laserralle
Goto Top

VPN auf FritzBox 7360 hinter FritzBox 7490 funktioniert nach Update auf FritzOS 6.50 nicht mehr

Hallo zusammen,

nach einiger Recherche hier bei Euch und bei Google muss ich doch eine Frage zum diesem (wohl sehr leidigen) Thema stellen.
Wir verwenden oben genannte Router-Kaskade um das "interne" private Netz hinter der Fritte 7360 von der DMZ hinter der 7490 abzugrenzen. Außerdem hatten wir eine VPN auf die "interne" 7360 (mit den entsprechenden Portweiterleitungen UDP 500, 4500 und ESP von der 7490 auf die 7360). Soweit so gut. Nach einem Update der beiden Boxen auf FritzOS 6.50 funktioniert diese Konfiguration nun auf einmal nicht mehr. Auch eine Neu-Einrichtung der VPN-Verbindung und der Portweiterleitungen brachte keine Besserung. Der AVM-Support sagt mir, dass dieses Szenario nicht unterstützt wird...
Hat jemand schon ähnliche Erfahrungen gemacht?

Danke,
Ralf

Content-Key: 308368

Url: https://administrator.de/contentid/308368

Ausgedruckt am: 28.03.2024 um 22:03 Uhr

Mitglied: 108012
108012 28.06.2016 um 13:21:24 Uhr
Goto Top
Hallo,

wenn man zwei Router hintereinander stellt und sie mit einander verbindet hat man eine Routerkaskade
eingerichtet nur in der Regel und das auch mit gutem Grund sollte nur und ausschließlich der erste
Router ein integriertes Modem haben, der zweite nicht! Und das VPN wird in der Regel bei einer solchen
Konstruktion immer an dem ersten Router terminiert und alles was man durch dieses VPN (Tunnel)
erreichen möchte kommt auch hinter diesen ersten Router mit dem integrierten Modem und das restliche
LAN kommt hinter den zweiten Router und macht auch wieder SPI/NAT damit es von dem ersten Netz
hinter dem ersten Router völlig abgeschottet ist. Und wenn man nun am zweiten Router das VPN terminiert,
macht das alles keinen richtigen Sinn mehr und nur weil "etwas" praktikabel ist und sich umsetzen lässt
muss es auch noch lange nicht von AVN unterstützt werden! Denn man hat ja auch die Möglichkeit den
ersten Router in den bridge Mode zu setzen und dahinter einen zweiten Router aufzustellen und/oder
nur einen Router und dessen integriertes Modem zu benutzen.

Mein Tipp wäre alles was erreichbar sein soll hinter die erste AVM FB zu stellen entweder direkt
anschließen oder mittels eines kleinen Switches und dann dahinter alles was sicher sein soll hinter
einen zweiten Router oder eine Firewall bzw. an einen Switch der dort steht. Also NAS, SAN, Recorder
& IP Kameras sowie Spielekonsolen sollten hinter die erste AMV FB gestellt werden, so belasten sie
den Netzwerkverkehr im dahinterliegenden LAN nicht und sind dennoch aus diesem gut zu erreichen
aber eben auch aus dem Internet via VPN.

Oder man kauft sich gleich ein reines Modem wie den DrayTek Vigor 130 und einen MikroTik oder
eine pfSense Firewall, IPFire oder ClearOS und bildet dann eine DMZ und eine LAN Zone.

Gruß
Dobby
Mitglied: LaserRalle
LaserRalle 28.06.2016 um 13:50:46 Uhr
Goto Top
Hallo Dobby,

vielen Dank für die schnelle Rückmeldung. Du hast ja im Prinzip recht mit deinen Ausführungen, aber wir haben halt einige Rechner die eben nicht in der "äußeren" Zone stehen sollen (weil dort ggf. nicht gegen Zugriff durch Dritte geschützt), die aber trotzdem per VPN erreichbar sein sollen. An der "äußeren" FritzBox 7490 hängen wiederum noch einige ISDN-Telefone, so dass diese nicht ohne weiteres durch ein einfaches DSL-Modem ersetzt werden kann. Wir sind auch prinzipiell bereit die interne FritzBox gegen einen anderen Router zu tauschen, ich wollte jedoch vorher nichts unversucht lassen das ganze mit den bestehenden Komponenten zu realisieren.

Danke,
Ralf
Mitglied: 108012
108012 28.06.2016 um 14:45:40 Uhr
Goto Top
vielen Dank für die schnelle Rückmeldung. Du hast ja im Prinzip recht mit deinen Ausführungen,
aber wir haben halt einige Rechner die eben nicht in der "äußeren" Zone stehen sollen
(weil dort ggf. nicht gegen Zugriff durch Dritte geschützt), die aber trotzdem per VPN
erreichbar sein sollen.
Das ist irgend wie Quatsch, zumindest so wie ich das sehe, denn wenn ich an der AVM FB 7490
also der ersten der beiden AVM FBs bzw. am ersten Router alle Ports dicht habe, und dann nur
via VPN darauf zugreife dann ist das Netz doch sicher, oder nicht? Und wenn ich hinter der ersten
AVM FB also dem ersten Router einen kleinen Switch stelle, Cisco SG300 der eigenständig VLANs
routen kann und dem ich dann sage dass man aus dem VPN Netz also dem entfernten Netzwerk
nur auf das VLAN 10 und 20 zugreifen kann aber nicht auf das VLAN 40 und 50 sollte das auch passen!

An der "äußeren" FritzBox 7490 hängen wiederum noch einige ISDN-Telefone, so dass diese nicht
ohne weiteres durch ein einfaches DSL-Modem ersetzt werden kann. Wir sind auch prinzipiell bereit
die interne FritzBox gegen einen anderen Router zu tauschen, ich wollte jedoch vorher nichts
unversucht lassen das ganze mit den bestehenden Komponenten zu realisieren.
Dann würde ich entweder einen MikroTik Router oder aber einen Cisco SG300 Switch zu nehmen
und dann an der ersten AVM FB die Telefone dran anschließen und den Zugriff auf das dahinter
liegende Netzwerk bzw. die VLANs regeln.

Gruß
Dobby
Mitglied: LaserRalle
LaserRalle 28.06.2016 um 15:24:58 Uhr
Goto Top
Zitat von @108012:


Das ist irgend wie Quatsch, zumindest so wie ich das sehe, denn wenn ich an der AVM FB 7490
also der ersten der beiden AVM FBs bzw. am ersten Router alle Ports dicht habe, und dann nur
via VPN darauf zugreife dann ist das Netz doch sicher, oder nicht? Und wenn ich hinter der ersten
AVM FB also dem ersten Router einen kleinen Switch stelle, Cisco SG300 der eigenständig VLANs
routen kann und dem ich dann sage dass man aus dem VPN Netz also dem entfernten Netzwerk
nur auf das VLAN 10 und 20 zugreifen kann aber nicht auf das VLAN 40 und 50 sollte das auch passen!

Das äußere Netz (DMZ) nutzen Dritte mit, die nicht auf das innere Netz hinter der zweiten FB kommen sollen.
Per VPN will ich nur in das innere Netz und gar nicht in das äußere. Die VPN terminiert aber an der äußeren FB.
Gibt es dann eine Möglichkeit entweder auf der äußeren FB die VPN-Verbindung zur inneren FB oder zum ensprechenden VLAN auf dem Cisco SG300 weiterzuleiten? Was ich eigentlich will soll folgendes Bild noch einmal kurz verdeutlichen:

netzwerk-schema

Dann würde ich entweder einen MikroTik Router oder aber einen Cisco SG300 Switch zu nehmen
und dann an der ersten AVM FB die Telefone dran anschließen und den Zugriff auf das dahinter
liegende Netzwerk bzw. die VLANs regeln.

Kann ich die VPN-Verbindung von der FritzBox in ein bestimmtes VLAN routen? Und noch eine (vielleicht dumme) Frage: müssen die Switches hinter dem Cisco SG300 auch VLAN-fähig sein?
Mitglied: 108012
108012 28.06.2016 um 16:05:13 Uhr
Goto Top
Hallo nochmal,

es gibt meine Meinung nach dafür mehrere Möglichkeiten die man benutzen kann um das Ganze
umzusetzen! und man muss auch nur eine davon benutzen. Ist eben je nach Geldbeutel und Budget
oder aber auch nach dem Wissensstand eine Sache für sich.

1. Kostenlose Variante:
An dem LAN Port 4 der AVM FB 7490 die DMZ Funktion aktivieren, und dort einen Switch an LAN
Port 4 dranhängen, das ist dann die "DMZ"! Und an den anderen LAN Ports 1 - 3 kann man dann
die anderen Geräte oder mehrere Switche anschließen und daran dann die LAN Klienten.

Beide Netze sind von einander getrennt und können nicht aufeinander zugreifen, aber mittels
VPN kann man auf das Netz in der DMZ zugreifen, fertig.

2. Routerkaskade:
Einen MikroTik, DD-WRT oder OpenWRT Router hinter die erste AVM FB 7490 hängen und dann
das LAN dahinter aufbauen. geht schnell ist aber eine steile Lernkurve aber dafür sicherer. Auch
hier würde ich zusätzlich die DMZ Funktion an dem LAN Port 4 der AVM FB aktivieren um das
DMZ Netz klein zu halten und abzuschotten, wenn dem nicht so ist, kann man außerdem von dem
LAN hinter dem Router auch auf das DMZ Netz zugreifen, je nach dem ob das erwünscht ist sollte
man verfahren.

3. AVM FB und VLANs
Man stellt hinter der AVM FB 7490 einen Layer3 Switch auf und konfiguriert dort zwei VLANs
und ein Transfernetz, da die AVM FB nur eingeschränkt VLANs routen kann, aber der Layer3
Switch kann das selbständig und voll und ganz erledigen. Und in ein VLAN darf dann eben der
VPN Kontakt bzw. deren Netzwerk drauf zugreifen und auf das andere nicht, fertig. Hier beitet
sich ein Cisco SG300 oder D-Link DGS1510 an, der kann VLANs selber routen und ist ein Layer3
Switch mit dem man auch mittels ACLs die Zugriffe regeln kann.

4. Richtige Firewall am WAN:
Eine pfSense oder IPFire Firewall hinter einem DrayTek Vigor 130 Modem und dort wird dann
eben eine DMZ und ein LAN aufgesetzt oder aber nur zwei LAN Segmente, das kann durch ein
einfaches Routing oder aber auch durch VLANs erfolgen. Und ist sicherlich mittels Firewallregeln
auch besser zu sichern bzw. die Zugriffe können besser konfiguriert werden.

5. Richtige Firewall im LAN:
Ist ähnlich wie bei dem obigen Beispiel in Nr. 2 mit der Routerkaskade nur man kann auch die
AVM FB 7490 nur für das Telefonieren benutzen und richtet dann hinter der Firewall zwei Netze
ein und auf das eine kann dann zugegriffen werden von außerhalb und seitens dem anderen nicht.

Gruß
Dobby
Mitglied: LaserRalle
LaserRalle 28.06.2016 aktualisiert um 16:41:56 Uhr
Goto Top
Hallo Dobby,

vielen Dank für deine ausführliche Antwort!

Variante 1 fällt leider für mich aus, da in dem Gastnetz an Port 4 der FB leider ein IP-Telefon steht, das über die Gastnetz-Funktion der FritzBox geblockt wird.

Varianten 3-5 sind mit Neuanschaffung von Hardware verbunden, so dass ich erst einmal Variante 2 versuchen werde (so wie es ja de facto jetzt auch ist, nur das die VPN-Pakete nicht bei der zweiten FB ankommen). Ich habe noch einen einfachen Router zu Hause, der hoffentlich ein anderes VPN-Protokoll (nicht IPSEC) als die FB beherrscht, so dass ich die Hoffnung habe die VPN mit einer entsprechenden Weiterleitung am Router anstatt an der FB terminieren zu lassen.

Ich gebe noch einmal bescheid, ob das geklappt hat.

Vielen Dank noch einmal,
Ralf