät hinter dem Router.
Das ist nur dann möglich, wenn man manuell eine Portweiterleitung eingerichtet hat oder
noch viel gefährlicher das UPNP nutzt und auch im Router aktiviert hat.

Ich denk mal das er du das auch meintest, es aber etwas missverständlich rübergekommen ist.

Die Fritzen haben, soweit mein Kenntnisstand, auch so einen Service,
der glücklicherweise von Haus aus immer deaktiviert ist.

Mit UPNP und hier meine ich speziell das IGD-Protokoll ist eine sehr teuflischer Service,
der im ursprünglichen Gedanken dafür vorgesehen war,
das Weiterleitungen automatisch eingerichtet werden. Vielen Dank Bill Gates;-(
https://de.wikipedia.org/wiki/Universal_Plug_and_Play

Schaut also mal auf euren Routern nach ob da nicht dieser Dienst dieser Art aktiv ist.

Ob man jetzt eine DDNS-Adresse eingerichtet hat oder nicht,
schützt einen vor den sogenannten Portscans nicht.
Das ist ein alter Hut.
Ob ich jetzt eine URL Scann oder einen IP Bereich das kommt auf dasselbe raus.
Im IP Bereich kann ich teilweise sogar noch besser selektieren nach Region und Provider.

Was man aber ggf. mittels der DDNS URL
je nach Anbieter schneller selektiv ermitteln kann ist, für welchen Zweck sie dient.

Beispiel: Ein Nas-Hersteller X bietet einen eigenen DDNS Dienst für seine NAS an.
Dann kann man schon grob abschätzen, wenn man diese URLs abklopft, dass
sich eine NAS des Herstellers X dahinter verbergen könnte.
Wenn da auch noch wo eine Sicherheitslücke bekannt ist kann das böse enden.
Selbiges mit anderen Herstellern.

Gibt ja einige Webdienste die nichts anderes machen als solche Ports zu checken und
dann aufzuzeigen.

Aber generell muss ich justasimpleguy insofern zustimmen, dass
soweit es nicht unvermeidlich ist, sollte man nur via VPN auf seine Endgeräte zugreifen.
Reinen Portweiterleitungen auf Endgeräte führen früher oder später zu einem Desaster.
Hier ist man dann wirklich auf dem jeweiligen Endgerät und die halten selten einem richtigen Hack stand.

Gruß Christian

[AndreasH]

Leider weiß ich nicht, ob das auch bei der XT2+ geht, aber bei meiner XT3 habe ich unter "System -> Zugangsdaten" auch den Benutzernamen des admin auf einen eigenen Eintrag (mit Sonderzeichen, Groß-/Kleinschreibung und Ziffern) geändert.
Somit kann schon mal keiner einfach so mit dem Standarduser (admin) zugreifen und muss nur noch das Passwort überwinden.
Zusätzlich würde ich mir von Lupus wünschen, dass man einstellen kann ab wie viel fehlerhaften Loginversuchen die IP von der aus der Login kam, gesperrt werden soll - entweder dauerhaft oder für eine bestimmte Dauer.

Für die FritzBox kann man auch unter "System -> Fritz!Box-Benutzer" zum Admin-User die Zwei-Faktor Authentifizierung (2FA) einrichten um eine zusätzliche Hürde für Zugriffe auf die Box aufzubauen. Ich weiß leider nicht ab welchem Fritz!OS das geht - ich habe OS 07.21.
In der Einstellung heißt es zwar "Bestätigung über Google Authenticator App" aber man kann auch eine andere One-Time-Password APP benutzen. Ich verwende z.B. andOTP aus dem Google-Playstore.

In der Fritz!Box habe ich eingestellt, dass meine Zentrale immer die selbe IP verpasst bekommt. Dann weiß ich zumindest unter welcher IP sie zu erreichen ist - falls doch mal ein Neustart der Fritz!Box oder der Zentrale erforderlich ist.

[bastelheini]

Den Nutzernamen zu ändern, kann helfen, muss es aber nicht. Es gibt immer 2 Arten von Angriffen:

1: Man versucht den Zugang mittels der Nutzernamen/Passwörter zu knacken. Sei es durch Wörterbuchangriffe (admin+123456, admin+qwertz usw) oder durch Bruteforce, d.h. alles einmal durchprobieren.

2: Man versucht das Gerät durch Ausnutzen einer Sicherheitslücke in einer der verwendeten Opensource (oder teils auch closed Source) Komponente zu übernehmen. Dagegen schützen deine Maßnahmen nicht. Du kannst davon ausgehen, dass die meisten dieser Art von Geräten die ein oder andere bekannte(!) Lücke offen stehen haben. Zero-Day-Exploits verschärfen das ganze nur noch. Sind die Leute auf dem Gerät, sind sie im Netzwerk und können da alles tun.

IDS Systeme können so etwas detekten, aber sowas hat idR keiner zu Hause.

Daher gehört solche Art von Gerät nie nicht ins öffentliche Netz. Immer VPN, sonst nix! Klar kann das auch Fehler haben und man muss es frisch halten, aber das ist dann das einzige Einfallstor. Eine schwere Stahltür ordentlich gesichert. Nicht tausend kleine Holzfenster mit Einfachverglasung und rostigen Verschlüssen.

Auch das FB-Backend solltest du nicht nach draußen reichen. Wozu? Vor ein paar Jahren gab es selbst mal in der FB eine Lücke, welche offensichtlich genau über den Backend-Zugang der FB ausnutzbar, wenn man sie öffentlich gestellt hat ("Fernzugriff über Port 443"):

https://www.heise.de/security/meldung/AV...04801.html

Das ganze ging in 2019/2020 immer noch rum, weil viele ihre Kisten nicht patchten ("never touch a running systen" haha...):
https://www.bsi.bund.de/SharedDocs/Warnm...-0933.html

[funkistnichtalles]

Naja. Das mit dem VPN ist ein zweischneidiges Schwert.
Bin ich auf der einen Anlage, bin ich auf der anderen Anlage, da sie unmittelbar miteinander verbunden sind.
Es ist nicht zu verhindern, dass im Falle des Falles beide Seiten geknackt sind.
Wenn mir jemand erzählen will, das VPN absolut sicher ist, na denn. Ich glaube auch nicht an den Osterhasen.
Ich für meinen Teil löse das nicht über VPN, das ist mir ebenfalls zu unsicher.

[bastelheini]

(21-02-2021 20:12)funkistnichtalles schrieb:  Naja. Das mit dem VPN ist ein zweischneidiges Schwert.
Bin ich auf der einen Anlage, bin ich auf der anderen Anlage, da sie unmittelbar miteinander verbunden sind.
Es ist nicht zu verhindern, dass im Falle des Falles beide Seiten geknackt sind.
Wenn mir jemand erzählen will, das VPN absolut sicher ist, na denn. Ich glaube auch nicht an den Osterhasen.
Ich für meinen Teil löse das nicht über VPN, das ist mir ebenfalls zu unsicher.

Das erkläre mir mal bitte genauer an Hand eines Beispieles, wie du das genau meinst.

[funkistnichtalles]

Nein.
Du weisst ganz genau, wie ich das meine.
Und ich weiss nicht, wer hier alles mitliest.
Belassen wir es dabei, denn sonst würden Fakten breitgetreten, die nichts in der Öffentlichkeit zu suchen haben. Schon gar nicht in einem öffentlichen Forum.
Nimm als einfaches Beispiel zwei Fritzboxen. Vielleicht kommst du von alleine drauf. Es mag zwar unwahrscheinlich sein, aber es ist nicht unmöglich.
Und da möchte ich nicht der sein, der das angeordnet hat. Draufgekommen sind wir bei einer ISO Zertifizierung. Der Typ hats genau beschrieben, wie es gemacht werden kann und wie wir es verhindern können. Wenn wir es nicht einsetzen.

[bastelheini]

Nein, ich weiß es eben nicht, was du meinst. Wir reden ja gerne aneinander vorbei.

Ein VPN ist eine Netzkopplung. Du koppelst zwei Netze aneinander. Ist State-of-the-Art und wird so auch ganz normal in Unternehmen eingesetzt, wenn du Standorte über öffentliche Leitungen verbinden willst.

Jetzt unterscheiden wir mal die Anwendungsfälle:

1) Hier in diesem Bereich: Da wird ein Smartphone, das unterwegs (also idR Mobilfunk in einem NAT mit Netzmaske 255.255.255.255, d.h. man ist allein in dem Netz) ist, Mitglied des Heimnetzes, meinetwegen über die Fritzbox. Da ist überhaupt nichts spannendes bei. Das Handy hat dann auf alles Zugriff (über die gleichen IPs und Gerätenamen) im Netzwerk, als wäre es "zu Hause". Das ist genau, was wir wollen. Man kann es sicher noch im Rahmen der Fritzbox etwas absichern (die Geräte bekommen ja einen eigenen IP-Bereich), wenn man möchte, aber das nur am Rande.

2) Kopplung zweier Netzwerke, z.B. wie von dir jetzt vermutlich gemeint, zweier Fritzboxen. Jeder Teilnehmer des einen Netzes kommt erreicht alle Teilnehmer des anderen Netzes. Das ist prinzipiell richtig. Netzkopplung erfordert immer "Vertrauen". Tiefstes Vertrauen. Man sollte sowas nicht einfach per Gießkanne verteilen, auch WIE man es verteilt, muss schon sicher sein.

ABER: In (ordentlichen) Unternehmensnetzwerken gibt es so eine offene Netzkopplung defakto nicht. Da hat man ein VPN-Gateway mit eigenen VLANs, Routen usw, so dass die Teilnehmer schon sehr stark eingeschränkt werden, wo sie am Ende hinkommen. Und solche Geräte, wie diese Appliances, hängen auch dort in einem eigenen VLAN, so dass man diese auch nicht einfach so erreicht, also auch nicht am Standort-LAN.

Wir routen beispielsweise die Mitarbeiter VPN generell so, dass sie nur ihren eigenen Mitarbeiter-Rechner per RDP erreichen. Sonst nichts.

Man kann sich soetwas auch günstig zu Hause bauen; ein guter managbarer Switch mit Layer-3 Funktionen reicht da aus, gibts auch recht günstig (knapp über 100 Euro) schon von Cisco.

VPN an sich ist defakto nicht unsicher, im Gegenteil, es ist das Mittel der Wahl, wenn man durch ein öffentliches (unsicheres) Netz muss. Eine Portfreigabe ist keine Alternative, denn dieses zusätzliche Detail, was du erreichen willst (VPN-Teilnehmer X darf nur auf Gerät X routen und über Ports X,Y,Z kommunizieren) lässt sich prima zusätzlich einrichten. Eigene Routen hinzufügen kann die Fritzbox ja sogar...

Deine Bedenken, wenn ich sie denn jetzt richtig eingeschätzt habe, sind jetzt auch kein Geheimnis - das ist eigentlich Basiswissen, wenn man damit "herumspielt".