gelöst Eingehenden WAN-Traffic durch IP-Sec VPN tunneln (NAT-ten) in Fritzbox möglich?

Mitglied: the-buccaneer

the-buccaneer (Level 2)

10.10.2019 um 11:20 Uhr, 294 Aufrufe, 9 Kommentare

Moinsen!

Ich muss leider übergangsweise auf einer festen IP eingehenden Traffic irgendwie von Site 1 zu Site 2 forwarden.

Auf Site 1 soll eine FB den DSL / Telefonanschluss herstellen. Dahinter gibt es aber kein lokales Netz, sondern alles, was da ankommt soll über VPN nach Site 2 getunnelt / weitergeleitet werden.

Mit der Telefonie wird das wohl klappen, indem man über VPN die Telefonanlagen koppelt, da gibt es Anleitungen und Erfahrungen. Aber:

Wie bekomme ich es hin, dass der auf der festen IP (Site 1) eingehende Traffic auf Site 2 ankommt.?
Konkreter: Kann ich in der FB allen (benötigten) Traffic auf einen Host hinter dem VPN forwarden?
Der Eintrag einer IP aus dem VPN Netz funktioniert, soweit konnte ich es bereits testen. Die Route kennt die Fritte wg. des VPN ja eh, da sollte nichts benötigt werden.

Auf Site 2 wäre dann eine PfSense die im IPSec-Interface eben diese Ports nochmal auf die passenden IP's leitet.

Wo habe vergessen, warum das nicht geht?

Anbei zum Verständnis die komplette Planung.


netdiag2 - Klicke auf das Bild, um es zu vergrößern


LG
Buc
Mitglied: Lochkartenstanzer
LÖSUNG 10.10.2019 um 11:29 Uhr
MOin,

Ich würde einfach einen exposed Host hinter die Fritzbox als Relay stellen.

lks
Mitglied: the-buccaneer
10.10.2019 um 18:50 Uhr
Moin LKS!

Kannst du das spezifizieren? Also hinter die Fritte nochmal ne PfSense die das dann ins VPN-Nert routet? Ich will die Installation aus ökonomischen und ökologischen Gründen so klein wie nötig halten, denn Standort 2 ist das Familienheim.
Buc
Mitglied: aqui
LÖSUNG 06.11.2019, aktualisiert um 10:31 Uhr
Dahinter gibt es aber kein lokales Netz, sondern alles, was da ankommt soll über VPN nach Site 2 getunnelt / weitergeleitet werden.
Da muss man dann aber mal fragen WAS sollte denn da überhaupt ankommen ???
Wenn es stimmt und wie du selber schreibst KEIN lokales Netz dahinter ist, kann ja normalerweise auch keinerlei Traffic dort ankommen, denn woher sollte der kommen ? Das ist ja dann nur eine nackte FritzBox ohne alles.
Sämtlicher Traffic kann ja nur dann das bisschen NTP und Update Polling sein was die FB selber macht aber sonst nix. Gut ggf. eingehender VoIP Traffic sofern die FB Telefonie macht und mal angerufen wird aber das kann man ja koppeln wie du selber sagst.
Genau das ist aber der Knackpunkt ! Wenn du eingehenden Traffic der NICHT selber von der FB initiiert worden ist jetzt weiterroutest, was ja per se geht, dann hast du aber immer eine öffentliche Absender IP. Schickst du die jetzt zu einer anderen Lokation und antwortet diese dann direkt auf den Traffic hat dieser Traffic selber eine andere Absender IP als der Initiator genutzt hat. Das führt im TCP/IP durch den Ziel IP Adressen Mismatch dann zu einem sofortigen Session Abbruch.
So ein Konstrukt wird also niemals klappen sofern es sich hier um öffentlich zugewiesene und geroutete IP Netze handelt. Das wirst du so nicht hinbekommen.
Die Kopplung der FritzBox Telefonie aber über VPN ist natürlich kein Problem. Siehe hier:
https://www.heise.de/ct/ausgabe/2015-6-Tk-Anlagen-mehrerer-Fritzboxen-mi ...
Mitglied: Lochkartenstanzer
LÖSUNG 06.11.2019 um 10:51 Uhr
Naja Traffic von außen muß er halt natten oder am Ziel durch policy-based-routing wieder in den Tunnel schieben.

lks
Mitglied: aqui
LÖSUNG 06.11.2019 um 11:05 Uhr
OK, mit static 1:1 NAT und PBR würde das sicher gehen, wäre aber ein erheblicher Konfig Aufwand, da das für alle möglichen Zieladressen definiert werden müsste. Solange es sich nur um Telefonie dreht sicher machbar aber bei mehr ist das nicht skalierbar. Auch ob das mit einer Consumer FritzBox technisch möglich ist so komplexe NAT und PBR Regeln zu setzen dürfte bezweifelt werden. Dafür ist die Kiste gar nicht gemacht.
Mitglied: Lochkartenstanzer
LÖSUNG 06.11.2019 um 11:07 Uhr
Zitat von aqui:

OK, mit static 1:1 NAT und PBR würde das sicher gehen, wäre aber ein erheblicher Konfig Aufwand, da das für alle möglichen Zieladressen definiert werden müsste. Solange es sich nur um Telefonie dreht sicher machbar aber bei mehr ist das nicht skalierbar. Auch ob das mit einer Consumer FritzBox technisch möglich ist so komplexe NAT und PBR Regeln zu setzen dürfte bezweifelt werden. Dafür ist die Kiste gar nicht gemacht.


Deswegen mein Tipp dahinter eine pfsense o.ä. als exposed host zu setzen.
Mitglied: the-buccaneer
06.11.2019 um 12:20 Uhr
Also ich machs mal konkreter: Hinter dieser öffentlichen IP läuft z.B. der VNC Repeater für meine Fernwartung. Der Server dafür steht aber jetzt am anderen Standort. Meine Idee war, den Traffic auf Port 5500 und 5901 "einfach" durch den Tunnel zu schicken. Also nicht ins lokale Netz, sondern ins VPN Netz zu NATten. Anfangs ging ich halt davon aus, dass da kein prinzipieller Unterschied besteht...

Wenn ich nun eine PfSense als exposed Host hinter die Fritte setze: Was ist da gewonnen? Die kennt ja erstmal das lokale Netz am anderen Standort nicht. Also sollte sie die Pakete dafür über ihren Default Gateway oder eine definierte Route (also die FB) schicken. Die wüsste nun, dass IP 192.168.1.x hinter ihrem VPN Tunnel liegt, aber macht sie das auch?

Evtl. ist es leichter, den doofen Repeater, einfach an Standort 2 zu betreiben oder die Fernwartung auf ne dyn. Adresse umzukonfigurieren,, als noch stundenlang herumzufrickeln. Insbesondere, da das eh nur vorübergehend ist und in 3-6 Monaten wieder "normal" laufen soll...

Buc
Mitglied: aqui
LÖSUNG 06.11.2019, aktualisiert um 14:19 Uhr
Du hast den Kollegen LKS da vielleicht etwas falsch verstanden. Das "Umleiten" erfordert umfängliche NAT Konfigurationen die eine FB so nicht supportet. Du müsstest dort also auf eine andere Router HW setzen. Sicher, ein kleiner 20 Euro Mikrotik könnte das auch da das Kommando Set für NAT dort erheblich umfangreicher ist. Es ging also lediglich nur um geeignete Hardware die das umsetzen kann.
Fragt sich aber letztlich warum du dir solche Mühe machen willst und das ganze nicht schlicht und einfach an den Standort umziehst wo jetzt der Server steht. Das geht ja mit ein paar Mausklicks und ist doch die erheblich leichtere Variante ?!
Mitglied: the-buccaneer
13.11.2019 um 23:47 Uhr
Zitat von aqui:

Fragt sich aber letztlich warum du dir solche Mühe machen willst und das ganze nicht schlicht und einfach an den Standort umziehst wo jetzt der Server steht. Das geht ja mit ein paar Mausklicks und ist doch die erheblich leichtere Variante ?!

Fragt sich wirklich, hat aber nicht nur den Hintergrund, dass ich im Leben gerne die Herausforderung suche.

Es ging darum, sowohl die feste IP, als auch die Telefonnummern zu erhalten. Das konnte ich nur auf diesem Weg lösen, dass der komplette Anschluss nun bei mir zuhause anlandet und mein "Übergangsoffice" nun einen Neuanschluss mit dyn. IP bekommen hat. Provider...

Habe es jetzt so gelöst, dass einfach ein kleiner Server (Thinclient Fujitsu S400) den Repeater macht und auf der Fritte habe ich die Telefonnummern so eingerichtet, dass die via VPN im Office auflaufen. Geht soweit. Leider aber nicht mit "Originalnummer" zum rauswählen, so dass immer eine obsolete Nummer beim Angerufenen erscheint, aber man soll nicht zu viel wollen...
VG
Buc
Titel: Eingehenden WAN-Traffic durch IP-Sec VPN tunneln (NAT-ten) in Fritzbox möglich?
Content-ID: 503065
Art des Inhalts: Frage
Ausgedruckt am: 11.12.2019 um 21:24:03 Uhr
URL: https://administrator.de/contentid/503065