restock
Goto Top

Internetnutzung über einen VPN Tunnel zwischen zwei Fritz Boxen

Hallo Zusammen,

da ich mich seit Tagen mit Google beschäftige und leider noch keine brauchbare Lösung gefunden habe, stelle ich meine Frage einmal hier im Forum. Ich hoffe,dass ich die Kategorie richtig gewählt habe.

Ich möchte folgendes Szenario:
Ich habe einen Schulungsraum indem eine FritzBox 3370 (FB1) steht. Diese bezieht sich ihr Internet über einen vorgeschalteten Router auf dem eine komplette Portfreischaltung auf die FritzBox 3370 gegeben ist. Hinter der FritzBox (FB1) stehen ca. 20 Laptops. Diese Laptops sollen sich nun über einen VPN Tunnel mit einer FritzBox (FB2) an einem anderen Standort per VPN verbinden und den Internetanschluss der entfernten FritzBox für den Datenverkehr ins Internet nutzen.

Bildlich sieht es so aus:
Laptops -> FritzBox (FB1) -> Internetanschluss1 -> VPN Tunnel -> Internetanschluss2 (rein) -> FritzBox (FB2) -> Internetanschluss2 (wieder raus)
Anschließend entsprechend der Weg zurück.


Beide Router haben eine Feste IP Adresse.

Die Notebooks müssen auf eine Website zugreifen die sich leider nur über die FritzBox (FB2) ansprechen lässt. Die Website erlaubt leider nur den Zugriff über eine fest eingetragene IP und der Anbieter stellt mir keine weitere zur Verfügung.

Den VPN Tunnel habe ich erfolgreich aufgebaut und ich kann mich auch mit einem Client hinter dem FritzBoxen verbinden. Nur leider schaffe ich es nicht den Internettraffic über den Tunnel zu jagen.

Mittlerweile habe ich herausgefunden, dass man das ganze über den AVM VPN Client lösen kann. Allerdings möchte ich ungern mit 20 Clients auf eine FritzBox zugreifen. Laut diverser Foren kann es hier zu Verbindungsabbrüchen kommen.

Gibt es ähnlich der Anpassungen an der Konfig Datei (.cfg) des VPN Clients, eine Möglichkeit diese Anpassungen direkt an der VPN Einrichtung der FritzBox vorzunehmen?

Besten Dank
Jonas

Content-ID: 244663

Url: https://administrator.de/contentid/244663

Ausgedruckt am: 25.11.2024 um 02:11 Uhr

MrNetman
MrNetman 25.07.2014 um 14:21:09 Uhr
Goto Top
Hi Jonas,

Wenn dein Tunnel steht, geht jeglicher Verkehr so oder so übers Internet!
Du willst das Netzwerk hinter der FB2 erreichen.
Was sagen deine basic-tools
tracert pathping und ping, wenn du auf einem normalen oder Schulungs-PC ins andere Netz willst.
Der Zugriff aufs Netz hinter der FB2 erfolgt mit privaten Adressen.

Gruß
Netman
Restock
Restock 25.07.2014 um 15:40:13 Uhr
Goto Top
Hi Netman,

der Traffic läuft auch über das Internet und über den Tunnel kann ich auch auf die privaten Netze hinter FB1 und FB2 zugreifen. Das stellt kein Problem da.

Wenn ich allerdings eine DNS oder Tracert Anfrage in Internet sende zb. auf http://www.wieistmeineip.de/ gehen diese Anfragen direkt auf meiner FB1 raus und ich erhalte die Externe IP von meiner FB1. Ich möchte allerdings die Externe IP der FB2 angezeigt bekommen wenn ich die oben genannten Internetadresse anfrage. Genau hier liegt das Problem.

Wie gesagt mit dem AVM VPN Client bekomme ich dies hin. Wenn ich aber die dort eingetragenen Konfigänderungen in der Konfigdatei der Fritz Box eintrage wird diese nicht mehr akzeptiert. Das hier meine ich: http://www.pcwelt.de/ratgeber/Internet-Security-per-VPN-ueber-die-eigen ... . Nur halt einfach nicht mit dem Client, sondern mit einer zweiten FritzBox..

Danke!
MrNetman
MrNetman 25.07.2014 um 17:10:38 Uhr
Goto Top
Dann nimm doch mal die schon erwähnten tools - tracert.
Dann siehst du den Unterschied.
Und es ist ja auch ein Unterschied ob man dem VPN gestattet lokal zu arbeiten oder nur remote. Das sind sicherheitsrelevante Einstellungen.
Du kannst ja auch den DNS deiner zweiten Fritzbox als Haupt-DNS eintragen....
aber erst musst du den Weg kennen, dann den Umweg.

Schönes Wochenende
Netman
Maffi
Maffi 26.07.2014 um 21:13:06 Uhr
Goto Top
Hallo Jonas,

Ich würde dir ipCop empfehlen, das ist ein Linux basierendes Betriebsystem, du könntest es in einer VM laufen lassen, auf beiden Seiten. ipCop verbindet sich via openVPN mit der gegenstelle. Alle Clients gucken auf den ipCop, im IP Cop könntest du, um die Leitung nicht zu strapazieren, alle anfragen über FB1 laufen lassen, und nur Anfrage zu Webseite XY via Route über den Tunnel jagen.

FB zu FB ist meines Wissens nicht möglich, theoretisch müsste aber ipCop zu Fritz funktionieren. dann müsstest du nur bei FB1 einen Rechner oder eine VM mit ipCop ausstatten.

Ob das die beste Lösung ist, kann ich dir nicht garantieren.
aqui
aqui 27.07.2014 aktualisiert um 16:33:33 Uhr
Goto Top
Besser nicht IPCop den die Einrichtung dafür ist eine Qual. Wenn dann besser pfSense nehmen:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
die es auch in einer VM gibt und die erheblich Anwender freundlicher über ein WebGUI einrichtbar ist.

So oder so ist das aber überflüssig, da es auch problemlos mit der o.a. FB Lösung funktioniert. Dein kardinalsfehler ist nur das du in der FB Konfig den gesamten Traffic in den Tunnel routest. Das ist eine fehlkonfiguration, denn da soll nur der Traffic für das remote lokale LAN geroutet werden sonst nichts.
Eine Fehlkonfiguration des VPNs auf den FBs das sich mit einem Mausklick in einer Minute korrigieren lässt.
Details zu IPsec VPNs wie sie die FB benutzen kannst du auch hier nachlesen:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Restock
Restock 28.07.2014 um 09:37:45 Uhr
Goto Top
Hallo Aqui,

besten Dank für die Verlinkung des Artikels. Er ist wirklich informativ. Ich habe die von dir vorgeschlagenen Änderungen an meinen Konfigurationsdateien entsprechend angepasst und auch noch weitere Einstellungsmöglichkeiten versucht, leider auch hier ohne Erfolg. Ich schaffe es weiterhin nicht, dass ich mit der Externen IP Adresse der FB2 surfen kann. Ich bekomme weiterhin im Internet die Externe IP der FB1 angezeigt...

Ich werde mich wohl doch damit anfreunden müssen, eine der genannten VM-Produkte zu testen.

Was ich einfach nicht verstehe, wieso das ganze mit dem AVM-VPN Client funktioniert aber mit einer zweiten FritzBox nicht...

Gruß
Jonas
aqui
aqui 28.07.2014 um 14:28:24 Uhr
Goto Top
Wie gesagt das ist ein Konfig Fehler in der Konfig Datei deiner FB !!
Es ist der Parameter:
phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";
accesslist = "permit ip any 192.168.1.0 255.255.255.0"; / /lokales Netz Remote

Hier darf lediglich nur das remote IP Netz stehen und so landen dann auch nur diese Destination IPs mit dieser Netzwerkadress (Beispiel 192.168.1.x) im VPN Tunnel.
Alles andere geht lokal raus wenn man es richtig konfiguriert ?!