veryxrv
Goto Top

Port Weiterleitung an Rechner in VPN

Hallo zusammen,

ich wende mich mit einer etwas spezielleren Frage an dieses Forum:

Ich habe eine FritzBox 6360 Cable. Von außen soll ein bestimmter Port, sagen wir 3300, an einen Rechner weitergeleitet werden, der per *VPN* im lokalen Netz hängt. Lässt sich das irgendwie realisieren oder wo liegen da die technischen Einschränkungen?

Ich habe eine Portfreigabe für die lokale IP eingerichtet, die der VPN Client bekommen hat, doch dies funktioniert nicht. Das sähe in etwa so aus:

Client 1 -> Internet -> Fritzbox (:3300) -> LAN -> VPN -> Client 2

Am liebsten hätte ich, dass der Rechner (Client 2 in dem Falle) im VPN genau so behandelt wird, wie wenn er per WLAN im Netz hängt. Hintergrund ist, dass ich halt manchmal im Büro bin und die Port-Weiterleitung über das WLAN stattfindet und ich manchmal per VPN im Netz hänge, alles aber so funktionieren soll, als wäre ich im WLAN.

Für Ratschläge wäre ich sehr dankbar! Vielen Dank schon mal im Voraus!

Content-Key: 235055

Url: https://administrator.de/contentid/235055

Ausgedruckt am: 28.03.2024 um 13:03 Uhr

Mitglied: keine-ahnung
keine-ahnung 10.04.2014 aktualisiert um 07:44:49 Uhr
Goto Top
Moin,

wie darf man das verstehen:
Client 1 -> Internet -> Fritzbox (:3300) -> LAN -> VPN -> Client 2
??
Du baust ein VPN zwischen Deinem Router und Deinem lokalen LAN und lässt Deinen Router WAN-seitig alle Büchsen frei reinschauen?? Über was für eine Art von VPN reden wir hier eigentlich??

LG, Thomas
Mitglied: veryxrv
veryxrv 10.04.2014 aktualisiert um 09:53:28 Uhr
Goto Top
Also, ich habe ein LAN, in dem sich der Router sowie mehrere physisch lokale Rechner befinden. EIN Port wird vom Router aus dem WAN in dieses LAN an eine bestimmte lokale IP weitergeleitet. Nun soll diese IP dem Rechner gehören, der sich per VPN in das LAN eingeklinkt hat.

Übrigens handelt es sich um das Fritz!Box integrierte VPN (IPSec).
Mitglied: keine-ahnung
keine-ahnung 10.04.2014 um 10:02:28 Uhr
Goto Top
Moin,

Du musst Dich schon entscheiden face-wink. Entweder gibst Du den Port auf den Rechner frei, dann kannst Du den service aus dem WAN auch ohne VPN ansprechen. Oder Du machst das mit dem VPN, dann brauchst Du auch keine Portweiterleitung, dann rufst Du halt den service, den Du ansprechen willst mit der Portangabe direkt auf.

Irgendwo habe ich hier ein Verständnisproblem ... da musst Du mal mehr in's Detail gehen.

LG, Thomas
Mitglied: veryxrv
veryxrv 10.04.2014 um 11:04:35 Uhr
Goto Top
Danke für die Antwort!

Ich gehe mal mehr ins Detail face-wink

Es handelt sich um ein Fernwartungstool, genannt SingleClick (UltraVNC). Dieses wird auf einem beliebigen Rechner im WAN ausgeführt und verbindet sich mit einem Host in meinem LAN. Diese Verbindung kommt über einen DNS Namen, die FritzBox und eine entsprechenden Portweiterleitung zustande.

Dementsprechend verbinde nicht ich mich mit einem Service, sondern der Rechner im WAN, der gewartet werden soll. Der Service läuft dann auf meinem Rechner, der per VPN ins LAN eingebunden ist.

Ich hoffe, jetzt ist es besser nachvollziehbar...
Mitglied: keine-ahnung
keine-ahnung 10.04.2014 aktualisiert um 12:59:13 Uhr
Goto Top
ch hoffe, jetzt ist es besser nachvollziehbar...
Kein Stück!

Du hast auf irgendwelchen Büchsen ausserhalb Deines LAN einen VNC-Dienst zu laufen, die Du mittels VNC von einem PC aus Deinem LAN (hinter der Fritte) fernwarten willst - korrekt?
Mitglied: veryxrv
veryxrv 10.04.2014 um 17:07:17 Uhr
Goto Top
Genau. Ein PC im WAN verbindet sich mit meinem PC, der wiederum im VPN hängt und muss dabei die FritzBox passieren. Dazu muss der Port vom WAN aus an meinen Rechner im VPN weitergeleitet werden.
Mitglied: aqui
aqui 10.04.2014 aktualisiert um 17:21:53 Uhr
Goto Top
Na ja das Konstrukt ist schon etwas konfus aber es soll wohl so sein:

Client 2 wählt sich per VPN über die FB ins lokale Netz und kann dort arbeiten wie ein lokaler Rechner, was ja auch der tiefere Sinn eines VPNs ist...logisch !

Client 1 kommt auch vom Internet, soll aber per Port Forwarding also mit einem Loch in der FB Firewall in das lokale Netzwerk geleitet werden eben auf die lokale IP Adresse des Client 2 der via VPN drin ist.

Generell: Ja grundsätzlich ist das so machbar und funktioniert auch. Knackpunkt ist hier (sofern es sich um Winblows Rechner handelt ?) das das virtuelle VPN Tunnel Interface des Client 2, denn dort ist die Windows Firewall aktiv !
Wenn die nun wie bei virtuellen VPN Interfaces üblich ein öffentliches Profil darauf etabliert ist aus mit dem Erreichen des Clients, denn alle Zugriffe die zum Client 2 erfolgen werden geblockt.
Ganz besonders die von Client 1, denn der kommt aus dem öffentlichen Internet auch noch mit einer fremden, öffentlichen Absender IP dort die generell von der FW geblockt wird da ja nicht lokales Netz.
Das wäre die erste Hürde.
Die zweite liegt in der Tatsache das die VPN Clients dynamische IPs bekommen und die wechseln können.
Wenn du also nun ein Port Forwarding Eintrag in der FB auf die lokale IP xyz des Clients 2 hast ist diese am nächsten Tag bei der nächsten Einwahl dann zyx und die Port Forwarding Regel läuft damit ins Nirwana.
Spätestens die tägliche Zwangstrennung sorgt für einen Abbruch des VPN Tunnels.
Wenn du also sicherstellen kannst das die VPN Tunnel IP bei Client 2 immer fest dieselbe bleibt damit die Forwarding Regel greift und auch die Firewall am Tunneladapter von Client 2 entsprechend richtig customized das sie diesen Traffic durchlässt...dann sollte das fehlerfrei funktionieren !
Wie immer ist hier der Wireshark beim Troubleshooting dein allerbester Freund !!

Die grundsätzliche Frage stellt sich nach der Sinnhaftigkeit dieses Designs. Warum nutzt der eine ein sicheres VPN und beim anderen ist das egal da bohrt man fröhlich ein Loch in die Router Firewall ?
Warum also nicht alles mit Port Forwarding oder warum nicht alles per VPN. Letzteres wäre sinniger und auch sicherer ?!
Mitglied: veryxrv
veryxrv 11.04.2014 um 00:40:28 Uhr
Goto Top
Erst mal vielen Dank für die ausführliche Antwort und den Tip mit der Firewall.

Ich habe die Windows Firewall auf Client 2 komplett deaktiviert. Gilt das dann auch für VPN Verbindungen?
Ich kann jedenfalls keine Erfolge verzeichnen face-sad Client 2 ist immer mit derselben IP im VPN, so dass das Port Forwarding eigentlich funktionieren sollte. Komischerweise kann ich Rechner im LAN anpingen, jedoch nicht die FritzBox. Auch bekomme ich beim Ping von Client 2 auf die Internet-IP der FritzBox keine Antwort, kann aber gleichzeitig mit Client 2 über VPN und die FritzBox ins Internet. ipconfig spuckt auch für keinen einzigen Adapter die IP aus, die Client 2 angeblich für die VPN Verbindung erhalten haben soll (laut FritzBox Interface).

Irgendeine Idee?
Mitglied: aqui
aqui 11.04.2014 um 08:49:53 Uhr
Goto Top
ipconfig spuckt auch für keinen einzigen Adapter die IP aus
Hört sich nicht wirklich gut an. Sind dort GPO Regeln erstellt die einen Zugriff unterbinden. Hört sich an das da am Client 2 etwas schiefläuft...?!