Hallo Markus,
ich versuche den "Tunnel" etwas heller zu machen
1. Punkt zu Punkt-Verbindung (NAS - NAS)
Je nach OS des genutzten NAS lässt sich das, so wie Du es ja offensichtlich bereits nutzt konfigurieren und dürfte weitestgehend sicher sein (sofern keine Bugs in der Software sind.
Das Einrichten des VPN geht relativ einfach, dafür ist der Funktionsumfang stark eingeschränkt.
2. separate HW (Router aus dem "Consumerbereich")
auch hier gilt, je nach Hersteller lässt sich schnell und "anwenderfreundlich" ein VPN etablieren. Hier sind aber i.d.R. Verschlüsselungsparameter weitestgehend vorgegeben.
Ziel ist es eben schnelle und einfache Lösungen bereitzustellen (ggf. halt mit Nutzerkonto in der Cloud und unterstützenden Diensten wie zB. DynDNS etc)
Das Einrichten des VPN ist ebenfalls recht einfach, der Funktionsumfang genügt dem "Durchschnittsanwender"
3. separate HW (Router "gehobener Bereich")
bieten meistens komplette und auch komplexe Firewall- und VLAN-Funktionalität mit, sind aber nicht "mal eben" zu konfigurieren!
Bei diesen Geräten lassen sich die Verschlüsselungsparameter (für VPN) in der Regel auch den persönlichen Präferenzen anpassen, Zugriffsrechte einzelner Netzwerkgeräte/User lassen sich granular einstellen, VPN-Traffic lässt sich zielgerichtet konfigurieren.
Sofern erforderlich lässt sich mittels zusätzlicher Lizenzen auch noch Intrusion Detection und/oder Online-Virenschutz mit konfigurieren und nutzen.
Die Einrichtung des VPN mit allen erforderlichen Parametern ist je nach Hersteller komplex bis sehr kompliziert und erfordert in den meisten Fällen eine steile Lernkurve
Gleiches gilt auch und insbesondere für die jeweilige Firewall und u.U. auch für die Konfiguration der VLANs
4. Eigene HW mit *sense
Hier kannst Du Dich mit der HW austoben und auf eine große Community im Netz zurückgreifen. Je nach eingesetzter Software ist auch hier eine hohe Lernbereitschaft erforderlich! Konfigurieren lässt sich eigentlich so ziemlich alles was mit "Netzwerken" zu tun hat (siehe auch 3.) aber der Aufwand ist nicht zu unterschätzen.
So nun kurz zum Thema VLAN
VLAN trennt unterschiedliche Netze, die auf einer physikalischen Verbindung (Kabel/WLAN) laufen. Die Trennung erfolgt hierbei über ein zusätzliches "BIT" welches die VLAN-Kennung enthält. Hierbei wird unterschieden, ob es sich um ein sogenanntes "tagged"-VLAN (die VLAN ID wird vom jeweiligen Endgerät mitgeschickt) oder um ein sogenanntes "port based VLAN" handelt (hier "markiert" der Switch den Datenverkehr eines bestimmten Netzwerkports mit der ihm zugewiesenen VLAN-ID. Beide Varianten können in einem Netzwerk genutzt werden/auftreten.
Nun zu Deinen Fragen:
In Abhängigkeit der genutzten Lösung (1-4) kannst Du festlegen:
A. im eigenen Netz
1. welcher Client innerhalb Deines Netzes VPN nutzen kann/darf und wohin (Stichwort VLAN in Kombination mit FW)
2. von welchem internen Netz Du wohin zugreifen kannst
z.B.:
(LAN1 -> WLAN, LAN1 -> IOT, LAN1-> Internet, LAN1 -> VPN, LAN1 -> LAN2)*
(LAN2 | WLAN , LAN2 | IOT, LAN2 -> Internet, LAN2 | VPN, LAN2 | LAN1) *
* "->" Zugriff erlaubt "|" Zugriff nicht erlaubt
B. im entfernten Netz
1. welcher Benutzer (Nutzerkennung wird mit dem Aufbau der VPN-Verbindung übermittelt) kann auf welche Ressource zugreifen
2. ggf. welche Ziel-IPs dürfen/können angesprochen werden.
Für eine "gute" Empfehlung wäre für mich das zur Verfügung stehende Budget, sowie der Grad Deiner Bereitschaft neues zu lernen von Bedeutung.
Neben den bereits genannten Geräten von AVM und Draytek könnte ich mir auch sehr gut Geräte von Zyxel (z.B. USG), aber auch von Securepoint (z.B. BlackDwarf) oder von Ubiquiti vorstellen.
Ferner ist der Umfang Deines Lokalen Netzes von Bedeutung (Anzahl der Clients im Netz), Sicherheitsbedarf und Anzahl der Nutzer in Deinem Netz.
Vielleicht bist Du auch so nett und schreibst mal alle Deine Vorstellungen in einem Post zusammen (einschließlich möglicher zukünftiger Bedarfe!) da es mittlerweile etwas unübersichtlich hier geworden ist
Grüße und Gute Nacht
Jody
