Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Fritzboxen VPN über RootServer und V6 Tunnel

Mitglied: zyklop

zyklop (Level 1) - Jetzt verbinden

13.12.2019 um 19:09 Uhr, 288 Aufrufe, 5 Kommentare

Hallo Ihr lieben,

ich stehe wie viele demnächst vor dem Problem, das mein Anschluss auf (feste ungenattete) IP V6 umgestellt wird (Deutsche Glasfaser)
Bisher habe ich einen Unity Business Anschluss mit fester IP V4.
Nun habe ich mir überlegt, meinen ohnehin schon vorhandenen Root Server für mein VPN Netz zu "vergewaltigen".

Wie ich mir das vorstelle habe ich in einer kleinen Skizze im Anhang mal schnell aufgezeichnet.
Die derzeitigen Client Boxen wählen sich nach der umstellung bestenfalls über die Root Server öffentliche IP V4 an und werden per Portmapping dort einfach über einen V6 Tunnel zur "Master" Fritz weiter-/umgeleitet.



gegebene Voraussetzungen:

Clients --> alle IP V4 unterschiedlicher Provider, pingen über irgendein Gerät immer das 192.168.0.0 Netz an (klappt bisher prima zum Tunnel aufbauen)

Root Server --> feste öffentliche IP V4 mit rDNS und pingbar UND feste IP V6 (freie Range Verfügbar) 1GBit Bandbreite

"Master" Fritz --> nur noch feste (nicht genattete) IP V6 Range

Hat jemand eine Idee wie und mit welcher Software ich den Tunnel vom Root Server zur Fritz dauerhaft aufbauen/halten kann und wie das Portmapping auf
dem Root Server am Besten zu realisieren ist ?
Kann so ein Konstrukt funktionieren ?

Grüße und Danke im Voraus für Eure Ideen, bin sehr gespannt....

zyklop
fritzvpn - Klicke auf das Bild, um es zu vergrößern
Mitglied: zyklop
21.12.2019 um 17:32 Uhr
Oje, seit 7 Tagen nichtmal eine Antwort.....ist die Aufgabenstellung zu schwer oder habe ich etwa beim suchen die lösung meines problems übersehen ?

Grüße

zyklop
Bitte warten ..
Mitglied: aqui
21.12.2019, aktualisiert um 17:55 Uhr
Hat jemand eine Idee wie und mit welcher Software ich den Tunnel vom Root Server zur Fritz dauerhaft aufbauen/halten
Wenn es dir nur um die Softwarefrage geht ist die Antwort ja recht einfach. Die FritzBox kann bekanntlich als VPN einzig nur native IPsec mit IKEv1 so das es übersichtlich wird.
Allerdings müssen wir wieder im freien Fall raten was für ein OS du denn auf deinem Server hast...
Bei Winblows nimms du den Klassiker: https://www.shrew.net/download
Bei Linux den Klassiker: https://www.strongswan.org
Fertisch... Weiss man eigentlich als Netzwerk Admin aber hast du vermutlich wirklich übersehen.
Zwei Dinge verwirren dennoch oben:
  • Einen reine v6 Anschluss gibt es eigentlich gar nicht. Das dürfte also nicht stimmen. Die DG wird dir sicher einen DS-Lite Anschluss legen mit CGN wie das üblich ist.
  • Eine "freie" v6 Range am Server dürfte auch nicht stimmen. Das ist mit Sicherheit ein vorgegebenes /64 oder anderer Prefix im Besitz des Server Hosters.
Beides spielt aber für die Lösung letztlich nur eine nebensächliche Rolle.
Bitte warten ..
Mitglied: zyklop
15.02.2020 um 14:40 Uhr
SO, ich bin nun einen riesen Schritt weiter,
Ich habe alle 6 SubNetze (Fritzboxen) erfolgreich auf meinem vServer verbunden und kann auch vom Vserver (Mitte der Sternförmigen Vernetzung) alle Netze Anpingen und auch von den Endpunkten zum Vserver (192.168.4.0 Netz) Die anderern haben 192.168.0.0 ~/1.0 ~/2.0 ~/5.0 ~/10.0 ~/11.0 (jeweils 192.168.x.x)
Dafür habe ich auf Ubuntu 18.04 den Strongswan (ipsec) installiert (kompiliert mit ipsec0 interface)
und die entsprechenden Configs auf die Fritzboxen gespielt.

Jetzt muss ich nur noch das 192.168.0.0 er Netzt mit dem 192.168.4.0 Netz verbinden damit ich auf alle anderen Netze Komme und alle anderen auf das 0er Netz.

Kann das 0er Netz leider nicht mehr "subnetten", da ich von IP 2 -253 fast alles vergeben habe.

Wie "route" ich nun auf dem vServer die Netze wie oben gewünscht ?
Hab schon Supernetting versucht, aber da weiss ich nicht so genau wie die configs da so ausehen müssten und ob die Fritzboxen dann noch connecten.

Hiermal beispielconfigs vom 0er und 2er Netz (Fritzbox) und von der /etc/ipsec.conf und secrets:
Fritz 0er Netz

vpncfg {
connections {
enabled = yes;
editable = no;
conn_type = conntype_lan;
name = "0erToRootserver";
boxuser_id = 0;
always_renew = yes;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remotehostname = "VSERVER-IP";
remote_virtualip = 0.0.0.0;
localid {
fqdn = "homebox";
}
remoteid {
fqdn = "VSERVER-IP";
}
mode = phase1_mode_idp;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "geheim";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.0.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.4.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.4.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}

Fritz 2er Netz

vpncfg {
connections {
enabled = yes;
editable = no;
conn_type = conntype_lan;
name = "2erToRootserver";
boxuser_id = 0;
always_renew = yes;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remotehostname = "VSERVER-IP";
remote_virtualip = 0.0.0.0;
localid {
fqdn = "homebox";
}
remoteid {
fqdn = "VSERVER-IP";
}
mode = phase1_mode_idp;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "geheim";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.2.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.4.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.4.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}

VSERVER ipsec.conf

config setup

conn home
authby=secret
auto=add
left=VSERVER-IP
leftsubnet=192.168.4.0/24
rightid=@homebox
rightsubnet=192.168.0.0/24
ike=aes256-sha-modp1024
esp=aes256-sha1-modp1024

conn home2
authby=secret
auto=add
left=VSERVER-IP
leftsubnet=192.168.4.0/24
rightid=@homebox2
rightsubnet=192.168.2.0/24
ike=aes256-sha-modp1024
esp=aes256-sha1-modp1024

VSERVER ipsec.secrets:

@homebox : PSK "geheim"
@homebox2 : PSK "geheim"


Wer bis hier zu lesen durchgehalten hat, der kann mir auch sicher weiterhelfen !!

Grüße
zyklop
Bitte warten ..
Mitglied: aqui
15.02.2020 um 15:22 Uhr
Wie "route" ich nun auf dem vServer die Netze wie oben gewünscht ?
Da sollte dir ggf. dieser Thread helfen das zu lösen ?!
https://administrator.de/forum/pfsense-fritzboxen-verbinden-543936.html
Bitte warten ..
Mitglied: zyklop
17.02.2020, aktualisiert um 23:06 Uhr
leider nein.....hier geht es um die config mit microtec Geräten....
Habe hier ein Fritzbox Netz auf Vserver......fehlt doch nur noch das routing ....
keiner eine idee ??
Habe jetzt schon den Fritten alle Netze bekannt gegeben, die in den Tunnel sollen....
accesslist = "permit ip any 192.168.4.0 255.255.255.0",
"permit ip any 192.168.0.0 255.255.255.0" ;
leider routet das ipsec0 Interface auf dem VServer das nicht, die pakete landen aber auf dem interface......fehlt nur noch dieses bisschen "verknoten".........
habe schon überlegt die 192.168.0.0 er Box (gewünschter Sternnetzmittelpunkt, was jetzt das 4er Netz/VServer ist) auf ein zweites interface einwählen zu lassen und dann z.B. ipsec0 und ipsec2 (or whatever) zu "bridgen", dann hätte ich doch auch die lösung oder ?!

wer weiss weiter ?!

Grüße
zyklop
Bitte warten ..
Ähnliche Inhalte
Router & Routing
FRITZBOX VPN LAN-LAN Tunnel
Frage von alexandersrzRouter & Routing5 Kommentare

Hallo, ich bin dabei einen VPN Tunnel zwischen zwei Fritzboxen aufzubauen. Zur Situation. - Standort A hat eine Fritzbox ...

Netzwerke

VPN-Tunnel von Fire TV (über Fritzbox) zu Fritzbox

Frage von lhennenNetzwerke3 Kommentare

Hallo, hier meine derzeitige Konstellation. Fritzbox A (in Belgien) - FireTV über WLAN verbunden Fritzbox B (in Luxemburg) Mein ...

Router & Routing

PFsense VPN tunnel zur FritzBox 7390 (IPSec)

gelöst Frage von PotthoffRouter & Routing6 Kommentare

Schönen guten Morgen zusammen, Ich habe einen VPN tunnel zwischen einer FritzBox 7390 und einer Pfsense gebaut. Mein problem ...

Server

VPN-Tunnel zwischen ASUS-Router und Fritzbox (Protokoll)?

gelöst Frage von lhennenServer1 Kommentar

Hallo zusammen, vorerst: ich bin relativer Frischling auf dem Gebiet VPN. Auf meiner Fritzbox in Luxemburg habe ich einen ...

Neue Wissensbeiträge
Virtualisierung

VEEAM Instant VM Recovery Datenverlust möglich

Information von sabines vor 11 MinutenVirtualisierung

Wer instant VM Recovery unter Veeam nutzt, sollte seine Installation überprüfen. In manchen Fällen könnte es zu Datenverlust kommen, ...

Administrator.de Feedback
Hinweise auf Dienstleister oder auf Suchmaschinen
Information von Frank vor 3 TagenAdministrator.de Feedback71 Kommentare

Lieber User, Admins und Moderatoren, aus gegebenen Anlass möchte ich zwei Dinge endgültig klarstellen und für die Nachwelt festhalten: ...

Router & Routing

PfSense 2.4 IPSec VPN mobile Clients Phase 2 wird plötzlich nicht mehr aufgebaut - So einfach war die Lösung

Tipp von the-buccaneer vor 4 TagenRouter & Routing9 Kommentare

Moinsen! Nachdem ich mir hierbei nen Wolf gesucht habe, möchte ich doch die Welt an dieser simplen Lösung teilhaben ...

Humor (lol)
Wählscheiben Telefon
Information von brammer vor 4 TagenHumor (lol)4 Kommentare

Hallo, Mal wirkliche eine nette Spielerei brammer

Heiß diskutierte Inhalte
Backup
VMware ESXi Cluster Backup
Frage von ADRNEXBackup22 Kommentare

Hallo zusammen, Ich habe eine vmware esxi cluster Umgebung mit ca. 20TB Daten, die auf einem SAN liegen. Es ...

Netzwerkmanagement
Softwareverteilung für kleines Unternehmen mit sehr gemixter Hardware
gelöst Frage von BavarianSysadNetzwerkmanagement20 Kommentare

Hallo zusammen^^, ich stehe vor dem Problem das wir im Unternehmen eine Softwareverteilung einführen soll, leider ist dies wie ...

Netzwerke
Frage zu Spanning-Tree-Layout
Frage von LordGurkeNetzwerke11 Kommentare

Hallo zusammen, ich habe aktuell das Problem, dass in einem relativ frisch aufgebauten Netzwerk mit redundanten Pfaden und MSTP ...

Router & Routing
OpenWrt Router und IPsec iptables
Frage von Achim462Router & Routing10 Kommentare

Hallo. Ich weiß nicht ob das der richtige Ort für dieses Thema ist. Falls nicht, kann ein Administrator dieses ...