Eingehenden WAN-Traffic durch IP-Sec VPN tunneln (NAT-ten) in Fritzbox möglich?
Moinsen!
Ich muss leider übergangsweise auf einer festen IP eingehenden Traffic irgendwie von Site 1 zu Site 2 forwarden.
Auf Site 1 soll eine FB den DSL / Telefonanschluss herstellen. Dahinter gibt es aber kein lokales Netz, sondern alles, was da ankommt soll über VPN nach Site 2 getunnelt / weitergeleitet werden.
Mit der Telefonie wird das wohl klappen, indem man über VPN die Telefonanlagen koppelt, da gibt es Anleitungen und Erfahrungen. Aber:
Wie bekomme ich es hin, dass der auf der festen IP (Site 1) eingehende Traffic auf Site 2 ankommt.?
Konkreter: Kann ich in der FB allen (benötigten) Traffic auf einen Host hinter dem VPN forwarden?
Der Eintrag einer IP aus dem VPN Netz funktioniert, soweit konnte ich es bereits testen. Die Route kennt die Fritte wg. des VPN ja eh, da sollte nichts benötigt werden.
Auf Site 2 wäre dann eine PfSense die im IPSec-Interface eben diese Ports nochmal auf die passenden IP's leitet.
Wo habe vergessen, warum das nicht geht?
Anbei zum Verständnis die komplette Planung.
LG
Buc
Ich muss leider übergangsweise auf einer festen IP eingehenden Traffic irgendwie von Site 1 zu Site 2 forwarden.
Auf Site 1 soll eine FB den DSL / Telefonanschluss herstellen. Dahinter gibt es aber kein lokales Netz, sondern alles, was da ankommt soll über VPN nach Site 2 getunnelt / weitergeleitet werden.
Mit der Telefonie wird das wohl klappen, indem man über VPN die Telefonanlagen koppelt, da gibt es Anleitungen und Erfahrungen. Aber:
Wie bekomme ich es hin, dass der auf der festen IP (Site 1) eingehende Traffic auf Site 2 ankommt.?
Konkreter: Kann ich in der FB allen (benötigten) Traffic auf einen Host hinter dem VPN forwarden?
Der Eintrag einer IP aus dem VPN Netz funktioniert, soweit konnte ich es bereits testen. Die Route kennt die Fritte wg. des VPN ja eh, da sollte nichts benötigt werden.
Auf Site 2 wäre dann eine PfSense die im IPSec-Interface eben diese Ports nochmal auf die passenden IP's leitet.
Wo habe vergessen, warum das nicht geht?
Anbei zum Verständnis die komplette Planung.
LG
Buc
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 503065
Url: https://administrator.de/forum/eingehenden-wan-traffic-durch-ip-sec-vpn-tunneln-nat-ten-in-fritzbox-moeglich-503065.html
Ausgedruckt am: 06.05.2025 um 23:05 Uhr
9 Kommentare
Neuester Kommentar
MOin,
Ich würde einfach einen exposed Host hinter die Fritzbox als Relay stellen.
lks
Ich würde einfach einen exposed Host hinter die Fritzbox als Relay stellen.
lks
Moin LKS!
Kannst du das spezifizieren? Also hinter die Fritte nochmal ne PfSense die das dann ins VPN-Nert routet? Ich will die Installation aus ökonomischen und ökologischen Gründen so klein wie nötig halten, denn Standort 2 ist das Familienheim.
Buc
Kannst du das spezifizieren? Also hinter die Fritte nochmal ne PfSense die das dann ins VPN-Nert routet? Ich will die Installation aus ökonomischen und ökologischen Gründen so klein wie nötig halten, denn Standort 2 ist das Familienheim.
Buc
Dahinter gibt es aber kein lokales Netz, sondern alles, was da ankommt soll über VPN nach Site 2 getunnelt / weitergeleitet werden.
Da muss man dann aber mal fragen WAS sollte denn da überhaupt ankommen ???Wenn es stimmt und wie du selber schreibst KEIN lokales Netz dahinter ist, kann ja normalerweise auch keinerlei Traffic dort ankommen, denn woher sollte der kommen ? Das ist ja dann nur eine nackte FritzBox ohne alles.
Sämtlicher Traffic kann ja nur dann das bisschen NTP und Update Polling sein was die FB selber macht aber sonst nix. Gut ggf. eingehender VoIP Traffic sofern die FB Telefonie macht und mal angerufen wird aber das kann man ja koppeln wie du selber sagst.
Genau das ist aber der Knackpunkt ! Wenn du eingehenden Traffic der NICHT selber von der FB initiiert worden ist jetzt weiterroutest, was ja per se geht, dann hast du aber immer eine öffentliche Absender IP. Schickst du die jetzt zu einer anderen Lokation und antwortet diese dann direkt auf den Traffic hat dieser Traffic selber eine andere Absender IP als der Initiator genutzt hat. Das führt im TCP/IP durch den Ziel IP Adressen Mismatch dann zu einem sofortigen Session Abbruch.
So ein Konstrukt wird also niemals klappen sofern es sich hier um öffentlich zugewiesene und geroutete IP Netze handelt. Das wirst du so nicht hinbekommen.
Die Kopplung der FritzBox Telefonie aber über VPN ist natürlich kein Problem. Siehe hier:
https://www.heise.de/ct/ausgabe/2015-6-Tk-Anlagen-mehrerer-Fritzboxen-mi ...
Naja Traffic von außen muß er halt natten oder am Ziel durch policy-based-routing wieder in den Tunnel schieben.
lks
lks
OK, mit static 1:1 NAT und PBR würde das sicher gehen, wäre aber ein erheblicher Konfig Aufwand, da das für alle möglichen Zieladressen definiert werden müsste. Solange es sich nur um Telefonie dreht sicher machbar aber bei mehr ist das nicht skalierbar. Auch ob das mit einer Consumer FritzBox technisch möglich ist so komplexe NAT und PBR Regeln zu setzen dürfte bezweifelt werden. Dafür ist die Kiste gar nicht gemacht.
Zitat von @aqui:
OK, mit static 1:1 NAT und PBR würde das sicher gehen, wäre aber ein erheblicher Konfig Aufwand, da das für alle möglichen Zieladressen definiert werden müsste. Solange es sich nur um Telefonie dreht sicher machbar aber bei mehr ist das nicht skalierbar. Auch ob das mit einer Consumer FritzBox technisch möglich ist so komplexe NAT und PBR Regeln zu setzen dürfte bezweifelt werden. Dafür ist die Kiste gar nicht gemacht.
OK, mit static 1:1 NAT und PBR würde das sicher gehen, wäre aber ein erheblicher Konfig Aufwand, da das für alle möglichen Zieladressen definiert werden müsste. Solange es sich nur um Telefonie dreht sicher machbar aber bei mehr ist das nicht skalierbar. Auch ob das mit einer Consumer FritzBox technisch möglich ist so komplexe NAT und PBR Regeln zu setzen dürfte bezweifelt werden. Dafür ist die Kiste gar nicht gemacht.
Deswegen mein Tipp dahinter eine pfsense o.ä. als exposed host zu setzen.
Also ich machs mal konkreter: Hinter dieser öffentlichen IP läuft z.B. der VNC Repeater für meine Fernwartung. Der Server dafür steht aber jetzt am anderen Standort. Meine Idee war, den Traffic auf Port 5500 und 5901 "einfach" durch den Tunnel zu schicken. Also nicht ins lokale Netz, sondern ins VPN Netz zu NATten. Anfangs ging ich halt davon aus, dass da kein prinzipieller Unterschied besteht...
Wenn ich nun eine PfSense als exposed Host hinter die Fritte setze: Was ist da gewonnen? Die kennt ja erstmal das lokale Netz am anderen Standort nicht. Also sollte sie die Pakete dafür über ihren Default Gateway oder eine definierte Route (also die FB) schicken. Die wüsste nun, dass IP 192.168.1.x hinter ihrem VPN Tunnel liegt, aber macht sie das auch?
Evtl. ist es leichter, den doofen Repeater, einfach an Standort 2 zu betreiben oder die Fernwartung auf ne dyn. Adresse umzukonfigurieren,, als noch stundenlang herumzufrickeln. Insbesondere, da das eh nur vorübergehend ist und in 3-6 Monaten wieder "normal" laufen soll...
Buc
Wenn ich nun eine PfSense als exposed Host hinter die Fritte setze: Was ist da gewonnen? Die kennt ja erstmal das lokale Netz am anderen Standort nicht. Also sollte sie die Pakete dafür über ihren Default Gateway oder eine definierte Route (also die FB) schicken. Die wüsste nun, dass IP 192.168.1.x hinter ihrem VPN Tunnel liegt, aber macht sie das auch?
Evtl. ist es leichter, den doofen Repeater, einfach an Standort 2 zu betreiben oder die Fernwartung auf ne dyn. Adresse umzukonfigurieren,, als noch stundenlang herumzufrickeln.
Insbesondere, da das eh nur vorübergehend ist und in 3-6 Monaten wieder "normal" laufen soll...Buc
Du hast den Kollegen LKS da vielleicht etwas falsch verstanden. Das "Umleiten" erfordert umfängliche NAT Konfigurationen die eine FB so nicht supportet. Du müsstest dort also auf eine andere Router HW setzen. Sicher, ein kleiner 20 Euro Mikrotik könnte das auch da das Kommando Set für NAT dort erheblich umfangreicher ist. Es ging also lediglich nur um geeignete Hardware die das umsetzen kann.
Fragt sich aber letztlich warum du dir solche Mühe machen willst und das ganze nicht schlicht und einfach an den Standort umziehst wo jetzt der Server steht. Das geht ja mit ein paar Mausklicks und ist doch die erheblich leichtere Variante ?!
Fragt sich aber letztlich warum du dir solche Mühe machen willst und das ganze nicht schlicht und einfach an den Standort umziehst wo jetzt der Server steht. Das geht ja mit ein paar Mausklicks und ist doch die erheblich leichtere Variante ?!
Zitat von @aqui:
Fragt sich aber letztlich warum du dir solche Mühe machen willst und das ganze nicht schlicht und einfach an den Standort umziehst wo jetzt der Server steht. Das geht ja mit ein paar Mausklicks und ist doch die erheblich leichtere Variante ?!
Fragt sich aber letztlich warum du dir solche Mühe machen willst und das ganze nicht schlicht und einfach an den Standort umziehst wo jetzt der Server steht. Das geht ja mit ein paar Mausklicks und ist doch die erheblich leichtere Variante ?!
Fragt sich wirklich, hat aber nicht nur den Hintergrund, dass ich im Leben gerne die Herausforderung suche.
Es ging darum, sowohl die feste IP, als auch die Telefonnummern zu erhalten. Das konnte ich nur auf diesem Weg lösen, dass der komplette Anschluss nun bei mir zuhause anlandet und mein "Übergangsoffice" nun einen Neuanschluss mit dyn. IP bekommen hat. Provider...
Habe es jetzt so gelöst, dass einfach ein kleiner Server (Thinclient Fujitsu S400) den Repeater macht und auf der Fritte habe ich die Telefonnummern so eingerichtet, dass die via VPN im Office auflaufen. Geht soweit. Leider aber nicht mit "Originalnummer" zum rauswählen, so dass immer eine obsolete Nummer beim Angerufenen erscheint, aber man soll nicht zu viel wollen...
VG
Buc
