neulinuxer
Goto Top

FritzBox mit VPN hinter Firewall einrichten

Ich habe ein funktionierendes Netzwerk mit festen IPs. Auf dieses greife ich unter anderem mit dem Android Smartphone, aber auch von einem zweiten Standort mit einer zweiten FritzBox 7390 via VPN zu. Das alles funktioniert fehlerfrei.

44923121f6a9c264e9d59a99caba4cdd

Nun möchte ich der FritzBox 7390 eine Firewall (IPFire) vorschalten. Zur Verdeutlichung habe ich zwei Diagramme erstellt. Die sind nicht schön, aber sollten darstellen, was ich möchte. Die Firewall wird zwei Netzwerkschnittstellen haben. Daher habe ich beide angedachten IPs in das Diagramm geschrieben.

Ich habe einige ähnliche Beiträge hier gelesen. Das war lehrreich und führte für mich zu dem dargestellten Ergebnis.

Ist die Einstellung der IPs der Firewall so richtig gewählt? Wie müssen nach der Ergänzung durch die Firewall die DNS und Gateway Einstellungen der Clients sein? Die müssten doch eigentlich identisch bleiben, da die FritzBox weiterhin zur Verfügung steht. Es müsste doch so sein, dass lediglich die FritzBox "bemerkt" dass da eine Firewall ist, oder?

Was ist mit den DynDNS Einstellungen in der FritzBox? Können die unverändert bestehen bleiben?

Was müsste ich nun wo einstellen, damit die vorhandenen VPN Verbindungen weiterhin funktionieren?

edit: Das Wort Firewall gehört natürlich etwas weiter nach links!

cc54f2080e07d737690860e40656f501

Content-ID: 197874

Url: https://administrator.de/forum/fritzbox-mit-vpn-hinter-firewall-einrichten-197874.html

Ausgedruckt am: 22.12.2024 um 06:12 Uhr

aqui
aqui 29.01.2013 aktualisiert um 20:13:44 Uhr
Goto Top
Wenn die FW alle Verbindungen und auch das VPN übernimmt und die FritzBox nur noch als dummer WLAN Accesspoint arbeiten soll ist die IP Adressierung so OK.
Kopplung von 2 Routern am DSL Port --> "Alternative 3"
Soll das allerdings eine Kaskadierung von Routern sein (die FW ist ja auch ein Router !) ist die IP Adressierung natürlich komplett falsch, denn dein IP Netz ist überall gleich und die FB kann ja niemals mehr routen !
Kopplung von 2 Routern am DSL Port --> "Alternative 2"
und
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router --> "OVPN hinter NAT Router"
bzw.
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Ggf. solltest du also hier dringenst noch einmal dein Grundwissen zum IP Routing auffrischen, damit du wirklich weisst was du da machst ?!
Du musst dann also ein separates Transfer IP Netz zw. FW, dann klappt das.
Soll die FB auch noch weiter das VPN bedienen (Was Unsinn wär, da die FW das ebenso besser kann ohne PFW !) müsstest du zusätzlich noch die IPsec VPN Ports:
UDP 500
UDP 4500
ESP Protokoll
auf die dahinterliegende WAN IP der FB forwarden.
Leider enthälst du uns dazu ja die technischen Details vor, so das wir hier nur raten können was du willst face-sad
Neulinuxer
Neulinuxer 29.01.2013, aktualisiert am 08.01.2015 um 18:04:01 Uhr
Goto Top
Ich möchte euch nichts vorenthalten, da ich ja sonst keine Lösung bekommen face-wink

Die FW soll sich mit dem DSL Anschluss verbinden und den Traffic scannen, mehr nicht. Die Fritzbox wird dann in den Modus "Vorhandener Zugang über Lan (oder so ähnlich)" statt "Verbindung mit t-online DSL aufbauen" versetzt. So habe ich mir das zumindest bisher gedacht. Alle anderen Aufgaben, die die FB bisher erledigt, soll sie auch weiterhin erledigen. Das sind z. B. Wlan, VPN, Whitelist/Blacklist, Kindersicherung, etc. Eine DMZ ist nicht vorgesehen.

Alternative 3 - passt also schon mal nicht.
Alternative 2 - das würde voraussetzen, dass ich dem Wan-Port der FritzBox eine eigene IP zuweisen kann, wenn ich das richtig verstehe.

b56744023410245680531041b93236ce


Aber geht das?

Nun habe ich im Menü der FritzBox mal rumgesucht und die Hilfe bemüht. Jetzt habe ich noch mehr Fragen als vorher face-sad Muss die FB überhaupt routen? Reicht es nicht aus, wenn sie IP-Client in 192.168.1.xxx wird. Denn die Hilfe beschreibt diesen Begriff eigentlich genau so, wie ich es mir gedacht habe. Aber ist das auch sinnvoll und sicher? Oder habe ich nach dem Umbau mehr Sicherheitslücken als zuvor?
marinux
marinux 29.01.2013 um 22:27:54 Uhr
Goto Top
Nur am Rande, die FB kann auch auf WAN (sowie allen anderen Schnittstellen) sniffen, sofern es Dir nur darum geht.

Gruß
aqui
aqui 30.01.2013 um 12:00:00 Uhr
Goto Top
.@Neulinuxer
OK, dann ist das ein simples und einfaches Standardszenario entweder mit Router vor der FW (nicht so toll da 2 mal NAT und ggf. Performanceeinbussen) oder mit einem einfachen Modem davor oder Router im PPTP Passthrough Modus (Alternative 1)
Letztere ist die bessere Version ! Sie benatwortet auch gleich deine Frage: NEIN, die FB muss nicht routen ! Es reicht wenn sie als simples Modem arbeitet sofern man das wie bei den Speedport Gurken im Setup einstellen kann (PPPoE Passthrough !)
Wenn nicht erstehst du für ein paar Euro auf eBay ein simples NUR Modem für DSL.
Wenn die FB als Modem arbeiten kann, dann spielen IP Adressen keinerlei Rolle mehr, denn wie du als Netzwerker ja weisst sind IP Adressen einzig nur dann relevant wenn du routen willst...genau das willst du ja möglichst nicht also sind IP Adressen auf einem Modem oder einem zum Modem gemachten Router völlig irrelevant und einzig fürs Management da.
Sicherheitslücken sind natürlich Blödsinn, denn du hast ja eine Firewall dahinter.
Die kann 100mal mehr und sicherer "firewallen" als eine einfache Fritzbox, da sie eine statefull Firewall ist (wenn du weisst was das ist ?!)
Ist ja auch der tiefere Sinn weil du ja zusätzlich eine Firewall einsetzen willst, oder ?!
Neulinuxer
Neulinuxer 31.01.2013 um 12:21:50 Uhr
Goto Top
Oh Mann, eine Menge Stoff für mich. Ich werde versuchen mich schlau zu lesen und dann berichten. Danke schonmal für die Infos und Links!
aqui
aqui 02.02.2013 um 12:59:58 Uhr
Goto Top
Dann mal los ! Wir sind gespannt auf dein Feedback !
Neulinuxer
Neulinuxer 14.02.2013 aktualisiert um 10:46:28 Uhr
Goto Top
Inzwischen bin ich etwas weiter mit der Planung (und der Hardware für die FW) und konnte durch das Lesen der Beiträge hier im Forum auch mein Wissen mehren - ich hoffe ich habe alles richtig verstanden. Sollte es mit den IPs dann trotzdem nicht klappen, werde ich eure Hilfe dafür nochmal in Anspruch nehmen müssen.

So soll es künftig aussehen:

INet -- VDSL-Modem -- IPFire -- FritzBox -- Clients

Es wird ein doppeltes NAT geben.

Du hast geschrieben, dass es sinnvoller ist, VPN durch die FW herzustellen. Das werde ich so versuchen. Gilt das auch für DynDNS?
aqui
aqui 15.02.2013 aktualisiert um 18:38:49 Uhr
Goto Top
Von der IPFire kann man dir nur abraten. Zu kompliziert und zu unübersichtlich und unflexibel in der Konfiguration !
Besser ist es du verwendest eine Monowall oder pfSense mit der du erheblich mehr Möglichkeiten hast und zudem sind sie sehr stromsparend auf einer kleinen Appliance zu installieren:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Allemal besser für dein Projekt und für einen Laien erheblich einfacher umzusetzen !
Passende Literatur gibt es auch noch dazu:
http://www.amazon.de/Pfsense-Definitive-Michael-W-Lucas/dp/0979034280

DynDNS und VPNs lässt man logischerweise immer auf dem ersten Routing Device enden nach dem Modem um den großen problemen mit NAT und dem damit verbundenen Port Forwarding aus dem Wege zu gehen !
In deinem beispiel also die Firewall.
Die im Tutorial beschriebene Monowall oder pfSense Lösung hat sowohl einen DynDNS Client als auch alle gängigen VPN protokolle von sich aus an Bord.
Kein problem also das umzusetzen...siehe Tutorial oben !
Neulinuxer
Neulinuxer 04.03.2013 um 20:24:33 Uhr
Goto Top
Auch für diese Links und Erläuterungen vielen Dank. Aber als du das geschrieben hast, lief IPFire schon. Inzwischen sogar in der aktuellsten Version. Danach bin ich dann nicht mehr auf die Alternativen umgestiegen.

So schlimm finde ich das System gar nicht. Okay, für Einsteiger wie mich nicht sofort besonders übersichtlich, aber mit Hilfe des Forums und der Wiki zu bewältigen.

Du schreibst es sei unflexibel in der Konfiguration. Bis zu dem Punkt bin ich noch nicht gekommen. Was genau meinst du damit?
aqui
aqui 05.03.2013 um 09:52:38 Uhr
Goto Top
Das ist schade, denn die Alternativen sind um Längen besser in der Verwaltbarkeit und Konfiguration. Von dem Mehr an Features mal ganz abgesehen...aber wenn du damit leben kannst ist ja gut.
Die anderen sind für Einsteiger noch einfacher und noch besser dokumentiert..ist aber wie immer Geschmackssache und never touch a running System.
Die Konfiguration der pfSense oder Monowall z.B. geht über ein intuitives GUI. OK IPFire auch aber das GUI ist erheblich unflexibler und unübersichtlicher. Allein deswegen lohnt schon ei Wechsel....aber wie gesagt letztlich Gewöhnungssache.