Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

FritzBox mit VPN hinter Firewall einrichten

Mitglied: Neulinuxer

Neulinuxer (Level 1) - Jetzt verbinden

29.01.2013, aktualisiert 19:39 Uhr, 12832 Aufrufe, 10 Kommentare

Ich habe ein funktionierendes Netzwerk mit festen IPs. Auf dieses greife ich unter anderem mit dem Android Smartphone, aber auch von einem zweiten Standort mit einer zweiten FritzBox 7390 via VPN zu. Das alles funktioniert fehlerfrei.

44923121f6a9c264e9d59a99caba4cdd - Klicke auf das Bild, um es zu vergrößern

Nun möchte ich der FritzBox 7390 eine Firewall (IPFire) vorschalten. Zur Verdeutlichung habe ich zwei Diagramme erstellt. Die sind nicht schön, aber sollten darstellen, was ich möchte. Die Firewall wird zwei Netzwerkschnittstellen haben. Daher habe ich beide angedachten IPs in das Diagramm geschrieben.

Ich habe einige ähnliche Beiträge hier gelesen. Das war lehrreich und führte für mich zu dem dargestellten Ergebnis.

Ist die Einstellung der IPs der Firewall so richtig gewählt? Wie müssen nach der Ergänzung durch die Firewall die DNS und Gateway Einstellungen der Clients sein? Die müssten doch eigentlich identisch bleiben, da die FritzBox weiterhin zur Verfügung steht. Es müsste doch so sein, dass lediglich die FritzBox "bemerkt" dass da eine Firewall ist, oder?

Was ist mit den DynDNS Einstellungen in der FritzBox? Können die unverändert bestehen bleiben?

Was müsste ich nun wo einstellen, damit die vorhandenen VPN Verbindungen weiterhin funktionieren?

edit: Das Wort Firewall gehört natürlich etwas weiter nach links!

cc54f2080e07d737690860e40656f501 - Klicke auf das Bild, um es zu vergrößern

Mitglied: aqui
29.01.2013, aktualisiert um 20:13 Uhr
Wenn die FW alle Verbindungen und auch das VPN übernimmt und die FritzBox nur noch als dummer WLAN Accesspoint arbeiten soll ist die IP Adressierung so OK.
https://www.administrator.de/wissen/kopplung-von-2-routern-am-dsl-port-4 ... --> "Alternative 3"
Soll das allerdings eine Kaskadierung von Routern sein (die FW ist ja auch ein Router !) ist die IP Adressierung natürlich komplett falsch, denn dein IP Netz ist überall gleich und die FB kann ja niemals mehr routen !
https://www.administrator.de/wissen/kopplung-von-2-routern-am-dsl-port-4 ... --> "Alternative 2"
und
https://www.administrator.de/contentid/123285 --> "OVPN hinter NAT Router"
bzw.
https://www.administrator.de/contentid/149915
Ggf. solltest du also hier dringenst noch einmal dein Grundwissen zum IP Routing auffrischen, damit du wirklich weisst was du da machst ?!
Du musst dann also ein separates Transfer IP Netz zw. FW, dann klappt das.
Soll die FB auch noch weiter das VPN bedienen (Was Unsinn wär, da die FW das ebenso besser kann ohne PFW !) müsstest du zusätzlich noch die IPsec VPN Ports:
UDP 500
UDP 4500
ESP Protokoll
auf die dahinterliegende WAN IP der FB forwarden.
Leider enthälst du uns dazu ja die technischen Details vor, so das wir hier nur raten können was du willst
Bitte warten ..
Mitglied: Neulinuxer
29.01.2013, aktualisiert 08.01.2015
Ich möchte euch nichts vorenthalten, da ich ja sonst keine Lösung bekommen

Die FW soll sich mit dem DSL Anschluss verbinden und den Traffic scannen, mehr nicht. Die Fritzbox wird dann in den Modus "Vorhandener Zugang über Lan (oder so ähnlich)" statt "Verbindung mit t-online DSL aufbauen" versetzt. So habe ich mir das zumindest bisher gedacht. Alle anderen Aufgaben, die die FB bisher erledigt, soll sie auch weiterhin erledigen. Das sind z. B. Wlan, VPN, Whitelist/Blacklist, Kindersicherung, etc. Eine DMZ ist nicht vorgesehen.

Alternative 3 - passt also schon mal nicht.
Alternative 2 - das würde voraussetzen, dass ich dem Wan-Port der FritzBox eine eigene IP zuweisen kann, wenn ich das richtig verstehe.

b56744023410245680531041b93236ce - Klicke auf das Bild, um es zu vergrößern

Aber geht das?

Nun habe ich im Menü der FritzBox mal rumgesucht und die Hilfe bemüht. Jetzt habe ich noch mehr Fragen als vorher Muss die FB überhaupt routen? Reicht es nicht aus, wenn sie IP-Client in 192.168.1.xxx wird. Denn die Hilfe beschreibt diesen Begriff eigentlich genau so, wie ich es mir gedacht habe. Aber ist das auch sinnvoll und sicher? Oder habe ich nach dem Umbau mehr Sicherheitslücken als zuvor?
Bitte warten ..
Mitglied: marinux
29.01.2013 um 22:27 Uhr
Nur am Rande, die FB kann auch auf WAN (sowie allen anderen Schnittstellen) sniffen, sofern es Dir nur darum geht.

Gruß
Bitte warten ..
Mitglied: aqui
30.01.2013 um 12:00 Uhr
.@Neulinuxer
OK, dann ist das ein simples und einfaches Standardszenario entweder mit Router vor der FW (nicht so toll da 2 mal NAT und ggf. Performanceeinbussen) oder mit einem einfachen Modem davor oder Router im PPTP Passthrough Modus (Alternative 1)
Letztere ist die bessere Version ! Sie benatwortet auch gleich deine Frage: NEIN, die FB muss nicht routen ! Es reicht wenn sie als simples Modem arbeitet sofern man das wie bei den Speedport Gurken im Setup einstellen kann (PPPoE Passthrough !)
Wenn nicht erstehst du für ein paar Euro auf eBay ein simples NUR Modem für DSL.
Wenn die FB als Modem arbeiten kann, dann spielen IP Adressen keinerlei Rolle mehr, denn wie du als Netzwerker ja weisst sind IP Adressen einzig nur dann relevant wenn du routen willst...genau das willst du ja möglichst nicht also sind IP Adressen auf einem Modem oder einem zum Modem gemachten Router völlig irrelevant und einzig fürs Management da.
Sicherheitslücken sind natürlich Blödsinn, denn du hast ja eine Firewall dahinter.
Die kann 100mal mehr und sicherer "firewallen" als eine einfache Fritzbox, da sie eine statefull Firewall ist (wenn du weisst was das ist ?!)
Ist ja auch der tiefere Sinn weil du ja zusätzlich eine Firewall einsetzen willst, oder ?!
Bitte warten ..
Mitglied: Neulinuxer
31.01.2013 um 12:21 Uhr
Oh Mann, eine Menge Stoff für mich. Ich werde versuchen mich schlau zu lesen und dann berichten. Danke schonmal für die Infos und Links!
Bitte warten ..
Mitglied: aqui
02.02.2013 um 12:59 Uhr
Dann mal los ! Wir sind gespannt auf dein Feedback !
Bitte warten ..
Mitglied: Neulinuxer
14.02.2013, aktualisiert um 10:46 Uhr
Inzwischen bin ich etwas weiter mit der Planung (und der Hardware für die FW) und konnte durch das Lesen der Beiträge hier im Forum auch mein Wissen mehren - ich hoffe ich habe alles richtig verstanden. Sollte es mit den IPs dann trotzdem nicht klappen, werde ich eure Hilfe dafür nochmal in Anspruch nehmen müssen.

So soll es künftig aussehen:

INet -- VDSL-Modem -- IPFire -- FritzBox -- Clients

Es wird ein doppeltes NAT geben.

Du hast geschrieben, dass es sinnvoller ist, VPN durch die FW herzustellen. Das werde ich so versuchen. Gilt das auch für DynDNS?
Bitte warten ..
Mitglied: aqui
15.02.2013, aktualisiert um 18:38 Uhr
Von der IPFire kann man dir nur abraten. Zu kompliziert und zu unübersichtlich und unflexibel in der Konfiguration !
Besser ist es du verwendest eine Monowall oder pfSense mit der du erheblich mehr Möglichkeiten hast und zudem sind sie sehr stromsparend auf einer kleinen Appliance zu installieren:
https://www.administrator.de/wissen/preiswerte-vpn-f%c3%a4hige-firewall- ...
Allemal besser für dein Projekt und für einen Laien erheblich einfacher umzusetzen !
Passende Literatur gibt es auch noch dazu:
http://www.amazon.de/Pfsense-Definitive-Michael-W-Lucas/dp/0979034280

DynDNS und VPNs lässt man logischerweise immer auf dem ersten Routing Device enden nach dem Modem um den großen problemen mit NAT und dem damit verbundenen Port Forwarding aus dem Wege zu gehen !
In deinem beispiel also die Firewall.
Die im Tutorial beschriebene Monowall oder pfSense Lösung hat sowohl einen DynDNS Client als auch alle gängigen VPN protokolle von sich aus an Bord.
Kein problem also das umzusetzen...siehe Tutorial oben !
Bitte warten ..
Mitglied: Neulinuxer
04.03.2013 um 20:24 Uhr
Auch für diese Links und Erläuterungen vielen Dank. Aber als du das geschrieben hast, lief IPFire schon. Inzwischen sogar in der aktuellsten Version. Danach bin ich dann nicht mehr auf die Alternativen umgestiegen.

So schlimm finde ich das System gar nicht. Okay, für Einsteiger wie mich nicht sofort besonders übersichtlich, aber mit Hilfe des Forums und der Wiki zu bewältigen.

Du schreibst es sei unflexibel in der Konfiguration. Bis zu dem Punkt bin ich noch nicht gekommen. Was genau meinst du damit?
Bitte warten ..
Mitglied: aqui
05.03.2013 um 09:52 Uhr
Das ist schade, denn die Alternativen sind um Längen besser in der Verwaltbarkeit und Konfiguration. Von dem Mehr an Features mal ganz abgesehen...aber wenn du damit leben kannst ist ja gut.
Die anderen sind für Einsteiger noch einfacher und noch besser dokumentiert..ist aber wie immer Geschmackssache und never touch a running System.
Die Konfiguration der pfSense oder Monowall z.B. geht über ein intuitives GUI. OK IPFire auch aber das GUI ist erheblich unflexibler und unübersichtlicher. Allein deswegen lohnt schon ei Wechsel....aber wie gesagt letztlich Gewöhnungssache.
Bitte warten ..
Ähnliche Inhalte
Netzwerke
FritzBox VPN einrichten
gelöst Frage von hoengerNetzwerke16 Kommentare

Hallo, Ich komme einfach nicht weiter. Diverse Abende habe ich eine Lösung gesucht in verschiedensten Foren. Und bin nicht ...

Netzwerkgrundlagen
VPN zwischen zwei Fritzboxen einrichten
Frage von gazrilla92Netzwerkgrundlagen3 Kommentare

Hallo erstmal alle zusammen. Ich bin neu hier im Forum und hoffe doch mal den richtigen Thread gefunden zu ...

Router & Routing
Fritzbox 6490 Cable VPN einrichten
Frage von Haoz64Router & Routing4 Kommentare

Hi Leute, ich erkläre mal kurz was ich vor habe. Ich bin zurzeit in der Türkei und möchte hier ...

Router & Routing

VPN Verbindung einrichten mit Fritzbox 7490 für Zugang zu Netzwerk

Frage von LoveAndHappinessRouter & Routing3 Kommentare

Hallo Freunde, ich möchte meinen Laptop mit meinem Server über VPN verbinden, so dass mein Laptop Zugang zum Netzwerk ...

Neue Wissensbeiträge
Humor (lol)
IoT-Gefahr: Smartes Aquarium leckt!
Information von Lochkartenstanzer vor 1 TagHumor (lol)3 Kommentare

Moin, Die IoT-Manie hat weitere Opfer gefunden. Ein Casino-Leck durch ein smartes Aquarium: Allerdings haben sie kein Wasser, sondern ...

Router & Routing

Alte Fritzbox 7270 mit VPN und SIP-Telefonie hinter O2 Homebox 6641 als "Modem"

Erfahrungsbericht von the-buccaneer vor 1 TagRouter & Routing3 Kommentare

Nun war es soweit: Auch O2 hat mich mit VOIP zwangsbeglückt. Heute am Privatanschluss, in 2 Wochen ist das ...

Sicherheit

Ungepatchte Remote Code Execution-Lücke in LG NAS

Information von kgborn vor 2 TagenSicherheit

Nutzt wer LG NAS-Einheiten? In den NAS-Einheiten der LG Network Storage-Einheiten gibt es eine sehr unschöne Schwachstelle, die einen ...

Windows Update

Neue Version KB4099950 NIC Einstellungen gehen verloren

Information von sabines vor 2 TagenWindows Update2 Kommentare

Es ist eine neue Version des KB4099950 verfügbar, die das Problem mit den verlorenen Netzwerkeinstellungen lösen soll. Das Datum ...

Heiß diskutierte Inhalte
Router & Routing
Mikrotik: Routing zwischen Interfaces mit Geräten ohne Gateway
Frage von TonLichtVideoRouter & Routing20 Kommentare

Hallo zusammen, ich komme aus dem Veranstaltungstechnik Bereich und habe zwei Netze um verschiedene Hardware zu Remoten. CONTROL1 192.168.1.0/24 ...

Linux Netzwerk
Raspberry Pi 3: WLAN Power save deaktivieren
Frage von nordie92Linux Netzwerk14 Kommentare

Moin moin, mein Raspberry Pi 3 Model B benötigt eine dauerhaft aktive WLAN-Verbindung. Leider bricht die WLAN-Verbindung nach einigen ...

Vmware
Server 2008 r2 vmware terminalserver
Frage von MasterCVmware11 Kommentare

Guten Abend zusammen, ich hoffe , dass einer von euch mir weiterhelfen kann ,bei meinem kack Problem ! Ist ...

VB for Applications
VBScript mit WINscp für einfachen FTP Transfer und nachträglichem verschieben der Datei in ein erledigt Verzeichnis
Frage von KeiosIDVB for Applications9 Kommentare

Hallo, leider soll ich auf den neueren Servern(Win2016R2) keine *.Bat Dateien mehr laufen lassen. Hier soll nun alles über ...