AVM IPSEC Standortkopplung - (statische?) IP-Adressen im Remote-Netzwerk

Mitglied: Nichtsnutz

Nichtsnutz (Level 1) - Jetzt verbinden

23.02.2021 um 20:03 Uhr, 443 Aufrufe, 8 Kommentare

Hallo ins Forum, hallo aqui,
Alle Fritten-Verweigerer und Freunde der Kommandozeile mögen diese Zeilen bitte mit einem überlegenem Lächeln ignorieren...:

Seit Monaten arbeiten wir daran, die Sicherheit unserer Fritzbox-Netzwerke zu verbessern, indem wir eine Lancom R&S UF Firewalls zwischen Fritzbox und Ziel-LAN installieren. Die Firewall übernimmt dann die ursprüngliche LAN IP der Fritzbox und macht das Gateway. Die FB darüber bekommt ein anderes Netzwerk und stellt VoIP, WLAN, Fax und DECT jenseits der Firewall bereit.
Das funktioniert soweit ganz gut doch es wird immer dann kompliziert wenn die Fritzboxen VPN bereitstellen.
Insbesondere wenn die Homeoffice-User von zu Hause per RDT auf Ihre Rechner in der Firma zugreifen möchten.
Hier meine Frage:
Wenn sich bei einer IPSEC-Kopplung zwei Fritzboxen miteinander verbinden, erhält doch jede der beiden FB eine IP-Adresse im jeweiligen Remote-LAN (oder?) Wie /wo kann ich die ggf. in den CFG-Dateien fixieren / modifizieren?
Ich brauche diese Adresse, um in der Firewall dahinter eine entsprechende Regel zu definieren.

Die umgedrehte Richtung - z.B. externes Backup aus (!) dem Firmen-LAN auf das NAS zu Hause- haben wir im Griff - das funktioniert ohne Sicherheitskompromisse.
Falls ich nicht in der Lage war, mich ausreichend auszudrücken, skizziere ich das Szenario nochmal mit den entsprechenden IP-Adressen.

Vielen Dank und viele Grüße von der Ostsee!

Jens
Mitglied: Andy74MT
23.02.2021 um 21:38 Uhr
Lass nochmal den Ostsee Wind drüber blassen, und

bring die Skizze ans Tageslicht !
Bitte warten ..
Mitglied: aqui
LÖSUNG 23.02.2021 um 22:19 Uhr
den Ostsee Wind drüber blassen
Der Ostsee Wind ist aber keinesfalls blass sondern immer frisch und kräftig ! ;-) face-wink
erhält doch jede der beiden FB eine IP-Adresse im jeweiligen Remote-LAN (oder?)
Nein das ist technisch nicht richtig !
Die FBs nutzen IPsec im Tunnel Mode.
esp - Klicke auf das Bild, um es zu vergrößern
Im Schnellverfahren...
Die Phase 2 SAs im IPsec bestimmen welcher Traffic verschlüsselt und mit einem ESP Header versehen und getunnelt wird.
Hat eine FB das lokale 10.1.1.0/24 Netz und die andere 10.2.2.0/24 und die SAs bestimmen diese beiden Netze, dann wird jeglicher Traffic mit diesen Absneder und Ziel IPs verschlüsselt und in den ESP Header gepackt, der als Absender immer die lokale öffentliche IP und als Ziel die remote öffentliche IP enthält. Am Ziel wird das Packet dann ausgepackt und an die lokale Zieladresse geforwardet. Keine der FritzBoxen hat lokale Interfaces mit remoten IP Adressen ! Lesen und verstehen:
https://de.wikipedia.org/wiki/IPsec#Vergleich_Transport-_und_Tunnelmodus
In den jeweiligen remoten LANs siehst du dann also Absender und Ziel immer auch nur die lokalen 10er IP Adressen die dann auch für das Firewall Regelwerk gelten.
Eigentlich ein ganz simples Verfahren.
Bitte warten ..
Mitglied: Andy74MT
LÖSUNG 23.02.2021 um 23:45 Uhr
@aqui

Kommt der auch, da auf der einen Seite noch ein LANCOM hängt durch das NAT durch, wenn man es nicht aufmacht ?

Ich würde das ohne die Konfig zu kenne anzweifeln !
Bitte warten ..
Mitglied: Nichtsnutz
24.02.2021 um 07:36 Uhr
Ich habe es natürlich noch nicht komplett verstanden und werde erst am Abend dazu kommen, zu lesen und zu verstehen.
Das hilft mir aber zunächst weiter weil ich weiß, daß schon mein Ansatz falsch war. Ich hatte mich dabei vom AVM-VPN-Client leiten lassen, bei dessen Konfiguration man dediziert angibt, welche IP-Adresse der Client im Remote-LAN bekommt.
Daraus kann man dann eine Regel für die Firewall generieren...
Darum geht es mir. Ohne alle "Tore zu öffnen" sollen User hinter der "Zuhause-Fritzbox" RDT im Firmen-LAN öffnen können...
Ich werde lesen und nachdenken.
Vielen Dank.

...und der Ostseewind schwächelt seit 10 Tagen. Als er im Januar aus Nordost (Russland) kam, war es unerträglich...
Bitte warten ..
Mitglied: aqui
LÖSUNG 24.02.2021 um 12:50 Uhr
Kommt der auch, da auf der einen Seite noch ein LANCOM hängt durch das NAT durch
Der Tunnel selber macht kein NAT bei der FritzBox. Wenn dahinter (oder davor) natürlich noch ein NAT Router kommt dann sieht das natürlich anders aus. Da wirds dann nix ohne Port Forwarding.
Der TO schrieb aber nichts davon das im Datenfluss irgendwie noch NAT gemacht wird so das man von einem transparenten Routing ausgehen musste.
Ich hatte mich dabei vom AVM-VPN-Client leiten lassen
Du darfst ein Client VPN auch niemals mit einem Site to Site VPN vergleichen. 2 unterschiedlichen Baustellen ! Der Ansatz war dann also in der Tat falsch.
Daraus kann man dann eine Regel für die Firewall generieren...
Absolut !
sollen User hinter der "Zuhause-Fritzbox" RDT im Firmen-LAN öffnen können...
Das können sie auch ganz ohne VPN wenn man RDP im Browser macht und per HTTPS verschlüsselt. Dann reicht ein simpler Webbrowser zuhause und remote... ;-) face-wink
Bitte warten ..
Mitglied: Nichtsnutz
24.02.2021 um 13:27 Uhr
"Das können sie auch ganz ohne VPN wenn man RDP im Browser macht und per HTTPS verschlüsselt. Dann reicht ein simpler Webbrowser zuhause und remote... "
Dazu brauche ich Lektüre... Hast Du einen Link?
Bitte warten ..
Mitglied: aqui
LÖSUNG 24.02.2021 um 14:51 Uhr
Da müssen sich mal die Citrix und Windows RDP Profis hier äußern....
Bitte warten ..
Mitglied: Dani
LÖSUNG 24.02.2021 um 21:49 Uhr
Moin,
Dazu brauche ich Lektüre... Hast Du einen Link?
wenn es kostenlose und Open Source sein soll, Apache Guacamole. Gibt dazu ein paar wenige gute Anleitungen.

@aqui
Da müssen sich mal die Citrix und Windows RDP Profis hier äußern....
Citrix = disqualifiziert mich, Profi = disqualifiziert mich. Bin in der VMware World zu Hause. ;-) face-wink


Gruß,
Dani
Bitte warten ..
Heiß diskutierte Inhalte
Microsoft
STRG + ALT + ENTF
TezzlaVor 1 TagAllgemeinMicrosoft12 Kommentare

Mahlzeit zusammen, wir haben gerade im Kollegenkreis über Sinn und Unsinn der Sperrbildschirmentriegelung STRG + ALT + ENTF unter Win10 diskutiert. Mich würde hierzu ...

Video & Streaming
Streamingplattform mit eigenen Servern
gelöst icegetVor 1 TagFrageVideo & Streaming6 Kommentare

Hallo liebe Community, ich würde gerne via Amazaon AWS (oder andere Cloudanbietern) mehrere Serverinstanzen (Streaming) starten, um z.B. 2000 Personen den selben Stream den ...

Hardware
Outdoor LAN sichern mit oder ohne Fritzbox Verständnis Frage
bluescreenVor 1 TagFrageHardware15 Kommentare

Hallo zusammen, ich habe die letzten Stunden schon viel hier gelesen, stehe aber ein wenig auf dem Schlauch, wie und wo ich weiter suchen ...

Windows Server
Nutzer als lokaler Admin in Windows Server 2019
hanheikVor 1 TagFrageWindows Server6 Kommentare

Hallo, in SBS 2011 konnte ich ganz einfach einen Nutzer als lokalen Admin einstellen. Windows fragte dann, für welchen Rechner; Rechner auswählen; fertig! In ...

Windows Netzwerk
Telefone im Netzwerk bekannt machen
jannik0205Vor 22 StundenFrageWindows Netzwerk13 Kommentare

Hallo Zusammen, In unserem Unternehmen gibt es eine Telefonanlage mit eigenem Telefonienetz (192.168.5.X). Schließe ich ein Telefon an eine Netzwerkdose, bekommt es vom DHCP- ...

Windows 10
Windows 7 pro Lizenz nutzen für Windows 10
lukas0209Vor 17 StundenFrageWindows 1013 Kommentare

Hallo Community, ich versuche seit einigen Wochen unser Netzwerk von Windows Server 2008 R2 Standard auf Windows Server 2016 Essentials um, welches eine städtische ...

Datenschutz
Übergang von "Sorgfaltspflicht" im Datenschutz
ukulele-7Vor 1 TagFrageDatenschutz7 Kommentare

Hallo zusammen, mir ist eine, zugegeben eher juristische, Frage in den Sinn gekommen. In unserer Branche arbeiten wir mit sensiblen, personenbezogenen Daten die natürlich ...

Windows Server
Remotedesktop Lizenzzierungsserver
Leffe69Vor 1 TagFrageWindows Server11 Kommentare

Hallo! Ich habe zwei Win Server ohne AD: Win 2019 Standard - Auf diesem sind die RDS Zugriffslizenzen installiert. Win 2008 R2 - Dieser ...