Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

FritzBox mit VPN hinter Firewall einrichten

Frage Netzwerke Router & Routing

Mitglied: Neulinuxer

Neulinuxer (Level 1) - Jetzt verbinden

29.01.2013, aktualisiert 19:39 Uhr, 10918 Aufrufe, 10 Kommentare

Ich habe ein funktionierendes Netzwerk mit festen IPs. Auf dieses greife ich unter anderem mit dem Android Smartphone, aber auch von einem zweiten Standort mit einer zweiten FritzBox 7390 via VPN zu. Das alles funktioniert fehlerfrei.

44923121f6a9c264e9d59a99caba4cdd - Klicke auf das Bild, um es zu vergrößern

Nun möchte ich der FritzBox 7390 eine Firewall (IPFire) vorschalten. Zur Verdeutlichung habe ich zwei Diagramme erstellt. Die sind nicht schön, aber sollten darstellen, was ich möchte. Die Firewall wird zwei Netzwerkschnittstellen haben. Daher habe ich beide angedachten IPs in das Diagramm geschrieben.

Ich habe einige ähnliche Beiträge hier gelesen. Das war lehrreich und führte für mich zu dem dargestellten Ergebnis.

Ist die Einstellung der IPs der Firewall so richtig gewählt? Wie müssen nach der Ergänzung durch die Firewall die DNS und Gateway Einstellungen der Clients sein? Die müssten doch eigentlich identisch bleiben, da die FritzBox weiterhin zur Verfügung steht. Es müsste doch so sein, dass lediglich die FritzBox "bemerkt" dass da eine Firewall ist, oder?

Was ist mit den DynDNS Einstellungen in der FritzBox? Können die unverändert bestehen bleiben?

Was müsste ich nun wo einstellen, damit die vorhandenen VPN Verbindungen weiterhin funktionieren?

edit: Das Wort Firewall gehört natürlich etwas weiter nach links!

cc54f2080e07d737690860e40656f501 - Klicke auf das Bild, um es zu vergrößern

Mitglied: aqui
29.01.2013, aktualisiert um 20:13 Uhr
Wenn die FW alle Verbindungen und auch das VPN übernimmt und die FritzBox nur noch als dummer WLAN Accesspoint arbeiten soll ist die IP Adressierung so OK.
http://www.administrator.de/wissen/kopplung-von-2-routern-am-dsl-port-4 ... --> "Alternative 3"
Soll das allerdings eine Kaskadierung von Routern sein (die FW ist ja auch ein Router !) ist die IP Adressierung natürlich komplett falsch, denn dein IP Netz ist überall gleich und die FB kann ja niemals mehr routen !
http://www.administrator.de/wissen/kopplung-von-2-routern-am-dsl-port-4 ... --> "Alternative 2"
und
http://www.administrator.de/contentid/123285 --> "OVPN hinter NAT Router"
bzw.
http://www.administrator.de/contentid/149915
Ggf. solltest du also hier dringenst noch einmal dein Grundwissen zum IP Routing auffrischen, damit du wirklich weisst was du da machst ?!
Du musst dann also ein separates Transfer IP Netz zw. FW, dann klappt das.
Soll die FB auch noch weiter das VPN bedienen (Was Unsinn wär, da die FW das ebenso besser kann ohne PFW !) müsstest du zusätzlich noch die IPsec VPN Ports:
UDP 500
UDP 4500
ESP Protokoll
auf die dahinterliegende WAN IP der FB forwarden.
Leider enthälst du uns dazu ja die technischen Details vor, so das wir hier nur raten können was du willst
Bitte warten ..
Mitglied: Neulinuxer
29.01.2013, aktualisiert 08.01.2015
Ich möchte euch nichts vorenthalten, da ich ja sonst keine Lösung bekommen

Die FW soll sich mit dem DSL Anschluss verbinden und den Traffic scannen, mehr nicht. Die Fritzbox wird dann in den Modus "Vorhandener Zugang über Lan (oder so ähnlich)" statt "Verbindung mit t-online DSL aufbauen" versetzt. So habe ich mir das zumindest bisher gedacht. Alle anderen Aufgaben, die die FB bisher erledigt, soll sie auch weiterhin erledigen. Das sind z. B. Wlan, VPN, Whitelist/Blacklist, Kindersicherung, etc. Eine DMZ ist nicht vorgesehen.

Alternative 3 - passt also schon mal nicht.
Alternative 2 - das würde voraussetzen, dass ich dem Wan-Port der FritzBox eine eigene IP zuweisen kann, wenn ich das richtig verstehe.

b56744023410245680531041b93236ce - Klicke auf das Bild, um es zu vergrößern

Aber geht das?

Nun habe ich im Menü der FritzBox mal rumgesucht und die Hilfe bemüht. Jetzt habe ich noch mehr Fragen als vorher Muss die FB überhaupt routen? Reicht es nicht aus, wenn sie IP-Client in 192.168.1.xxx wird. Denn die Hilfe beschreibt diesen Begriff eigentlich genau so, wie ich es mir gedacht habe. Aber ist das auch sinnvoll und sicher? Oder habe ich nach dem Umbau mehr Sicherheitslücken als zuvor?
Bitte warten ..
Mitglied: marinux
29.01.2013 um 22:27 Uhr
Nur am Rande, die FB kann auch auf WAN (sowie allen anderen Schnittstellen) sniffen, sofern es Dir nur darum geht.

Gruß
Bitte warten ..
Mitglied: aqui
30.01.2013 um 12:00 Uhr
.@Neulinuxer
OK, dann ist das ein simples und einfaches Standardszenario entweder mit Router vor der FW (nicht so toll da 2 mal NAT und ggf. Performanceeinbussen) oder mit einem einfachen Modem davor oder Router im PPTP Passthrough Modus (Alternative 1)
Letztere ist die bessere Version ! Sie benatwortet auch gleich deine Frage: NEIN, die FB muss nicht routen ! Es reicht wenn sie als simples Modem arbeitet sofern man das wie bei den Speedport Gurken im Setup einstellen kann (PPPoE Passthrough !)
Wenn nicht erstehst du für ein paar Euro auf eBay ein simples NUR Modem für DSL.
Wenn die FB als Modem arbeiten kann, dann spielen IP Adressen keinerlei Rolle mehr, denn wie du als Netzwerker ja weisst sind IP Adressen einzig nur dann relevant wenn du routen willst...genau das willst du ja möglichst nicht also sind IP Adressen auf einem Modem oder einem zum Modem gemachten Router völlig irrelevant und einzig fürs Management da.
Sicherheitslücken sind natürlich Blödsinn, denn du hast ja eine Firewall dahinter.
Die kann 100mal mehr und sicherer "firewallen" als eine einfache Fritzbox, da sie eine statefull Firewall ist (wenn du weisst was das ist ?!)
Ist ja auch der tiefere Sinn weil du ja zusätzlich eine Firewall einsetzen willst, oder ?!
Bitte warten ..
Mitglied: Neulinuxer
31.01.2013 um 12:21 Uhr
Oh Mann, eine Menge Stoff für mich. Ich werde versuchen mich schlau zu lesen und dann berichten. Danke schonmal für die Infos und Links!
Bitte warten ..
Mitglied: aqui
02.02.2013 um 12:59 Uhr
Dann mal los ! Wir sind gespannt auf dein Feedback !
Bitte warten ..
Mitglied: Neulinuxer
14.02.2013, aktualisiert um 10:46 Uhr
Inzwischen bin ich etwas weiter mit der Planung (und der Hardware für die FW) und konnte durch das Lesen der Beiträge hier im Forum auch mein Wissen mehren - ich hoffe ich habe alles richtig verstanden. Sollte es mit den IPs dann trotzdem nicht klappen, werde ich eure Hilfe dafür nochmal in Anspruch nehmen müssen.

So soll es künftig aussehen:

INet -- VDSL-Modem -- IPFire -- FritzBox -- Clients

Es wird ein doppeltes NAT geben.

Du hast geschrieben, dass es sinnvoller ist, VPN durch die FW herzustellen. Das werde ich so versuchen. Gilt das auch für DynDNS?
Bitte warten ..
Mitglied: aqui
15.02.2013, aktualisiert um 18:38 Uhr
Von der IPFire kann man dir nur abraten. Zu kompliziert und zu unübersichtlich und unflexibel in der Konfiguration !
Besser ist es du verwendest eine Monowall oder pfSense mit der du erheblich mehr Möglichkeiten hast und zudem sind sie sehr stromsparend auf einer kleinen Appliance zu installieren:
http://www.administrator.de/wissen/preiswerte-vpn-f%c3%a4hige-firewall- ...
Allemal besser für dein Projekt und für einen Laien erheblich einfacher umzusetzen !
Passende Literatur gibt es auch noch dazu:
http://www.amazon.de/Pfsense-Definitive-Michael-W-Lucas/dp/0979034280

DynDNS und VPNs lässt man logischerweise immer auf dem ersten Routing Device enden nach dem Modem um den großen problemen mit NAT und dem damit verbundenen Port Forwarding aus dem Wege zu gehen !
In deinem beispiel also die Firewall.
Die im Tutorial beschriebene Monowall oder pfSense Lösung hat sowohl einen DynDNS Client als auch alle gängigen VPN protokolle von sich aus an Bord.
Kein problem also das umzusetzen...siehe Tutorial oben !
Bitte warten ..
Mitglied: Neulinuxer
04.03.2013 um 20:24 Uhr
Auch für diese Links und Erläuterungen vielen Dank. Aber als du das geschrieben hast, lief IPFire schon. Inzwischen sogar in der aktuellsten Version. Danach bin ich dann nicht mehr auf die Alternativen umgestiegen.

So schlimm finde ich das System gar nicht. Okay, für Einsteiger wie mich nicht sofort besonders übersichtlich, aber mit Hilfe des Forums und der Wiki zu bewältigen.

Du schreibst es sei unflexibel in der Konfiguration. Bis zu dem Punkt bin ich noch nicht gekommen. Was genau meinst du damit?
Bitte warten ..
Mitglied: aqui
05.03.2013 um 09:52 Uhr
Das ist schade, denn die Alternativen sind um Längen besser in der Verwaltbarkeit und Konfiguration. Von dem Mehr an Features mal ganz abgesehen...aber wenn du damit leben kannst ist ja gut.
Die anderen sind für Einsteiger noch einfacher und noch besser dokumentiert..ist aber wie immer Geschmackssache und never touch a running System.
Die Konfiguration der pfSense oder Monowall z.B. geht über ein intuitives GUI. OK IPFire auch aber das GUI ist erheblich unflexibler und unübersichtlicher. Allein deswegen lohnt schon ei Wechsel....aber wie gesagt letztlich Gewöhnungssache.
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Router & Routing
gelöst Aus Gastzugang (Fritzbox) VPN Verbdindung nach Hause aufbaue (5)

Frage von duffy6 zum Thema Router & Routing ...

Router & Routing
gelöst FritzBox VPN nur für internes Netz nutzen (15)

Frage von aif-get zum Thema Router & Routing ...

Netzwerke
gelöst Fritzbox - HW Firewall oder Pfsense - Netzwerkaufbau (11)

Frage von dvdrei zum Thema Netzwerke ...

Netzwerke
FritzBox VPN funktioniert zwar, jedoch kein Internetzugriff (1)

Tipp von pelzfrucht zum Thema Netzwerke ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (22)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...