FritzBox Client-Site VPN ins VLAN
Hallo Community,
ich habe angefangen unser Netzwerk mit VLANs zu trennen. Mit Hilfe der Tutorials von aqui ist mir das bis zu einem bestimmten Punkt ganz gut gelungen, vielen Dank dafür!
Nun möchte ich VPN-Verbindungen (Fritz!Fernzugang) über die FritzBox aufbauen und in meine VLANs.
Anforederung:
VPN1 soll 4 Benutzer ins VLAN20 verbinden und VPN2 soll einen Benutzer ins VLAN30 bringen.
Ich habe den Support von AVM kontaktiert und nach der LAN-Port-Zuweisung für VPN gefragt, diese ist leider nur bei der Box-zu-Box Verbindung möglich.
Seht Ihr mit folgenden Geräten eine Möglichkeit?
FritzBox 6490 im VLAN10, Internet Router und Telefonanlage (DECT)
2x Cisco SG200 Layer-2 dumm gehalten und über Trunk verbunden mit
Cisco SG300 Layer 3 Router mit ACL und DHCP für VLAN 20 und VLAN30
Die Cisco Geräte sind Default im VLAN1, sonst ist da nix drin
Über die ACLs sind VLAN20 und VLAN 30 getrennt, nur ein kleiner IP-Bereich aus VLAN30 hat Zugang zu VLAN 20.
Alle Geräte kommen ins Internet und eine VPN-Verbindung zur FritzBox konnte ich bereits aufbauen und die Box anpingen.
VLAN10 IP: X.X.10.0
ist fürs Internet, mit FritzBox X.X.10.1 und SG300 X.X.10.2
Statische Routen eingetragen:
- X.X.10.0 nach X.X.10.1
- X.X.20.0 nach X.X.10.2
- X.X.30.0 nach X.X.10.2
VLAN20 IP: X.X.20.0
Windows-Domäne (AD und DNS Server) mit Clients W10
VLAN30 IP:X.X.30.0
Testumgebung, diverse Clients
ich habe angefangen unser Netzwerk mit VLANs zu trennen. Mit Hilfe der Tutorials von aqui ist mir das bis zu einem bestimmten Punkt ganz gut gelungen, vielen Dank dafür!
Nun möchte ich VPN-Verbindungen (Fritz!Fernzugang) über die FritzBox aufbauen und in meine VLANs.
Anforederung:
VPN1 soll 4 Benutzer ins VLAN20 verbinden und VPN2 soll einen Benutzer ins VLAN30 bringen.
Ich habe den Support von AVM kontaktiert und nach der LAN-Port-Zuweisung für VPN gefragt, diese ist leider nur bei der Box-zu-Box Verbindung möglich.
Seht Ihr mit folgenden Geräten eine Möglichkeit?
FritzBox 6490 im VLAN10, Internet Router und Telefonanlage (DECT)
2x Cisco SG200 Layer-2 dumm gehalten und über Trunk verbunden mit
Cisco SG300 Layer 3 Router mit ACL und DHCP für VLAN 20 und VLAN30
Die Cisco Geräte sind Default im VLAN1, sonst ist da nix drin
Über die ACLs sind VLAN20 und VLAN 30 getrennt, nur ein kleiner IP-Bereich aus VLAN30 hat Zugang zu VLAN 20.
Alle Geräte kommen ins Internet und eine VPN-Verbindung zur FritzBox konnte ich bereits aufbauen und die Box anpingen.
VLAN10 IP: X.X.10.0
ist fürs Internet, mit FritzBox X.X.10.1 und SG300 X.X.10.2
Statische Routen eingetragen:
- X.X.10.0 nach X.X.10.1
- X.X.20.0 nach X.X.10.2
- X.X.30.0 nach X.X.10.2
VLAN20 IP: X.X.20.0
Windows-Domäne (AD und DNS Server) mit Clients W10
VLAN30 IP:X.X.30.0
Testumgebung, diverse Clients
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 363974
Url: https://administrator.de/forum/fritzbox-client-site-vpn-ins-vlan-363974.html
Ausgedruckt am: 23.12.2024 um 04:12 Uhr
3 Kommentare
Neuester Kommentar
ist mir das bis zu einem bestimmten Punkt ganz gut gelungen, vielen Dank dafür!
Immer gerne wieder ! Das ist eine harte VPN Nuß wenn man mit einfacher Consumer Hardware wie der FB im VPN arbeiten muss. Das wird auch vermutlich daran scheitern das die FB keine 2 getrennten VPN Instanzen fahren kann sondern nur eine.
Zur Lösung solltest du einen Workaround machen.
Die FB arbeitet ja (hoffentlich) in einem getrennten Internet VLAN. Folgt man deiner Beschreibung ist das das VLAN 10.
Du solltest dann den VPN Clients entsprechend nach Login feste IP Adressen zuweisen, das du die User über diese IPs identifizieren kannst. Du errätst vermutlich was der Sinn davon ist...?!
Damit kannst du dann auf dem SG-300 eine ACL definieren die die 20er User nur ins VLAN 20 lässt und die 30er User nur ins VLAN 30.
Nur so wirst du das lösen können. Ansonsten musst du andere VPN Hardware einsetzen die entsprechende Features mitbringt.
Du deniest erst die Clients ins 20er
dann deniest du die Clients ins 30er
Dann ein permit any any
Eigentlich ganz einfach.
Der Knackpunkt dürfte aber die IP Adresszuweisung der VPN Clients sein. Wenn du Glück hast geht das über den FB DHCP Server der ja die Bindung auf eine Mac zulässt. Wenn du Pech hast mach das der IPseq Prozess willkürlich, dann hast du wieder ein Problem. Ich kenne die FB zu wenig. Musst du ausprobieren... Versuch macht klug.
Das liegt aber an den einfachen Features der FB nicht generell an deinem Design, das ist OK so.
Wichtig noch zum Lesen für dich:
https://avm.de/service/vpn/praxis-tipps/mit-fritzfernzugang-auf-mehrere- ...
dann deniest du die Clients ins 30er
Dann ein permit any any
Eigentlich ganz einfach.
Der Knackpunkt dürfte aber die IP Adresszuweisung der VPN Clients sein. Wenn du Glück hast geht das über den FB DHCP Server der ja die Bindung auf eine Mac zulässt. Wenn du Pech hast mach das der IPseq Prozess willkürlich, dann hast du wieder ein Problem. Ich kenne die FB zu wenig. Musst du ausprobieren... Versuch macht klug.
Das liegt aber an den einfachen Features der FB nicht generell an deinem Design, das ist OK so.
Wichtig noch zum Lesen für dich:
https://avm.de/service/vpn/praxis-tipps/mit-fritzfernzugang-auf-mehrere- ...