Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

FritzBox Client-Site VPN ins VLAN

Mitglied: doncalle

doncalle (Level 1) - Jetzt verbinden

07.02.2018 um 16:19 Uhr, 764 Aufrufe, 3 Kommentare

Hallo Community,

ich habe angefangen unser Netzwerk mit VLANs zu trennen. Mit Hilfe der Tutorials von aqui ist mir das bis zu einem bestimmten Punkt ganz gut gelungen, vielen Dank dafür!
Nun möchte ich VPN-Verbindungen (Fritz!Fernzugang) über die FritzBox aufbauen und in meine VLANs.

Anforederung:
VPN1 soll 4 Benutzer ins VLAN20 verbinden und VPN2 soll einen Benutzer ins VLAN30 bringen.


Ich habe den Support von AVM kontaktiert und nach der LAN-Port-Zuweisung für VPN gefragt, diese ist leider nur bei der Box-zu-Box Verbindung möglich.
Seht Ihr mit folgenden Geräten eine Möglichkeit?

FritzBox 6490 im VLAN10, Internet Router und Telefonanlage (DECT)
2x Cisco SG200 Layer-2 dumm gehalten und über Trunk verbunden mit
Cisco SG300 Layer 3 Router mit ACL und DHCP für VLAN 20 und VLAN30
Die Cisco Geräte sind Default im VLAN1, sonst ist da nix drin

Über die ACLs sind VLAN20 und VLAN 30 getrennt, nur ein kleiner IP-Bereich aus VLAN30 hat Zugang zu VLAN 20.
Alle Geräte kommen ins Internet und eine VPN-Verbindung zur FritzBox konnte ich bereits aufbauen und die Box anpingen.

VLAN10 IP: X.X.10.0
ist fürs Internet, mit FritzBox X.X.10.1 und SG300 X.X.10.2
Statische Routen eingetragen:
- X.X.10.0 nach X.X.10.1
- X.X.20.0 nach X.X.10.2
- X.X.30.0 nach X.X.10.2

VLAN20 IP: X.X.20.0
Windows-Domäne (AD und DNS Server) mit Clients W10

VLAN30 IP:X.X.30.0
Testumgebung, diverse Clients


Mitglied: aqui
07.02.2018 um 16:31 Uhr
ist mir das bis zu einem bestimmten Punkt ganz gut gelungen, vielen Dank dafür!
Immer gerne wieder !
Das ist eine harte VPN Nuß wenn man mit einfacher Consumer Hardware wie der FB im VPN arbeiten muss. Das wird auch vermutlich daran scheitern das die FB keine 2 getrennten VPN Instanzen fahren kann sondern nur eine.

Zur Lösung solltest du einen Workaround machen.
Die FB arbeitet ja (hoffentlich) in einem getrennten Internet VLAN. Folgt man deiner Beschreibung ist das das VLAN 10.
Du solltest dann den VPN Clients entsprechend nach Login feste IP Adressen zuweisen, das du die User über diese IPs identifizieren kannst. Du errätst vermutlich was der Sinn davon ist...?!
Damit kannst du dann auf dem SG-300 eine ACL definieren die die 20er User nur ins VLAN 20 lässt und die 30er User nur ins VLAN 30.
Nur so wirst du das lösen können. Ansonsten musst du andere VPN Hardware einsetzen die entsprechende Features mitbringt.
Bitte warten ..
Mitglied: doncalle
07.02.2018, aktualisiert um 16:54 Uhr
So habe ich mir das anfangs auch gedacht,
Auszug aus der Client-cfg für den Fernzugang
name =X
connect_on_channelup = no;
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
virtualip = x.x.30.5; // Ausserhalb der DHCP
remoteip = 0.0.0.0;
remotehostname =X;
localid {
user_fqdn = X;
}
mode = mode_aggressive;
phase1ss = "all/all/all";
keytype = keytype_pre_shared;
key = "X";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipaddr = x.x.30.5;
}
phase2remoteid {
ipnet {
ipaddr = X.X.10.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any X.X.10.0 255.255.255.0",
"reject udp any any eq 53",
"reject udp any any eq 500",
"reject udp any any eq 4500",
"permit ip any any",
"permit ip any X.X.30.0 255.255.255.0";

Da VLAN10 aber auch den Internet-Traffic stellt mit allen möglichen IPs habe ich keinen schimmer, wie bzw. wo ich hier
mit permit/deny zuweisen kann. Momentan gibt es keine ACLs, die VLAN10 betreffen. Am Switch ist nur die Default-Route 0.0.0.0 - X.X.10.1
eingetragen.
Bitte warten ..
Mitglied: aqui
07.02.2018, aktualisiert um 17:37 Uhr
Du deniest erst die Clients ins 20er
dann deniest du die Clients ins 30er
Dann ein permit any any
Eigentlich ganz einfach.
Der Knackpunkt dürfte aber die IP Adresszuweisung der VPN Clients sein. Wenn du Glück hast geht das über den FB DHCP Server der ja die Bindung auf eine Mac zulässt. Wenn du Pech hast mach das der IPseq Prozess willkürlich, dann hast du wieder ein Problem. Ich kenne die FB zu wenig. Musst du ausprobieren... Versuch macht klug.
Das liegt aber an den einfachen Features der FB nicht generell an deinem Design, das ist OK so.
Wichtig noch zum Lesen für dich:
https://avm.de/service/vpn/praxis-tipps/mit-fritzfernzugang-auf-mehrere- ...
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless

Mikrotik als VPN-Client hinter Fritzbox zu Fritzbox

gelöst Frage von PharITLAN, WAN, Wireless5 Kommentare

Hallo allerseits, im Netzwerk meiner Freundin versuche ich derzeit hinter ihrer Fritz!box meinen Mikrotik Router nach dem Guide von ...

LAN, WAN, Wireless

Vlan zwischen fritzbox

gelöst Frage von Derdark1337LAN, WAN, Wireless10 Kommentare

Hallo erstmal, Folgende umgebung: FritzBox , cisco switch, wlc 2504 Wlan Controller Unzwar kann ich dem Wlc ein Port ...

LAN, WAN, Wireless

FritzBOX VPN FritzBox kein Verbindungsaufbau

gelöst Frage von Dett18LAN, WAN, Wireless17 Kommentare

Einen schönen Sonnigen guten Tag liebe Gemeinde. Leider habe ich ein VPN Problem zwischen zwei Fritz!Boxen. Nach einer Woche ...

Router & Routing

Fritzbox zu Fritzbox VPN - Verbindungsabbrüche

gelöst Frage von Wid0kejRouter & Routing9 Kommentare

Hallo, ich hatte bereits in einem anderen topic über den Fall geschrieben, dort hatte ich jedoch andere Probleme an ...

Neue Wissensbeiträge
iOS

iOS-Bug unterbindet vollständiges VPN-Tunneling

Information von transocean vor 17 StundeniOS

Moin, seit dem letzten Update hat iOS für iPhone und iPad ein Problem mit der Verschlüsselung. Lest selbst. Grüße ...

Sicherheit
Corona Malware über manipulierte Router
Information von sabines vor 20 StundenSicherheit

Heise berichtet über Malware, die in Zusammenhang zum Suchethema Corona steht und über DNS Einstellungen bei D-Link und Linksys ...

Windows 10
Windows 10 Update KB4535996 fehlerhaft
Information von Frank vor 1 TagWindows 101 Kommentar

Laut Microsoft ist das Update KB4535996 die Ursache für aktuelle Verbindungsprobleme bei Virtual Private Networks (VPNs). Microsoft arbeitet bereits ...

Administrator.de Feedback
Entwicklertagebuch: Der neue Ticker ist da
Information von admtech vor 1 TagAdministrator.de Feedback3 Kommentare

Hallo User, mit dem aktuellen Release haben wir den neuen "Ticker" zur Seite hinzugefügt. Oben im Hauptmenü findet ihr ...

Heiß diskutierte Inhalte
SAN, NAS, DAS
Hilfe bei der Einrichtung vom QNAP Nas Server
gelöst Frage von Chris.21SAN, NAS, DAS16 Kommentare

Hallo, ich benötige Hilfe bei der Einrichtung meines neuen NAS Servers von QNAP. ich möchte eine Verbindung vom Internet ...

Drucker und Scanner
OCR Erkennung auf Server
Frage von KodaCHDrucker und Scanner14 Kommentare

Guten Morgen Bisher habe ich einen HP LaserJet Pro MFP M426fdw. Da es nicht viele Dokumente zum Scannen gibt ...

Firewall
PFsense OPENVPN nur RDP zulassen
gelöst Frage von schicksalFirewall13 Kommentare

Hallo zusammen, ich will folgendes konfigurieren: Ich habe einige OPENVpn Cilents bei diesen funktioniert der Tunnel. Nur folgendes, es ...

Windows Server
Erreichbarkeit von Freigaben auf Server 2019 durch ältere Linux-basierte Geräte
gelöst Frage von SarekHLWindows Server13 Kommentare

Hallo zusammen, ich habe hier zwei Geräte, einen Kopierer (Ricoh MP2554) und eine WebCam (Trendnet TV-IP311IP), die trotz korrekter ...