Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN zwischen 2 x Fritzbox und Monowall dahinter

Frage Netzwerke Router & Routing

Mitglied: DrBulla

DrBulla (Level 1) - Jetzt verbinden

27.11.2013 um 14:53 Uhr, 2696 Aufrufe, 10 Kommentare, 1 Danke

Hallo Administratoren ;)

Zum Aufbau:

2 Standorte mit je einer Fritzbox (7390) stellen die Internetverbindung und fungieren als funktionierender VPN Tunnel.
Jeweils dahinter ist eine m0n0wall zur Nutzung des Captive Portals.

Was um alles in der Welt muss ich machen, damit ich einen SBS Server dahinter "sehen" kann?
Eine Regel in der FritzBox? Eine Regel in der m0n0wall? Beides? An beiden Standorten?
Muss da was im VPN - Protokoll hinterlegt sein? Bin mit meinem Latein völlig am Ende

Ich hoffe auf Hilfe, und bitte, schreibt, wenn ihr mehr Infos zur Konfig braucht ...

Gruß, Marco
Mitglied: Lochkartenstanzer
27.11.2013, aktualisiert um 15:23 Uhr
Zitat von DrBulla:

Was um alles in der Welt muss ich machen, damit ich einen SBS Server dahinter "sehen" kann?

Hinter was?
  • Fritzbox?
  • monowall?
  • VPN?
  • FB + VPN + Monowall?

Und was heißt für Dich sehen?
  • ICMP-Echo?
  • http?
  • dns?
  • smb/cifs?
  • lpd?

lks
Bitte warten ..
Mitglied: aqui
27.11.2013 um 15:39 Uhr
Das "Problem" ist das das WAN Interface deiner Monowall ja vermutlich im lokalen LAN der FB liegt.
Die lokalen LANs der FB sind aber ja transparent über die VPN Verbindung zu erreichen, damit also auch die WAN Ports der jeweiligen Monowalls.
Um einen Rechner hinter der Monowall zu erreichen musst du also folgendes machen:
  • Firewall am WAN Port son konfigurieren das RFC 1918 IP Adressen nicht geblockt sind (General Setting)
  • Zugriff auf die WAN Port IP vom jeweil gegenüber liegenden lokalen FB IP Netz erlauben.
  • Port Forwarding für den entsprechenden Dienste Port von der WAN IP auf die lokale Rechner IP einrichten (Firewall NAT Regel)
Fertisch...
Ist ein bischen Aufwand funktioniert aber fehlerlos !
Generell hast du einen Designfehler bei deinem Netz gemacht. Besser wäre es die Monowall den VPN Tunnel aufbauen zu lassen, das erspart dir die Regelfrickelei. Allerdings sind dann die lokalen FB Netze nicht miteinander verbunden.
Letzteres muss ja kein Nachteil sein wenn du lokal nix hast und die FBs rein dafür benutzt die Monowalls ins Internet zu bringen. Dann wäre es erheblich besser die MWs das VPN machen zu lassen.
Hast du auch noch lokale Rechner in den jeweiligen FB LANs die sich erreichen müssen geht das natürlich nicht.
Auch da schläg wieder der Designfehler zu den du gemacht hast. Es wäre dann sinnvoller ein ALIX Board für die MWs zu verwenden am LAN Port die lokalen netze zu realisieren und am OPT Port die CPs und nur über den WAN das Internet zu machen.
Die MWs realisieren dann den VPN Tunnel. Damit ist die Erreichbarkeit dann 3 Mausklicks in den FW Regeln.
So oder so beises funktioniertnur deine Option ist etwas Konfig aufwändiger und limitiert das du mit Port Forwarding arbeiten musst zwangsweise...
Bitte warten ..
Mitglied: DrBulla
27.11.2013 um 18:02 Uhr
FritzBox (vpn) -> monowall -> Server

"sehen" heißt pingen resp. Netzlaufwerk
Bitte warten ..
Mitglied: DrBulla
27.11.2013, aktualisiert um 18:19 Uhr
Zitat von aqui:

  • Firewall am WAN Port son konfigurieren das RFC 1918 IP Adressen nicht geblockt sind (General Setting)

Häckchen raus .. war sowieso schon ...

* Zugriff auf die WAN Port IP vom jeweil gegenüber liegenden lokalen FB IP Netz erlauben.

Proto Source Port Destination Port Description
  • 192.168.133.1 * * * vpn passthrough

So? oder IP-Adresse des VPN Netzwerkes 192.168.133.0/24 ? Hab ich schon probiert, ging auch nicht.

* Port Forwarding für den entsprechenden Dienste Port von der WAN IP auf die lokale Rechner IP einrichten (Firewall NAT
Regel)

Als inbound Regel?

Fertisch...
Ist ein bischen Aufwand funktioniert aber fehlerlos !

Na, Aufwand ist nicht schlimm - aber bis dahin

bringen. Dann wäre es erheblich besser die MWs das VPN machen zu lassen.

Habe ich ewig dran rumprobiert, ging irgendwie ... nie, leider, nun, jetzt sind die Fritzboxen halt vorhanden und dort lief es recht schnell und "einfach".


PS: Was ist mit der m0n0wall am anderen Ende? Vice versa?

Marco
Bitte warten ..
Mitglied: Lochkartenstanzer
27.11.2013, aktualisiert um 18:54 Uhr
Zitat von DrBulla:

FritzBox (vpn) -> monowall -> Server

"sehen" heißt pingen resp. Netzlaufwerk

Routing in den Fritzboxen zu den Netz hinter den monowalls stimmt?

Ist die verbindung zwischen Monowall und fritzbox nur ein Transfernetz, d.h. außer monowall höngt nichts an FB oder hängen da auch stationen dran, die ggf hinter die monowall müssen (Siehe auch aquis Fragen). Wenn nur hinter den Monowalls Systeme sind, wür4de ich die fritzboxen gegen reone Modems austauschen und alles druch die monowalls abwickeln.

Ansonsten mußte du die regeln und das routing auf den Monowalls anpassen.

lks
Bitte warten ..
Mitglied: DrBulla
27.11.2013 um 19:06 Uhr
Hinter den Fritzboxen hängt je nur die monowall.
Da vdsl (tag 7) nicht geht und die Software nicht ersetzt werden soll/kann durch ca. 40.000 generierte und aufbereitete Voucher ... fällt die Möglichkeit raus.

Routing und Regeln anpassen.
Ja, da bin ich mit dran .. (hätte ich doch Netzwerktechnik studiert

Marco
Bitte warten ..
Mitglied: aqui
27.11.2013, aktualisiert um 19:46 Uhr
Deine WAN Port Regel oben ist Unsinn ! Was soll denn da VPN Passthrough drin ?? Das VPN rennt nur über die FBs !! Die MW "sieht" doch logischerweise rein gar nix vom VPN…vergiss den Unsinn also.
Folgende FW Regeln solltest du am WAN Port einrichten:
Allow Source: IP Network <remotes lokales Netz> all Destination: WAN IP Address Ports: all (kann man später weiter dichtmachen)
Analog machst du das an der MW auf der anderen Seite.
Damit müsste dann ein Ping auf die WAN IP der MWs der jeweils remoten Seite schon möglich sein.
Im 2ten Step musst du nun am WAN Port eine NAT Regel aufstellen mit Port Forwarding je nachdem welche Dienste du am Server freigeben willst.
Rennt auf dem Server ein Web Server ist das z.B.
Incomming Port TCP 80 Destination: <ip_adresse_server> TCP 80
Wenn du jetzt auf der remoten Seite die WAN IP der lokalen MW ansprichst mit einem Browser landest du auf dem Server !
Dieses Port Forwarding musst du für alle Dienste vom Server machen die du erreichen willst.

Dieses Szenario ist analog dasgleiche wenn du von außen über die NAT Firewall eines Routers auf interne LAN Resourcen willst. Du musst ja aus dem lokalen Netz an der FB irgendwie die Firewall der MW überwinden und das geht in deinem Design nur über Port Forwarding (NAT) Regeln an der MW.

Wie gesagt generell ist dein Design fehlerhaft und schlecht. Wenn die FBs nur Router bzw. Modem spielen wäre es erheblich besser dort ein Port Forwarding für UDP 500, UDP 4500 und ESP Protokoll (sprich IPsec) einzurichten und die beiden Monowalls das VPN bauen zu lassen.
Auch die FBs hätten nicht sein müssen, denn das hätten 2 simple billige VDSL Modems machen können ala Speedport 300HS, 721 usw.
Damit hast du dann eine transparente VPN Verbindung beider lokalen IP Segmente über die Monowall transparent über die FBs und kannst dir die ganze Frickelei mit dem FB VPN Port Forwarding usw. sparen die dich nur einengt.
Du hast das Pferd vollkommen falsch aufgezäumt…vermutlich weil du nicht richtig nachgedacht hast, sorry.
Besser du änderst die Konfig dementsprechend, das erleichtert dein Leben mit dem Netz erheblich.
Bitte warten ..
Mitglied: Lochkartenstanzer
27.11.2013 um 21:29 Uhr
Zitat von aqui:

Im 2ten Step musst du nun am WAN Port eine NAT Regel aufstellen mit Port Forwarding je nachdem welche Dienste du am Server
freigeben willst.

Ich würde NAT an den Monowalls ganz abschalten und nur ganz normal routen. Dazu müssen nur die Routen in den Fritzboxen eingetragen werden und das NAT zum Internet machen auch die Fritzboxen "automatisch".

Dann muß man nur noch die passenden Zugriffsregeln eintragen, ohne irgendwelches NAT zu involvireen, was eh nur zu Verwirrungen führt.

lks
Bitte warten ..
Mitglied: aqui
28.11.2013 um 09:28 Uhr
M.E. kann man NAT an der MW nicht abschalten, das geht nur an der pfSense. Das wäre dann natürlich die sinnvollste Lösung abgesehen von der direkten Lösung mit Firewall und Modem ohne Router Kaskade.
Aber alle diese eigentlich überflüssigen Klimmzüge und Workarounds könnte man sich mit einem direkten Firewall VPN komplett sparen. Der grundlegende Fehler liegt schon im Design an sich.
Bitte warten ..
Mitglied: Lochkartenstanzer
28.11.2013 um 09:31 Uhr
Zitat von aqui:

M.E. kann man NAT an der MW nicht abschalten, das geht nur an der pfSense.

Kann sein, daß ich das verwechselt habe, habe gerade keine monowall zur hand, um nachzushauen.

Aber wie Du schon sagtest: Wenn da eh nur die Monowall hinter den fritzboxen hängt, sollte man grundsätzlich üebr ein redesign (austausch der FBs gegen Modems und VPN direkt zwischen den Monowalls nachdenken.

lks
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Fritzbox 7490 an Monowall mit VLAN
gelöst Frage von zahniRouter & Routing9 Kommentare

Hallo zusammen, bei uns wurde gestern DSL + ISDN auf IP umgestellt: Hatte deshalb schon mal einen Thread eröffnet ...

LAN, WAN, Wireless
VPN zwischen 2 oder mehren Fritzboxen herstellen
gelöst Frage von ChrisMX112LAN, WAN, Wireless3 Kommentare

Hallo miteinander, nun ich habe ein kleines Problem bei einer VPN Verbindung in meinem Netzwerk. Ich versuche mal die ...

Netzwerkgrundlagen
VPN zwischen 2 Fritzboxen - Keine Remoteunterstützung möglich!
Frage von Wow4iiikNetzwerkgrundlagen6 Kommentare

Hallo Forum-User! Ich habe ein kleines Problem. Ich habe zwei Haushalte per VPN miteinander verbunden. Dies wurde mit einer ...

Router & Routing
VPN Pfsense 2.2.x mit Fritzbox im Einsatz?
gelöst Frage von the-buccaneerRouter & Routing2 Kommentare

Moinsen zusammen! Hat jemand einen VPN Tunnel mit einer PfSense 2.2.x und einer FB auf der Gegenseite realisieren können? ...

Neue Wissensbeiträge
MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 11 StundenMikroTik RouterOS4 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Sicherheit

Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit

Information von BassFishFox vor 11 StundenSicherheit

Ein weiterer Grund, dass Drucker keinerlei Verbindung nach "auswaerts" haben sollen. Unter Verwendung spezieller Malware können Angreifer aus der ...

Administrator.de Feedback

Entwicklertagebuch: Die Startseite wurde überarbeitet

Information von admtech vor 14 StundenAdministrator.de Feedback9 Kommentare

Hallo Administrator User, mit dem Release 5.7 haben wir unsere Startseite überarbeitet und die Beiträge und Fragen voneinander getrennt. ...

Vmware

VMware Desktopprodukte sind verwundbar

Information von Penny.Cilin vor 19 StundenVmware

Die VMware-Anwendungen zum Umgang mit virtuellen Maschinen Fusion, Horizon Client und Workstation sowie die Plattform NSX sind verwundbar. Davon ...

Heiß diskutierte Inhalte
Visual Studio
Vb.net-Tool zum Erzeugen einer Outlook-E-Mail
Frage von ahstaxVisual Studio24 Kommentare

Hallo, ich möchte gerne ein vb.net-Tool schreiben, das am Ende eine Outlook-E-Mail erzeugt. Grundsätzlich ist mir klar, wie das ...

Windows Server
RDP macht Server schneller???
Frage von JaniDJWindows Server16 Kommentare

Hallo Community, wir betrieben seit geraumer Zeit diverse virtuelle Maschinen und Server mit Windows Server 2012. Leider haben wir ...

Windows Netzwerk
Netzwerk Neustrukturierung
Frage von IT-DreamerWindows Netzwerk16 Kommentare

Hallo verehrte Community und Admins, bei uns im Haus steht eine Neustrukturierung an. Dafür benötige ich von euch ein ...

Windows 10
Windows 10 dunkler Bildschirm nach Umfallen
Frage von AkcentWindows 1015 Kommentare

Hallo, habe hier einen Windows 10 Rechner der von einem User umgefallen wurde (Beine übers Knie, an den PC ...