136423
Aug 24, 2018 at 15:46:22 (UTC)
1989
5
0
VPN mit alternativem Gateway
Hallo zusammen,
Ich möchte euch kurz eine Frage zum Thema VPN stellen. Ist es möglich bei bestehendem VPN den Gateway zu einem im VPN-Netz existierenden Router zu ändern (wenn alle Verbindung getunnelt werden)?
Aufbau des Netzwerkes wäre im groben folgender:
Client => | VPN | <= Router_1 <=> Router_2 <=> Server
VPN wird also mit Router_1 aufgebaut.
Router_1 (mit DHCP) und Router_2 liegen Netzwerk 192.168.1.0/24. Der Client würde bei laufender VPN Verbindung ja auch eine IP aus diesem Bereich erhalten.
Router_2 ist so konfiguriert, dass er alle Aufrufe aus 192.168.1.0/24 in seine internen Netze routet (192.168.2.0/24, 192.168.3.0/24...). Standardmäßig bekommen VPN-Clients ja aber Router_1 als Standardgateway zugewiesen.
Gibt es eine Möglichkeit bei laufender VPN Verbindung den Gateway auf Router_2 zu stellen? Ist sowas überhaupt möglich?
Bitte nicht vom Netzwerk-Aufbau irritieren lassen. Das ist alles nur vorübergehend. Normalerweise wäre Router_1 nicht vorhanden
Viele Grüße
niLuxx
Ich möchte euch kurz eine Frage zum Thema VPN stellen. Ist es möglich bei bestehendem VPN den Gateway zu einem im VPN-Netz existierenden Router zu ändern (wenn alle Verbindung getunnelt werden)?
Aufbau des Netzwerkes wäre im groben folgender:
Client => | VPN | <= Router_1 <=> Router_2 <=> Server
VPN wird also mit Router_1 aufgebaut.
Router_1 (mit DHCP) und Router_2 liegen Netzwerk 192.168.1.0/24. Der Client würde bei laufender VPN Verbindung ja auch eine IP aus diesem Bereich erhalten.
Router_2 ist so konfiguriert, dass er alle Aufrufe aus 192.168.1.0/24 in seine internen Netze routet (192.168.2.0/24, 192.168.3.0/24...). Standardmäßig bekommen VPN-Clients ja aber Router_1 als Standardgateway zugewiesen.
Gibt es eine Möglichkeit bei laufender VPN Verbindung den Gateway auf Router_2 zu stellen? Ist sowas überhaupt möglich?
Bitte nicht vom Netzwerk-Aufbau irritieren lassen. Das ist alles nur vorübergehend. Normalerweise wäre Router_1 nicht vorhanden
Viele Grüße
niLuxx
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 384369
Url: https://administrator.de/contentid/384369
Printed on: April 19, 2024 at 21:04 o'clock
5 Comments
Latest comment
Hallo,
nein das ist generell nicht möglich, ohne das die Verbindung abbricht. Du solltest für dein VPN einfach entsprechende Routen vom R1 -> R2 konfigurieren.
Gruß
bloody
nein das ist generell nicht möglich, ohne das die Verbindung abbricht. Du solltest für dein VPN einfach entsprechende Routen vom R1 -> R2 konfigurieren.
Gruß
bloody
Hallo bloodstix,
Ah ok, danke. Nehme ich diese Einstellungen dann direkt am R1 vor?
Was stelle ich dann genau ein? Ein Routing von 192.168.1.0/24 auf die 192.168.2.0/24?
Viele Grüße
niLuxx
Ah ok, danke. Nehme ich diese Einstellungen dann direkt am R1 vor?
Was stelle ich dann genau ein? Ein Routing von 192.168.1.0/24 auf die 192.168.2.0/24?
Viele Grüße
niLuxx
Ist es möglich bei bestehendem VPN den Gateway zu einem im VPN-Netz existierenden Router zu ändern
Das kommt darauf an....Bei einer VPN Gateway redirect Funktion auf dem VPN Server also wo der VPN Einwahlserver das Default Gateway am Client anpasst ist es generell nicht möglich.
Allerdings hast du dann auch das o.g. Problem gar nicht erst, denn dann wird ja immer ALLES in den VPN Tunnel geroutet.
Bei einem Split Tunnel wird ja nur ein oder mehrere remote IP Segmente in den Tunnel geroutet. Hier könntest du mit einer statischen Route natürlich auf Client Seite eine hinzufügen.
Allerdings ist das ja bekanntlich nur die halbe Miete, denn die Rückroute muss ja auch stimmen, d.h. beide Seiten müssen die Netze kennen.
Kannst du die Rückroute nicht auch anpassen nützt dir also eine zusätzliche statische Route am Client rein gar nichts.
Der Client würde bei laufender VPN Verbindung ja auch eine IP aus diesem Bereich erhalten.
Nein ! Das ist falsch und hängt vom verwendeten VPN Protokoll ab.Leider bist du zu diesen wichtigen Punkten ob Redirect oder Split Tunnel oder Protokoll recht oberflächlich so das eine zielführende Hilfe nicht gerade einfach ist ohne raten zu müssen
Im Grunde ist die Frage auch sinnfrei, denn mit den SA Credentials (IPsec vorausgesetzt als VPN Protokoll) kannst du ja an Router 1 sofern das dein VPN Dialin Router ist ??! ja einstellen welche IP Routen du an den Client distribuierst.
Alternativ könnte Router 1 nur durchreichen und Router 2 wäre der VPN Dialin Router, dann wäre die Frage auch überflüssig.
Oder...du routest über einen GRE Tunnel und nutzt dynmaisches Routing über den Tunnel dann lernt der Client alles dynamisch.
Es gibt viele Wege für eine Lösung. Entscheidend ist was genau du erreichen willst. Leider wird auch das nicht so ganz klar aus deiner Fragestellung ?!
Hallo zusammen,
Danke für eure Antworten. Vielleicht ein paar weitere Infos zur Erklärung und um die Sache verständlicher zu machen. Derzeit sieht unsere Netzwerkstruktur noch folgendermaßen aus:
INTERNET <=> FritzBox <=> Cisco Firewall/Router <=> Layer-3-Switch <=> Server/Clients
Soweit funktioniert alles wie es soll. Mittelfristig soll die Fritzbox noch verschwinden und der Cisco Router/Firewall (ASA) direkt ans Netz. Vorübergehend müssen wir aber mit dieser Zwischenlösung leben, da es diverse Telefone gibt (DECT/VOIP), die über die FritzBox angebunden sind.
Ziel soll es sein (als Übergang) mittels VPN auf die Server und Clients zu zugreifen. Der Cisco-Router/Layer-3-Switch wurde schon konfiguriert, sodass es letztlich 7 Sub-Netze gibt:
=> Am Router physisch, jeweils an einem Port
=> Am Switch mittels VLANs
Mittelfristig soll das interne Routing über den Layer-3-Switch gehen.
Derzeit ist Netz 1 des Routers (192.168.178.0/24) mit der FritzBox verbunden (Sec-Stufe 0) - outside IP = 192.168.178.X. Die anderen Subnetze (192.168.X.0/24) haben je nach Einsatz eine Stufe zwischen 50-100. Ich habe die Kommunikationsretriktionen allerdings ausgehebelt, indem ich an der Firewall eine Regel bestimmt habe, die alle Verbindungen aus (192.168.178.0/24) in andere Netze zulassen. Das ist nicht schön, aber für mich für eine initiale Installation/Konfiguration der Server recht nützlich. Die Netze sind derzeit ja noch halbwegs gut über die FritzBox gesichert (Server sind noch nicht produktiv).
Ziel wäre jetzt "einfach" nur ein Zugriff auf die internen Server/Clients. Folgende Szenarien könnte ich mir vorstellen:
1. VPN zu FritzBox. Im FritzBox Netz dann mittels der eingestellten Security Regelung auf die Server und Clients der anderen Netze zugreifen:
=> Problem => Cisco Router agiert nicht als Gateway und http-request (e.g. zum Aufruf von Konfig UIs) gehen zum FritzBox Router und damit ins Leere
2. VPN zu Cisco. Ich habe da nicht so die Ahnung. Letztlich dachte ich die "exposed" Host Funktion der FritzBox könnte nützlich sein, aber wie kann ich den Router dann für VPN direkt ansteuern? Hier würde man logischerweise die Firewall-Rule vorher wieder am Router entfernen und ein Security 100 Netz als Einstieg nehmen (zumindest vorübergehend bis grundlegende Konfig abgeschlossen ist).
Viele Grüße
niLuxx
Danke für eure Antworten. Vielleicht ein paar weitere Infos zur Erklärung und um die Sache verständlicher zu machen. Derzeit sieht unsere Netzwerkstruktur noch folgendermaßen aus:
INTERNET <=> FritzBox <=> Cisco Firewall/Router <=> Layer-3-Switch <=> Server/Clients
Soweit funktioniert alles wie es soll. Mittelfristig soll die Fritzbox noch verschwinden und der Cisco Router/Firewall (ASA) direkt ans Netz. Vorübergehend müssen wir aber mit dieser Zwischenlösung leben, da es diverse Telefone gibt (DECT/VOIP), die über die FritzBox angebunden sind.
Ziel soll es sein (als Übergang) mittels VPN auf die Server und Clients zu zugreifen. Der Cisco-Router/Layer-3-Switch wurde schon konfiguriert, sodass es letztlich 7 Sub-Netze gibt:
=> Am Router physisch, jeweils an einem Port
=> Am Switch mittels VLANs
Mittelfristig soll das interne Routing über den Layer-3-Switch gehen.
Derzeit ist Netz 1 des Routers (192.168.178.0/24) mit der FritzBox verbunden (Sec-Stufe 0) - outside IP = 192.168.178.X. Die anderen Subnetze (192.168.X.0/24) haben je nach Einsatz eine Stufe zwischen 50-100. Ich habe die Kommunikationsretriktionen allerdings ausgehebelt, indem ich an der Firewall eine Regel bestimmt habe, die alle Verbindungen aus (192.168.178.0/24) in andere Netze zulassen. Das ist nicht schön, aber für mich für eine initiale Installation/Konfiguration der Server recht nützlich. Die Netze sind derzeit ja noch halbwegs gut über die FritzBox gesichert (Server sind noch nicht produktiv).
Ziel wäre jetzt "einfach" nur ein Zugriff auf die internen Server/Clients. Folgende Szenarien könnte ich mir vorstellen:
1. VPN zu FritzBox. Im FritzBox Netz dann mittels der eingestellten Security Regelung auf die Server und Clients der anderen Netze zugreifen:
=> Problem => Cisco Router agiert nicht als Gateway und http-request (e.g. zum Aufruf von Konfig UIs) gehen zum FritzBox Router und damit ins Leere
2. VPN zu Cisco. Ich habe da nicht so die Ahnung. Letztlich dachte ich die "exposed" Host Funktion der FritzBox könnte nützlich sein, aber wie kann ich den Router dann für VPN direkt ansteuern? Hier würde man logischerweise die Firewall-Rule vorher wieder am Router entfernen und ein Security 100 Netz als Einstieg nehmen (zumindest vorübergehend bis grundlegende Konfig abgeschlossen ist).
Viele Grüße
niLuxx
Mittelfristig soll die Fritzbox noch verschwinden und der Cisco Router/Firewall (ASA) direkt ans Netz.
Das wäre mehr als sinnvoll. Eine Router Kaskade mit einem billigen Consumer Produkt zu betreiben in dem Umfeld muss man sicher nicht weiter kommentieren hier ?!Szenario 1 ist ja eigentlich Blödsinn und solltest du nicht machen, auch wenn es denkbar ist.
Der Grund ist doch klar: Das VPN ist doch fix und fertig eingerichtet so wie es später auch laufen soll, nämlich sinnigerweise auf dem Cisco der damit besser umgehen kann.
Warum also frickeln was gar nicht sein muss ?!
Szenario 2 ist erhelblich sinnvoller. Du terminierst die VPN Clients da wo sie auch hinsollen. Keine Frickelei mit einem VPN Server davor und verschlimmbessern der Zugriffsregeln.
Ich habe da nicht so die Ahnung.
Tja, dagegen haben wir natürlich auch keine Pille. Das kann auch das allerbeste Forum nicht fixen. Da bist DU selber gefragt !dachte ich die "exposed" Host Funktion der FritzBox könnte nützlich sein
Nicht denken sondern nachdenken ! Exposed Host ist nur begrenzt sinnvoll. Die Funktion macht nichts anderes als ALLES was vom Internet reinkommt und an die WAN IP Adresse der FB gerichtet ist an den Cisco bzw. dessen IP weiterreicht. Feste statische IP des Cisco am WAN Port vorausgesetzt.Alles....nur solange die FB sich nicht selber angesprochen fühlt.
Das tut sie aber für Dienste für die sie aber selber gedacht ist wie IPsec VPN, HTTP, HTTPS usw. usw.
Das alles forwardet sie dann nicht.
Angenommen dein Cisco VPN nutzt auch IPsec als VPN Protokoll musst du auf der FB ALLES deaktivieren was dafür erforderlich ist. User Accounts etc. ansonsten reicht die FB diese Pakete nicht weiter egal ob Exposed Hosts oder Port Forwarding dafür. Siehe auch:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Dein Knackpunkt ist alo einzig nur die FB !
Auf dem Cisco kannst du über den Debugger (debug xyz) dir ansehen ob die FB die für IPsec VPN relevanten Ports bzw. deren Traffic richtig an die WAN IP des Cisco forwardet.
Macht sie schon das nicht kann kein VPN Client den Cisco erreichen, logisch !
Das ist also dein erster Schritt um sicherzustellen das IPsec dort auch ankommt !
Dann wird das Szenario 2 auch fehlerlos klappen.
Der Cisco sollte ein dediziertes Transfer VLAN haben zwischen dem L3 Switch und dem Routerport und NICHT in einem Produktiv VLAN liegen. Siehe dazu auch:
Verständnissproblem Routing mit SG300-28
Alles weitere zur Cisco VPN Konfig findest du hier:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
