IPFire IPSec Zugang per Fritzbox in ein bestimmtes Netz

Mitglied: Jannik2018

Jannik2018 (Level 1) - Jetzt verbinden

14.01.2020 um 18:37 Uhr, 1076 Aufrufe, 10 Kommentare

Hallo zusammen,
weiß einer wie ich bei IPFire einstellen kann dass der VPN zugang zum beispiel nur in das Blaue netz funktioniert
ich möchte nämlich eine fritzbox mittels ipsec mit dem blauen netz des Ipfire verbinden da da wo die fritzbox aufgestellt werden soll ein anderes netz ist
Bitte um Rückmeldung
Mitglied: Jannik2018
14.01.2020 um 18:38 Uhr
Die Fritzbox ist 192.168.178.0 Netz mit der ip 192.168.178.100 verbunden
und soll sich per ipsec in das 172.20.0.0 Netz einwählen sind die einstellungen dafür so korrekt ?
ipsec_config_1 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
14.01.2020, aktualisiert um 19:08 Uhr
Da gibt es 2 Möglichkeiten das zu lösen:
  • 1.) Die Quick an Dirty Methode: Einfach Firewall Regeln auf der IPFire für den Tunnel definieren die den Traffic in das nicht gewollte IP Netz blocken. Unschön, da der geblockte Traffic am Ziel geblockt wird und den Tunnel belastet (Performance). Funktioniert aber problemlos.
  • 2.) Besser: Eintrag über die Phase 2 SAs. Dort definierst du ja immer das oder die remote(n) Subnetz(e). Das bestimmt dann welcher Traffic in den VPN Tunnel geroutet wird. Hier lässt du einfach das zweite IP Netz weg was du nicht im Tunnel haben willst und dann wird es gar nicht erst in den Tunnel geroutet.
Will sagen. Wenn an der IP Fire mehrere IP Netze sind und du die per VPN Tunnel angebundenen FB aber nur in ein einziges Netz dort kommunizieren lassen willst, dann trägst du auch einzig nur dieses IP Netz unter Remote (Entferntes Netzwerk, Subnetzmaske) bei der FB ein. Dann kann die FB auch rein nur in das eine IP Netz via VPN Tunnel sprechen.
Wenn du zum Gürtel noch den Hosenträger willst machst du beides zusammen, was dann wirklich wasserdicht ist.
Beide Wege führen zum Ziel.
Grundlagen dazu, wie immer, auch hier:
https://administrator.de/wissen/ipsec-vpn-praxis-standort-kopplung-cisco ...
Bitte warten ..
Mitglied: Jannik2018
14.01.2020, aktualisiert um 19:14 Uhr
bisher bekomme funktioniert die IPSEC verbindung von der fritzbox zum IPfire noch nicht deswegen meine frage ob die konfig so passt siehe Screenshot oben
nochmal die fritz config dabei Habe LAN to LAN gewählt als vpn typ
fritz_config_ipsec - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
14.01.2020, aktualisiert um 19:30 Uhr
Nein, die ist leider falsch ! Siehst du vermutlich auch selber, oder ?
Mit der Entfernten IP ist natürlich niemals die lokale IP Adresse der FritzBox im lokalen LAN gemeint, sondern die öffentliche IP Adresse der FB im Internet. (DSL oder Internet Port der FB)
Das könnte aus dem Grunde schon nicht funktionieren da die privaten_RFC1918_IP_Adressen im Internet gar nicht geroutet werden. Eine Ziel IP von 192.168.178.100 wäre technisch unerreichbar !
Hier wird also immer die öffentliche Internet IP der FB eingetragen. (Check mit https://www.myexternalip.com )
Sofern die FritzBox eine wechselnde, öffentliche IP Provider Adresse hat gibt man dort 0.0.0.0 an dann akzeptiert die IPFire auch wechselnde bzw. beliebige VPN Tunnel IPs.
Den gleichen (Anfänger) Fehler hast du auch auf der FritzBox selber gemacht ! Bitte auch mal lesen was da im GUI steht !! Geben sie die Internet IP Adresse ein ! Eine private RFC 1918 IP Adresse ist keine Internet IP Adresse da sie da gar nicht vorkommt. Siehe oben !
nochmal die fritz config dabei Habe LAN to LAN gewählt als vpn typ
Das ist richtig !
Bitte warten ..
Mitglied: Jannik2018
14.01.2020, aktualisiert um 19:27 Uhr
also So oder in der Fritzbox Config ?
ipsec_config_2 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
14.01.2020, aktualisiert um 19:45 Uhr
Das ist doch ein Screenshot der IPFire, oder ?
Dann ist das wieder FALSCH ! :-( face-sad
Das entfernte Subnetz der FritzBox ist doch niemals 0.0.0.0. oder ? So ein Subnetz gibt es doch außerdem gar nicht, das solltest du doch wissen als Administrator. IP Grundschule, 1. Klasse ! ;-) face-wink
IP Fire:
Lokales Subnetz: 172.20.0.0 255.255.255.0
Entfernte IP: Öffentliche Internet IP des remoten VPN Routers/Firewall.
Entferntes Subnetz: Lokales LAN Netz des remoten VPN Routers/Firewall.
FritzBox:
Internet Adresse: Öffentliche IP Adresse des gegenüberliegenen VPN Routers/Firewall.
Entferntes Netzwerk: Lokales IP LAN Netz des gegenüberliegenen VPN Routers/Firewall.
Subnetz Maske: Subnetz Maske des lokalen IP LAN Netzes des gegenüberliegenen VPN Routers/Firewall.
Fertisch....
Eigentlich doch ganz einfach und logisch... Beide Seiten müssen immer das jeweilige Gegenüber kennen. ;-) face-wink
Einfach wirklich mal einen Blick in das o.a. Tutorial werfen. Das ist bei allen VPN Routern immer gleich so.
Irgendwie ist auch deine Shift Taste am Keyboard defekt...
Bitte warten ..
Mitglied: Jannik2018
14.01.2020, aktualisiert 20.01.2020
Die Fritzbox hat keine Dierekte öffentliche IP
Bitte warten ..
Mitglied: radiogugu
22.01.2020, aktualisiert um 08:23 Uhr
Zitat von Jannik2018:

Die Fritzbox hat keine Dierekte öffentliche IP

Hallo.

Doch hat sie.

Registriere Dir doch zwei DynDNS Adressen bei den einschlägigen bekannten Diensten. Diese DynDNS Adressen musst Du dann in den jeweiligen Konfigurationen hinterlegen.

Gehe bitte mal auf den Vorschlag von aqui ein und besuche die Website https://www.myexternalip.com.

Dort steht ganz oben Deine öffentliche IP, von Deinem Provider Dir zugewiesen.

Ist das eigentlich ein Kabel (eventuell DS-Lite Anschluss) oder "normales" (A oder V)DSL?

Gruß
Radiogugu
Bitte warten ..
Mitglied: aqui
22.01.2020, aktualisiert um 10:38 Uhr
Besteht das Problem denn noch ?
Wenn ja wäre eine kurze Skizze des IP Adressdesign hier hilfreich für eine finale Lösung !
Bitte warten ..
Mitglied: Jannik2018
28.01.2020 um 18:02 Uhr
ja ok fertige ich mal an
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Wohin mit alter (Server)Hardware?
insidERRVor 1 TagFrageOff Topic36 Kommentare

Hallo zusammen. Nachdem unser Leasing nach 5 Jahren ausgelaufen ist, haben wir auf der Arbeit neue Server bekommen. Wieder sind es zwei Hosts für ...

Windows Netzwerk
Wie VPN in Zeiten von HomeOffice einfach gestalten
VizKyneticVor 1 TagFrageWindows Netzwerk12 Kommentare

Moin! Vermehrt kommen die Anfragen zu HomeOffice Arbeitsplätzen und der Möglichkeit Remote zu arbeiten. Wir haben verschiedene Lösungen im Einsatz, da diese Struktur über ...

Datenschutz
DSGVO-konforme Löschsoftware für Festplatten
alwayshungryVor 1 TagFrageDatenschutz27 Kommentare

Hallo zusammen, welche Software gibt es, damit man DSGVO-konform Festplatten löschen kann? Ich kenne zwar Blancco, aber gibt es denn da keine gesetzeskonforme Alternativen? ...

Windows 10
Windows 10 Anmeldezeitenbeschränkung für Kinder
gelöst bastian23Vor 1 TagFrageWindows 1016 Kommentare

Hallo, kennt jemand von Euch eine Lösung, um meine Kinder daran zu hintern ihre Notebooks nach z.B. 21 Uhr zu nutzen? Ein einfacher shutdown ...

TK-Netze & Geräte
Panasonic NS700 an S0 von Fritzbox
jensgebkenVor 1 TagFrageTK-Netze & Geräte38 Kommentare

Hallo Gemeinschaft, gibt es eine Möglichkeit meine gebrauchte NS700 mit einer Fritzbox zu verbinden, so dass ich auch raustelefonieren kann - hinter der NS ...

Microsoft
Druckerwarteschlange druckt nur 9999 Seite
WBPowerVor 1 TagFrageMicrosoft8 Kommentare

Hallo zusammen, ich habe folgende Problemstellung. Wir betreiben einen Printserver auf Basis Windows Server 2016 (ca. 100 Drucker unterschiedlichster Hersteller und Modelle). Die Kollegen ...

Rechtliche Fragen
Adobe Flash erneut aktivieren, IT-Sicherheit + Datenschutz
anteNopeVor 18 StundenFrageRechtliche Fragen14 Kommentare

Hallo zusammen, ich weiß es ist noch nicht Freitag aber mir ist hier gerade die Kinnlade bis in den Keller gefallen. Opel (ja der ...

Switche und Hubs
100Mbit per 4 Adern
geforce28Vor 1 TagFrageSwitche und Hubs5 Kommentare

Hallo zusammen, ich habe folgendes Szenario realisiert: Über 4 Adern (alte Telefonleitung, die in der Wand liegt mit, ca. 15m) ist eine 100Mbit Ethernet ...