4
Fritzbox 7360 - Asus Router (Merlin) als VPN Client eines Providers, kein Zugriff auf Subnet der Fritzbox
Hallo,
folgendes Szenario kann ich anbieten.
Fritzbox 7360 als DSL-Router
192.168.178.1
Statische Route zum Asus: Gateway 192.168.178.7, Netzwerk 192.168.0.0, 255.255.255.0
Asus RT87U mit Merlin Firmware per WAN Port an der Fritzbox
WAN:
IP 192.168.178.7
Gateway 192.168.178.1
Subnetz 255.255.255.0
LAN :
IP 192.168.0.1
Subnetz 255.255.255.0
VPN IP 46.20.33.xxx , VPN externes Netzwerk des Providers 10.33.xxx.xxx
Auf dem Asus läuft ein OpenVPN Client zu einem externen Anbieter.
Die Policy based Routings des VPN sind
Der Router selbst darf das WAN zur Fritzbox nutzen, alle Clients des Asus müssen durchs VPN!
Routingtabelle Asus:
Die Clients des Asus sind einwandfrei mit der VPN IP "unterwegs".
Vom Asus Router selbst kann ich die Fritzbox und alle Geräte des Fritzbox Netzes anpingen.
Die Clients am Asus Router haben aber keinerlei Kontakt zu anderen Subnet (192.168.178.0/24)
Die die Clients nur über VPN kommunizieren dürfen, müsste ich hier wohl noch eine Regel / Route zum Subnet 192.168.178.0/24 einbauen.
Ich denke ich muss dies in der VPN policy und dann nochmal in der Router policy hinzufügen, bloss wie?
Ich hatte versucht die VPN policy so zu erweitern, das brachte aber keine Änderung, evtl war es auch nur die hälfte des weges, da eine Firewall Freigabe, noch kein Routing ist:
ClientaufSubent 192.168.0.0/24 192.168.178.0/24 WAN
Bitte um Hilfe
folgendes Szenario kann ich anbieten.
Fritzbox 7360 als DSL-Router
192.168.178.1
Statische Route zum Asus: Gateway 192.168.178.7, Netzwerk 192.168.0.0, 255.255.255.0
Asus RT87U mit Merlin Firmware per WAN Port an der Fritzbox
WAN:
IP 192.168.178.7
Gateway 192.168.178.1
Subnetz 255.255.255.0
LAN :
IP 192.168.0.1
Subnetz 255.255.255.0
VPN IP 46.20.33.xxx , VPN externes Netzwerk des Providers 10.33.xxx.xxx
Auf dem Asus läuft ein OpenVPN Client zu einem externen Anbieter.
Die Policy based Routings des VPN sind
Der Router selbst darf das WAN zur Fritzbox nutzen, alle Clients des Asus müssen durchs VPN!
Routingtabelle Asus:
Die Clients des Asus sind einwandfrei mit der VPN IP "unterwegs".
Vom Asus Router selbst kann ich die Fritzbox und alle Geräte des Fritzbox Netzes anpingen.
Die Clients am Asus Router haben aber keinerlei Kontakt zu anderen Subnet (192.168.178.0/24)
Die die Clients nur über VPN kommunizieren dürfen, müsste ich hier wohl noch eine Regel / Route zum Subnet 192.168.178.0/24 einbauen.
Ich denke ich muss dies in der VPN policy und dann nochmal in der Router policy hinzufügen, bloss wie?
Ich hatte versucht die VPN policy so zu erweitern, das brachte aber keine Änderung, evtl war es auch nur die hälfte des weges, da eine Firewall Freigabe, noch kein Routing ist:
ClientaufSubent 192.168.0.0/24 192.168.178.0/24 WAN
Bitte um Hilfe
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 291724
Url: https://administrator.de/contentid/291724
Printed on: April 19, 2024 at 22:04 o'clock
4 Comments
Latest comment
Hallo,
Gruß,
Peter
Zitat von @netguru:
Asus RT87U mit Merlin Firmware per WAN Port an der Fritzbox
WAN:
IP 192.168.178.7
LAN :
IP 192.168.0.1
Also macht dein ASUS NAT.Asus RT87U mit Merlin Firmware per WAN Port an der Fritzbox
WAN:
IP 192.168.178.7
LAN :
IP 192.168.0.1
Auf dem Asus läuft ein OpenVPN Client zu einem externen Anbieter.
OK.Der Router selbst darf das WAN zur Fritzbox nutzen, alle Clients des Asus müssen durchs VPN!
OK, also darf kein Client weder auf deiner Fritte noch in dessen Netz.Die Clients am Asus Router haben aber keinerlei Kontakt zu anderen Subnet (192.168.178.0/24)
Das hast du doch so gewollt. Siehe dein Satz oben.Die die Clients nur über VPN kommunizieren dürfen
Dürfen laut deiner Forderung nicht auf dein Fritten Netz.müsste ich hier wohl noch eine Regel / Route zum Subnet 192.168.178.0/24 einbauen.
Nein, du musst entscheiden ob deine Clients nur über VPN dürfen oder auch anders. Kennen deine Clients/Geräte aus den Fritten Netz denn auch den weg zurück bzw. kennt deine Fritzbox eine Route dorthin ? Ein Wireshark oder Paket Trace auf der Fritte sagt es dirhttp://fritz.box/html/capture.html # Modelle ohne Lua
http://fritz.box/capture.lua # Modelle mit LuaBitte um Hilfe
Warum überhaupt die Router Kaskade und dann den Clients im hinteren Netz nur über den VPN Client?Gruß,
Peter
1
Hallo Peter
genau, nach den Regeln, ja
oder auch anders ist die richtige Antwort
Routing-Schnittstelle auf der Fritte zeigt mit lustigerweise folgendes an ....
116 16.687779 46.20.33.xxx 192.168.178.7 OpenVPN 113 MessageType: P_DATA_V1
da wird wohl der openvpn verkehr gesehen, ping auf das subnet des asus geht aber nicht ,,,,
EDIT: der Ping auf die WAN IP (192.168.178.7) des Asus funktioniert (man sollte auch pings auf den WAN zulassen)
VPN zur IP Verschleierung.Momentan habe ich noch den DDWRT und steuere die VPN Zugehörigkeit über den Gateway in jedem CLIENT einzeln, also feste IP bei allen Teilnehmern und je nach Gateway VPN oder nicht.
Wenn das mit den beiden Netzen nicht geht, kann ich auch am Asus die IPs, die nicht ins VPN sollen, ausnehmen. Das sollte über das policy based routing funktionieren. Dann sind alle Clients im Asus subnet und manche nehme ich dann manuell aus.
Gruß
Daniel
Also macht dein ASUS NAT.
JAAuf dem Asus läuft ein OpenVPN Client zu einem externen Anbieter.
OK.Der Router selbst darf das WAN zur Fritzbox nutzen, alle Clients des Asus müssen durchs VPN!
OK, also darf kein Client weder auf deiner Fritte noch in dessen Netz.Die Clients am Asus Router haben aber keinerlei Kontakt zu anderen Subnet (192.168.178.0/24)
das sind die Regeln, die ich kenne, ich wünsche aber Zugang zum Subnet, ich weiss nur nicht wie ... die Clients sollen ins VPN und auch die Möglichkeit haben, das Subent der Fritzbox zu erreichen. Also, wenn nicht Verbindung zu einem Teilnehmer der beiden Subnetze, dann nur VPN. Also kurz gesagt, wenn INTERNET, dann per VPN.müsste ich hier wohl noch eine Regel / Route zum Subnet 192.168.178.0/24 einbauen.
Nein, du musst entscheiden ob deine Clients nur über VPN dürfen oder auch anders.Kennen deine Clients/Geräte aus den Fritten Netz denn auch den weg zurück bzw. kennt deine Fritzbox eine Route dorthin ? Ein Wireshark oder Paket >Trace auf der Fritte sagt es dir
wie ein Paket Trace geht weiss ich leider nich ...http://fritz.box/html/capture.html # Modelle ohne Lua
> http://fritz.box/capture.lua # Modelle mit LuaBitte um Hilfe
Routing-Schnittstelle auf der Fritte zeigt mit lustigerweise folgendes an ....
116 16.687779 46.20.33.xxx 192.168.178.7 OpenVPN 113 MessageType: P_DATA_V1
da wird wohl der openvpn verkehr gesehen, ping auf das subnet des asus geht aber nicht ,,,,
EDIT: der Ping auf die WAN IP (192.168.178.7) des Asus funktioniert (man sollte auch pings auf den WAN zulassen
)Warum überhaupt die Router Kaskade und dann den Clients im hinteren Netz nur über den VPN Client?
Mit Kaskade meinst Du die beidern verschiedenen Netze? Ich hatte immer zwei Router mit dem letzteren als DD-WRT (VPN Client) in einem Netz, da ging dies alles problemlos. Da war der WAN Port des DDWRT aber nicht belegt, sondern LAN an LAN. Mir wurde aber auch hier gesagt, zwei Netze sind besser und WAN muss dabei sein ...VPN zur IP Verschleierung.Momentan habe ich noch den DDWRT und steuere die VPN Zugehörigkeit über den Gateway in jedem CLIENT einzeln, also feste IP bei allen Teilnehmern und je nach Gateway VPN oder nicht.
Wenn das mit den beiden Netzen nicht geht, kann ich auch am Asus die IPs, die nicht ins VPN sollen, ausnehmen. Das sollte über das policy based routing funktionieren. Dann sind alle Clients im Asus subnet und manche nehme ich dann manuell aus.
Gruß
Daniel
Die Clients am Asus Router haben aber keinerlei Kontakt zu anderen Subnet (192.168.178.0/24)
Die Kardinalsfrage hier ist ob das gewollt ist oder nicht ??Sprich: Arbeitet der ASUS als Gateway mit NAT (Adress Translation) am WAN Port oder arbeitet er als transparenter Router ohne NAT.
Bei ersterem wäre auch die statische Route in der FB natürlich Unsinn.
Leider ist das durch den TO im Thread nicht geklärt und macht eine zielführende Hilfe schwer, denn mit NAT hat man das große Problem Port Forwarding ohne das die NAT Firewall am WAN Port nicht zu überwinden wäre...!
Sinnvoll wäre hier dann in der Tat den Asus als normalen Router laufen zu lassen (ohne NAT am WAN Port !) und das LAN der FB einfach über das Push Route Kommando an die VPN Clients zu annoncen.
Je nachdem was genau der TO erreichen will ?!
Im Grunde ist alles zu diesem Thema im OVPN Forumstutorial abgeklärt:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Speziell das Kapitel "OVPN Router hinter NAT Router betreiben..." beantwortet alle Fragen zu diesem Szenario...
1Die Kardinalsfrage hier ist ob das gewollt ist oder nicht ??
Das ist nicht gewollt, ich hätte gerne ZugriffSprich: Arbeitet der ASUS als Gateway mit NAT (Adress Translation) am WAN Port oder arbeitet er als transparenter Router ohne NAT.
Er hat NAT, genauso wie er als OPENVPN Client (nicht Server) bei der OPENVPN Verbindung NAT hat. Schalte ich dies aus, geht gar nichts mehr, da muss man dann alle Routen manuell setzen (geht unter der VPn Section).DIe Ports, die ich im VPN freigegebn haben will, habe ich per IPtables auch freibekommen:
z.B: iptables -t nat -I PREROUTING -i tun12 -p tcp --dport 7777 -j DNAT --to-destination 192.168.0.30
Du hast aber Recht, ich müsste letzlich NAT am WAn ausbekommen, durch die Sache mit dem VPN wird es natürlich nicht leichter ...
Im Grunde ist alles zu diesem Thema im OVPN Forumstutorial abgeklärt:
HIer geht es immer um Server, ich nutze es als Client, denke das macht einen Unterschied Plan B ist übrigens die Geräte im Asus Subent zu betreiben, die die ich nicht da haben "kann" lasse ich eben an der Fritzbox, wenn ich dort mal drauf muss, muss ich eben das WLAN dort anmachen und dann dort connecten ...
EDIT: GELÖST!!!
Hatte vorab mit VPN Client 1 experimentiert, nachher aber den zweiten genutzt.
Obwohl der 1er deaktiviert war, hab ich im logfile erkannt, dass dieser irgendwie den WAN Port belegt ...
Um from subnet der Fritzbox den ASUS zu erreichen in der Fritzbox statische Route auf den Asus setzen und am ASUS WAN access zulassen und Ports auf die Endgeräte im ASUS subnet weiterleiten. Zugriff dann immer übr die WAN IP (!) des ASUS und den Port möglich!
Danke trotzdem!
