Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

VPN Router (Juniper ssg5) hinter Fritzbox 7390

Frage Netzwerke Netzwerkmanagement

Mitglied: cadric

cadric (Level 1) - Jetzt verbinden

29.04.2013, aktualisiert 14:43 Uhr, 5389 Aufrufe, 9 Kommentare

Aufbau einer VPN Verbindung zu einer Juniper SSG5 hinter einer Fritzbox 7390

Hallo Zusammen im Administrator-Forum,

ich habe vor ca. 3 Wochen eine schnellere Internet Leitung angeschlossen bekommen:
50Mbit FTTC
Da ich seit letzter Woche im Netz nach Informationen suche und bisher nicht fündig wurde, stelle ich mein Problem hier zur Diskussion.

Leider musste meine existierene Anlage der neuen Fritzbox, welche vom Provider zur Verfügung gestellt wurde weichen.
Bis dato hatte ich den Zugriff aufs Internet über eine Juniper SSG5 per PPPoe Einwahl und standard DSL-Modem realisiert.
Bei meiner alten Konfiguration konnte ich per Shrew Client eine Verbindung über die Juniper in meine Heimnetz realisieren.
Leider geht dies nun mit der 7390 nicht mehr, da sie nicht mehr nur als dummes DSL Modem funktioniert. Ich weigere mich aber auch, mein komplettes Heimnetz nun über die Fritzbox zu regeln und alle Geräte umzukonfigurieren.

Ich möchte nun mittels Shrew client erneut eine VPN Verbindung ins Heimnetz realisieren, und dabei scheitere ich.

Hier mein jetziger Aufbau:

Shrew Client auf Laptop --- Internet --- Fritzbox --- Juniper SSG5 --- Heimnetz

Der WAN Anschluß der FB erhält per DDNS seine IP.
Das LAN der FB hat 192.168.100.x
Aus diesem Segment hat die WAN Schnittstelle der Juniper nun die statische Adresse 192.168.100.102 zugeordnet.
Die Juniper selber stellt dem Heimnetz unter 192.168.90.x alle IPs per DHCP zur Verfügung



Ich habe es nun soweit hinbekommen, mittel Shrew Client eine VPN Verbindung zur Fritzbox aufzubauen.
Die IP-Adresse der dahinter liegenden Juniper 192.172.100.102 ist auch per Ping erreichbar.

Aber eigentlich müßte es doch so funktionieren, dass ich per VPN zur Juniper verbinde und dann die Adressen im Heimnetz erreichen kann, und die Fritzbox die VPN Protokolle nur durchleitet. Dies habe ich aber bisher nicht hinbekommen.

Folgend Ports/Protokolle habe ich in der Fritzbox dazu weitergeleitet:

ESP
UDP 53
UDP 500
UDP 4500
GRE
TCP 10000

Wobei ich nicht sicher bin, welche genau oder ob nur ein einige davon für IPSEC mittels des Shrew client erforderlich sind. Von AVM wurde mir die Lösung über den Exposed Host angetragen, aber die möchte ich wenn möglich vermeiden.

Nu konktret meine Fragen

1.) Kann mir jemand erklären, wie ich die Fritzbox konfigurieren muß, um die dahinterliegende Juniper per VPN anzusprechen.
2.) Vielleicht könnte mir auch jemand erklären, wie ich dann die Juniper konfigurieren.Da mein alte Konfiguration nicht mehr zu funktionieren scheint.



Nebenbei bemerkt:
Ich bin zur Zeit dabei, mich mit der Konfiguration von Firewalls im Allgemeinen auseinander zu setzen, da ich angefangen von M0n0wall über pfsense und nun bei Juniper Netscreeon OS immer wieder sehr viel Zeit benötigte, die Konfiguration richtig aufzusetzen und mir jedesmal unsicher war, ob alles richtig sicher ist. Aber eh ich das verstehe, wird noch viel Zeit vergehen. Für Links und Hinweise bzgl. Aufbau und Konfiguration einer Firewall/Router wäre ich ebenfalls sehr dankbar.

Vielen Dank schon mal im Voraus.
Gruß

Cadric
Mitglied: 2hard4you
29.04.2013 um 13:57 Uhr
Zitat von cadric:
Das LAN der FB hat 192.172.100.x

Moin,

nur eine kleine Randbemerkung

das ist aber ein öffentlicher IP-Bereich, kein privater wie 192.168.x.x

Gruß

24
Bitte warten ..
Mitglied: cadric
29.04.2013 um 14:25 Uhr
Hallo,

ja stimmt, sollte auch nur zur Vedeutlichung dienen, aber ich werd's sicherheitshalber überarbeiten.

Danke

Gruß

cadric
Bitte warten ..
Mitglied: aqui
29.04.2013, aktualisiert um 17:59 Uhr
Juniper macht nur IPsec. Dafür sind nur die folgenden Ports erforderlich:
UDP 500 (IKE)
UDP 4500 (NAT-T)
ESP Protokoll (Protokoll Nr. 50, Nicht TCP oder UDP 50 ! ESP ist ein eigenständiges IP Protokoll !)
Achtung: Da die FB selber IPsec Server sein kann (wenn deine FB VPN fähig ist) forwardet die FB diese Ports nicht so ohne weiteres und du musst ein dediziertes NAT machen !
Dein Juniper ist also eigentlich überflüssig ! Siehe hier:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Interop ...
Damit kommt das sofort zum Fliegen.

Warum du viel Zeit für solche lächerlichen und banalen IPsec Standard Konfigs benötigst ist vollkommen unverständlich. Gerade bei M0n0wall / pfSense ist das eine Sache von ein paar Mausklicks und in 3 Minuten erledigt:
Siehe folgenses Tutorial:
http://www.administrator.de/contentid/115798
Bitte warten ..
Mitglied: cadric
29.04.2013, aktualisiert um 20:09 Uhr
Hallo aqui,

danke für die Infos, aber mit dem Link von AVM habe ich natürlich VPN zur Fritzbox schon zum laufen gebracht. Das war auch kein großer Akt, da stimme ich Dir zu.
Und mir ist auch klar, dass die Juniper hier eigentlich überflüssig ist.

Aber ich will die Netzwerktrennung, welche ich bisher in der Juniper hatte ( 3 verschiednen Zweige) weiterhin haben, und wie gesagt auch nicht mein ganzes Netzwerk umbauen.
Daher suche ich die Möglichkeit, die VPN Verbindung nicht zur Fritzbox, sondern durch sie hindurch zu der dahinterliegenen Juniper zum Rennen zu bringen.


Netzwerkkonfigurierung ist für mich bisher immer ein Buch mit sieben Siegeln gewesen.
Sowohl bei M0n0wall als auch bei pfsense hab ich nur englische Beschreibungen gefunden, die es mir nicht leichter gemacht haben, das ganze Bremborium rund um Router/Firewall konfiguration zu verstehen.

Allein solche Dinge wie NAT-T, Routing, Parameter für Policies sind mir suspeckt. Und bisher habe ich leider anscheinend nicht die richtige Literatur gefunden, um zu lernen wie es , wie Du so schön beschreibst, mit ein paar Klicks zu konfigurieren ist. Ich mußte gerade ein wenig schmuntzeln, dass Du das als lächerlich und banal bezeichnest, ich hab mir wie gesagt bisher daran die Zähne ausgebissen. Aber wie schon gesagt versuche ich es jetzt endlich zu verstehen, und hoffe mit Hilfe diese Forums diesen Gordischen Knoten auch zu knacken.

Trotzdem, nochmals Danke und ich freue mich über jeden weiteren Hinweis, speziell auch zu Literatur für "Dummies"


Gruß

cadric
Bitte warten ..
Mitglied: aqui
29.04.2013, aktualisiert um 20:26 Uhr
Na ja als blutiger Laie wie du es bei IPsec VPNs ja wohl bist den Anspruch zu haben mit Null Vorkenntnissen und ohne überhaupt mal ein Wort in einem Fachbuch, Wikipedia (oder Tutorial hier) zu lesen eine Rakete bauen zu wollen ist ja genau so ein utopisches Unterfangen.
Normalerweise nimmt man dann mal ein Buch oder geht zu Dr. Google und liest wenigstens mal nach wie man Schwarzpulver macht.
Wenns nichtmal dazu reicht musst du dich nicht groß wundern wenn dir das alles suspekt ist, das sagt einem ja schon der gesunde Menschenverstand...sorry !
Also ran ans Werk und das Tutorial vom Kollegen spacyfreak hier lesen:
http://www.administrator.de/contentid/73117
Damit weisst du dann wenigstens in Ansätzen schon mal was du da machst. Mit ein wenig Übung, lesen, verstehen des Protokolls und seinen Mechanismen (Wireshark lässt grüßen) und überhaupt Netzwerk Grundlagen wirst du dann auch sehen wie banal und einfach das ist. Ein Mikrotik Router mit IPsec kostet 30 Euro ! Ein kleiner Raspberry Pi auch 30 Euro wo man den Shrew Client auch drauf installieren kann (apt-get install ike) Zum Lernen und IPsec üben ist das doch sicher nicht mal für einen Schüler zu viel, oder ?
Wichtig ist natürlich erstmal der eigene Willen was zu lernen und zu verstehen.
Das Einrichten einer IP Adresse ist dir ja scheinbar nicht mehr suspekt....weil du weisst was du da tust und (hoffentlich) diese Thematik verstanden und gelernt hast.
Das Problem liegt ja , wie du sicher zugeben musst, nicht per se am IPsec sondern an dir !
So einfach ist das....
Bitte warten ..
Mitglied: cadric
29.04.2013, aktualisiert um 21:29 Uhr
Hi aqui,

na ja, also Rechner sind für mich nun kein Fremdwort. Ein bisschen Vorwissen hab ich nun schon, hab mehrere Raspi's im Einsatz ( zwei mit XBMC als VDR-Client, zwei teste ich gerade mit Zoneminder), mein Server läuft seit mehr als 15 Jahren unter Linux( Anfangs noch unter Kanotix und dem CT'Server mit verschiedenen VM's), den Shrew Client hab ich im Job schon eingesetzt, als unsere IT gerade feststellte, dass Cicso keinen 64 bit Client für XP hat, um unsere CAD-Workstations ins Frimennetz zu bringen und einen ESXi setzte ich z.B. im Büro auch ein.
Ich will mich jetzt nicht selber loben, aber ein Noob bin ich ganz bestimmt nicht mehr.
Achja, und mit Wireshark hab ich unserer sogenannten It gezeigt, dass unser PLM-System bei jedem Refresh des Internetexplorers je nach Baugruppe ueber 30Tausend kleine Pakete zwischen 24 und 1024 Bit durch die Leitung jagt, was zu einer erheblichen Netzlast führt und den Aufbau der Daten erheblich verzögert.

Aber der Bereich Rotuing/Firewall hat eben bisher immer nur mit Kochrezepten aus dem Netz gefuntzt und das richtige Verständnis fehlte mir dabei eben immer.

Daher danke für den Link, ich werde es mir durchlesen.

Gruß

cadric
Bitte warten ..
Mitglied: cadric
06.05.2013 um 08:19 Uhr
Hallo,

ich push jetzt einfach nochmal,
kann mir jemand bei der Konfiguration der Fritzbox in Kombination mit der dahinterliegenen Juniper Firewall erklären, wie ich diese beiden konfigurieren muß, damit einerseits die FB von aussen per VPN erreichbar ist, und andererseits das hinter der Juniper liegene Heimnetz? Nach den bisherigen Erklärungen eingerichtete Portfreigaben in der Fritzbox sind UDP 500 und UDP 4500 zur Weiterleitung der VPN an die Juniper.
Bisher hatte ich wie ja schon erklärt, die VPN Verbindung bis zur FB funktionstüchtig. Aber ich denke, da muß ich dann die Ports für die VPN zur Juniper umstellen oder? Können doch nicht beide dann auf 500 und 4500 laufen, würde ich meinen.

Gruß

cadric
Bitte warten ..
Mitglied: cadric
07.05.2013, aktualisiert um 12:15 Uhr
Update!

Ich wollte nur meine Fortschritte darstellen:
Also wie ich annahm, muß ich für die VPN zur Juniper andere Ports nutzen.

Die Verbindung zur Fritzbox hat jetzt udp 500 und 4500, die zur Juniper aussen 501 und 4501, welche in der Fritzbox umgebogen werden auf 500 und 4500 und siehe da: VPN zu beiden Geräten funtzt.
Bei der Juniper bin ich dabei wie schon vorher, nach dem Tut von Shrew Soft vorgegangen.
So hatte ich die VPN ja auch vor dem Einsatz der Fritzbox laufen. Allerdings bin ich damals schon auf die Probleme mit den zugeordneten IP gestoßen und weiß leider nicht mehr, wie ich das umgangen habe, damit ich ins interne Heimnetz komme.

In dem Tut von Shrew :
https://www.shrew.net/support/Howto_Juniper_SSG
wird der IP Pool auf 10.x.x.0 festgelegt.

Damit kam ich aber nicht zu meinen internen Netz durch.
Erst nachdem ich im Shrew Client die IP des internen Netzes angegeben habe ( 192.168.90.0/24 ) und auch dazu eine Policy in der Juniper vergab, konnte ich im Heimnetz alle Rechner erreichen.
Obwohl immer wieder darauf hingewiesen wird, dass der VPN IP-Pool ein anderes Subnetz haben soll, als das Interne des Herimnetzes.
Vor der gleichen Situation stehe ich jetzt wieder und komme nicht drauf, wo der Fehler liegt.


Hat jemand einen Tipp, wie ich das in der Juniper richtig konfiguriere?

Gruß cadric
Bitte warten ..
Mitglied: cadric
07.05.2013 um 15:56 Uhr
Update!

Hab nun die Lösung, warum ich nicht ins interne Heimnetz pingen konnte.
Die Anleitung des genannten Tuts enhtält, wenn ich das richtig sehe einen Fehler:
Es wird darauf hingewiesen, dass die Policy in der Juniper als Destination auf das Subnetz 10.1.2.0/24 eingestellt wird, und ebenso soll die Policy im Shrew Client auf dieses Subnetz zeigen.
Damit war aber kein Ping ins Heimnetz möglich.
Folgende Änderungen haben aber für mich zum Ziel geführt:

1.)Policy in der Juniper auf Subnetz des Heimnetzes 192.168.90.0/24
2.)Policy im Shrew Client ebenfalls auf 192.168.90.0/24
und
3.)zusätzlich in der Juniper Policy unter Advanced noch Source NAT aktiviert.
Bingo!

Ich liebe es wenn ein Plan gelingt!
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
LAN, WAN, Wireless
gelöst Site-to-Site VPN mit LTE Router Teltonika RTU950 und Fritzbox 7390 (10)

Frage von flavourflo zum Thema LAN, WAN, Wireless ...

Switche und Hubs
gelöst VLAN fähiger VPN Router gesucht (33)

Frage von Leo-le zum Thema Switche und Hubs ...

Router & Routing
Site to Site VPN zwischen Sonicwall und Fritzbox (5)

Frage von Kiste zum Thema Router & Routing ...

LAN, WAN, Wireless
Ubiquiti Unifi APs an Fritzbox 7390 (8)

Frage von Tapira zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...