136423
Aug 24, 2018 at 15:46:22 (UTC)
1989
5
0
VPN mit alternativem Gateway
Hallo zusammen,
Ich möchte euch kurz eine Frage zum Thema VPN stellen. Ist es möglich bei bestehendem VPN den Gateway zu einem im VPN-Netz existierenden Router zu ändern (wenn alle Verbindung getunnelt werden)?
Aufbau des Netzwerkes wäre im groben folgender:
Client => | VPN | <= Router_1 <=> Router_2 <=> Server
VPN wird also mit Router_1 aufgebaut.
Router_1 (mit DHCP) und Router_2 liegen Netzwerk 192.168.1.0/24. Der Client würde bei laufender VPN Verbindung ja auch eine IP aus diesem Bereich erhalten.
Router_2 ist so konfiguriert, dass er alle Aufrufe aus 192.168.1.0/24 in seine internen Netze routet (192.168.2.0/24, 192.168.3.0/24...). Standardmäßig bekommen VPN-Clients ja aber Router_1 als Standardgateway zugewiesen.
Gibt es eine Möglichkeit bei laufender VPN Verbindung den Gateway auf Router_2 zu stellen? Ist sowas überhaupt möglich?
Bitte nicht vom Netzwerk-Aufbau irritieren lassen. Das ist alles nur vorübergehend. Normalerweise wäre Router_1 nicht vorhanden
Viele Grüße
niLuxx
Ich möchte euch kurz eine Frage zum Thema VPN stellen. Ist es möglich bei bestehendem VPN den Gateway zu einem im VPN-Netz existierenden Router zu ändern (wenn alle Verbindung getunnelt werden)?
Aufbau des Netzwerkes wäre im groben folgender:
Client => | VPN | <= Router_1 <=> Router_2 <=> Server
VPN wird also mit Router_1 aufgebaut.
Router_1 (mit DHCP) und Router_2 liegen Netzwerk 192.168.1.0/24. Der Client würde bei laufender VPN Verbindung ja auch eine IP aus diesem Bereich erhalten.
Router_2 ist so konfiguriert, dass er alle Aufrufe aus 192.168.1.0/24 in seine internen Netze routet (192.168.2.0/24, 192.168.3.0/24...). Standardmäßig bekommen VPN-Clients ja aber Router_1 als Standardgateway zugewiesen.
Gibt es eine Möglichkeit bei laufender VPN Verbindung den Gateway auf Router_2 zu stellen? Ist sowas überhaupt möglich?
Bitte nicht vom Netzwerk-Aufbau irritieren lassen. Das ist alles nur vorübergehend. Normalerweise wäre Router_1 nicht vorhanden
Viele Grüße
niLuxx
Please also mark the comments that contributed to the solution of the article
Content-Key: 384369
Url: https://administrator.de/contentid/384369
Printed on: April 19, 2024 at 21:04 o'clock
5 Comments
Latest comment
Ist es möglich bei bestehendem VPN den Gateway zu einem im VPN-Netz existierenden Router zu ändern
Das kommt darauf an....Bei einer VPN Gateway redirect Funktion auf dem VPN Server also wo der VPN Einwahlserver das Default Gateway am Client anpasst ist es generell nicht möglich.
Allerdings hast du dann auch das o.g. Problem gar nicht erst, denn dann wird ja immer ALLES in den VPN Tunnel geroutet.
Bei einem Split Tunnel wird ja nur ein oder mehrere remote IP Segmente in den Tunnel geroutet. Hier könntest du mit einer statischen Route natürlich auf Client Seite eine hinzufügen.
Allerdings ist das ja bekanntlich nur die halbe Miete, denn die Rückroute muss ja auch stimmen, d.h. beide Seiten müssen die Netze kennen.
Kannst du die Rückroute nicht auch anpassen nützt dir also eine zusätzliche statische Route am Client rein gar nichts.
Der Client würde bei laufender VPN Verbindung ja auch eine IP aus diesem Bereich erhalten.
Nein ! Das ist falsch und hängt vom verwendeten VPN Protokoll ab.Leider bist du zu diesen wichtigen Punkten ob Redirect oder Split Tunnel oder Protokoll recht oberflächlich so das eine zielführende Hilfe nicht gerade einfach ist ohne raten zu müssen
Im Grunde ist die Frage auch sinnfrei, denn mit den SA Credentials (IPsec vorausgesetzt als VPN Protokoll) kannst du ja an Router 1 sofern das dein VPN Dialin Router ist ??! ja einstellen welche IP Routen du an den Client distribuierst.
Alternativ könnte Router 1 nur durchreichen und Router 2 wäre der VPN Dialin Router, dann wäre die Frage auch überflüssig.
Oder...du routest über einen GRE Tunnel und nutzt dynmaisches Routing über den Tunnel dann lernt der Client alles dynamisch.
Es gibt viele Wege für eine Lösung. Entscheidend ist was genau du erreichen willst. Leider wird auch das nicht so ganz klar aus deiner Fragestellung ?!
Mittelfristig soll die Fritzbox noch verschwinden und der Cisco Router/Firewall (ASA) direkt ans Netz.
Das wäre mehr als sinnvoll. Eine Router Kaskade mit einem billigen Consumer Produkt zu betreiben in dem Umfeld muss man sicher nicht weiter kommentieren hier ?!Szenario 1 ist ja eigentlich Blödsinn und solltest du nicht machen, auch wenn es denkbar ist.
Der Grund ist doch klar: Das VPN ist doch fix und fertig eingerichtet so wie es später auch laufen soll, nämlich sinnigerweise auf dem Cisco der damit besser umgehen kann.
Warum also frickeln was gar nicht sein muss ?!
Szenario 2 ist erhelblich sinnvoller. Du terminierst die VPN Clients da wo sie auch hinsollen. Keine Frickelei mit einem VPN Server davor und verschlimmbessern der Zugriffsregeln.
Ich habe da nicht so die Ahnung.
Tja, dagegen haben wir natürlich auch keine Pille. Das kann auch das allerbeste Forum nicht fixen. Da bist DU selber gefragt !dachte ich die "exposed" Host Funktion der FritzBox könnte nützlich sein
Nicht denken sondern nachdenken ! Exposed Host ist nur begrenzt sinnvoll. Die Funktion macht nichts anderes als ALLES was vom Internet reinkommt und an die WAN IP Adresse der FB gerichtet ist an den Cisco bzw. dessen IP weiterreicht. Feste statische IP des Cisco am WAN Port vorausgesetzt.Alles....nur solange die FB sich nicht selber angesprochen fühlt.
Das tut sie aber für Dienste für die sie aber selber gedacht ist wie IPsec VPN, HTTP, HTTPS usw. usw.
Das alles forwardet sie dann nicht.
Angenommen dein Cisco VPN nutzt auch IPsec als VPN Protokoll musst du auf der FB ALLES deaktivieren was dafür erforderlich ist. User Accounts etc. ansonsten reicht die FB diese Pakete nicht weiter egal ob Exposed Hosts oder Port Forwarding dafür. Siehe auch:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Dein Knackpunkt ist alo einzig nur die FB !
Auf dem Cisco kannst du über den Debugger (debug xyz) dir ansehen ob die FB die für IPsec VPN relevanten Ports bzw. deren Traffic richtig an die WAN IP des Cisco forwardet.
Macht sie schon das nicht kann kein VPN Client den Cisco erreichen, logisch !
Das ist also dein erster Schritt um sicherzustellen das IPsec dort auch ankommt !
Dann wird das Szenario 2 auch fehlerlos klappen.
Der Cisco sollte ein dediziertes Transfer VLAN haben zwischen dem L3 Switch und dem Routerport und NICHT in einem Produktiv VLAN liegen. Siehe dazu auch:
Verständnissproblem Routing mit SG300-28
Alles weitere zur Cisco VPN Konfig findest du hier:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a