Firewall-Frage in Verbindung mit FritzBox-VPN

Mitglied: SarekHL
Hallo zusammen,

ich habe folgenden Aufbau (bisher ohne die im Bild schon eingezeichnete Firewall):

firewall-einbindung

Ziel ist es, über das VPN kommende Anfragen nur zur Telephonanlage durchzulassen, nicht aber in das Netzwerk der Gemeinde. Gleichzeitig muss der Datenverkehr zwischen Netzwerk der Gemeinde und der Telephonanlage aber möglich sein.

Kann ich jetzt einfach eine Firewall (wie die hier immer wieder angepriesene Mikrotik) nehmen und an der eingezeichneten Stelle (so dass die Telephonanlage davon nicht tangiert wird) Pakete von 192.168.20.0/24 blocken? Ich möchte übrigens möglichst nicht routen, der IP-Bereich soll vor und hinter der Firewall gleich sein. Letztlich brauche ich nur einen Switch mit Firewall-Regeln ;)

Oder haben die Pakete hinter der FritzBox gar nicht mehr ihren Original-Absender, also eine IP aus dem Netz 192.168.20.0/24? Wenn nicht, wie kann ich das Problem dann lösen? Eine DMZ beherrscht die FritzBox ja nicht ...


Danke im Voraus,
Sarek \\//_

Content-Key: 667524

Url: https://administrator.de/contentid/667524

Ausgedruckt am: 27.07.2021 um 22:07 Uhr

Mitglied: aqui
aqui 12.06.2021 aktualisiert um 11:50:30 Uhr
Goto Top
ihren Original-Absender, also eine IP aus dem Netz 192.168.20.0/24?
Doch, das haben sie natürlich bei einer von dir oben skizzierten Site-to-Site Kopplung !
Dein Setup ist soweit ok. Das kann man natürlich problemlos so lösen wie du es oben skizziert hast.
Du solltest aber in jedem Falle immer eine dedizierte Firewall nutzen wie die pfSense oder OPNsense
https://administrator.de/tutorial/preiswerte-vpn-faehige-firewall-im-eig ...
auf einem APU3 oder APU4 oder Plattformen wie hier.
Von einem Router wie dem obengenannten ist generell in deinem Setup abzuraten, da es primär ein Router ist aber nicht primär eine Firewall !
Abgesehen davon hast du ein Routing über die Firewall ja explizit ausgeschlossen, und willst diese im Transparent_Mode betreiben was ja für eine Firewall auch ein machbares Setup ist. Mit einem Router geht das aber nicht. Folglich ist also eine dedizierte Firewall für dich dann die bessere (und auch einzige) Hardware für deine Anwendung.

Idealerweise terminierst du das VPN dann NICHT auf der FritzBox sondern direkt auf der Firewall weil sich die Datenströme dort erheblich besser kontrollieren lassen. Mal ganz abgesehen von der grottenschlechten VPN Skalierbarkeit und Performance einer FritzBox die primär für sowas nicht gemacht ist.
Das hätte auch den unschätzbaren Vorteil das du die Firewall dann nicht im Transparent Mode betreiben müsstest was einige Nachteile bringt.
Das ein Site-to_Site VPN auch problemlos direkt zw. FritzBox und Firewall klappt zeigen dir hier diverse Praxis Beispiele:
https://administrator.de/content/detail.php?id=529949&token=956#comm ...
https://administrator.de/forum/fritzbox-7590-x-opnsense-667254.html#comm ...

Wie man Client VPNs auf der o.a. Firewall mit den bordeigenen VPN Clients aller Systeme einrichtet zeigen dir, wie immer, diese Foren Tutorials:
https://administrator.de/tutorial/pfsense-vpn-mit-l2tp-ipsec-protokoll-f ...
https://administrator.de/tutorial/ipsec-vpn-fuer-mobile-benutzer-auf-der ...
Bzw. mit externem Client wenn man denn unbedingt will...
https://administrator.de/knowledge/openvpn-server-installieren-pfsense-f ...
Mitglied: colinardo
colinardo 12.06.2021 aktualisiert um 12:33:28 Uhr
Goto Top
Servus @aqui
Zitat von @aqui:
Mit einem Router geht das aber nicht.
Der Mikrotik kann auch das problemlos bewerkstelligen. Du kannst in den Bridge-Settings die Option Use IP Firewall setzen, dann leitet der Mikrotik auch geswitchten Traffic der einzelnen Ports durch die Chains der Firewall mit denen sich dann entsprechende Filter nicht nur auf Layer3 sondern auch auf Layer2 Ebene setzen lassen.

Simples Beispiel
Host 192.168.200.10 darf nur auf 192.168.200.1 zugreifen ansonsten wird der Zugriff auf sämtliche anderen Hosts des selben Subnetzes geblockt.
Entsprechende Ports in eine Layer2-Bridge packen und ab gehts
Quell-Hosts lassen sich natürlich nicht nur einzelne sondern auch mehrere durch Adresslisten etc. angeben.

Grüße Uwe
Mitglied: aqui
aqui 12.06.2021 um 11:54:30 Uhr
Goto Top
Hi Uwe !
Da hast du natürlich absolut recht. Die MT Firewall ist aber etwas komplexer im Setup und hat ja eher eine Blacklist basierte Logik was für den TO ggf. schwerer zu handhaben ist. Das war die Intention dahinter ihn eher auf eine dedizierte Firewall zu "schubsen". Aber letztlich hast du natürlich Recht. Umsetzbar ist das zweifelsohne mit beiden Hardware Infrastrukturen.
Auch ein Mikrotik arbeitet natürlich völlig problemlos mit einer FritzBox zusammen. 😉
Mitglied: SarekHL
SarekHL 12.06.2021 aktualisiert um 13:41:20 Uhr
Goto Top
Zitat von @aqui:

ihren Original-Absender, also eine IP aus dem Netz 192.168.20.0/24?
Doch, das haben sie natürlich bei einer von dir oben skizzierten Site-to-Site Kopplung !

Super, dann ist ja die Firewall-Regel leicht zu definieren :) face-smile


Idealerweise terminierst du das VPN dann NICHT auf der FritzBox

An der FritzBox an dieser Stelle wird nicht gerüttelt. Das ist bereits entschieden worden.


Das hätte auch den unschätzbaren Vorteil das du die Firewall dann nicht im Transparent Mode betreiben müsstest was einige Nachteile bringt.

Was bitte ist ein transparenter Modus bei der FritzBox? Habe ich noch nie in irgendwelchen Einstellungen gesehen,


Bzw. mit externem Client wenn man denn unbedingt will...

Das wollen wir gerade nicht. Die FritzBoxen (in Wirklichkeit ist es nicht nur eine, wie in meinem Schema vereinfacht dargestellt) fungieren in den angeschlossenen Gemeinden an Telephonadapter. Das heißt, in den FritzBoxen sind Durchwahlen der zentralen Telephonanlage als Anbieter konfiguriert, so dass man mit den angeschlossenen FritzFons oder anderen an der FritzBox angeschlossenen Endgeräten über die zentrale Telephonanlage telephonieren kann. Das heißt, wir brauchen tatsächlich das Site-to-Site-VPN.

Das System funktioniert übrigens auch schon seit einiger Zeit, also bitte keine gutgemeinten Ratschläge von wegen "das klappt so nicht" und ähnliches. Das Telephonie-System ist etabliert.

Nun aber noch mal zur Firewall:

Das war die Intention dahinter ihn eher auf eine dedizierte Firewall zu "schubsen".

Das ist auch gut so. Am liebsten eine Hardware-Appliance, wo ich per WebGUI die Firewall-Regeln definieren kann. Ich möchte mir ungern meine Firewall erst zusammeninstallieren (Stickwort pfSense). Andererseits habe ich auch kein unbegrenztes Budget.

Was käme denn ganz konkret in Frage? Es muss ja hoffentlich nicht gleich eine FortiGate für gut 400 Euro sein.
Mitglied: aqui
aqui 12.06.2021 aktualisiert um 13:52:23 Uhr
Goto Top
An der FritzBox an dieser Stelle wird nicht gerüttelt. Das ist bereits entschieden worden.
Technische Fehlentscheidung mit gravierenden Folgen je nachdem wie intensiv die FB genutzt wird. Zudem sollte man wissen das die FB den unsicheren Agressive Mode bei IPsec VPN per Default nutzt. Aber egal...wenn du/ihr damit leben könnt ist alles gut !
Der sichere Main Mode erfordert immer eine manuelle Anpassung der FritzBox VPN Datei !
mode = phase1_mode_idp;
phase1ss = "all/all/all";

Was bitte ist ein transparenter Modus bei der FritzBox?
Bitte einmal richtig lesen !! Es geht NICHT um die FritzBox sondern um deine neue Firewall !! Firewalls kann man bekanntlich in einem Layer 2 Mode (Transparent Mode) oder im Layer 3 Mode (Routing) betreiben !
Du selber hattest oben geschrieben das du die Firewall im Transparent Mode (Bridging) betreiben willst.
(Zitat: "Ich möchte übrigens möglichst nicht routen, der IP-Bereich soll vor und hinter der Firewall gleich sein.) "
fungieren in den angeschlossenen Gemeinden an Telephonadapter.
OK, sorry, diese Info hattest du oben unterschlagen.
Am liebsten eine Hardware-Appliance, wo ich per WebGUI die Firewall-Regeln definieren kann.
Siehe Links oben zur pfSense/OPNsense. Mikrotik geht aber auch über den WinBox Manager.
Ich möchte mir ungern meine Firewall erst zusammeninstallieren
Wenn du nicht mit einem Schraubendreher umgehen kannst dann nimmst du eben was Fertiges. Ist ja kein Problem:
https://www.varia-store.com/de/produkt/106017-opnsense-ready-system-apu4 ...
https://www.ipu-system.de
Da die FritzBox eh nicht mehr als 6 Mbit/s im VPN schafft (eher weniger), reicht bei MT ein 20 Euro hAP lite. Besser wäre aber ein hEX S mit Gigabit.
Die Lernkurve bei der MT Firewall ist aber etwas steiler.
Mitglied: colinardo
colinardo 12.06.2021 aktualisiert um 14:10:52 Uhr
Goto Top
Zitat von @aqui:
Da die FritzBox eh nicht mehr als 6 Mbit/s im VPN schafft (eher weniger)
Da stapelst du aber etwas sehr tief ;-) face-wink. Mit den aktuellen Firmware-Releases schaft eine 7590 inzwischen auch mehr wie 50MBit/s "Tusch :-D face-big-smile".
https://administrator.de/forum/jemand-verbesserten-vpn-durchsatz-fritzos ...
Ist aber natürlich trotzdem ein Krampf, Consumer Plaste für den Otto-Normalo ohne viel Ansprüche auf Features die im Geschäftsfeld gang und gäbe sind.

Grüße Uwe
Mitglied: SarekHL
SarekHL 12.06.2021 um 14:28:07 Uhr
Goto Top
Zitat von @aqui:

Zudem sollte man wissen das die FB den unsicheren Agressive Mode bei IPsec VPN per Default nutzt.

Bei Draytek ist es (oder war es zumindest?) so, dass man den Main Mode nur mit fester IP-Adresse nutzen kann. Wer mit DynDNS arbeitet, muss ohnehin den Agressive Mode verwenden.

Es geht NICHT um die FritzBox sondern um deine neue Firewall !! Firewalls kann man bekanntlich in einem Layer 2 Mode (Transparent Mode) oder im Layer 3 Mode (Routing) betreiben !

Alles klar - ich wusste nicht, dass man Layer 2 auch als Transparenten Modus bezeichnet.

Ich möchte mir ungern meine Firewall erst zusammeninstallieren

Wenn du nicht mit einem Schraubendreher umgehen kannst

Bitte einmal richtig lesen :-) face-smile Nicht das zusammenschrauben wäre das Problem, es ginbg mir um das INstallieren. Diese Systeme laufen ja alle unter Linux, und da bin ich Analphabet.

dann nimmst du eben was Fertiges. Ist ja kein Problem:

Ist das die Preisklasse, mit der man rechnen muss? Ich hatte auf um die 200 bis 250 Euro gehofft.

Apropos: Wo ich eben Draytek erwähnt: Wäre es nicht möglich einen Vigor dazwischen zu hängen (ohne das WAN zu nutzen) und dort die Paketregeln zu definieren:

vigor
Mitglied: SarekHL
SarekHL 12.06.2021 aktualisiert um 17:10:27 Uhr
Goto Top
Zitat von @SarekHL:
Apropos: Wo ich eben Draytek erwähnt: Wäre es nicht möglich einen Vigor dazwischen zu hängen (ohne das WAN zu nutzen) und dort die Paketregeln zu definieren:

Ich sehe gerade, dass es auch explizite Switches von Draytek gibt, z.B. den VigorSwitch G1085, der Access Control Lists auf MAC- und IP-Basis unterstützt. Ist das letztlich das gleiche, was eine Firewall im Transparenten Modus macht?
Mitglied: colinardo
colinardo 12.06.2021 aktualisiert um 17:28:22 Uhr
Goto Top
Zitat von @SarekHL:

Zitat von @SarekHL:
Apropos: Wo ich eben Draytek erwähnt: Wäre es nicht möglich einen Vigor dazwischen zu hängen (ohne das WAN zu nutzen) und dort die Paketregeln zu definieren:

Ich sehe gerade, dass es auch explizite Switches von Draytek gibt, z.B. den VigorSwitch G1085, der Access Control Lists auf MAC- und IP-Basis unterstützt. Ist das letztlich das gleiche, was eine Firewall im Transparenten Modus macht?
Nein, ACLs gelten bei Switchen dieser Preisklasse nur Subnetzübergreifend auf Layer3 nicht innerhalb einer Layer2 Domain. Switch ACLs ersetzen keine echte Firewall und sind eher für einfachere Subnetzübergreifende Regeln gedacht.
Wie gesagt ein Mikrotik erledigt dir das mit Links sind günstig und genügsam, nach kurzer Einarbeitung wirst du den Feature-Schatz zu schätzen lernen. Konfigurieren kannst du die Teile per Webinterface, Konsole(ssh/telnet), Winbox, API ... wie man es halt braucht. Features die man nicht braucht muss man ja auch nicht nutzen und kann sie deaktivieren/abschalten. Ansonsten ne fertig aufgesetzte pfSense-Appliance ist in dem Preissegment unschlagbar, dafür brauchst du auch keine Linux Kenntnisse im laufenden Betrieb wie du anscheinend vermutest.
Mitglied: C.Caveman
C.Caveman 12.06.2021 um 17:21:43 Uhr
Goto Top
Moin,

Also ich finde es ja toll, dass du seit Jahren Kirchengemeinden betreust. Aber arbeitest du nicht mit etwas zu viel Gottvertrauen anstatt Wissen? Das Frage "VPN einrichten" wird hier im Forum täglich 2x gestellt. Ja, immer in Verbindung mit AVM-Produkten.

Gruß
C.C.
Mitglied: SarekHL
SarekHL 12.06.2021 um 17:44:43 Uhr
Goto Top
Zitat von @colinardo:

Nein, ACLs gelten bei Switchen dieser Preisklasse nur Subnetzübergreifend auf Layer3 nicht innerhalb einer Layer2 Domain.

Hoch? Wie das? Das ist ja ein Switch, keine Router. Der kann doch gar nicht zwischen Subnetzen routen?

Wie gesagt ein Mikrotik erledigt dir das mit Links sind günstig und genügsam,

Von was für einem Mikrotik reden wir eigentlich? Sowas?

Ansonsten ne fertig aufgesetzte pfSense-Appliance ist in dem Preissegment unschlagbar,

In dem Preissegment (für bis zu 250 Euro) findet man sowas aber nicht, oder? Der Link von Aqui lag über 300 Euro, und über Google habe ich bisher auch nichts günstigeres gefunden.
Mitglied: aqui
aqui 12.06.2021 aktualisiert um 18:08:02 Uhr
Goto Top
Wer mit DynDNS arbeitet, muss ohnehin den Agressive Mode verwenden.
Stimmt auch nicht ! Gute Router und die o.g. Firewalls können sowas auch im Main Mode !
Von was für einem Mikrotik reden wir eigentlich?
Zum Bleistift !
Oder sowas:
https://www.varia-store.com/de/produkt/97947-rb760igs-hex-s-mit-dual-cor ...
In dem Preissegment (für bis zu 250 Euro) findet man sowas aber nicht
Wenn du es schaffst mit einen simplen Schraubendreher 8 mal M3 Schrauben festzuziehen dann gibt es das:
https://www.varia-store.com/de/produkt/103564-pc-engines-apu4d2-embedded ...
Wenn nicht musst du den "Faulheits" Aufpreis zahlen ! 😉

Knapp über deinen 250 Euronen bist du damit auch sehr gut bedient:
https://www.ipu-system.de/produkte/ipu450.html
Mitglied: colinardo
colinardo 12.06.2021 aktualisiert um 18:05:49 Uhr
Goto Top
Zitat von @SarekHL:
Wie das? Das ist ja ein Switch, keine Router. Der kann doch gar nicht zwischen Subnetzen routen?
Layer-2 Switches können nicht Routen, Layer-3 Switches können das aber sehr wohl 😉.

Z.B., wenn du soviel Ports überhaupt brauchst.
In dem Preissegment (für bis zu 250 Euro) findet man sowas aber nicht, oder? Der Link von Aqui lag über 300 Euro, und über Google habe ich bisher auch nichts günstigeres gefunden.
Naja du brauchst ja nicht zwingend ne 19" Version da gibt's schon einige in dem Preissegment z.B.
https://corpshadow.biz/pfsense
https://www.varia-store.com/de/suche/search-Apu4d4.html
Usw.
Bist du gewillt pfSense selbstauf ne Sd-Karte oder Flash-Karte aufzuspielen geht's natürlich noch günstiger. So ist das Leben, wenn du selbst Arbeit investierst sparst du halt die entsprechende Kohle, aber deine Zeit ist ja auch nicht umsonst.
Mitglied: SarekHL
SarekHL 12.06.2021 um 18:00:20 Uhr
Goto Top
Zitat von @aqui:

Gute Router und die o.g. Firewalls können sowas auch im Main Mode !

Hm,eigentlich halte ich Draytek für gut ... aber gut zu wissen, danke für die Info.
Mitglied: aqui
aqui 12.06.2021 um 18:05:41 Uhr
Goto Top
Hm,eigentlich halte ich Draytek für gut ...
Oha... "Noch viel lernen du noch musst..." würde Meister Yoda da sagen !
Mitglied: colinardo
colinardo 12.06.2021 um 18:07:04 Uhr
Goto Top
Zitat von @aqui:

Hm,eigentlich halte ich Draytek für gut ...
Oha... "Noch viel lernen du noch musst..." würde Meister Yoda da sagen !
Dito.
Mitglied: SarekHL
SarekHL 12.06.2021 um 18:08:30 Uhr
Goto Top
Zitat von @colinardo:

Layer-2 Switches können nicht Routen, Layer3 Switches können das aber sehr wohl 😉.

Und das Ding soll ein L3-Switch gewesen sein? Hm ...


Z.B., wenn du soviel Ports überhaupt brauchst.

Nein, eigentlich brauche ich nur drei Ports.

Naja du brauchst ja nicht zwingend ne 19" Version da gibt's schon einige in dem Preissegment z.B.
https://corpshadow.biz/pfsense

Das sieht nicht schlecht aus, auch wenn mir ein europäischer Händler lieber wäre (Stichwort Gewähleistung) - aber ich schaue noch mal.

Aber was mich verwirrt: Die Anschlüsse sind mit WAN und LAN beschriftet, das klingt nach Router. Aber routen will ich ja nicht. Kann man die trotzdem einsetzen?

aber deine Zeit ist ja auch nicht umsonst.

In dem Fall schon - das ist MEINE Pfarrei ;)
Mitglied: em-pie
em-pie 12.06.2021 aktualisiert um 18:51:10 Uhr
Goto Top
Moin,

Also ne vorinstallierte pfSense mit 3xLAN bekommst du für <200€

https://www.apu-board.de/produkte/apu3d2.html

Ob die aber mit Layer-2-ACLs umgehen kann, müssen die anderen Eckschpärdn hier sagen, dazu arbeite ich zu wenig mit der ofSense…

Allerdings ist das ja aktuell mit Lieferzeiten etc. So eine Sache, nicht nur in diesem Konstrukt…

Gruß
em-pie
Mitglied: aqui
aqui 12.06.2021 aktualisiert um 19:46:51 Uhr
Goto Top
Ob die aber mit Layer-2-ACLs umgehen kann, müssen die anderen Eckschpärdn hier sagen
Nein, kann nicht gehen. Ist doch auch logisch, denn für netzinterne Kommunikation innerhalb der Layer 2 Domain ist eine Firewall doch gar nicht involviert ! Weder IP Adress mäßig noch Mac Adress mässig. Die ist komplett außen vor und "sieht" diese Mac Adressen Prinzip bedingt gar nicht.
Die Layer 2 Forwarding Entscheidung trifft einzig und allein der Switch über seine interne Mac Tabelle. Nur dort würde ein Mac Filter greifen.
Mitglied: C.Caveman
C.Caveman 12.06.2021 um 19:44:41 Uhr
Goto Top
Amen
Mitglied: SarekHL
SarekHL 12.06.2021 um 19:48:25 Uhr
Goto Top
Zitat von @aqui:

Nein, kann nicht gehen. Ist doch auch logisch, denn für netzinterne Kommunikation innerhalb der Layer 2 Domain ist eine Firewall doch gar nicht involviert ! Weder IP Adress mäßig noch Mac Adress mässig. Die ist komplett außen vor und "sieht" diese Mac Adressen nicht.
Die Layer 2 Forwarding Entscheidung trifft einzig und allein der Switch über seine interne Mac Tabelle. Nur dort würde ein Mac Filter greifen.

Nun verstehe ich gar nichts mehr. Hattest Du mir nicht explizit Mikrotik oder pfSense für genau dieses Szenario empfohlen?
Mitglied: aqui
aqui 12.06.2021 aktualisiert um 20:32:53 Uhr
Goto Top
Du willst doch nicht nach Mac Adressen filtern sondern nach IP Adressen und Diensten ! Das ist doch der tiefere Sinn einer Firewall ! Das kann die Firewall auch im L2 Transparent Mode !
Ein Mac Adress Filter kann doch niemals nach IP Netzen und Adressen filtern. Wie denn auch wenn er nur Mac Adressen sieht und rein gar nix vom L3 über ihm !
Wie war das grad noch mit Meister Yoda ??? 🤣

Spaß beiseite. Du musst gar nicht mit dem Transparent Mode frickeln. Es geht natürlich auch im Routing Mode und das sogar noch besser !
  • Du belässt das Altnetz wie es ist in setzt das Firewall Gateway dort auf die gleiche IP wie früher die FritzBox. So ändert sich im Altnetz gar nix.
  • Der FritzBox definierst du einfach ein neuesTransfer Netz in dem wie oben auch die VoIP PBX liegt
  • Umbauzeit max. 15 Minuten, Vorteil: VoIP Netz ist rechtskonform nicht im Client Segment.
  • Fertisch
Einfacher gehts nun wirklich nicht....

Hast du alles richtig gemacht sieht das dann nachher genau so aus:

vpn-church

Mehr Silbertablet geht nun fast nicht mehr. ;-) face-wink
Mitglied: SarekHL
SarekHL 12.06.2021 um 20:32:18 Uhr
Goto Top
Zitat von @aqui:

Du willst doch nicht nach Mac Adressen filtern sondern nach IP Adressen und Diensten !

Richtig. Aber von MAC-Adressen hatte em-pie doch auch gar nicht gesprochen.


Das kann die Firewall auch im L2 Transparent Mode !

Dann noch mal die Frage, warum das der Vigor-Switch nicht kann.


Wie war das grad noch mit Meister Yoda ??? 🤣

Falscher Film :-) face-smile
Mitglied: aqui
aqui 12.06.2021 aktualisiert um 20:43:02 Uhr
Goto Top
warum das der Vigor-Switch nicht kann.
Mir ist nicht bekannt das Draytek auch Layer 3 Switches mit Firewall Funktion oder ACL vertreibt bzw. Im Portfolio hat. Wenn doch, sorry. Dann geht das natürlich auch, sofern der Switch dann Layer 3 kann und Routing.
Bedenke aber das Switch ACLs nicht Stateful sind also niemals mit einer SPI Firewall zu vergleichen sind. Kollege @colinardo hat es oben schon zu Recht angesprochen !
Solltest du einen Draytek Router meinen geht das per se nicht. Ein Draytek Router scheidet komplett aus und das aus 2 gravierenden Grunden:
  • Die NAT Funktion am WAN Port ist nicht abschaltbar. In deinem Design darf die Firewall niemals NAT machen
  • Draytek supportet keinen Firewall Transparent Mode
Draytek wäre hier also die völlig falsche Hardware mit der du zu 99% Schiffbruch erleiden wirst.
Wenn du es richtig elegant machen willst entsorgst du die FB auf der PBX Seite, setzt die PBX in ein DMZ Segment direkt an der Firewall und bindest diese mit einem reinen Nur Modem an.
Aber da es die FB Infrastruktur ja schon gibt und nach deiner Aussage auch unbedingt beibehalten werden muss (was ja legitim ist) dann belässt du es wie es ist. Schraubst dir eine schicke pfSense für 180 Euronen zusammen oder nimmst nen Mikrotik hEX S und hängst die gem. obigen Bild dazwischen. Fertisch...
Mitglied: SarekHL
SarekHL 12.06.2021 aktualisiert um 20:58:41 Uhr
Goto Top
Zitat von @aqui:

Einfacher gehts nun wirklich nicht....

Naja, ich müsste bei allen entfernten FritzBoxen und allen internen Telephonen die IP-Adresse der PBX ändern.

Deshalb:

Schraubst dir eine schicke pfSense für 180 Euronen zusammen oder nimmst nen Mikrotik hEX S und hängst die gem. obigen Bild dazwischen. Fertisch...

Nein, lieber mein ursprünglich geplantes Szenario, wo die TK-Alage direkt an der FritzBox hängt und die Firewall nur Zugriffe aus dem VPN in das Rest-Netzwerk blockiert. Ist denn die Konfiguration des transparenten Modus der Firewall so kompliziert?
Mitglied: aqui
aqui 12.06.2021 aktualisiert um 21:16:46 Uhr
Goto Top
ich müsste bei allen entfernten FritzBoxen und allen internen Telephonen die IP-Adresse der PBX ändern.
Oha...hast du schon mal was von DHCP Vendor Options gehört ?! Das ist ja tiefstes IT Neandertal. Da braucht es aber dringend mal einen Missionar vom Schlage eines heiligen Ansgar (wenn man mal annimmt das HL = Lübeck ist) !! 😉
Also...dann mal los mit FritzBox und Draytek "Switch".
Case closed !
Mitglied: SarekHL
SarekHL 12.06.2021 aktualisiert um 22:36:44 Uhr
Goto Top
Zitat von @aqui:
.
Case closed !

Nix closed!

Also, wenn ich es richtig verstanden habe, geht es sowohl mit pfSense als auch mit Mikrotik doch auch ohne unterschiedliche Subnetze, oder?

Was von beidem ist für das Szenario einfacher zu konfigurieren?
Mitglied: C.Caveman
C.Caveman 12.06.2021 aktualisiert um 22:41:44 Uhr
Goto Top
Was von beidem ist einfacher zu konfigurieren?
Nehmen sich beide nicht viel. Das einfachste wäre, man zeichnet das Szenario auf und Blättert durch das Handbuch um zu erfahren was man wo einstellen muss.
Mitglied: SarekHL
SarekHL 12.06.2021 um 22:50:10 Uhr
Goto Top
Zitat von @C.Caveman:

und Blättert durch das Handbuch um zu erfahren was man wo einstellen muss.

Wenn man in der Nomenklatur nicht sicher ist, hat man die Lösung unter Umständen direkt vor Augen und erkennt sie nicht.

Ich denke mal, wenn ich das Teil vor mir liegen habe, melde ich mich noch mal.
Mitglied: C.Caveman
C.Caveman 12.06.2021 um 23:09:54 Uhr
Goto Top
Behalte auch die Lösung von aqui "auf dem Silbertablett" im Auge.
Mitglied: SarekHL
SarekHL 12.06.2021 aktualisiert um 23:49:00 Uhr
Goto Top
Zitat von @C.Caveman:

Behalte auch die Lösung von aqui "auf dem Silbertablett" im Auge.

Ich habe mich dagegen entschieden. Klar, im internen Netz könnte man über DHCP arbeiten, nicht aber bei den externen FritzBoxen und zum Teil dahinterliegenden SIP-Endgeräten, die man alle umkonfigurieren möchte.

Ich möchte explizit mit der Lösung arbeiten, wo es nur ein Subnetz am zentralen Standort gibt:

firewall-einbindung

Ich werde jetzt also entweder einen Mikrotik oder eine pfSense-Appliance ordern und dann mein Glück bei der Konfiguration versuchen.

Sicherheitshalber noch mal eine Frage zu Mikrotik: Fast alle Miktrotik-Geräte nennen sich Router - trotzdem kann man jedes dieser Geräte auch verwenden, um eine transparente Firewall ohne Routing zu etablieren?
Mitglied: colinardo
Lösung colinardo 13.06.2021 aktualisiert um 00:33:16 Uhr
Goto Top
Zitat von @SarekHL:
Sicherheitshalber noch mal eine Frage zu Mikrotik: Fast alle Miktrotik-Geräte nennen sich Router - trotzdem kann man jedes dieser Geräte auch verwenden, um eine transparente Firewall ohne Routing zu etablieren?
RouterOS das Betriebssystem der Mikrotiks lässt dich die Geräte so konfigurieren wie du sie brauchst. Sie sind Switch wenn du es brauchst oder Router , oder beides zusammen, kommt nur auf deine Konfiguration an. Für reine Switches hat Mikrotik SwitchOS im Programm, das ist aber nur eine abgespeckte Variante von RouterOS. RouterOS selbst kann beides!
Hättest du zumindest in meinem ersten Kommentar mal die Config angesehen die ich
für dafür gepostet habe(übersehen/ignoriert?), dann hätten wir und das ganze hier sparen können.

Ziel ist es, über das VPN kommende Anfragen nur zur Telephonanlage durchzulassen, nicht aber in das Netzwerk der Gemeinde.
Btw. jetzt wo ich mir die Eingangsfrage nochmal genau durchlese brauchst du gar kein weiteres Gerät, das lässt sich mittels VPN-Config auf den Fritten selbst abfackeln indem du die angegeben Subnetzen in IPSec Phase 2 auf eine einzelne IP (die der Telefonanlage) einschränkst bzw. die accesslist , dann haben die VPN Gegenstellen nur Zugriff auf diese einzelne IP, genau das was du ja erreichen willst..
Guckst du dazu auch
Remotezugriff über VPN (Fritzbox) auf einzelne lokale IPs beschränken

Wollte man also den Zugriff der VPN Gegenstelle nur auf eine IP im Remotenetz zulassen, sähe die accesslist bspw. so aus
Was im Klartext bedeutet: Erlaube nur Traffic vom Subnetz 192.168.200.0/24 auf die single IP 192.168.178.20/32.

Ergo du bräuchtest in deinem Frittenpark also kein zusätzliches Device, nur ein zwei Zeilen Config abändern. Die Fritten würden ja nur anfangen zu zittern wenn ihnen eine ausgewachsene Firewall zu Leibe rücken würde 😉

So denn, machen und fertig.
Mitglied: SarekHL
SarekHL 13.06.2021 um 07:02:48 Uhr
Goto Top
Zitat von @colinardo:

RouterOS das Betriebssystem der Mikrotiks lässt dich die Geräte so konfigurieren wie du sie brauchst. Sie sind Switch wenn du es brauchst oder Router ,

OK, also kann ich einen beliebigen Mikrotik-Router (z.B. diesen kaufen und als Switch benutzen, völlig egal, wie die Ports an dem Gerät beschriftet sind.

Hättest du zumindest in meinem ersten Kommentar mal die Config angesehen die ich für dafür gepostet habe(übersehen/ignoriert?),

Nein., aber nicht verstanden. Wie gesagt, ich bin Linux-Analphabet. Wenn dann kommt "Entsprechende Ports in eine Layer2-Bridge packen und ab gehts", dann steige ich aus. Darum fragte ich später ja, ob das auch per GUI geht.

Aber wenn so ein Gerät unter 50 Euro wie das oben genannte im Prinzip auch alles kann, werde ich mit das wohl mal kaufen und damit ein wenig herumexperimentieren. Für die Zukunft, denn für die aktuelle Geschichte scheint mir das:

Btw. jetzt wo ich mir die Eingangsfrage nochmal genau durchlese brauchst du gar kein weiteres Gerät, das lässt sich mittels VPN-Config auf den Fritten selbst abfackeln indem du die angegeben Subnetzen in IPSec Phase 2 auf eine einzelne IP (die der Telefonanlage) einschränkst bzw. die accesslist , dann haben die VPN Gegenstellen nur Zugriff auf diese einzelne IP, genau das was du ja erreichen willst..

die beste Lösung zu sein. Das klingt echt interessant, danke für den Tipp!
Mitglied: colinardo
colinardo 13.06.2021 aktualisiert um 07:14:40 Uhr
Goto Top
Zitat von @SarekHL:
OK, also kann ich einen beliebigen Mikrotik-Router (z.B. diesen kaufen und als Switch benutzen, völlig egal, wie die Ports an dem Gerät beschriftet sind.
Jepp, wenn dir bei dem die 100Mbit Ports reichen...
Nein., aber nicht verstanden. Wie gesagt, ich bin Linux-Analphabet.
Die Config oben hat rein gar nichts mit Linux zu tun, das ist die CLI-Syntax auf der Konsole des Mikrotik.

Wenn dann kommt "Entsprechende Ports in eine Layer2-Bridge packen und ab gehts", dann steige ich aus. Darum fragte ich später ja, ob das auch per GUI geht.
Klar die möglichen Config-Optionen hatte ich ja oben bereits erwähnt.
Aber wenn so ein Gerät unter 50 Euro wie das oben genannte im Prinzip auch alles kann, werde ich mit das wohl mal kaufen und damit ein wenig herumexperimentieren.
Definitiv auf jeden Fall eine gute Wahl dazu zu lernen, die Teile kann man immer mal gebrauchen, in jeglicher Hinsicht ein Multitalent das sich deinen Bedürfnissen anpasst 😉. Lernbereitschaft und erweiterte Netzwerkgrundlagen sind bei ihnen aber ein muss.

Schönen Sonntag.
VG Uwe
Mitglied: SarekHL
SarekHL 13.06.2021 aktualisiert um 07:18:10 Uhr
Goto Top
Zitat von @colinardo:

Definitiv eine gute Wahl dazu zu lernen, die Teile kann man immer mal gebrauchen in jeglicher Hinsicht ein Multitalent das sich deinen Bedürfnissen anpasst 😉.

Richtig, klingt auf jeden Fall spannend. Aber für erste ist die AccessList der FritzBox spannender :-) face-smile Dazu habe ich aber noch drei Fragen:

  1. Ist das Feature (bzw. was man so in der Fritz-VPN-Konfiguration nachträglich regeln kann) irgendwo allgemein dokumentiert? Vielleicht gibt es da ja noch mehr interessante Dinge zu finden :-) face-smile
  2. Ich nehme an (diese Frage ist in dem von Dir verlinkten Beitrag unbeantwortet), dass ich das nur an der Ziel-FritzBox 192.168.10.1 konfigurieren muss?
  3. Wenn ich mehrere Quellen zulassen möchte, kann ich dann mehrere Permit-Zeilen untereinander schreiben? Also z.B. so (192.168.10.200 ist die PBX):

Mitglied: colinardo
Lösung colinardo 13.06.2021 aktualisiert um 07:40:03 Uhr
Goto Top
Zitat von @SarekHL:

  1. Ist das Feature (bzw. was man so in der Fritz-VPN-Konfiguration nachträglich regeln kann) irgendwo allgemein dokumentiert?
Ja, bei AVM selbst in diversen Anleitungen z.B. hier
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7490/230_Uber-VPN- ...

# Ich nehme an (diese Frage ist in dem von Dir verlinkten Beitrag unbeantwortet), dass ich das nur an der Ziel-FritzBox 192.168.10.1 konfigurieren muss?
Das ist so, auf der Seite der Gemeinde müssen die Access Allow-Einträge die IPs der Accesslist auf der Remote-Seite inkludieren (also die Subnetzdefinition muss auf der Seite der Gemeinde gleich oder größer sein), d.h. entweder du definierst auf beiden Seiten die Einträge für den Zugriff auf die eine oder auch mehrere IPs (Bevorzugt) oder du lässt dir Lokal die Option offen und konfigurierst trotzdem das ganze Subnetz oder ein Teil davon. Hier wäre dann aber das Risiko das jemand an der Remote-Seite die VPN Config zu seinen Gunsten ändert gegeben weil ja lokal mehr zugelassen wird als Remote definiert. Also besser auf beiden Seiten den gleichen Zugriff definieren damit es wasserdicht ist.

# Wenn ich mehrere Quellen zulassen möchte, kann ich dann mehrere Permit-Zeilen untereinander schreiben? Also z.B. so (192.168.10.200 ist die PBX):
Ja aber etwas anders formatiert
Das brauchst du aber nur wenn auf der einen Remote-Seite alle diese Subnetze vorhanden sind, denn für jede Remote Seite hast du bei der Fritte ja eine separate Config.
Mitglied: SarekHL
SarekHL 13.06.2021 aktualisiert um 07:58:35 Uhr
Goto Top
Zitat von @colinardo:

auf der Seite der Gemeinde müssen die Access Allow-Einträge die IPs der Accesslist auf der Remote-Seite inkludieren (also die Subnetzdefinition muss auf der Seite der Gemeinde gleich oder größer sein), d.h. entweder du definierst auf beiden Seiten die Einträge für den Zugriff auf die eine IP (Bevorzugt) oder du lässt dir Lokal die Option offen und konfigurierst trotzdem das ganze Subnetz oder ein Teil davon.


Das habe ich jetzt nicht verstanden, vor allem nicht "auf der Seite der Gemeinde". Das sind alles Gemeinden, die halt zusammengeschaltet sind ;)

Also meine Vermutung ist, dass ich das nur auf der FritzBox 192.168.10.1 konfigurieren muss, nicht aber z.B. auf 192.168.20.1. Dort steht ja in der VPN-Datei:
und ich denke mal, dass nur die Schnittmenge der AccessLists beider Seiten die tatsächlichen Rechte darstellt.

Hier wäre dann aber das Risiko das jemand an der Remote-Seite die VPN Config zu seinen Gunsten ändert gegeben. Also besser auf beiden Seiten den gleichen Zugriff definieren.

Das verstehe ich auch nicht. Wie soll er die Konfiguration ändern? Oder ist meine Vermutung, dass nur die Schnittmenge der AccessLists beider Seiten die tatsächlichen Rechte darstellt, falsch?

Ja aber etwas anders formatiert

Gibt es da ein Längen-Limit, also 1024 Zeichen oder so?

Aber vielleicht ist das auch Quatsch, ich habe mir den Aufbau der Datei gerade noch mal angesehen. Jeder verbundene VPN-Tunnel hat ja seinen eigenen Abschnitt und seine eigene AccessList-Zeile. Insofern muss es vermutlich eher so aussehen:

Oder?
Mitglied: colinardo
Lösung colinardo 13.06.2021 aktualisiert um 08:04:15 Uhr
Goto Top
Zitat von @SarekHL:

Das habe ich jetzt nicht verstanden, vor allem nicht "auf der Seite der Gemeinde". Das sind alles Gemeinden, die halt zusammengeschaltet sind ;)
Damit meinte ich "deine" Gemeinde nicht die anderen.

Also meine Vermutung ist, dass ich das nur auf der FritzBox 192.168.10.1 konfigurieren muss, nicht aber z.B. auf 192.168.20.1. Dort steht ja in der VPN-Datei:
und ich denke mal, dass nur die Schnittmenge der AccessLists beider Seiten die tatsächlichen Rechte darstellt.
Richtig, kannst du so machen.

Hier wäre dann aber das Risiko das jemand an der Remote-Seite die VPN Config zu seinen Gunsten ändert gegeben. Also besser auf beiden Seiten den gleichen Zugriff definieren.

Das verstehe ich auch nicht. Wie soll er die Konfiguration ändern? Oder ist meine Vermutung, dass nur die Schnittmenge der AccessLists beider Seiten die tatsächlichen Rechte darstellt, falsch?
Nein alles OK.

Ja aber etwas anders formatiert

Gibt es da ein Längen-Limit, also 1024 Zeichen oder so?
Kann ich gerade nicht sagen, aber du kannst die Einträge problemlos untereinander umbrechen.
Aber vielleicht ist das auch Quatsch,
Ja, hatte ich oben ergänzt, jede Gemeinde bekommt ja seine eigene Config Section mit für sie gültigen Accesslisten.
ich habe mit den Aufbau der Datei gerade noch mal angesehen. Jeder verbundene VPN-Tunnel hat ja seinen eigenen Abschnitt und seine eigene AccessList-Zeile. Insofern muss es vermutlich eher so aussehen:
>
Oder?
Korrekt!
Mitglied: colinardo
colinardo 13.06.2021 aktualisiert um 08:10:48 Uhr
Goto Top
Ach ja, nicht vergessen vor dem Reimport der Config in jeder Section den Eintrag
hinzuzufügen/anzupassen, da ansonsten die eigenen Anpassungen nicht korrekt übernommen werden. Auch weil ein nachträgliches Ändern auf der Oberfläche der Fritzbox auch dazu führen würde das diese Änderungen wieder mit Default-Werten überschrieben werden.
Mitglied: SarekHL
SarekHL 13.06.2021 um 08:10:39 Uhr
Goto Top
Zitat von @colinardo:

Ach ja, nicht vergessen vor dem Reimport der Config in jeder Section den Eintrag editable = no; hinzuzufügen/anzupassen,

Hat das "Risiken oder Nebenwirkungen"?
Mitglied: colinardo
colinardo 13.06.2021 aktualisiert um 08:14:37 Uhr
Goto Top
Zitat von @SarekHL:

Zitat von @colinardo:

Ach ja, nicht vergessen vor dem Reimport der Config in jeder Section den Eintrag editable = no; hinzuzufügen/anzupassen,

Hat das "Risiken oder Nebenwirkungen"?
Hatte ich oben ergänzt (schreibe am Telefon). Nur das man die Verbindung in der GUI ab dann nicht mehr bearbeiten kann. Man muss sie also bei nachträglichen Änderungen manuell in dem Textfile anpassen und erneut importieren, anders geht es halt bei AVM nicht, da musst du dich halt mit sowas rumschlagen.
Mitglied: SarekHL
SarekHL 13.06.2021 aktualisiert um 08:31:03 Uhr
Goto Top
Zitat von @colinardo:

Nur das man die Verbindung in der GUI ab dann nicht mehr bearbeiten kann. Man muss sie also bei nachträglichen Änderungen manuell in dem Textfile anpassen und erneut importieren, anders geht es halt bei AVM nicht, da musst du dich halt mit sowas rumschlagen.

Das ist kein Problem, ich konfiguriere VPN-Einstellungen eh nicht über die GUI.

Was passiert eigentlich, wenn man so eine Datei manuell angepasst hat und dann wieder mit "Fritz Fernzugang einrichten" öffnet, um z.B. eine weitere VPN-Verbindung hinzuzufügen? Dann sind die Anpassungen vermutlich weg?
Mitglied: colinardo
colinardo 13.06.2021 aktualisiert um 09:06:21 Uhr
Goto Top
Zitat von @SarekHL:
Was passiert eigentlich, wenn man so eine Datei manuell angepasst hat und dann wieder mit "Fritz Fernzugang einrichten" öffnet, um z.B. eine weitere VPN-Verbindung hinzuzufügen? Dann sind die Anpassungen vermutlich weg?
Denke ja, da ich die Software aber selbst nicht nutze teste es einfach selbst. Wenn ich eine VPN-Config anpassen muss mach ich das per Export der kompletten Box-Config und ziehe mir die VPN-Connection aus dem Configfile der Box selbst raus, bearbeite sie und lade sie zurück.
Mitglied: aqui
aqui 13.06.2021 aktualisiert um 11:44:51 Uhr
Goto Top
Oder man nimmt ganz einfach ein fertiges VPN Profil wie z.B. hier:
https://forum.netgate.com/topic/155136/avm-fritzbox-kopplung-neuere-frit ...
Passt das mit einem simplen Editor an seine Verhältnisse an und lädt es auf die Box hoch !
Dabei kann man dann auch sogar die FB Plastebox von Oma Grete auf den sicheren Main Mode bringen ! ;-) face-wink
Mitglied: SarekHL
SarekHL 14.06.2021 um 21:29:31 Uhr
Goto Top
So, ich habe es heute testen können - perfekt!
Heiß diskutierte Beiträge
question
Zentrale Lösung für Antivirus, Patchmanagement, Monitoring in einem?Andre82msVor 1 TagFrageSicherheits-Tools24 Kommentare

Hallo Zusammen, ich suche schon seit längerem eine gute Lösung, welche ein gut funktionierendes Patchmanagement, Anti-Virenscanner mit EDR sowie ein Monitoring in einem Dashboard beinhaltet ...

question
Signatur-Programm gesuchtArchanVor 1 TagFrageOutlook & Mail20 Kommentare

Hi zusammen, vorab als Info: Wir haben eine Mischung aus Office365 und 2016, sowie einen Exchange 2016 Server. Ich bin nun auf der Suche nach ...

question
Mitarbeiter ab gewisser Uhrzeit am arbeiten hindern gelöst passy951Vor 17 StundenFrageWindows Netzwerk19 Kommentare

Guten Morgen zusammen, ich wurde gestern von unseren Betriebsrat gefragt ob es möglich ist ab z.B. 20 Uhr die Mitarbeiter daran zu hindern zu arbeiten. ...

question
Mikrotik vs. Unify - Warum mögt Ihr Unify nicht? gelöst tagol.deVor 1 TagFragePeripheriegeräte10 Kommentare

Hallo immer wieder lese ich, das hier auf Administrator.de Mikrotik bevorzugt wird. Aktuell habe ich zuhause 2 AP von Unify + Controller auf einem Rasberry ...

question
Wie lange kann ein PC in der Domain ohne Kontakt zur Domain betrieben werden?DaxAtDS9Vor 16 StundenFrageNetzwerkmanagement16 Kommentare

Hallo, bis vor einer Woche habe ich einen SBS2011 Server inkl. AD etc. in Betrieb gehabt. Nun habe ich ihn abgeschaltet und nutze einer der ...

question
Domänencontroller von Windows Server 2016 auf Windows Server 2019 migrierenEstefaniaVor 10 StundenFrageWindows Server24 Kommentare

Hi. Kann mir ein Admin bei folgendem Problem weiterhelfen !? Wir haben insgesamt 5 Domänencontroller, die auf einem Windows Server 2016 laufen. Nun ist es ...

question
Home-Office Laptop kann DNS nicht auflösenLubosNovyVor 1 TagFrageWindows Netzwerk15 Kommentare

Hallo zusammen, Situation: Manche Kolleginnen arbeiten im Home-Office und sind über Sophos SSL Client verbunden. Die Notebooks sind von mir vorbereitet, in die Domänen aufgenommen ...

report
Positive Erfahrung mit VodafoneitebobVor 1 TagErfahrungsberichtFlatrates3 Kommentare

Hallo zusammen, vieles, was ich im Beitrag Erfahrungsbericht Vodafone - Die endlose Vertragsänderung und in Kommentaren lese, deckt sich mit meinen persönlichen Erfahrungen mit Vodafone. ...