Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Internetnutzung über einen VPN Tunnel zwischen zwei Fritz Boxen

Frage Netzwerke Router & Routing

Mitglied: Restock

Restock (Level 1) - Jetzt verbinden

25.07.2014 um 10:52 Uhr, 3184 Aufrufe, 7 Kommentare

Hallo Zusammen,

da ich mich seit Tagen mit Google beschäftige und leider noch keine brauchbare Lösung gefunden habe, stelle ich meine Frage einmal hier im Forum. Ich hoffe,dass ich die Kategorie richtig gewählt habe.

Ich möchte folgendes Szenario:
Ich habe einen Schulungsraum indem eine FritzBox 3370 (FB1) steht. Diese bezieht sich ihr Internet über einen vorgeschalteten Router auf dem eine komplette Portfreischaltung auf die FritzBox 3370 gegeben ist. Hinter der FritzBox (FB1) stehen ca. 20 Laptops. Diese Laptops sollen sich nun über einen VPN Tunnel mit einer FritzBox (FB2) an einem anderen Standort per VPN verbinden und den Internetanschluss der entfernten FritzBox für den Datenverkehr ins Internet nutzen.

Bildlich sieht es so aus:
Laptops -> FritzBox (FB1) -> Internetanschluss1 -> VPN Tunnel -> Internetanschluss2 (rein) -> FritzBox (FB2) -> Internetanschluss2 (wieder raus)
Anschließend entsprechend der Weg zurück.


Beide Router haben eine Feste IP Adresse.

Die Notebooks müssen auf eine Website zugreifen die sich leider nur über die FritzBox (FB2) ansprechen lässt. Die Website erlaubt leider nur den Zugriff über eine fest eingetragene IP und der Anbieter stellt mir keine weitere zur Verfügung.

Den VPN Tunnel habe ich erfolgreich aufgebaut und ich kann mich auch mit einem Client hinter dem FritzBoxen verbinden. Nur leider schaffe ich es nicht den Internettraffic über den Tunnel zu jagen.

Mittlerweile habe ich herausgefunden, dass man das ganze über den AVM VPN Client lösen kann. Allerdings möchte ich ungern mit 20 Clients auf eine FritzBox zugreifen. Laut diverser Foren kann es hier zu Verbindungsabbrüchen kommen.

Gibt es ähnlich der Anpassungen an der Konfig Datei (.cfg) des VPN Clients, eine Möglichkeit diese Anpassungen direkt an der VPN Einrichtung der FritzBox vorzunehmen?

Besten Dank
Jonas
Mitglied: MrNetman
25.07.2014 um 14:21 Uhr
Hi Jonas,

Wenn dein Tunnel steht, geht jeglicher Verkehr so oder so übers Internet!
Du willst das Netzwerk hinter der FB2 erreichen.
Was sagen deine basic-tools
tracert pathping und ping, wenn du auf einem normalen oder Schulungs-PC ins andere Netz willst.
Der Zugriff aufs Netz hinter der FB2 erfolgt mit privaten Adressen.

Gruß
Netman
Bitte warten ..
Mitglied: Restock
25.07.2014 um 15:40 Uhr
Hi Netman,

der Traffic läuft auch über das Internet und über den Tunnel kann ich auch auf die privaten Netze hinter FB1 und FB2 zugreifen. Das stellt kein Problem da.

Wenn ich allerdings eine DNS oder Tracert Anfrage in Internet sende zb. auf http://www.wieistmeineip.de/ gehen diese Anfragen direkt auf meiner FB1 raus und ich erhalte die Externe IP von meiner FB1. Ich möchte allerdings die Externe IP der FB2 angezeigt bekommen wenn ich die oben genannten Internetadresse anfrage. Genau hier liegt das Problem.

Wie gesagt mit dem AVM VPN Client bekomme ich dies hin. Wenn ich aber die dort eingetragenen Konfigänderungen in der Konfigdatei der Fritz Box eintrage wird diese nicht mehr akzeptiert. Das hier meine ich: http://www.pcwelt.de/ratgeber/Internet-Security-per-VPN-ueber-die-eigen ... . Nur halt einfach nicht mit dem Client, sondern mit einer zweiten FritzBox..

Danke!
Bitte warten ..
Mitglied: MrNetman
25.07.2014 um 17:10 Uhr
Dann nimm doch mal die schon erwähnten tools - tracert.
Dann siehst du den Unterschied.
Und es ist ja auch ein Unterschied ob man dem VPN gestattet lokal zu arbeiten oder nur remote. Das sind sicherheitsrelevante Einstellungen.
Du kannst ja auch den DNS deiner zweiten Fritzbox als Haupt-DNS eintragen....
aber erst musst du den Weg kennen, dann den Umweg.

Schönes Wochenende
Netman
Bitte warten ..
Mitglied: Maffi
26.07.2014 um 21:13 Uhr
Hallo Jonas,

Ich würde dir ipCop empfehlen, das ist ein Linux basierendes Betriebsystem, du könntest es in einer VM laufen lassen, auf beiden Seiten. ipCop verbindet sich via openVPN mit der gegenstelle. Alle Clients gucken auf den ipCop, im IP Cop könntest du, um die Leitung nicht zu strapazieren, alle anfragen über FB1 laufen lassen, und nur Anfrage zu Webseite XY via Route über den Tunnel jagen.

FB zu FB ist meines Wissens nicht möglich, theoretisch müsste aber ipCop zu Fritz funktionieren. dann müsstest du nur bei FB1 einen Rechner oder eine VM mit ipCop ausstatten.

Ob das die beste Lösung ist, kann ich dir nicht garantieren.
Bitte warten ..
Mitglied: aqui
27.07.2014, aktualisiert um 16:33 Uhr
Besser nicht IPCop den die Einrichtung dafür ist eine Qual. Wenn dann besser pfSense nehmen:
http://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
die es auch in einer VM gibt und die erheblich Anwender freundlicher über ein WebGUI einrichtbar ist.

So oder so ist das aber überflüssig, da es auch problemlos mit der o.a. FB Lösung funktioniert. Dein kardinalsfehler ist nur das du in der FB Konfig den gesamten Traffic in den Tunnel routest. Das ist eine fehlkonfiguration, denn da soll nur der Traffic für das remote lokale LAN geroutet werden sonst nichts.
Eine Fehlkonfiguration des VPNs auf den FBs das sich mit einem Mausklick in einer Minute korrigieren lässt.
Details zu IPsec VPNs wie sie die FB benutzen kannst du auch hier nachlesen:
http://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense ...
Bitte warten ..
Mitglied: Restock
28.07.2014 um 09:37 Uhr
Hallo Aqui,

besten Dank für die Verlinkung des Artikels. Er ist wirklich informativ. Ich habe die von dir vorgeschlagenen Änderungen an meinen Konfigurationsdateien entsprechend angepasst und auch noch weitere Einstellungsmöglichkeiten versucht, leider auch hier ohne Erfolg. Ich schaffe es weiterhin nicht, dass ich mit der Externen IP Adresse der FB2 surfen kann. Ich bekomme weiterhin im Internet die Externe IP der FB1 angezeigt...

Ich werde mich wohl doch damit anfreunden müssen, eine der genannten VM-Produkte zu testen.

Was ich einfach nicht verstehe, wieso das ganze mit dem AVM-VPN Client funktioniert aber mit einer zweiten FritzBox nicht...

Gruß
Jonas
Bitte warten ..
Mitglied: aqui
28.07.2014 um 14:28 Uhr
Wie gesagt das ist ein Konfig Fehler in der Konfig Datei deiner FB !!
Es ist der Parameter:
phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";
accesslist = "permit ip any 192.168.1.0 255.255.255.0"; / /lokales Netz Remote

Hier darf lediglich nur das remote IP Netz stehen und so landen dann auch nur diese Destination IPs mit dieser Netzwerkadress (Beispiel 192.168.1.x) im VPN Tunnel.
Alles andere geht lokal raus wenn man es richtig konfiguriert ?!
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...