Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Eingehenden WAN-Traffic durch IP-Sec VPN tunneln (NAT-ten) in Fritzbox möglich?

Mitglied: the-buccaneer

the-buccaneer (Level 2) - Jetzt verbinden

10.10.2019 um 11:20 Uhr, 268 Aufrufe, 9 Kommentare

Moinsen!

Ich muss leider übergangsweise auf einer festen IP eingehenden Traffic irgendwie von Site 1 zu Site 2 forwarden.

Auf Site 1 soll eine FB den DSL / Telefonanschluss herstellen. Dahinter gibt es aber kein lokales Netz, sondern alles, was da ankommt soll über VPN nach Site 2 getunnelt / weitergeleitet werden.

Mit der Telefonie wird das wohl klappen, indem man über VPN die Telefonanlagen koppelt, da gibt es Anleitungen und Erfahrungen. Aber:

Wie bekomme ich es hin, dass der auf der festen IP (Site 1) eingehende Traffic auf Site 2 ankommt.?
Konkreter: Kann ich in der FB allen (benötigten) Traffic auf einen Host hinter dem VPN forwarden?
Der Eintrag einer IP aus dem VPN Netz funktioniert, soweit konnte ich es bereits testen. Die Route kennt die Fritte wg. des VPN ja eh, da sollte nichts benötigt werden.

Auf Site 2 wäre dann eine PfSense die im IPSec-Interface eben diese Ports nochmal auf die passenden IP's leitet.

Wo habe vergessen, warum das nicht geht?

Anbei zum Verständnis die komplette Planung.


netdiag2 - Klicke auf das Bild, um es zu vergrößern


LG
Buc
Mitglied: Lochkartenstanzer
LÖSUNG 10.10.2019 um 11:29 Uhr
MOin,

Ich würde einfach einen exposed Host hinter die Fritzbox als Relay stellen.

lks
Bitte warten ..
Mitglied: the-buccaneer
10.10.2019 um 18:50 Uhr
Moin LKS!

Kannst du das spezifizieren? Also hinter die Fritte nochmal ne PfSense die das dann ins VPN-Nert routet? Ich will die Installation aus ökonomischen und ökologischen Gründen so klein wie nötig halten, denn Standort 2 ist das Familienheim.
Buc
Bitte warten ..
Mitglied: aqui
LÖSUNG 06.11.2019, aktualisiert um 10:31 Uhr
Dahinter gibt es aber kein lokales Netz, sondern alles, was da ankommt soll über VPN nach Site 2 getunnelt / weitergeleitet werden.
Da muss man dann aber mal fragen WAS sollte denn da überhaupt ankommen ???
Wenn es stimmt und wie du selber schreibst KEIN lokales Netz dahinter ist, kann ja normalerweise auch keinerlei Traffic dort ankommen, denn woher sollte der kommen ? Das ist ja dann nur eine nackte FritzBox ohne alles.
Sämtlicher Traffic kann ja nur dann das bisschen NTP und Update Polling sein was die FB selber macht aber sonst nix. Gut ggf. eingehender VoIP Traffic sofern die FB Telefonie macht und mal angerufen wird aber das kann man ja koppeln wie du selber sagst.
Genau das ist aber der Knackpunkt ! Wenn du eingehenden Traffic der NICHT selber von der FB initiiert worden ist jetzt weiterroutest, was ja per se geht, dann hast du aber immer eine öffentliche Absender IP. Schickst du die jetzt zu einer anderen Lokation und antwortet diese dann direkt auf den Traffic hat dieser Traffic selber eine andere Absender IP als der Initiator genutzt hat. Das führt im TCP/IP durch den Ziel IP Adressen Mismatch dann zu einem sofortigen Session Abbruch.
So ein Konstrukt wird also niemals klappen sofern es sich hier um öffentlich zugewiesene und geroutete IP Netze handelt. Das wirst du so nicht hinbekommen.
Die Kopplung der FritzBox Telefonie aber über VPN ist natürlich kein Problem. Siehe hier:
https://www.heise.de/ct/ausgabe/2015-6-Tk-Anlagen-mehrerer-Fritzboxen-mi ...
Bitte warten ..
Mitglied: Lochkartenstanzer
LÖSUNG 06.11.2019 um 10:51 Uhr
Naja Traffic von außen muß er halt natten oder am Ziel durch policy-based-routing wieder in den Tunnel schieben.

lks
Bitte warten ..
Mitglied: aqui
LÖSUNG 06.11.2019 um 11:05 Uhr
OK, mit static 1:1 NAT und PBR würde das sicher gehen, wäre aber ein erheblicher Konfig Aufwand, da das für alle möglichen Zieladressen definiert werden müsste. Solange es sich nur um Telefonie dreht sicher machbar aber bei mehr ist das nicht skalierbar. Auch ob das mit einer Consumer FritzBox technisch möglich ist so komplexe NAT und PBR Regeln zu setzen dürfte bezweifelt werden. Dafür ist die Kiste gar nicht gemacht.
Bitte warten ..
Mitglied: Lochkartenstanzer
LÖSUNG 06.11.2019 um 11:07 Uhr
Zitat von aqui:

OK, mit static 1:1 NAT und PBR würde das sicher gehen, wäre aber ein erheblicher Konfig Aufwand, da das für alle möglichen Zieladressen definiert werden müsste. Solange es sich nur um Telefonie dreht sicher machbar aber bei mehr ist das nicht skalierbar. Auch ob das mit einer Consumer FritzBox technisch möglich ist so komplexe NAT und PBR Regeln zu setzen dürfte bezweifelt werden. Dafür ist die Kiste gar nicht gemacht.


Deswegen mein Tipp dahinter eine pfsense o.ä. als exposed host zu setzen.
Bitte warten ..
Mitglied: the-buccaneer
06.11.2019 um 12:20 Uhr
Also ich machs mal konkreter: Hinter dieser öffentlichen IP läuft z.B. der VNC Repeater für meine Fernwartung. Der Server dafür steht aber jetzt am anderen Standort. Meine Idee war, den Traffic auf Port 5500 und 5901 "einfach" durch den Tunnel zu schicken. Also nicht ins lokale Netz, sondern ins VPN Netz zu NATten. Anfangs ging ich halt davon aus, dass da kein prinzipieller Unterschied besteht...

Wenn ich nun eine PfSense als exposed Host hinter die Fritte setze: Was ist da gewonnen? Die kennt ja erstmal das lokale Netz am anderen Standort nicht. Also sollte sie die Pakete dafür über ihren Default Gateway oder eine definierte Route (also die FB) schicken. Die wüsste nun, dass IP 192.168.1.x hinter ihrem VPN Tunnel liegt, aber macht sie das auch?

Evtl. ist es leichter, den doofen Repeater, einfach an Standort 2 zu betreiben oder die Fernwartung auf ne dyn. Adresse umzukonfigurieren,, als noch stundenlang herumzufrickeln. Insbesondere, da das eh nur vorübergehend ist und in 3-6 Monaten wieder "normal" laufen soll...

Buc
Bitte warten ..
Mitglied: aqui
LÖSUNG 06.11.2019, aktualisiert um 14:19 Uhr
Du hast den Kollegen LKS da vielleicht etwas falsch verstanden. Das "Umleiten" erfordert umfängliche NAT Konfigurationen die eine FB so nicht supportet. Du müsstest dort also auf eine andere Router HW setzen. Sicher, ein kleiner 20 Euro Mikrotik könnte das auch da das Kommando Set für NAT dort erheblich umfangreicher ist. Es ging also lediglich nur um geeignete Hardware die das umsetzen kann.
Fragt sich aber letztlich warum du dir solche Mühe machen willst und das ganze nicht schlicht und einfach an den Standort umziehst wo jetzt der Server steht. Das geht ja mit ein paar Mausklicks und ist doch die erheblich leichtere Variante ?!
Bitte warten ..
Mitglied: the-buccaneer
13.11.2019 um 23:47 Uhr
Zitat von aqui:

Fragt sich aber letztlich warum du dir solche Mühe machen willst und das ganze nicht schlicht und einfach an den Standort umziehst wo jetzt der Server steht. Das geht ja mit ein paar Mausklicks und ist doch die erheblich leichtere Variante ?!

Fragt sich wirklich, hat aber nicht nur den Hintergrund, dass ich im Leben gerne die Herausforderung suche.

Es ging darum, sowohl die feste IP, als auch die Telefonnummern zu erhalten. Das konnte ich nur auf diesem Weg lösen, dass der komplette Anschluss nun bei mir zuhause anlandet und mein "Übergangsoffice" nun einen Neuanschluss mit dyn. IP bekommen hat. Provider...

Habe es jetzt so gelöst, dass einfach ein kleiner Server (Thinclient Fujitsu S400) den Repeater macht und auf der Fritte habe ich die Telefonnummern so eingerichtet, dass die via VPN im Office auflaufen. Geht soweit. Leider aber nicht mit "Originalnummer" zum rauswählen, so dass immer eine obsolete Nummer beim Angerufenen erscheint, aber man soll nicht zu viel wollen...
VG
Buc
Bitte warten ..
Ähnliche Inhalte
Router & Routing

Fritzbox als VPN-Server, Mikrotik als VPN-Client, gesamten Traffic tunneln

gelöst Frage von pellerRouter & Routing13 Kommentare

Hallo, ich habe folgendes gegeben: eine Fritzbox 7490 mit VPN-Server in Deutschland ein Internetanschluss im Ausland eine Mikrotik hAP ...

Voice over IP

IP Telefonie - Gespräch eingehend zerkackt - (pfSense, FritzBox 7270)

gelöst Frage von vafk18Voice over IP9 Kommentare

Allen ein gesundes Neues Jahr! Ich nutzte IP-Telefonie am All-IP-Anschluß der Telekom. Meine Hardware besteht aus: D-Link DSL-321B (Modem) ...

Router & Routing

IP Sec VPN 2 x Digitalsierungsbox

Frage von FinnbissRouter & Routing3 Kommentare

Hallo Forum, Hallo MItstreiter, Wie haben bei einem Kunden zwei Digitalsierungsboxen (Bintec- Elmeg) der Telekom mit jeweils festen IP ...

LAN, WAN, Wireless

Windows 7 IP-Sec VPN Client Alternative

gelöst Frage von mario87LAN, WAN, Wireless4 Kommentare

Guten Abend zusammen, ich bin auf der Suche nach einem geeigneten IP-Sec VPN Client. Bisher hatte ich immer den ...

Neue Wissensbeiträge
Verschlüsselung & Zertifikate

Extended Validation Certificates are (Really, Really) Dead

Information von Dani vor 1 TagVerschlüsselung & Zertifikate

Moin all, sehr interessanter Artikel zu EV SSL/TLS- Zertifikate von Troy Hunt: Gruß, Dani

Humor (lol)
Das IoT wird schlimmer
Erfahrungsbericht von Henere vor 3 TagenHumor (lol)8 Kommentare

Nun auch schon über den WSUS:

Sicherheit

Win10 1809 und höher erlauben nun das Sperren und Whitelisten von bestimmten Geräten

Tipp von DerWoWusste vor 4 TagenSicherheit1 Kommentar

Vor 1809 konnten nur Geräteklassen gesperrt werden, nun können endlich einzelne Device instance IDs gewhitelistet werden (oder andersherum: gesperrt ...

Windows 10

Hands-On: What is new in the Windows 10 November 2019 Update?

Information von DerWoWusste vor 4 TagenWindows 10

Die wenigen (aber zum Teil interessanten) Neuheiten werden in diesem Video sehr schnell erklärt und vorgeführt.

Heiß diskutierte Inhalte
Server
Suche günstigen Server für erste Schritte mit Microsoft Windows Server 2016 + Exchange
gelöst Frage von vodaviServer19 Kommentare

Hallo zusammen, ich bin auf der Suche nach einem preiswerten, aber guten Server. Mir geht es darum, dass ich ...

Schulung & Training
Was sollte man im Helpdesk bzw Service Desk 1st Level wissen
Frage von loubertSchulung & Training18 Kommentare

Hallo zusammen, ich fange demnächst in einem IT-Systemhaus meinen neuen Job im IT-Helpdesk (UHD), 1st Level (für externe Kunden,) ...

Windows XP
Zugriff auf WindowsXP-Freigabe nur per Eingabeaufforderung möglich
Frage von FA-jkaWindows XP11 Kommentare

Hallo, ich installiere gerade in einer VM WindowsXP; um dort eine "antike" Anwendung zu betreiben. Mit dieser werden historische ...

Firewall
Unifi USG - Unterschied Firewall Regel und Portweiterleitung
gelöst Frage von KodaCHFirewall10 Kommentare

Guten Morgen Bei einer Unifi USG habe ich unter "Routing & Firewall" einerseits die Firewall Regeln für WAN IN, ...