3
FritzBox Client-Site VPN ins VLAN
Hallo Community,
ich habe angefangen unser Netzwerk mit VLANs zu trennen. Mit Hilfe der Tutorials von aqui ist mir das bis zu einem bestimmten Punkt ganz gut gelungen, vielen Dank dafür!
Nun möchte ich VPN-Verbindungen (Fritz!Fernzugang) über die FritzBox aufbauen und in meine VLANs.
Anforederung:
VPN1 soll 4 Benutzer ins VLAN20 verbinden und VPN2 soll einen Benutzer ins VLAN30 bringen.
Ich habe den Support von AVM kontaktiert und nach der LAN-Port-Zuweisung für VPN gefragt, diese ist leider nur bei der Box-zu-Box Verbindung möglich.
Seht Ihr mit folgenden Geräten eine Möglichkeit?
FritzBox 6490 im VLAN10, Internet Router und Telefonanlage (DECT)
2x Cisco SG200 Layer-2 dumm gehalten und über Trunk verbunden mit
Cisco SG300 Layer 3 Router mit ACL und DHCP für VLAN 20 und VLAN30
Die Cisco Geräte sind Default im VLAN1, sonst ist da nix drin
Über die ACLs sind VLAN20 und VLAN 30 getrennt, nur ein kleiner IP-Bereich aus VLAN30 hat Zugang zu VLAN 20.
Alle Geräte kommen ins Internet und eine VPN-Verbindung zur FritzBox konnte ich bereits aufbauen und die Box anpingen.
VLAN10 IP: X.X.10.0
ist fürs Internet, mit FritzBox X.X.10.1 und SG300 X.X.10.2
Statische Routen eingetragen:
- X.X.10.0 nach X.X.10.1
- X.X.20.0 nach X.X.10.2
- X.X.30.0 nach X.X.10.2
VLAN20 IP: X.X.20.0
Windows-Domäne (AD und DNS Server) mit Clients W10
VLAN30 IP:X.X.30.0
Testumgebung, diverse Clients
ich habe angefangen unser Netzwerk mit VLANs zu trennen. Mit Hilfe der Tutorials von aqui ist mir das bis zu einem bestimmten Punkt ganz gut gelungen, vielen Dank dafür!
Nun möchte ich VPN-Verbindungen (Fritz!Fernzugang) über die FritzBox aufbauen und in meine VLANs.
Anforederung:
VPN1 soll 4 Benutzer ins VLAN20 verbinden und VPN2 soll einen Benutzer ins VLAN30 bringen.
Ich habe den Support von AVM kontaktiert und nach der LAN-Port-Zuweisung für VPN gefragt, diese ist leider nur bei der Box-zu-Box Verbindung möglich.
Seht Ihr mit folgenden Geräten eine Möglichkeit?
FritzBox 6490 im VLAN10, Internet Router und Telefonanlage (DECT)
2x Cisco SG200 Layer-2 dumm gehalten und über Trunk verbunden mit
Cisco SG300 Layer 3 Router mit ACL und DHCP für VLAN 20 und VLAN30
Die Cisco Geräte sind Default im VLAN1, sonst ist da nix drin
Über die ACLs sind VLAN20 und VLAN 30 getrennt, nur ein kleiner IP-Bereich aus VLAN30 hat Zugang zu VLAN 20.
Alle Geräte kommen ins Internet und eine VPN-Verbindung zur FritzBox konnte ich bereits aufbauen und die Box anpingen.
VLAN10 IP: X.X.10.0
ist fürs Internet, mit FritzBox X.X.10.1 und SG300 X.X.10.2
Statische Routen eingetragen:
- X.X.10.0 nach X.X.10.1
- X.X.20.0 nach X.X.10.2
- X.X.30.0 nach X.X.10.2
VLAN20 IP: X.X.20.0
Windows-Domäne (AD und DNS Server) mit Clients W10
VLAN30 IP:X.X.30.0
Testumgebung, diverse Clients
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 363974
Url: https://administrator.de/contentid/363974
Printed on: April 28, 2024 at 16:04 o'clock
3 Comments
Latest comment
ist mir das bis zu einem bestimmten Punkt ganz gut gelungen, vielen Dank dafür!
Immer gerne wieder ! 
Das ist eine harte VPN Nuß wenn man mit einfacher Consumer Hardware wie der FB im VPN arbeiten muss. Das wird auch vermutlich daran scheitern das die FB keine 2 getrennten VPN Instanzen fahren kann sondern nur eine.
Zur Lösung solltest du einen Workaround machen.
Die FB arbeitet ja (hoffentlich) in einem getrennten Internet VLAN. Folgt man deiner Beschreibung ist das das VLAN 10.
Du solltest dann den VPN Clients entsprechend nach Login feste IP Adressen zuweisen, das du die User über diese IPs identifizieren kannst. Du errätst vermutlich was der Sinn davon ist...?!
Damit kannst du dann auf dem SG-300 eine ACL definieren die die 20er User nur ins VLAN 20 lässt und die 30er User nur ins VLAN 30.
Nur so wirst du das lösen können. Ansonsten musst du andere VPN Hardware einsetzen die entsprechende Features mitbringt.
So habe ich mir das anfangs auch gedacht,
Auszug aus der Client-cfg für den Fernzugang
name =X
connect_on_channelup = no;
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
virtualip = x.x.30.5; // Ausserhalb der DHCP
remoteip = 0.0.0.0;
remotehostname =X;
localid {
user_fqdn = X;
}
mode = mode_aggressive;
phase1ss = "all/all/all";
keytype = keytype_pre_shared;
key = "X";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipaddr = x.x.30.5;
}
phase2remoteid {
ipnet {
ipaddr = X.X.10.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any X.X.10.0 255.255.255.0",
"reject udp any any eq 53",
"reject udp any any eq 500",
"reject udp any any eq 4500",
"permit ip any any",
"permit ip any X.X.30.0 255.255.255.0";
Da VLAN10 aber auch den Internet-Traffic stellt mit allen möglichen IPs habe ich keinen schimmer, wie bzw. wo ich hier
mit permit/deny zuweisen kann. Momentan gibt es keine ACLs, die VLAN10 betreffen. Am Switch ist nur die Default-Route 0.0.0.0 - X.X.10.1
eingetragen.
Auszug aus der Client-cfg für den Fernzugang
name =X
connect_on_channelup = no;
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
virtualip = x.x.30.5; // Ausserhalb der DHCP
remoteip = 0.0.0.0;
remotehostname =X;
localid {
user_fqdn = X;
}
mode = mode_aggressive;
phase1ss = "all/all/all";
keytype = keytype_pre_shared;
key = "X";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipaddr = x.x.30.5;
}
phase2remoteid {
ipnet {
ipaddr = X.X.10.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any X.X.10.0 255.255.255.0",
"reject udp any any eq 53",
"reject udp any any eq 500",
"reject udp any any eq 4500",
"permit ip any any",
"permit ip any X.X.30.0 255.255.255.0";
Da VLAN10 aber auch den Internet-Traffic stellt mit allen möglichen IPs habe ich keinen schimmer, wie bzw. wo ich hier
mit permit/deny zuweisen kann. Momentan gibt es keine ACLs, die VLAN10 betreffen. Am Switch ist nur die Default-Route 0.0.0.0 - X.X.10.1
eingetragen.
Du deniest erst die Clients ins 20er
dann deniest du die Clients ins 30er
Dann ein permit any any
Eigentlich ganz einfach.
Der Knackpunkt dürfte aber die IP Adresszuweisung der VPN Clients sein. Wenn du Glück hast geht das über den FB DHCP Server der ja die Bindung auf eine Mac zulässt. Wenn du Pech hast mach das der IPseq Prozess willkürlich, dann hast du wieder ein Problem. Ich kenne die FB zu wenig. Musst du ausprobieren... Versuch macht klug.
Das liegt aber an den einfachen Features der FB nicht generell an deinem Design, das ist OK so.
Wichtig noch zum Lesen für dich:
https://avm.de/service/vpn/praxis-tipps/mit-fritzfernzugang-auf-mehrere- ...
dann deniest du die Clients ins 30er
Dann ein permit any any
Eigentlich ganz einfach.
Der Knackpunkt dürfte aber die IP Adresszuweisung der VPN Clients sein. Wenn du Glück hast geht das über den FB DHCP Server der ja die Bindung auf eine Mac zulässt. Wenn du Pech hast mach das der IPseq Prozess willkürlich, dann hast du wieder ein Problem. Ich kenne die FB zu wenig. Musst du ausprobieren... Versuch macht klug.
Das liegt aber an den einfachen Features der FB nicht generell an deinem Design, das ist OK so.
Wichtig noch zum Lesen für dich:
https://avm.de/service/vpn/praxis-tipps/mit-fritzfernzugang-auf-mehrere- ...
