Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Port Weiterleitung an Rechner in VPN

Mitglied: veryxrv

veryxrv (Level 1) - Jetzt verbinden

10.04.2014, aktualisiert 01:15 Uhr, 6140 Aufrufe, 9 Kommentare

Hallo zusammen,

ich wende mich mit einer etwas spezielleren Frage an dieses Forum:

Ich habe eine FritzBox 6360 Cable. Von außen soll ein bestimmter Port, sagen wir 3300, an einen Rechner weitergeleitet werden, der per *VPN* im lokalen Netz hängt. Lässt sich das irgendwie realisieren oder wo liegen da die technischen Einschränkungen?

Ich habe eine Portfreigabe für die lokale IP eingerichtet, die der VPN Client bekommen hat, doch dies funktioniert nicht. Das sähe in etwa so aus:

Client 1 -> Internet -> Fritzbox (:3300) -> LAN -> VPN -> Client 2

Am liebsten hätte ich, dass der Rechner (Client 2 in dem Falle) im VPN genau so behandelt wird, wie wenn er per WLAN im Netz hängt. Hintergrund ist, dass ich halt manchmal im Büro bin und die Port-Weiterleitung über das WLAN stattfindet und ich manchmal per VPN im Netz hänge, alles aber so funktionieren soll, als wäre ich im WLAN.

Für Ratschläge wäre ich sehr dankbar! Vielen Dank schon mal im Voraus!
Mitglied: keine-ahnung
10.04.2014, aktualisiert um 07:44 Uhr
Moin,

wie darf man das verstehen:
Client 1 -> Internet -> Fritzbox (:3300) -> LAN -> VPN -> Client 2
??
Du baust ein VPN zwischen Deinem Router und Deinem lokalen LAN und lässt Deinen Router WAN-seitig alle Büchsen frei reinschauen?? Über was für eine Art von VPN reden wir hier eigentlich??

LG, Thomas
Bitte warten ..
Mitglied: veryxrv
10.04.2014, aktualisiert um 09:53 Uhr
Also, ich habe ein LAN, in dem sich der Router sowie mehrere physisch lokale Rechner befinden. EIN Port wird vom Router aus dem WAN in dieses LAN an eine bestimmte lokale IP weitergeleitet. Nun soll diese IP dem Rechner gehören, der sich per VPN in das LAN eingeklinkt hat.

Übrigens handelt es sich um das Fritz!Box integrierte VPN (IPSec).
Bitte warten ..
Mitglied: keine-ahnung
10.04.2014 um 10:02 Uhr
Moin,

Du musst Dich schon entscheiden . Entweder gibst Du den Port auf den Rechner frei, dann kannst Du den service aus dem WAN auch ohne VPN ansprechen. Oder Du machst das mit dem VPN, dann brauchst Du auch keine Portweiterleitung, dann rufst Du halt den service, den Du ansprechen willst mit der Portangabe direkt auf.

Irgendwo habe ich hier ein Verständnisproblem ... da musst Du mal mehr in's Detail gehen.

LG, Thomas
Bitte warten ..
Mitglied: veryxrv
10.04.2014 um 11:04 Uhr
Danke für die Antwort!

Ich gehe mal mehr ins Detail

Es handelt sich um ein Fernwartungstool, genannt SingleClick (UltraVNC). Dieses wird auf einem beliebigen Rechner im WAN ausgeführt und verbindet sich mit einem Host in meinem LAN. Diese Verbindung kommt über einen DNS Namen, die FritzBox und eine entsprechenden Portweiterleitung zustande.

Dementsprechend verbinde nicht ich mich mit einem Service, sondern der Rechner im WAN, der gewartet werden soll. Der Service läuft dann auf meinem Rechner, der per VPN ins LAN eingebunden ist.

Ich hoffe, jetzt ist es besser nachvollziehbar...
Bitte warten ..
Mitglied: keine-ahnung
10.04.2014, aktualisiert um 12:59 Uhr
ch hoffe, jetzt ist es besser nachvollziehbar...
Kein Stück!

Du hast auf irgendwelchen Büchsen ausserhalb Deines LAN einen VNC-Dienst zu laufen, die Du mittels VNC von einem PC aus Deinem LAN (hinter der Fritte) fernwarten willst - korrekt?
Bitte warten ..
Mitglied: veryxrv
10.04.2014 um 17:07 Uhr
Genau. Ein PC im WAN verbindet sich mit meinem PC, der wiederum im VPN hängt und muss dabei die FritzBox passieren. Dazu muss der Port vom WAN aus an meinen Rechner im VPN weitergeleitet werden.
Bitte warten ..
Mitglied: aqui
10.04.2014, aktualisiert um 17:21 Uhr
Na ja das Konstrukt ist schon etwas konfus aber es soll wohl so sein:

Client 2 wählt sich per VPN über die FB ins lokale Netz und kann dort arbeiten wie ein lokaler Rechner, was ja auch der tiefere Sinn eines VPNs ist...logisch !

Client 1 kommt auch vom Internet, soll aber per Port Forwarding also mit einem Loch in der FB Firewall in das lokale Netzwerk geleitet werden eben auf die lokale IP Adresse des Client 2 der via VPN drin ist.

Generell: Ja grundsätzlich ist das so machbar und funktioniert auch. Knackpunkt ist hier (sofern es sich um Winblows Rechner handelt ?) das das virtuelle VPN Tunnel Interface des Client 2, denn dort ist die Windows Firewall aktiv !
Wenn die nun wie bei virtuellen VPN Interfaces üblich ein öffentliches Profil darauf etabliert ist aus mit dem Erreichen des Clients, denn alle Zugriffe die zum Client 2 erfolgen werden geblockt.
Ganz besonders die von Client 1, denn der kommt aus dem öffentlichen Internet auch noch mit einer fremden, öffentlichen Absender IP dort die generell von der FW geblockt wird da ja nicht lokales Netz.
Das wäre die erste Hürde.
Die zweite liegt in der Tatsache das die VPN Clients dynamische IPs bekommen und die wechseln können.
Wenn du also nun ein Port Forwarding Eintrag in der FB auf die lokale IP xyz des Clients 2 hast ist diese am nächsten Tag bei der nächsten Einwahl dann zyx und die Port Forwarding Regel läuft damit ins Nirwana.
Spätestens die tägliche Zwangstrennung sorgt für einen Abbruch des VPN Tunnels.
Wenn du also sicherstellen kannst das die VPN Tunnel IP bei Client 2 immer fest dieselbe bleibt damit die Forwarding Regel greift und auch die Firewall am Tunneladapter von Client 2 entsprechend richtig customized das sie diesen Traffic durchlässt...dann sollte das fehlerfrei funktionieren !
Wie immer ist hier der Wireshark beim Troubleshooting dein allerbester Freund !!

Die grundsätzliche Frage stellt sich nach der Sinnhaftigkeit dieses Designs. Warum nutzt der eine ein sicheres VPN und beim anderen ist das egal da bohrt man fröhlich ein Loch in die Router Firewall ?
Warum also nicht alles mit Port Forwarding oder warum nicht alles per VPN. Letzteres wäre sinniger und auch sicherer ?!
Bitte warten ..
Mitglied: veryxrv
11.04.2014 um 00:40 Uhr
Erst mal vielen Dank für die ausführliche Antwort und den Tip mit der Firewall.

Ich habe die Windows Firewall auf Client 2 komplett deaktiviert. Gilt das dann auch für VPN Verbindungen?
Ich kann jedenfalls keine Erfolge verzeichnen Client 2 ist immer mit derselben IP im VPN, so dass das Port Forwarding eigentlich funktionieren sollte. Komischerweise kann ich Rechner im LAN anpingen, jedoch nicht die FritzBox. Auch bekomme ich beim Ping von Client 2 auf die Internet-IP der FritzBox keine Antwort, kann aber gleichzeitig mit Client 2 über VPN und die FritzBox ins Internet. ipconfig spuckt auch für keinen einzigen Adapter die IP aus, die Client 2 angeblich für die VPN Verbindung erhalten haben soll (laut FritzBox Interface).

Irgendeine Idee?
Bitte warten ..
Mitglied: aqui
11.04.2014 um 08:49 Uhr
ipconfig spuckt auch für keinen einzigen Adapter die IP aus
Hört sich nicht wirklich gut an. Sind dort GPO Regeln erstellt die einen Zugriff unterbinden. Hört sich an das da am Client 2 etwas schiefläuft...?!
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Mikrotik DynDNS und Port Weiterleitung
gelöst Frage von Rolf-Hanka.ITDRouter & Routing6 Kommentare

Hallo Leute, ich habe hier einen MikroTik Router vor mir ( zum ersten mal ) und bin dabei diesen ...

Router & Routing
Port Weiterleitung unter Server 2012 R2
gelöst Frage von davidoff1100101Router & Routing6 Kommentare

Hallo, ich habe in meinem Netzwerk das Problem das ich (meines Erachtens) eine Portweiterleitung unter Server 2012 benötige. Wenn ...

Router & Routing

Fritzbox 7490 und selfhost Port-Weiterleitung

Frage von petersberlinRouter & Routing31 Kommentare

Ich möchten über das Internet auf eine IP-Kamera zugreifen. Das hat alles per Port-Weiterleitung mit einem Speedport 504V der ...

Router & Routing

Mikrotik Connection Mark für Port Weiterleitungen

Frage von marc.mmcRouter & Routing1 Kommentar

Ich verwende zwei Digitalisierungsboxen als WAN Uplink und habe auf dem Mikrotik PCC zum Load Balancing konfiguriert. Ich möchte ...

Neue Wissensbeiträge
Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 32 MinutenAdministrator.de Feedback4 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 17 StundenHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 1 TagGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Sicherheit

Intel gibt neue Spectre V2-Microcode-Updates frei (20.02.2018)

Information von kgborn vor 1 TagSicherheit

Intel hat zum 20. Februar 2018 weitere Microcode-Updates für OEMs freigegeben, um Systeme mit neueren Prozessoren gegen die Spectre ...

Heiß diskutierte Inhalte
Server-Hardware
Welche Rolle spielt Design bei Enterprise IT Hardware?
Frage von ApolloXServer-Hardware17 Kommentare

Ich arbeite für einen internationalen Elektronikhersteller in der Forschung und meine Aufgabe ist es, Feedback von Nutzern in Hinsicht ...

Windows Netzwerk
WSUS4 und Windows 10 Updates automatisch installieren
Frage von sammy65Windows Netzwerk15 Kommentare

Hallo miteinander, ich habe mit einen neuen WSUS Server aufgesetzt Server 2016 darauf einen aktuellen WSUS. Grund, wir stellen ...

Switche und Hubs
Cisco SG350X-48 AdminIP in anderes VLAN
Frage von lcer00Switche und Hubs14 Kommentare

Hallo zusammen, ich habe ein Problem mir einem Cisco SG350X-48 bei der Erstinstallation wurde eine IP 192.168.0.254 (Default VLAN ...

Speicherkarten
Vergessliche USB-Sticks?
Frage von hanheikSpeicherkarten14 Kommentare

Ich habe in den letzten Tagen 500 USB-Sticks mit Bilddateien bespielt. Obwohl ich die Dateien mit größter Sorgfalt kopiert ...