Eingehenden WAN-Traffic durch IP-Sec VPN tunneln (NAT-ten) in Fritzbox möglich?
Moinsen!
Ich muss leider übergangsweise auf einer festen IP eingehenden Traffic irgendwie von Site 1 zu Site 2 forwarden.
Auf Site 1 soll eine FB den DSL / Telefonanschluss herstellen. Dahinter gibt es aber kein lokales Netz, sondern alles, was da ankommt soll über VPN nach Site 2 getunnelt / weitergeleitet werden.
Mit der Telefonie wird das wohl klappen, indem man über VPN die Telefonanlagen koppelt, da gibt es Anleitungen und Erfahrungen. Aber:
Wie bekomme ich es hin, dass der auf der festen IP (Site 1) eingehende Traffic auf Site 2 ankommt.?
Konkreter: Kann ich in der FB allen (benötigten) Traffic auf einen Host hinter dem VPN forwarden?
Der Eintrag einer IP aus dem VPN Netz funktioniert, soweit konnte ich es bereits testen. Die Route kennt die Fritte wg. des VPN ja eh, da sollte nichts benötigt werden.
Auf Site 2 wäre dann eine PfSense die im IPSec-Interface eben diese Ports nochmal auf die passenden IP's leitet.
Wo habe vergessen, warum das nicht geht?
Anbei zum Verständnis die komplette Planung.
LG
Buc
Ich muss leider übergangsweise auf einer festen IP eingehenden Traffic irgendwie von Site 1 zu Site 2 forwarden.
Auf Site 1 soll eine FB den DSL / Telefonanschluss herstellen. Dahinter gibt es aber kein lokales Netz, sondern alles, was da ankommt soll über VPN nach Site 2 getunnelt / weitergeleitet werden.
Mit der Telefonie wird das wohl klappen, indem man über VPN die Telefonanlagen koppelt, da gibt es Anleitungen und Erfahrungen. Aber:
Wie bekomme ich es hin, dass der auf der festen IP (Site 1) eingehende Traffic auf Site 2 ankommt.?
Konkreter: Kann ich in der FB allen (benötigten) Traffic auf einen Host hinter dem VPN forwarden?
Der Eintrag einer IP aus dem VPN Netz funktioniert, soweit konnte ich es bereits testen. Die Route kennt die Fritte wg. des VPN ja eh, da sollte nichts benötigt werden.
Auf Site 2 wäre dann eine PfSense die im IPSec-Interface eben diese Ports nochmal auf die passenden IP's leitet.
Wo habe vergessen, warum das nicht geht?
Anbei zum Verständnis die komplette Planung.
LG
Buc
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 503065
Url: https://administrator.de/forum/eingehenden-wan-traffic-durch-ip-sec-vpn-tunneln-nat-ten-in-fritzbox-moeglich-503065.html
Ausgedruckt am: 06.05.2025 um 23:05 Uhr
9 Kommentare
Neuester Kommentar
Dahinter gibt es aber kein lokales Netz, sondern alles, was da ankommt soll über VPN nach Site 2 getunnelt / weitergeleitet werden.
Da muss man dann aber mal fragen WAS sollte denn da überhaupt ankommen ???Wenn es stimmt und wie du selber schreibst KEIN lokales Netz dahinter ist, kann ja normalerweise auch keinerlei Traffic dort ankommen, denn woher sollte der kommen ? Das ist ja dann nur eine nackte FritzBox ohne alles.
Sämtlicher Traffic kann ja nur dann das bisschen NTP und Update Polling sein was die FB selber macht aber sonst nix. Gut ggf. eingehender VoIP Traffic sofern die FB Telefonie macht und mal angerufen wird aber das kann man ja koppeln wie du selber sagst.
Genau das ist aber der Knackpunkt ! Wenn du eingehenden Traffic der NICHT selber von der FB initiiert worden ist jetzt weiterroutest, was ja per se geht, dann hast du aber immer eine öffentliche Absender IP. Schickst du die jetzt zu einer anderen Lokation und antwortet diese dann direkt auf den Traffic hat dieser Traffic selber eine andere Absender IP als der Initiator genutzt hat. Das führt im TCP/IP durch den Ziel IP Adressen Mismatch dann zu einem sofortigen Session Abbruch.
So ein Konstrukt wird also niemals klappen sofern es sich hier um öffentlich zugewiesene und geroutete IP Netze handelt. Das wirst du so nicht hinbekommen.
Die Kopplung der FritzBox Telefonie aber über VPN ist natürlich kein Problem. Siehe hier:
https://www.heise.de/ct/ausgabe/2015-6-Tk-Anlagen-mehrerer-Fritzboxen-mi ...
OK, mit static 1:1 NAT und PBR würde das sicher gehen, wäre aber ein erheblicher Konfig Aufwand, da das für alle möglichen Zieladressen definiert werden müsste. Solange es sich nur um Telefonie dreht sicher machbar aber bei mehr ist das nicht skalierbar. Auch ob das mit einer Consumer FritzBox technisch möglich ist so komplexe NAT und PBR Regeln zu setzen dürfte bezweifelt werden. Dafür ist die Kiste gar nicht gemacht.
Zitat von @aqui:
OK, mit static 1:1 NAT und PBR würde das sicher gehen, wäre aber ein erheblicher Konfig Aufwand, da das für alle möglichen Zieladressen definiert werden müsste. Solange es sich nur um Telefonie dreht sicher machbar aber bei mehr ist das nicht skalierbar. Auch ob das mit einer Consumer FritzBox technisch möglich ist so komplexe NAT und PBR Regeln zu setzen dürfte bezweifelt werden. Dafür ist die Kiste gar nicht gemacht.
OK, mit static 1:1 NAT und PBR würde das sicher gehen, wäre aber ein erheblicher Konfig Aufwand, da das für alle möglichen Zieladressen definiert werden müsste. Solange es sich nur um Telefonie dreht sicher machbar aber bei mehr ist das nicht skalierbar. Auch ob das mit einer Consumer FritzBox technisch möglich ist so komplexe NAT und PBR Regeln zu setzen dürfte bezweifelt werden. Dafür ist die Kiste gar nicht gemacht.
Deswegen mein Tipp dahinter eine pfsense o.ä. als exposed host zu setzen.
Du hast den Kollegen LKS da vielleicht etwas falsch verstanden. Das "Umleiten" erfordert umfängliche NAT Konfigurationen die eine FB so nicht supportet. Du müsstest dort also auf eine andere Router HW setzen. Sicher, ein kleiner 20 Euro Mikrotik könnte das auch da das Kommando Set für NAT dort erheblich umfangreicher ist. Es ging also lediglich nur um geeignete Hardware die das umsetzen kann.
Fragt sich aber letztlich warum du dir solche Mühe machen willst und das ganze nicht schlicht und einfach an den Standort umziehst wo jetzt der Server steht. Das geht ja mit ein paar Mausklicks und ist doch die erheblich leichtere Variante ?!
Fragt sich aber letztlich warum du dir solche Mühe machen willst und das ganze nicht schlicht und einfach an den Standort umziehst wo jetzt der Server steht. Das geht ja mit ein paar Mausklicks und ist doch die erheblich leichtere Variante ?!