snuffchen
Goto Top

FRITZ!Box Routing via VPN Site-2-Site (mehrere Subnetze) zu Sophos UTM

Hallo zusammen,

ich habe für ein gemeinnütziges Projekt an 3 Standorten jeweils eine Sophos UTM 110 Firewall mit der kostenfreien Sophos Home Lizenz. Per per VPN Client kann ich mich manuell in Sophos #1 (192.168.76.0/24) einwählen und erreiche darüber auch die internen Subnetze von Sophos #2 (192.168.8.0/24) und Sophos #3 (192.168.53.0/24) -> Anmerkung: hier muss ich in Windows jedoch per ROUTE ADD die Routen zu den einzelnen Subnetzen auf die eigene VPN-IP legen.


Aktueller Stand:
Aktuell habe ich auf meiner heimischen FRITZ!Box 3 einzelne LAN2LAN-VPN-Verbindungen zu Sophos #1, #2 und #3. D.h. ich kann Systeme hinter der jeweiligen Sophos erreichen

Wunsch #1:
Praktischer wäre es eigentlich nur eine LAN2LAN VPN-Verbindung zu nutzen und die FRITZ!Box leitet den Verkehr für die o.g. 3 Subnetze alles über die eine VPN-Verbindung, hat jemand eine Idee wie man das mit einer einzelnen VPN-Verbindung realisieren kann?

Wunsch #2:
Das Optimum wäre nun, wenn man auch noch einen bestimmten öffentlichen IP-Bereich über den Internetzugang der Sophos #1 via VPN erreichen kann. Die öffentliche IP der Sophos #1 ist bei einigen Kunden für den Fernzugang hinterlegt (damit wäre man über die VPN-Verbindung automatisch autorisiert)

Hat jemand eine Idee ob mein Wunsch #1 und ggf. Wunsch #2 mit einer FRITZ!Box realisierbar ist. Ich wollte schon die Routen für 192.168.53.0/24 und 192.168.8.0/24 als manuelle Route mit dem 192.168.76.1 als Gateway setzten, da lässt die FRITZ!Box allerdings nicht zu.

Viele Grüße und Danke
Patrick

Content-ID: 580512

Url: https://administrator.de/forum/fritzbox-routing-via-vpn-site-2-site-mehrere-subnetze-zu-sophos-utm-580512.html

Ausgedruckt am: 22.12.2024 um 14:12 Uhr

aqui
Lösung aqui 19.06.2020 aktualisiert um 15:53:02 Uhr
Goto Top
Anmerkung: hier muss ich in Windows jedoch per ROUTE ADD die Routen zu den einzelnen Subnetzen auf die eigene VPN-IP legen.
Zeigt eindeutig das du eine falsche IPsec Konfig in der Phase 2 konfiguriert hast indem du die remoten lokalen IP Netze dort nicht inkludiert hast. Du musst für jedes remote Netz eine Phase 2 SA definieren !
Normal ist sowas wie statische Routen bei richtig konfiguriertem Phase 2 natürlich überflüssig und völlig unnötig. Aber egal...
Diese Thread verdeutlichen dir das ggf.zur Info:
PfSense IPsec hub and spoke
PFSense mit Fritzboxen verbinden
hat jemand eine Idee wie man das mit einer einzelnen VPN-Verbindung realisieren kann?
Das klappt natürlich problemlos. Der zweite Link oben erklärt dir wie das einfach mit der FritzBox umzusetzen ist ! Für mehr Details dazu müsste man dein IP Adresskonzept kennen was leider fehlt.

Der Wunsch2 ist etwas unverständlich und es ist nicht ganz klar was du damit erreichen willst. Versteht man es richtig schwebt dir da (vermutlich) ein Gateway Redirect vor das alles über den VPN Tunnel in Richtung Sophos geht und dann über die öffentliche IP der Sophos ins Internet geht. Ist das so richtig verstanden ?
Snuffchen
Snuffchen 19.06.2020 aktualisiert um 16:24:54 Uhr
Goto Top
ja der oberste Teil war die bisherige Konfiguration mit dem Windows eigenen VPN-Client, da ich nur die 3 Subnetze über das VPN erreichen will, habe ich "Standardgateway für Remotenetzwerk verwenden" deaktiviert und die Routen manuell gesetzt. Das klappt ja so wie es soll.

So nun zum eigentlichen FRITZ!Box-Problem:

Ich hab mal meine Netzwerkstruktur kurz aufgezeichnet. Die 3 Verbindungen von der FRITZ!Box zu den Sophos funktioniert in beide Richtungen. Die Sophos Firewall sind auch untereinander per VPN verbunden, daher könnte ich mit einer Verbindung zur #1 auch die anderen beiden theoretisch erreichen, allerdings ist mir die Anpassung im VPN Configfile für die FRITZ!Box noch nicht klar, wie ich dort mehrere Subnetze angebe.

Der Wunsch #2 ist im Prinzip das was du schreibst .. die Verbindung zu ZZ.YY.XX.VV müsste über die Sophos #1 gehen und dann mit deren IP (als Quelle maskiert) auf dem Zielsystem #4 aufschlagen.

Anmerkung: wenn ich bei der Lösung via Windows VPN Client die Route ZZ.YY.XX.VV manuell über das VPN Route funktioniert da auch einwandfrei. Nur für die FRITZ!Box wäre das noch spitze, wenn das auch noch gehen würde face-smile
netzwerkschema
Snuffchen
Snuffchen 19.06.2020 aktualisiert um 16:41:53 Uhr
Goto Top
Wenn ich wie im Link 2 angegeben, das Remote-Netz im FRITZ!Box VPN-Configfile auf 192.168.0.0/17 ändere, dann erreiche ich auch mit einer Verbindung alle 3 Subnetze. Damit wäre Wunsch #1 ja soweit erledigt. Vielen Dank für den Link face-smile

Nur der Wunsch #2 lässt sich damit auch nicht realisieren, müsste dann ja den kompletten Traffic über's VPN routen, dann ist mit Magenta TV zuhause aber Ende.
aqui
aqui 19.06.2020 aktualisiert um 16:57:23 Uhr
Goto Top
allerdings ist mir die Anpassung im VPN Configfile für die FRITZ!Box noch nicht klar, wie ich dort mehrere Subnetze angebe.
Bitte lies den zweiten oben geposteten Link. Dort ist das genau erklärt mit einer entsprechenden Subnetzmaske in der Phase 2 löst man das auf der FritzBox. Bei dir dann mit einem 17 Bit Prefix (255.255.128.0) der dir dann alle IP Netze von 192.168.1.0 bis .127.0 in den Tunnel routet. Lesen und verstehen... face-wink
die Verbindung zu ZZ.YY.XX.VV
Nur mal doof nachgefragt: Du connectest einen im öffentlichen Internet exponierten Rechner tatsächlich mit einer nackten und völlig ungeschützten RDP Verbindung ohne jegliche Sicherung über ein VPN ??
Sowas ist heutzutage schon nicht mehr als fahrlässig zu betrachten sondern einfach nur dumm und gefährlich. Es sei denn die Daten die du da überträgst sind nix wert. Dann ist es natürlich Wumpe was man da macht. Sind da allerdings persönliche Daten involviert (Adressen reichen da schon) stehst du juristisch in einer gefährlichen Grauzone. Nur das du das auf dem Radar hast... Sowas ist für einen normalen Netzwerker ein absolutes NoGo.
Die Frage die sich hier stellt ist warum du den öffentlichen Host sich nicht per VPN in das Sophos Netz einwählen lässt ?
Damit hättest du gleich 2 Probleme eliminiert:
  • eine wasserdicht geschützte Verbindung und
  • gleichzeitig keinerlei Routing Probleme mehr im VPN mit dem Zugriff.
2 Fliegen also mit einer Klappe und auch IP Design technisch sauber.
Snuffchen
Snuffchen 19.06.2020 um 16:59:14 Uhr
Goto Top
Das mit dem 17er Subnetz hat ja funkioniert face-smile hatte ich gerade schon geschrieben

Der ZZ.YY.XX.VV steht nicht in meinem Einfluss, da konnten wir nur eine IP zur Freischaltung angeben. Aber ich werden denen mal die VPN Variante nahelegen ob das nicht ein gangbarer Weg ist. Es liegen keine kritischen Daten dort drauf, mehr kann ich dazu aber nicht sagen