Fritzbox 7360 - Asus Router (Merlin) als VPN Client eines Providers, kein Zugriff auf Subnet der Fritzbox

Mitglied: netguru

netguru (Level 1) - Jetzt verbinden

25.12.2015, aktualisiert 17:45 Uhr, 2826 Aufrufe, 4 Kommentare, 2 Danke

Hallo,

folgendes Szenario kann ich anbieten.

Fritzbox 7360 als DSL-Router
192.168.178.1
Statische Route zum Asus: Gateway 192.168.178.7, Netzwerk 192.168.0.0, 255.255.255.0

Asus RT87U mit Merlin Firmware per WAN Port an der Fritzbox
WAN:
IP 192.168.178.7
Gateway 192.168.178.1
Subnetz 255.255.255.0
LAN :
IP 192.168.0.1
Subnetz 255.255.255.0
VPN IP 46.20.33.xxx , VPN externes Netzwerk des Providers 10.33.xxx.xxx

Auf dem Asus läuft ein OpenVPN Client zu einem externen Anbieter.
Die Policy based Routings des VPN sind

1cc22c1595d62c1b86632ef7ae785f84 - Klicke auf das Bild, um es zu vergrößern

Der Router selbst darf das WAN zur Fritzbox nutzen, alle Clients des Asus müssen durchs VPN!
Routingtabelle Asus:

3a144ba3d11ca790f100ba5b2b22a2b4 - Klicke auf das Bild, um es zu vergrößern

53a4d4aa001d798573f817514284e74b - Klicke auf das Bild, um es zu vergrößern


Die Clients des Asus sind einwandfrei mit der VPN IP "unterwegs".
Vom Asus Router selbst kann ich die Fritzbox und alle Geräte des Fritzbox Netzes anpingen.
Die Clients am Asus Router haben aber keinerlei Kontakt zu anderen Subnet (192.168.178.0/24)

Die die Clients nur über VPN kommunizieren dürfen, müsste ich hier wohl noch eine Regel / Route zum Subnet 192.168.178.0/24 einbauen.
Ich denke ich muss dies in der VPN policy und dann nochmal in der Router policy hinzufügen, bloss wie?

Ich hatte versucht die VPN policy so zu erweitern, das brachte aber keine Änderung, evtl war es auch nur die hälfte des weges, da eine Firewall Freigabe, noch kein Routing ist:

ClientaufSubent 192.168.0.0/24 192.168.178.0/24 WAN

Bitte um Hilfe ;-) face-wink




Mitglied: Pjordorf
25.12.2015 um 21:10 Uhr
Hallo,

Zitat von @netguru:
Asus RT87U mit Merlin Firmware per WAN Port an der Fritzbox
WAN:
IP 192.168.178.7
LAN :
IP 192.168.0.1
Also macht dein ASUS NAT.

Auf dem Asus läuft ein OpenVPN Client zu einem externen Anbieter.
OK.

Der Router selbst darf das WAN zur Fritzbox nutzen, alle Clients des Asus müssen durchs VPN!
OK, also darf kein Client weder auf deiner Fritte noch in dessen Netz.

Die Clients am Asus Router haben aber keinerlei Kontakt zu anderen Subnet (192.168.178.0/24)
Das hast du doch so gewollt. Siehe dein Satz oben.

Die die Clients nur über VPN kommunizieren dürfen
Dürfen laut deiner Forderung nicht auf dein Fritten Netz.

müsste ich hier wohl noch eine Regel / Route zum Subnet 192.168.178.0/24 einbauen.
Nein, du musst entscheiden ob deine Clients nur über VPN dürfen oder auch anders. Kennen deine Clients/Geräte aus den Fritten Netz denn auch den weg zurück bzw. kennt deine Fritzbox eine Route dorthin ? Ein Wireshark oder Paket Trace auf der Fritte sagt es dir
Bitte um Hilfe ;-) face-wink
Warum überhaupt die Router Kaskade und dann den Clients im hinteren Netz nur über den VPN Client?

Gruß,
Peter
Bitte warten ..
Mitglied: netguru
25.12.2015, aktualisiert um 23:34 Uhr
Hallo Peter

Also macht dein ASUS NAT.
JA
Auf dem Asus läuft ein OpenVPN Client zu einem externen Anbieter.
OK.

Der Router selbst darf das WAN zur Fritzbox nutzen, alle Clients des Asus müssen durchs VPN!
OK, also darf kein Client weder auf deiner Fritte noch in dessen Netz.
genau, nach den Regeln, ja
Die Clients am Asus Router haben aber keinerlei Kontakt zu anderen Subnet (192.168.178.0/24)
das sind die Regeln, die ich kenne, ich wünsche aber Zugang zum Subnet, ich weiss nur nicht wie ... die Clients sollen ins VPN und auch die Möglichkeit haben, das Subent der Fritzbox zu erreichen. Also, wenn nicht Verbindung zu einem Teilnehmer der beiden Subnetze, dann nur VPN. Also kurz gesagt, wenn INTERNET, dann per VPN.

müsste ich hier wohl noch eine Regel / Route zum Subnet 192.168.178.0/24 einbauen.
Nein, du musst entscheiden ob deine Clients nur über VPN dürfen oder auch anders.
oder auch anders ist die richtige Antwort

Kennen deine Clients/Geräte aus den Fritten Netz denn auch den weg zurück bzw. kennt deine Fritzbox eine Route dorthin ? Ein Wireshark oder Paket >Trace auf der Fritte sagt es dir
Bitte um Hilfe ;-) face-wink
wie ein Paket Trace geht weiss ich leider nich ...
Routing-Schnittstelle auf der Fritte zeigt mit lustigerweise folgendes an ....
116 16.687779 46.20.33.xxx 192.168.178.7 OpenVPN 113 MessageType: P_DATA_V1
da wird wohl der openvpn verkehr gesehen, ping auf das subnet des asus geht aber nicht ,,,,

EDIT: der Ping auf die WAN IP (192.168.178.7) des Asus funktioniert (man sollte auch pings auf den WAN zulassen ;-) face-wink)


Warum überhaupt die Router Kaskade und dann den Clients im hinteren Netz nur über den VPN Client?
Mit Kaskade meinst Du die beidern verschiedenen Netze? Ich hatte immer zwei Router mit dem letzteren als DD-WRT (VPN Client) in einem Netz, da ging dies alles problemlos. Da war der WAN Port des DDWRT aber nicht belegt, sondern LAN an LAN. Mir wurde aber auch hier gesagt, zwei Netze sind besser und WAN muss dabei sein ...

VPN zur IP Verschleierung.Momentan habe ich noch den DDWRT und steuere die VPN Zugehörigkeit über den Gateway in jedem CLIENT einzeln, also feste IP bei allen Teilnehmern und je nach Gateway VPN oder nicht.

Wenn das mit den beiden Netzen nicht geht, kann ich auch am Asus die IPs, die nicht ins VPN sollen, ausnehmen. Das sollte über das policy based routing funktionieren. Dann sind alle Clients im Asus subnet und manche nehme ich dann manuell aus.

Gruß
Daniel
Bitte warten ..
Mitglied: aqui
26.12.2015, aktualisiert um 11:35 Uhr
Die Clients am Asus Router haben aber keinerlei Kontakt zu anderen Subnet (192.168.178.0/24)
Die Kardinalsfrage hier ist ob das gewollt ist oder nicht ??
Sprich: Arbeitet der ASUS als Gateway mit NAT (Adress Translation) am WAN Port oder arbeitet er als transparenter Router ohne NAT.
Bei ersterem wäre auch die statische Route in der FB natürlich Unsinn.
Leider ist das durch den TO im Thread nicht geklärt und macht eine zielführende Hilfe schwer, denn mit NAT hat man das große Problem Port Forwarding ohne das die NAT Firewall am WAN Port nicht zu überwinden wäre...!

Sinnvoll wäre hier dann in der Tat den Asus als normalen Router laufen zu lassen (ohne NAT am WAN Port !) und das LAN der FB einfach über das Push Route Kommando an die VPN Clients zu annoncen.
Je nachdem was genau der TO erreichen will ?!

Im Grunde ist alles zu diesem Thema im OVPN Forumstutorial abgeklärt:
https://www.administrator.de/wissen/openvpn-server-installieren-dd-wrt-r ...
Speziell das Kapitel "OVPN Router hinter NAT Router betreiben..." beantwortet alle Fragen zu diesem Szenario...
Bitte warten ..
Mitglied: netguru
26.12.2015, aktualisiert 01.01.2016
Die Kardinalsfrage hier ist ob das gewollt ist oder nicht ??
Das ist nicht gewollt, ich hätte gerne Zugriff

Sprich: Arbeitet der ASUS als Gateway mit NAT (Adress Translation) am WAN Port oder arbeitet er als transparenter Router ohne NAT.
Er hat NAT, genauso wie er als OPENVPN Client (nicht Server) bei der OPENVPN Verbindung NAT hat. Schalte ich dies aus, geht gar nichts mehr, da muss man dann alle Routen manuell setzen (geht unter der VPn Section).
DIe Ports, die ich im VPN freigegebn haben will, habe ich per IPtables auch freibekommen:
z.B: iptables -t nat -I PREROUTING -i tun12 -p tcp --dport 7777 -j DNAT --to-destination 192.168.0.30

Du hast aber Recht, ich müsste letzlich NAT am WAn ausbekommen, durch die Sache mit dem VPN wird es natürlich nicht leichter ...

>Im Grunde ist alles zu diesem Thema im OVPN Forumstutorial abgeklärt:
HIer geht es immer um Server, ich nutze es als Client, denke das macht einen Unterschied ;-) face-wink

Plan B ist übrigens die Geräte im Asus Subent zu betreiben, die die ich nicht da haben "kann" lasse ich eben an der Fritzbox, wenn ich dort mal drauf muss, muss ich eben das WLAN dort anmachen und dann dort connecten ...


EDIT: GELÖST!!!
Hatte vorab mit VPN Client 1 experimentiert, nachher aber den zweiten genutzt.
Obwohl der 1er deaktiviert war, hab ich im logfile erkannt, dass dieser irgendwie den WAN Port belegt ...

Um from subnet der Fritzbox den ASUS zu erreichen in der Fritzbox statische Route auf den Asus setzen und am ASUS WAN access zulassen und Ports auf die Endgeräte im ASUS subnet weiterleiten. Zugriff dann immer übr die WAN IP (!) des ASUS und den Port möglich!

Danke trotzdem!
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Ein Weg weg von Microsoft. Wie würde man es angehen? Lasst uns doch etwas spinnen
it-fraggleVor 1 TagAllgemeinOff Topic52 Kommentare

Guten Morgen Kollegen, es treibt mich schon seit einigen Jahren um, dass es sinnvoll wäre langsam einen Weg weg von Microsoftprodukten zu finden. Mir ...

Hardware
Versorgungsengpass Chips
NebellichtVor 1 TagAllgemeinHardware22 Kommentare

Allg. frage ich mich ja warum Apple auf ARM frühzeitig gesetzt hat. Die Automobilindustrie gerade Absatzprobleme hat, weil keine Chips mehr geliefert werden können. ...

Windows Server
Server 2019 RDS-CALs für Domänen-Admins? Ernsthaft?
gelöst anteNopeVor 1 TagFrageWindows Server7 Kommentare

Nabend zusammen, ich habe hier heute einen RDS auf Basis eines Server 2019 STD installiert und mit User-CALs lizenziert. Soweit funktioniert auch alles. Nur ...

Festplatten, SSD, Raid
Wie würdet ihr eine Datenrettung machen?
pd.edvVor 21 StundenFrageFestplatten, SSD, Raid11 Kommentare

Hallo, ich arbeite gerade an einem Blog-Artikel zum Thema Datenrettung und würde mich brennend interessieren wie Ihr eine Datenrettung angehen würdet. Sagen wir mal ...

Multimedia
PDF Dokumente KOSTENLOS ausfüllen, wie?
Mrhallo19981Vor 1 TagFrageMultimedia12 Kommentare

Hallo, ich möchte PDF Dokumente kostenlos ausfüllen. Anschließend sollen diese Signiert werden. Signieren tu ich mit einem Zertifikat von Adobe. Deswegen ist es wichtig, ...

Windows Server
Lokaler DNS verlangsamt Internet?
gelöst Rattical84Vor 8 StundenFrageWindows Server20 Kommentare

Hallo zusammen, ich habe hier eine Domäne mit dem Domänencontroller als DNS-Server. Das ist der einzige DC und DNS-Server im Netz. Jetzt habe ich ...

Ubuntu
Installiert auf Rechner
khaldrogoVor 13 StundenFrageUbuntu9 Kommentare

Hallo Leute, Wir haben einen neuen Server bekommen, auf dem wir per Remotedesktopverbindung verbunden sind und arbeiten. Auf dem Server sind leider nicht alle ...

Windows 10
Blog 2: Mal wieder Microsoft haten?
GrueneSosseMitSpeckVor 1 TagBlogWindows 102 Kommentare

und allseits beliebt: die Kirsche blüht vor dem Haus. Also endlich mal die neue Kamera ausgepackt, ein paar Fotos geknipst, und dann? USB Kabel ...