Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Port Weiterleitung an Rechner in VPN

Frage Netzwerke Router & Routing

Mitglied: veryxrv

veryxrv (Level 1) - Jetzt verbinden

10.04.2014, aktualisiert 01:15 Uhr, 5003 Aufrufe, 9 Kommentare

Hallo zusammen,

ich wende mich mit einer etwas spezielleren Frage an dieses Forum:

Ich habe eine FritzBox 6360 Cable. Von außen soll ein bestimmter Port, sagen wir 3300, an einen Rechner weitergeleitet werden, der per *VPN* im lokalen Netz hängt. Lässt sich das irgendwie realisieren oder wo liegen da die technischen Einschränkungen?

Ich habe eine Portfreigabe für die lokale IP eingerichtet, die der VPN Client bekommen hat, doch dies funktioniert nicht. Das sähe in etwa so aus:

Client 1 -> Internet -> Fritzbox (:3300) -> LAN -> VPN -> Client 2

Am liebsten hätte ich, dass der Rechner (Client 2 in dem Falle) im VPN genau so behandelt wird, wie wenn er per WLAN im Netz hängt. Hintergrund ist, dass ich halt manchmal im Büro bin und die Port-Weiterleitung über das WLAN stattfindet und ich manchmal per VPN im Netz hänge, alles aber so funktionieren soll, als wäre ich im WLAN.

Für Ratschläge wäre ich sehr dankbar! Vielen Dank schon mal im Voraus!
Mitglied: keine-ahnung
10.04.2014, aktualisiert um 07:44 Uhr
Moin,

wie darf man das verstehen:
Client 1 -> Internet -> Fritzbox (:3300) -> LAN -> VPN -> Client 2
??
Du baust ein VPN zwischen Deinem Router und Deinem lokalen LAN und lässt Deinen Router WAN-seitig alle Büchsen frei reinschauen?? Über was für eine Art von VPN reden wir hier eigentlich??

LG, Thomas
Bitte warten ..
Mitglied: veryxrv
10.04.2014, aktualisiert um 09:53 Uhr
Also, ich habe ein LAN, in dem sich der Router sowie mehrere physisch lokale Rechner befinden. EIN Port wird vom Router aus dem WAN in dieses LAN an eine bestimmte lokale IP weitergeleitet. Nun soll diese IP dem Rechner gehören, der sich per VPN in das LAN eingeklinkt hat.

Übrigens handelt es sich um das Fritz!Box integrierte VPN (IPSec).
Bitte warten ..
Mitglied: keine-ahnung
10.04.2014 um 10:02 Uhr
Moin,

Du musst Dich schon entscheiden . Entweder gibst Du den Port auf den Rechner frei, dann kannst Du den service aus dem WAN auch ohne VPN ansprechen. Oder Du machst das mit dem VPN, dann brauchst Du auch keine Portweiterleitung, dann rufst Du halt den service, den Du ansprechen willst mit der Portangabe direkt auf.

Irgendwo habe ich hier ein Verständnisproblem ... da musst Du mal mehr in's Detail gehen.

LG, Thomas
Bitte warten ..
Mitglied: veryxrv
10.04.2014 um 11:04 Uhr
Danke für die Antwort!

Ich gehe mal mehr ins Detail

Es handelt sich um ein Fernwartungstool, genannt SingleClick (UltraVNC). Dieses wird auf einem beliebigen Rechner im WAN ausgeführt und verbindet sich mit einem Host in meinem LAN. Diese Verbindung kommt über einen DNS Namen, die FritzBox und eine entsprechenden Portweiterleitung zustande.

Dementsprechend verbinde nicht ich mich mit einem Service, sondern der Rechner im WAN, der gewartet werden soll. Der Service läuft dann auf meinem Rechner, der per VPN ins LAN eingebunden ist.

Ich hoffe, jetzt ist es besser nachvollziehbar...
Bitte warten ..
Mitglied: keine-ahnung
10.04.2014, aktualisiert um 12:59 Uhr
ch hoffe, jetzt ist es besser nachvollziehbar...
Kein Stück!

Du hast auf irgendwelchen Büchsen ausserhalb Deines LAN einen VNC-Dienst zu laufen, die Du mittels VNC von einem PC aus Deinem LAN (hinter der Fritte) fernwarten willst - korrekt?
Bitte warten ..
Mitglied: veryxrv
10.04.2014 um 17:07 Uhr
Genau. Ein PC im WAN verbindet sich mit meinem PC, der wiederum im VPN hängt und muss dabei die FritzBox passieren. Dazu muss der Port vom WAN aus an meinen Rechner im VPN weitergeleitet werden.
Bitte warten ..
Mitglied: aqui
10.04.2014, aktualisiert um 17:21 Uhr
Na ja das Konstrukt ist schon etwas konfus aber es soll wohl so sein:

Client 2 wählt sich per VPN über die FB ins lokale Netz und kann dort arbeiten wie ein lokaler Rechner, was ja auch der tiefere Sinn eines VPNs ist...logisch !

Client 1 kommt auch vom Internet, soll aber per Port Forwarding also mit einem Loch in der FB Firewall in das lokale Netzwerk geleitet werden eben auf die lokale IP Adresse des Client 2 der via VPN drin ist.

Generell: Ja grundsätzlich ist das so machbar und funktioniert auch. Knackpunkt ist hier (sofern es sich um Winblows Rechner handelt ?) das das virtuelle VPN Tunnel Interface des Client 2, denn dort ist die Windows Firewall aktiv !
Wenn die nun wie bei virtuellen VPN Interfaces üblich ein öffentliches Profil darauf etabliert ist aus mit dem Erreichen des Clients, denn alle Zugriffe die zum Client 2 erfolgen werden geblockt.
Ganz besonders die von Client 1, denn der kommt aus dem öffentlichen Internet auch noch mit einer fremden, öffentlichen Absender IP dort die generell von der FW geblockt wird da ja nicht lokales Netz.
Das wäre die erste Hürde.
Die zweite liegt in der Tatsache das die VPN Clients dynamische IPs bekommen und die wechseln können.
Wenn du also nun ein Port Forwarding Eintrag in der FB auf die lokale IP xyz des Clients 2 hast ist diese am nächsten Tag bei der nächsten Einwahl dann zyx und die Port Forwarding Regel läuft damit ins Nirwana.
Spätestens die tägliche Zwangstrennung sorgt für einen Abbruch des VPN Tunnels.
Wenn du also sicherstellen kannst das die VPN Tunnel IP bei Client 2 immer fest dieselbe bleibt damit die Forwarding Regel greift und auch die Firewall am Tunneladapter von Client 2 entsprechend richtig customized das sie diesen Traffic durchlässt...dann sollte das fehlerfrei funktionieren !
Wie immer ist hier der Wireshark beim Troubleshooting dein allerbester Freund !!

Die grundsätzliche Frage stellt sich nach der Sinnhaftigkeit dieses Designs. Warum nutzt der eine ein sicheres VPN und beim anderen ist das egal da bohrt man fröhlich ein Loch in die Router Firewall ?
Warum also nicht alles mit Port Forwarding oder warum nicht alles per VPN. Letzteres wäre sinniger und auch sicherer ?!
Bitte warten ..
Mitglied: veryxrv
11.04.2014 um 00:40 Uhr
Erst mal vielen Dank für die ausführliche Antwort und den Tip mit der Firewall.

Ich habe die Windows Firewall auf Client 2 komplett deaktiviert. Gilt das dann auch für VPN Verbindungen?
Ich kann jedenfalls keine Erfolge verzeichnen Client 2 ist immer mit derselben IP im VPN, so dass das Port Forwarding eigentlich funktionieren sollte. Komischerweise kann ich Rechner im LAN anpingen, jedoch nicht die FritzBox. Auch bekomme ich beim Ping von Client 2 auf die Internet-IP der FritzBox keine Antwort, kann aber gleichzeitig mit Client 2 über VPN und die FritzBox ins Internet. ipconfig spuckt auch für keinen einzigen Adapter die IP aus, die Client 2 angeblich für die VPN Verbindung erhalten haben soll (laut FritzBox Interface).

Irgendeine Idee?
Bitte warten ..
Mitglied: aqui
11.04.2014 um 08:49 Uhr
ipconfig spuckt auch für keinen einzigen Adapter die IP aus
Hört sich nicht wirklich gut an. Sind dort GPO Regeln erstellt die einen Zugriff unterbinden. Hört sich an das da am Client 2 etwas schiefläuft...?!
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Server
OpenVPN Fritzbox Port weiterleitung TCP 443 (6)

Frage von D46505Pl zum Thema Server ...

Netzwerke
VPN nur für bestimmte Port(s) verwenden unter Win10 (1)

Frage von Bluebrain zum Thema Netzwerke ...

Netzwerke
gelöst VPN Verbindung WIndows Rechner via FritzBox Fernzugang - Kein Internet

Frage von garack zum Thema Netzwerke ...

Windows Netzwerk
gelöst VPN Verbindung von Windows 10 Rechner an FritzBox 7490 (8)

Frage von Schwalbenfahrer zum Thema Windows Netzwerk ...

Heiß diskutierte Inhalte
DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (10)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (9)

Frage von 1410640014 zum Thema Backup ...