Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN zwischen 2 x Fritzbox und Monowall dahinter

Frage Netzwerke Router & Routing

Mitglied: DrBulla

DrBulla (Level 1) - Jetzt verbinden

27.11.2013 um 14:53 Uhr, 2601 Aufrufe, 10 Kommentare, 1 Danke

Hallo Administratoren ;)

Zum Aufbau:

2 Standorte mit je einer Fritzbox (7390) stellen die Internetverbindung und fungieren als funktionierender VPN Tunnel.
Jeweils dahinter ist eine m0n0wall zur Nutzung des Captive Portals.

Was um alles in der Welt muss ich machen, damit ich einen SBS Server dahinter "sehen" kann?
Eine Regel in der FritzBox? Eine Regel in der m0n0wall? Beides? An beiden Standorten?
Muss da was im VPN - Protokoll hinterlegt sein? Bin mit meinem Latein völlig am Ende

Ich hoffe auf Hilfe, und bitte, schreibt, wenn ihr mehr Infos zur Konfig braucht ...

Gruß, Marco
Mitglied: Lochkartenstanzer
27.11.2013, aktualisiert um 15:23 Uhr
Zitat von DrBulla:

Was um alles in der Welt muss ich machen, damit ich einen SBS Server dahinter "sehen" kann?

Hinter was?
  • Fritzbox?
  • monowall?
  • VPN?
  • FB + VPN + Monowall?

Und was heißt für Dich sehen?
  • ICMP-Echo?
  • http?
  • dns?
  • smb/cifs?
  • lpd?

lks
Bitte warten ..
Mitglied: aqui
27.11.2013 um 15:39 Uhr
Das "Problem" ist das das WAN Interface deiner Monowall ja vermutlich im lokalen LAN der FB liegt.
Die lokalen LANs der FB sind aber ja transparent über die VPN Verbindung zu erreichen, damit also auch die WAN Ports der jeweiligen Monowalls.
Um einen Rechner hinter der Monowall zu erreichen musst du also folgendes machen:
  • Firewall am WAN Port son konfigurieren das RFC 1918 IP Adressen nicht geblockt sind (General Setting)
  • Zugriff auf die WAN Port IP vom jeweil gegenüber liegenden lokalen FB IP Netz erlauben.
  • Port Forwarding für den entsprechenden Dienste Port von der WAN IP auf die lokale Rechner IP einrichten (Firewall NAT Regel)
Fertisch...
Ist ein bischen Aufwand funktioniert aber fehlerlos !
Generell hast du einen Designfehler bei deinem Netz gemacht. Besser wäre es die Monowall den VPN Tunnel aufbauen zu lassen, das erspart dir die Regelfrickelei. Allerdings sind dann die lokalen FB Netze nicht miteinander verbunden.
Letzteres muss ja kein Nachteil sein wenn du lokal nix hast und die FBs rein dafür benutzt die Monowalls ins Internet zu bringen. Dann wäre es erheblich besser die MWs das VPN machen zu lassen.
Hast du auch noch lokale Rechner in den jeweiligen FB LANs die sich erreichen müssen geht das natürlich nicht.
Auch da schläg wieder der Designfehler zu den du gemacht hast. Es wäre dann sinnvoller ein ALIX Board für die MWs zu verwenden am LAN Port die lokalen netze zu realisieren und am OPT Port die CPs und nur über den WAN das Internet zu machen.
Die MWs realisieren dann den VPN Tunnel. Damit ist die Erreichbarkeit dann 3 Mausklicks in den FW Regeln.
So oder so beises funktioniertnur deine Option ist etwas Konfig aufwändiger und limitiert das du mit Port Forwarding arbeiten musst zwangsweise...
Bitte warten ..
Mitglied: DrBulla
27.11.2013 um 18:02 Uhr
FritzBox (vpn) -> monowall -> Server

"sehen" heißt pingen resp. Netzlaufwerk
Bitte warten ..
Mitglied: DrBulla
27.11.2013, aktualisiert um 18:19 Uhr
Zitat von aqui:

  • Firewall am WAN Port son konfigurieren das RFC 1918 IP Adressen nicht geblockt sind (General Setting)

Häckchen raus .. war sowieso schon ...

* Zugriff auf die WAN Port IP vom jeweil gegenüber liegenden lokalen FB IP Netz erlauben.

Proto Source Port Destination Port Description
  • 192.168.133.1 * * * vpn passthrough

So? oder IP-Adresse des VPN Netzwerkes 192.168.133.0/24 ? Hab ich schon probiert, ging auch nicht.

* Port Forwarding für den entsprechenden Dienste Port von der WAN IP auf die lokale Rechner IP einrichten (Firewall NAT
Regel)

Als inbound Regel?

Fertisch...
Ist ein bischen Aufwand funktioniert aber fehlerlos !

Na, Aufwand ist nicht schlimm - aber bis dahin

bringen. Dann wäre es erheblich besser die MWs das VPN machen zu lassen.

Habe ich ewig dran rumprobiert, ging irgendwie ... nie, leider, nun, jetzt sind die Fritzboxen halt vorhanden und dort lief es recht schnell und "einfach".


PS: Was ist mit der m0n0wall am anderen Ende? Vice versa?

Marco
Bitte warten ..
Mitglied: Lochkartenstanzer
27.11.2013, aktualisiert um 18:54 Uhr
Zitat von DrBulla:

FritzBox (vpn) -> monowall -> Server

"sehen" heißt pingen resp. Netzlaufwerk

Routing in den Fritzboxen zu den Netz hinter den monowalls stimmt?

Ist die verbindung zwischen Monowall und fritzbox nur ein Transfernetz, d.h. außer monowall höngt nichts an FB oder hängen da auch stationen dran, die ggf hinter die monowall müssen (Siehe auch aquis Fragen). Wenn nur hinter den Monowalls Systeme sind, wür4de ich die fritzboxen gegen reone Modems austauschen und alles druch die monowalls abwickeln.

Ansonsten mußte du die regeln und das routing auf den Monowalls anpassen.

lks
Bitte warten ..
Mitglied: DrBulla
27.11.2013 um 19:06 Uhr
Hinter den Fritzboxen hängt je nur die monowall.
Da vdsl (tag 7) nicht geht und die Software nicht ersetzt werden soll/kann durch ca. 40.000 generierte und aufbereitete Voucher ... fällt die Möglichkeit raus.

Routing und Regeln anpassen.
Ja, da bin ich mit dran .. (hätte ich doch Netzwerktechnik studiert

Marco
Bitte warten ..
Mitglied: aqui
27.11.2013, aktualisiert um 19:46 Uhr
Deine WAN Port Regel oben ist Unsinn ! Was soll denn da VPN Passthrough drin ?? Das VPN rennt nur über die FBs !! Die MW "sieht" doch logischerweise rein gar nix vom VPN…vergiss den Unsinn also.
Folgende FW Regeln solltest du am WAN Port einrichten:
Allow Source: IP Network <remotes lokales Netz> all Destination: WAN IP Address Ports: all (kann man später weiter dichtmachen)
Analog machst du das an der MW auf der anderen Seite.
Damit müsste dann ein Ping auf die WAN IP der MWs der jeweils remoten Seite schon möglich sein.
Im 2ten Step musst du nun am WAN Port eine NAT Regel aufstellen mit Port Forwarding je nachdem welche Dienste du am Server freigeben willst.
Rennt auf dem Server ein Web Server ist das z.B.
Incomming Port TCP 80 Destination: <ip_adresse_server> TCP 80
Wenn du jetzt auf der remoten Seite die WAN IP der lokalen MW ansprichst mit einem Browser landest du auf dem Server !
Dieses Port Forwarding musst du für alle Dienste vom Server machen die du erreichen willst.

Dieses Szenario ist analog dasgleiche wenn du von außen über die NAT Firewall eines Routers auf interne LAN Resourcen willst. Du musst ja aus dem lokalen Netz an der FB irgendwie die Firewall der MW überwinden und das geht in deinem Design nur über Port Forwarding (NAT) Regeln an der MW.

Wie gesagt generell ist dein Design fehlerhaft und schlecht. Wenn die FBs nur Router bzw. Modem spielen wäre es erheblich besser dort ein Port Forwarding für UDP 500, UDP 4500 und ESP Protokoll (sprich IPsec) einzurichten und die beiden Monowalls das VPN bauen zu lassen.
Auch die FBs hätten nicht sein müssen, denn das hätten 2 simple billige VDSL Modems machen können ala Speedport 300HS, 721 usw.
Damit hast du dann eine transparente VPN Verbindung beider lokalen IP Segmente über die Monowall transparent über die FBs und kannst dir die ganze Frickelei mit dem FB VPN Port Forwarding usw. sparen die dich nur einengt.
Du hast das Pferd vollkommen falsch aufgezäumt…vermutlich weil du nicht richtig nachgedacht hast, sorry.
Besser du änderst die Konfig dementsprechend, das erleichtert dein Leben mit dem Netz erheblich.
Bitte warten ..
Mitglied: Lochkartenstanzer
27.11.2013 um 21:29 Uhr
Zitat von aqui:

Im 2ten Step musst du nun am WAN Port eine NAT Regel aufstellen mit Port Forwarding je nachdem welche Dienste du am Server
freigeben willst.

Ich würde NAT an den Monowalls ganz abschalten und nur ganz normal routen. Dazu müssen nur die Routen in den Fritzboxen eingetragen werden und das NAT zum Internet machen auch die Fritzboxen "automatisch".

Dann muß man nur noch die passenden Zugriffsregeln eintragen, ohne irgendwelches NAT zu involvireen, was eh nur zu Verwirrungen führt.

lks
Bitte warten ..
Mitglied: aqui
28.11.2013 um 09:28 Uhr
M.E. kann man NAT an der MW nicht abschalten, das geht nur an der pfSense. Das wäre dann natürlich die sinnvollste Lösung abgesehen von der direkten Lösung mit Firewall und Modem ohne Router Kaskade.
Aber alle diese eigentlich überflüssigen Klimmzüge und Workarounds könnte man sich mit einem direkten Firewall VPN komplett sparen. Der grundlegende Fehler liegt schon im Design an sich.
Bitte warten ..
Mitglied: Lochkartenstanzer
28.11.2013 um 09:31 Uhr
Zitat von aqui:

M.E. kann man NAT an der MW nicht abschalten, das geht nur an der pfSense.

Kann sein, daß ich das verwechselt habe, habe gerade keine monowall zur hand, um nachzushauen.

Aber wie Du schon sagtest: Wenn da eh nur die Monowall hinter den fritzboxen hängt, sollte man grundsätzlich üebr ein redesign (austausch der FBs gegen Modems und VPN direkt zwischen den Monowalls nachdenken.

lks
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Router & Routing
Site to Site VPN zwischen Sonicwall und Fritzbox (5)

Frage von Kiste zum Thema Router & Routing ...

Linux Netzwerk
Host-to-Site VPN zwischen Openswan und Fritzboxen (2)

Frage von ThePcSwagTogether zum Thema Linux Netzwerk ...

Router & Routing
VPN zwischen Lancome 1781VA und Mac onboard VPN - Client (2)

Frage von MacLife zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...