10
FritzBox mit VPN hinter Firewall einrichten
Ich habe ein funktionierendes Netzwerk mit festen IPs. Auf dieses greife ich unter anderem mit dem Android Smartphone, aber auch von einem zweiten Standort mit einer zweiten FritzBox 7390 via VPN zu. Das alles funktioniert fehlerfrei.
Nun möchte ich der FritzBox 7390 eine Firewall (IPFire) vorschalten. Zur Verdeutlichung habe ich zwei Diagramme erstellt. Die sind nicht schön, aber sollten darstellen, was ich möchte. Die Firewall wird zwei Netzwerkschnittstellen haben. Daher habe ich beide angedachten IPs in das Diagramm geschrieben.
Ich habe einige ähnliche Beiträge hier gelesen. Das war lehrreich und führte für mich zu dem dargestellten Ergebnis.
Ist die Einstellung der IPs der Firewall so richtig gewählt? Wie müssen nach der Ergänzung durch die Firewall die DNS und Gateway Einstellungen der Clients sein? Die müssten doch eigentlich identisch bleiben, da die FritzBox weiterhin zur Verfügung steht. Es müsste doch so sein, dass lediglich die FritzBox "bemerkt" dass da eine Firewall ist, oder?
Was ist mit den DynDNS Einstellungen in der FritzBox? Können die unverändert bestehen bleiben?
Was müsste ich nun wo einstellen, damit die vorhandenen VPN Verbindungen weiterhin funktionieren?
edit: Das Wort Firewall gehört natürlich etwas weiter nach links!
Nun möchte ich der FritzBox 7390 eine Firewall (IPFire) vorschalten. Zur Verdeutlichung habe ich zwei Diagramme erstellt. Die sind nicht schön, aber sollten darstellen, was ich möchte. Die Firewall wird zwei Netzwerkschnittstellen haben. Daher habe ich beide angedachten IPs in das Diagramm geschrieben.
Ich habe einige ähnliche Beiträge hier gelesen. Das war lehrreich und führte für mich zu dem dargestellten Ergebnis.
Ist die Einstellung der IPs der Firewall so richtig gewählt? Wie müssen nach der Ergänzung durch die Firewall die DNS und Gateway Einstellungen der Clients sein? Die müssten doch eigentlich identisch bleiben, da die FritzBox weiterhin zur Verfügung steht. Es müsste doch so sein, dass lediglich die FritzBox "bemerkt" dass da eine Firewall ist, oder?
Was ist mit den DynDNS Einstellungen in der FritzBox? Können die unverändert bestehen bleiben?
Was müsste ich nun wo einstellen, damit die vorhandenen VPN Verbindungen weiterhin funktionieren?
edit: Das Wort Firewall gehört natürlich etwas weiter nach links!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 197874
Url: https://administrator.de/contentid/197874
Ausgedruckt am: 21.11.2024 um 12:11 Uhr
10 Kommentare
Neuester Kommentar
Wenn die FW alle Verbindungen und auch das VPN übernimmt und die FritzBox nur noch als dummer WLAN Accesspoint arbeiten soll ist die IP Adressierung so OK.
Kopplung von 2 Routern am DSL Port --> "Alternative 3"
Soll das allerdings eine Kaskadierung von Routern sein (die FW ist ja auch ein Router !) ist die IP Adressierung natürlich komplett falsch, denn dein IP Netz ist überall gleich und die FB kann ja niemals mehr routen !
Kopplung von 2 Routern am DSL Port --> "Alternative 2"
und
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router --> "OVPN hinter NAT Router"
bzw.
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Ggf. solltest du also hier dringenst noch einmal dein Grundwissen zum IP Routing auffrischen, damit du wirklich weisst was du da machst ?!
Du musst dann also ein separates Transfer IP Netz zw. FW, dann klappt das.
Soll die FB auch noch weiter das VPN bedienen (Was Unsinn wär, da die FW das ebenso besser kann ohne PFW !) müsstest du zusätzlich noch die IPsec VPN Ports:
UDP 500
UDP 4500
ESP Protokoll
auf die dahinterliegende WAN IP der FB forwarden.
Leider enthälst du uns dazu ja die technischen Details vor, so das wir hier nur raten können was du willst
Kopplung von 2 Routern am DSL Port --> "Alternative 3"
Soll das allerdings eine Kaskadierung von Routern sein (die FW ist ja auch ein Router !) ist die IP Adressierung natürlich komplett falsch, denn dein IP Netz ist überall gleich und die FB kann ja niemals mehr routen !
Kopplung von 2 Routern am DSL Port --> "Alternative 2"
und
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router --> "OVPN hinter NAT Router"
bzw.
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Ggf. solltest du also hier dringenst noch einmal dein Grundwissen zum IP Routing auffrischen, damit du wirklich weisst was du da machst ?!
Du musst dann also ein separates Transfer IP Netz zw. FW, dann klappt das.
Soll die FB auch noch weiter das VPN bedienen (Was Unsinn wär, da die FW das ebenso besser kann ohne PFW !) müsstest du zusätzlich noch die IPsec VPN Ports:
UDP 500
UDP 4500
ESP Protokoll
auf die dahinterliegende WAN IP der FB forwarden.
Leider enthälst du uns dazu ja die technischen Details vor, so das wir hier nur raten können was du willst
Ich möchte euch nichts vorenthalten, da ich ja sonst keine Lösung bekommen 
Die FW soll sich mit dem DSL Anschluss verbinden und den Traffic scannen, mehr nicht. Die Fritzbox wird dann in den Modus "Vorhandener Zugang über Lan (oder so ähnlich)" statt "Verbindung mit t-online DSL aufbauen" versetzt. So habe ich mir das zumindest bisher gedacht. Alle anderen Aufgaben, die die FB bisher erledigt, soll sie auch weiterhin erledigen. Das sind z. B. Wlan, VPN, Whitelist/Blacklist, Kindersicherung, etc. Eine DMZ ist nicht vorgesehen.
Alternative 3 - passt also schon mal nicht.
Alternative 2 - das würde voraussetzen, dass ich dem Wan-Port der FritzBox eine eigene IP zuweisen kann, wenn ich das richtig verstehe.
Aber geht das?
Nun habe ich im Menü der FritzBox mal rumgesucht und die Hilfe bemüht. Jetzt habe ich noch mehr Fragen als vorher Muss die FB überhaupt routen? Reicht es nicht aus, wenn sie IP-Client in 192.168.1.xxx wird. Denn die Hilfe beschreibt diesen Begriff eigentlich genau so, wie ich es mir gedacht habe. Aber ist das auch sinnvoll und sicher? Oder habe ich nach dem Umbau mehr Sicherheitslücken als zuvor?
Die FW soll sich mit dem DSL Anschluss verbinden und den Traffic scannen, mehr nicht. Die Fritzbox wird dann in den Modus "Vorhandener Zugang über Lan (oder so ähnlich)" statt "Verbindung mit t-online DSL aufbauen" versetzt. So habe ich mir das zumindest bisher gedacht. Alle anderen Aufgaben, die die FB bisher erledigt, soll sie auch weiterhin erledigen. Das sind z. B. Wlan, VPN, Whitelist/Blacklist, Kindersicherung, etc. Eine DMZ ist nicht vorgesehen.
Alternative 3 - passt also schon mal nicht.
Alternative 2 - das würde voraussetzen, dass ich dem Wan-Port der FritzBox eine eigene IP zuweisen kann, wenn ich das richtig verstehe.
Aber geht das?
Nun habe ich im Menü der FritzBox mal rumgesucht und die Hilfe bemüht. Jetzt habe ich noch mehr Fragen als vorher
Muss die FB überhaupt routen? Reicht es nicht aus, wenn sie IP-Client in 192.168.1.xxx wird. Denn die Hilfe beschreibt diesen Begriff eigentlich genau so, wie ich es mir gedacht habe. Aber ist das auch sinnvoll und sicher? Oder habe ich nach dem Umbau mehr Sicherheitslücken als zuvor?
Nur am Rande, die FB kann auch auf WAN (sowie allen anderen Schnittstellen) sniffen, sofern es Dir nur darum geht.
Gruß
Gruß
.@Neulinuxer
OK, dann ist das ein simples und einfaches Standardszenario entweder mit Router vor der FW (nicht so toll da 2 mal NAT und ggf. Performanceeinbussen) oder mit einem einfachen Modem davor oder Router im PPTP Passthrough Modus (Alternative 1)
Letztere ist die bessere Version ! Sie benatwortet auch gleich deine Frage: NEIN, die FB muss nicht routen ! Es reicht wenn sie als simples Modem arbeitet sofern man das wie bei den Speedport Gurken im Setup einstellen kann (PPPoE Passthrough !)
Wenn nicht erstehst du für ein paar Euro auf eBay ein simples NUR Modem für DSL.
Wenn die FB als Modem arbeiten kann, dann spielen IP Adressen keinerlei Rolle mehr, denn wie du als Netzwerker ja weisst sind IP Adressen einzig nur dann relevant wenn du routen willst...genau das willst du ja möglichst nicht also sind IP Adressen auf einem Modem oder einem zum Modem gemachten Router völlig irrelevant und einzig fürs Management da.
Sicherheitslücken sind natürlich Blödsinn, denn du hast ja eine Firewall dahinter.
Die kann 100mal mehr und sicherer "firewallen" als eine einfache Fritzbox, da sie eine statefull Firewall ist (wenn du weisst was das ist ?!)
Ist ja auch der tiefere Sinn weil du ja zusätzlich eine Firewall einsetzen willst, oder ?!
OK, dann ist das ein simples und einfaches Standardszenario entweder mit Router vor der FW (nicht so toll da 2 mal NAT und ggf. Performanceeinbussen) oder mit einem einfachen Modem davor oder Router im PPTP Passthrough Modus (Alternative 1)
Letztere ist die bessere Version ! Sie benatwortet auch gleich deine Frage: NEIN, die FB muss nicht routen ! Es reicht wenn sie als simples Modem arbeitet sofern man das wie bei den Speedport Gurken im Setup einstellen kann (PPPoE Passthrough !)
Wenn nicht erstehst du für ein paar Euro auf eBay ein simples NUR Modem für DSL.
Wenn die FB als Modem arbeiten kann, dann spielen IP Adressen keinerlei Rolle mehr, denn wie du als Netzwerker ja weisst sind IP Adressen einzig nur dann relevant wenn du routen willst...genau das willst du ja möglichst nicht also sind IP Adressen auf einem Modem oder einem zum Modem gemachten Router völlig irrelevant und einzig fürs Management da.
Sicherheitslücken sind natürlich Blödsinn, denn du hast ja eine Firewall dahinter.
Die kann 100mal mehr und sicherer "firewallen" als eine einfache Fritzbox, da sie eine statefull Firewall ist (wenn du weisst was das ist ?!)
Ist ja auch der tiefere Sinn weil du ja zusätzlich eine Firewall einsetzen willst, oder ?!
Oh Mann, eine Menge Stoff für mich. Ich werde versuchen mich schlau zu lesen und dann berichten. Danke schonmal für die Infos und Links!
Dann mal los ! Wir sind gespannt auf dein Feedback !
Inzwischen bin ich etwas weiter mit der Planung (und der Hardware für die FW) und konnte durch das Lesen der Beiträge hier im Forum auch mein Wissen mehren - ich hoffe ich habe alles richtig verstanden. Sollte es mit den IPs dann trotzdem nicht klappen, werde ich eure Hilfe dafür nochmal in Anspruch nehmen müssen.
So soll es künftig aussehen:
INet -- VDSL-Modem -- IPFire -- FritzBox -- Clients
Es wird ein doppeltes NAT geben.
Du hast geschrieben, dass es sinnvoller ist, VPN durch die FW herzustellen. Das werde ich so versuchen. Gilt das auch für DynDNS?
So soll es künftig aussehen:
INet -- VDSL-Modem -- IPFire -- FritzBox -- Clients
Es wird ein doppeltes NAT geben.
Du hast geschrieben, dass es sinnvoller ist, VPN durch die FW herzustellen. Das werde ich so versuchen. Gilt das auch für DynDNS?
Von der IPFire kann man dir nur abraten. Zu kompliziert und zu unübersichtlich und unflexibel in der Konfiguration !
Besser ist es du verwendest eine Monowall oder pfSense mit der du erheblich mehr Möglichkeiten hast und zudem sind sie sehr stromsparend auf einer kleinen Appliance zu installieren:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Allemal besser für dein Projekt und für einen Laien erheblich einfacher umzusetzen !
Passende Literatur gibt es auch noch dazu:
http://www.amazon.de/Pfsense-Definitive-Michael-W-Lucas/dp/0979034280
DynDNS und VPNs lässt man logischerweise immer auf dem ersten Routing Device enden nach dem Modem um den großen problemen mit NAT und dem damit verbundenen Port Forwarding aus dem Wege zu gehen !
In deinem beispiel also die Firewall.
Die im Tutorial beschriebene Monowall oder pfSense Lösung hat sowohl einen DynDNS Client als auch alle gängigen VPN protokolle von sich aus an Bord.
Kein problem also das umzusetzen...siehe Tutorial oben !
Besser ist es du verwendest eine Monowall oder pfSense mit der du erheblich mehr Möglichkeiten hast und zudem sind sie sehr stromsparend auf einer kleinen Appliance zu installieren:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Allemal besser für dein Projekt und für einen Laien erheblich einfacher umzusetzen !
Passende Literatur gibt es auch noch dazu:
http://www.amazon.de/Pfsense-Definitive-Michael-W-Lucas/dp/0979034280
DynDNS und VPNs lässt man logischerweise immer auf dem ersten Routing Device enden nach dem Modem um den großen problemen mit NAT und dem damit verbundenen Port Forwarding aus dem Wege zu gehen !
In deinem beispiel also die Firewall.
Die im Tutorial beschriebene Monowall oder pfSense Lösung hat sowohl einen DynDNS Client als auch alle gängigen VPN protokolle von sich aus an Bord.
Kein problem also das umzusetzen...siehe Tutorial oben !
Auch für diese Links und Erläuterungen vielen Dank. Aber als du das geschrieben hast, lief IPFire schon. Inzwischen sogar in der aktuellsten Version. Danach bin ich dann nicht mehr auf die Alternativen umgestiegen.
So schlimm finde ich das System gar nicht. Okay, für Einsteiger wie mich nicht sofort besonders übersichtlich, aber mit Hilfe des Forums und der Wiki zu bewältigen.
Du schreibst es sei unflexibel in der Konfiguration. Bis zu dem Punkt bin ich noch nicht gekommen. Was genau meinst du damit?
So schlimm finde ich das System gar nicht. Okay, für Einsteiger wie mich nicht sofort besonders übersichtlich, aber mit Hilfe des Forums und der Wiki zu bewältigen.
Du schreibst es sei unflexibel in der Konfiguration. Bis zu dem Punkt bin ich noch nicht gekommen. Was genau meinst du damit?
Das ist schade, denn die Alternativen sind um Längen besser in der Verwaltbarkeit und Konfiguration. Von dem Mehr an Features mal ganz abgesehen...aber wenn du damit leben kannst ist ja gut.
Die anderen sind für Einsteiger noch einfacher und noch besser dokumentiert..ist aber wie immer Geschmackssache und never touch a running System.
Die Konfiguration der pfSense oder Monowall z.B. geht über ein intuitives GUI. OK IPFire auch aber das GUI ist erheblich unflexibler und unübersichtlicher. Allein deswegen lohnt schon ei Wechsel....aber wie gesagt letztlich Gewöhnungssache.
Die anderen sind für Einsteiger noch einfacher und noch besser dokumentiert..ist aber wie immer Geschmackssache und never touch a running System.
Die Konfiguration der pfSense oder Monowall z.B. geht über ein intuitives GUI. OK IPFire auch aber das GUI ist erheblich unflexibler und unübersichtlicher. Allein deswegen lohnt schon ei Wechsel....aber wie gesagt letztlich Gewöhnungssache.
