AVM IPSEC Standortkopplung - (statische?) IP-Adressen im Remote-Netzwerk
Hallo ins Forum, hallo aqui,
Alle Fritten-Verweigerer und Freunde der Kommandozeile mögen diese Zeilen bitte mit einem überlegenem Lächeln ignorieren...:
Seit Monaten arbeiten wir daran, die Sicherheit unserer Fritzbox-Netzwerke zu verbessern, indem wir eine Lancom R&S UF Firewalls zwischen Fritzbox und Ziel-LAN installieren. Die Firewall übernimmt dann die ursprüngliche LAN IP der Fritzbox und macht das Gateway. Die FB darüber bekommt ein anderes Netzwerk und stellt VoIP, WLAN, Fax und DECT jenseits der Firewall bereit.
Das funktioniert soweit ganz gut doch es wird immer dann kompliziert wenn die Fritzboxen VPN bereitstellen.
Insbesondere wenn die Homeoffice-User von zu Hause per RDT auf Ihre Rechner in der Firma zugreifen möchten.
Hier meine Frage:
Wenn sich bei einer IPSEC-Kopplung zwei Fritzboxen miteinander verbinden, erhält doch jede der beiden FB eine IP-Adresse im jeweiligen Remote-LAN (oder?) Wie /wo kann ich die ggf. in den CFG-Dateien fixieren / modifizieren?
Ich brauche diese Adresse, um in der Firewall dahinter eine entsprechende Regel zu definieren.
Die umgedrehte Richtung - z.B. externes Backup aus (!) dem Firmen-LAN auf das NAS zu Hause- haben wir im Griff - das funktioniert ohne Sicherheitskompromisse.
Falls ich nicht in der Lage war, mich ausreichend auszudrücken, skizziere ich das Szenario nochmal mit den entsprechenden IP-Adressen.
Vielen Dank und viele Grüße von der Ostsee!
Jens
Alle Fritten-Verweigerer und Freunde der Kommandozeile mögen diese Zeilen bitte mit einem überlegenem Lächeln ignorieren...:
Seit Monaten arbeiten wir daran, die Sicherheit unserer Fritzbox-Netzwerke zu verbessern, indem wir eine Lancom R&S UF Firewalls zwischen Fritzbox und Ziel-LAN installieren. Die Firewall übernimmt dann die ursprüngliche LAN IP der Fritzbox und macht das Gateway. Die FB darüber bekommt ein anderes Netzwerk und stellt VoIP, WLAN, Fax und DECT jenseits der Firewall bereit.
Das funktioniert soweit ganz gut doch es wird immer dann kompliziert wenn die Fritzboxen VPN bereitstellen.
Insbesondere wenn die Homeoffice-User von zu Hause per RDT auf Ihre Rechner in der Firma zugreifen möchten.
Hier meine Frage:
Wenn sich bei einer IPSEC-Kopplung zwei Fritzboxen miteinander verbinden, erhält doch jede der beiden FB eine IP-Adresse im jeweiligen Remote-LAN (oder?) Wie /wo kann ich die ggf. in den CFG-Dateien fixieren / modifizieren?
Ich brauche diese Adresse, um in der Firewall dahinter eine entsprechende Regel zu definieren.
Die umgedrehte Richtung - z.B. externes Backup aus (!) dem Firmen-LAN auf das NAS zu Hause- haben wir im Griff - das funktioniert ohne Sicherheitskompromisse.
Falls ich nicht in der Lage war, mich ausreichend auszudrücken, skizziere ich das Szenario nochmal mit den entsprechenden IP-Adressen.
Vielen Dank und viele Grüße von der Ostsee!
Jens
8 Antworten
- LÖSUNG Andy74MT schreibt am 23.02.2021 um 21:38:46 Uhr
- LÖSUNG aqui schreibt am 23.02.2021 um 22:19:12 Uhr
- LÖSUNG Andy74MT schreibt am 23.02.2021 um 23:45:17 Uhr
- LÖSUNG Nichtsnutz schreibt am 24.02.2021 um 07:36:44 Uhr
- LÖSUNG aqui schreibt am 24.02.2021 um 12:50:46 Uhr
- LÖSUNG Nichtsnutz schreibt am 24.02.2021 um 13:27:00 Uhr
- LÖSUNG aqui schreibt am 24.02.2021 um 14:51:47 Uhr
- LÖSUNG Dani schreibt am 24.02.2021 um 21:49:40 Uhr
- LÖSUNG aqui schreibt am 24.02.2021 um 14:51:47 Uhr
- LÖSUNG Nichtsnutz schreibt am 24.02.2021 um 13:27:00 Uhr
- LÖSUNG aqui schreibt am 24.02.2021 um 12:50:46 Uhr
- LÖSUNG Nichtsnutz schreibt am 24.02.2021 um 07:36:44 Uhr
- LÖSUNG Andy74MT schreibt am 23.02.2021 um 23:45:17 Uhr
- LÖSUNG aqui schreibt am 23.02.2021 um 22:19:12 Uhr
LÖSUNG 23.02.2021 um 21:38 Uhr
LÖSUNG 23.02.2021 um 22:19 Uhr
den Ostsee Wind drüber blassen
Der Ostsee Wind ist aber keinesfalls blass sondern immer frisch und kräftig ! erhält doch jede der beiden FB eine IP-Adresse im jeweiligen Remote-LAN (oder?)
Nein das ist technisch nicht richtig !Die FBs nutzen IPsec im Tunnel Mode.
Im Schnellverfahren...
Die Phase 2 SAs im IPsec bestimmen welcher Traffic verschlüsselt und mit einem ESP Header versehen und getunnelt wird.
Hat eine FB das lokale 10.1.1.0/24 Netz und die andere 10.2.2.0/24 und die SAs bestimmen diese beiden Netze, dann wird jeglicher Traffic mit diesen Absneder und Ziel IPs verschlüsselt und in den ESP Header gepackt, der als Absender immer die lokale öffentliche IP und als Ziel die remote öffentliche IP enthält. Am Ziel wird das Packet dann ausgepackt und an die lokale Zieladresse geforwardet. Keine der FritzBoxen hat lokale Interfaces mit remoten IP Adressen ! Lesen und verstehen:
https://de.wikipedia.org/wiki/IPsec#Vergleich_Transport-_und_Tunnelmodus
In den jeweiligen remoten LANs siehst du dann also Absender und Ziel immer auch nur die lokalen 10er IP Adressen die dann auch für das Firewall Regelwerk gelten.
Eigentlich ein ganz simples Verfahren.
LÖSUNG 23.02.2021 um 23:45 Uhr
@aqui
Kommt der auch, da auf der einen Seite noch ein LANCOM hängt durch das NAT durch, wenn man es nicht aufmacht ?
Ich würde das ohne die Konfig zu kenne anzweifeln !
Kommt der auch, da auf der einen Seite noch ein LANCOM hängt durch das NAT durch, wenn man es nicht aufmacht ?
Ich würde das ohne die Konfig zu kenne anzweifeln !
LÖSUNG 24.02.2021 um 07:36 Uhr
Ich habe es natürlich noch nicht komplett verstanden und werde erst am Abend dazu kommen, zu lesen und zu verstehen.
Das hilft mir aber zunächst weiter weil ich weiß, daß schon mein Ansatz falsch war. Ich hatte mich dabei vom AVM-VPN-Client leiten lassen, bei dessen Konfiguration man dediziert angibt, welche IP-Adresse der Client im Remote-LAN bekommt.
Daraus kann man dann eine Regel für die Firewall generieren...
Darum geht es mir. Ohne alle "Tore zu öffnen" sollen User hinter der "Zuhause-Fritzbox" RDT im Firmen-LAN öffnen können...
Ich werde lesen und nachdenken.
Vielen Dank.
...und der Ostseewind schwächelt seit 10 Tagen. Als er im Januar aus Nordost (Russland) kam, war es unerträglich...
Das hilft mir aber zunächst weiter weil ich weiß, daß schon mein Ansatz falsch war. Ich hatte mich dabei vom AVM-VPN-Client leiten lassen, bei dessen Konfiguration man dediziert angibt, welche IP-Adresse der Client im Remote-LAN bekommt.
Daraus kann man dann eine Regel für die Firewall generieren...
Darum geht es mir. Ohne alle "Tore zu öffnen" sollen User hinter der "Zuhause-Fritzbox" RDT im Firmen-LAN öffnen können...
Ich werde lesen und nachdenken.
Vielen Dank.
...und der Ostseewind schwächelt seit 10 Tagen. Als er im Januar aus Nordost (Russland) kam, war es unerträglich...
LÖSUNG 24.02.2021 um 12:50 Uhr
Kommt der auch, da auf der einen Seite noch ein LANCOM hängt durch das NAT durch
Der Tunnel selber macht kein NAT bei der FritzBox. Wenn dahinter (oder davor) natürlich noch ein NAT Router kommt dann sieht das natürlich anders aus. Da wirds dann nix ohne Port Forwarding.Der TO schrieb aber nichts davon das im Datenfluss irgendwie noch NAT gemacht wird so das man von einem transparenten Routing ausgehen musste.
Ich hatte mich dabei vom AVM-VPN-Client leiten lassen
Du darfst ein Client VPN auch niemals mit einem Site to Site VPN vergleichen. 2 unterschiedlichen Baustellen ! Der Ansatz war dann also in der Tat falsch.Daraus kann man dann eine Regel für die Firewall generieren...
Absolut !sollen User hinter der "Zuhause-Fritzbox" RDT im Firmen-LAN öffnen können...
Das können sie auch ganz ohne VPN wenn man RDP im Browser macht und per HTTPS verschlüsselt. Dann reicht ein simpler Webbrowser zuhause und remote... LÖSUNG 24.02.2021 um 13:27 Uhr
LÖSUNG 24.02.2021 um 21:49 Uhr
Moin,
@aqui

Gruß,
Dani
Dazu brauche ich Lektüre... Hast Du einen Link?
wenn es kostenlose und Open Source sein soll, Apache Guacamole. Gibt dazu ein paar wenige gute Anleitungen.@aqui
Da müssen sich mal die Citrix und Windows RDP Profis hier äußern....
Citrix = disqualifiziert mich, Profi = disqualifiziert mich. Bin in der VMware World zu Hause. Gruß,
Dani