20
IPsec Tunnel verschiedener Benutzer zu verschiedenen Subnetzen - welcher Router
Hallo zusammen,
habe hier einen Cisco RV130 und sehe gerade dass man beim IPsec-VPN-Server nur ein Ziel (IP oder Subnetz) eintragen kann - und dazu mehrere User.
Gibt es im unteren/mittleren Preissegment Router die je nach User in verschiedene Subnetze routen können? Es geht nur um Clientverbindungen!
In den Cisco-Beschreibungen steht immer nur "IPsec VPN tunnels : 10" oder ähnlich.
Oder gibt es ein Stichwort nachdem ich suchen kann?
Vielen Dank!
Tobias
habe hier einen Cisco RV130 und sehe gerade dass man beim IPsec-VPN-Server nur ein Ziel (IP oder Subnetz) eintragen kann - und dazu mehrere User.
Gibt es im unteren/mittleren Preissegment Router die je nach User in verschiedene Subnetze routen können? Es geht nur um Clientverbindungen!
In den Cisco-Beschreibungen steht immer nur "IPsec VPN tunnels : 10" oder ähnlich.
Oder gibt es ein Stichwort nachdem ich suchen kann?
Vielen Dank!
Tobias
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 451029
Url: https://administrator.de/forum/ipsec-tunnel-verschiedener-benutzer-zu-verschiedenen-subnetzen-welcher-router-451029.html
Ausgedruckt am: 02.01.2025 um 13:01 Uhr
20 Kommentare
Neuester Kommentar
und sehe gerade dass man beim IPsec-VPN-Server nur ein Ziel (IP oder Subnetz) eintragen kann - und dazu mehrere User.
Nein, das ist nicht ganz richtig. Du kannst (eine intelligente IP VPN Adressierung der remoten Netze vorausgesetzt) auch mehrere Subnetze in den Tunnel routen.Dazu spielst du etwas mit der Subnetzmaske der remoten Netze.
Gesetzt den Fall du hast die remoten LANs alle mit einem 24 Bit Prefix versehen und im Bereich z.B. 172.16.x.y dann gibst du als remotes LAN einfach die 172.16.0.0 mit einer 16 Bit Maske an. Dann wird alles was 172.16..x.y hat in den VPN Tunnel geroutet.
Oder anderes Beispiel du hast eine remote Vernetzung bei der alle Netz ab 192.168.128.0 und dadrüber liegen dann trägst du als remotes Netz 192.168.128.0 mit einem 17 Bit Prefix ein (255.255.128.0).
Eigentlich ganz einfach das zu lösen
Siehe für die Grundlagen dazu auch hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Moin aqui,
vielleicht hab ich die falsche Wortwahl verwendet? Ich meine ausschließlich Clientverbindung "von außen" zum Router:
Client 1 (iPhone "draußen") verbindet sich mit user:iphone/pass:123 und bekommt eine IP aus dem Netz 10.10.10.0
Client 2 (Mac vom Freund "draußen") verbindet sich mit user:freund/pass:456 und bekommt eine IP aus dem Netz 10.10.20.0
Aus dem Netz 10.10.20.0 kommt man nicht in das Netz 10.10.10.0. und umgekehrt.
Zum Hintergrund: Ich habe mehrere Raspberrys mit Akku "draußen" mit LTE-Stick, um die zu administrieren müssen die sich in ein VPN-Netz einwählen weil sie vom Provider nicht erreichbare 192er Adressen bekommen. Wenn davon mal einer geklaut wird und sich jemand damit auskennt, ist er in meinem privaten Netz drin. Daher ein zweites "VPN-Netz".
LG
Tobias
vielleicht hab ich die falsche Wortwahl verwendet? Ich meine ausschließlich Clientverbindung "von außen" zum Router:
Client 1 (iPhone "draußen") verbindet sich mit user:iphone/pass:123 und bekommt eine IP aus dem Netz 10.10.10.0
Client 2 (Mac vom Freund "draußen") verbindet sich mit user:freund/pass:456 und bekommt eine IP aus dem Netz 10.10.20.0
Aus dem Netz 10.10.20.0 kommt man nicht in das Netz 10.10.10.0. und umgekehrt.
Zum Hintergrund: Ich habe mehrere Raspberrys mit Akku "draußen" mit LTE-Stick, um die zu administrieren müssen die sich in ein VPN-Netz einwählen weil sie vom Provider nicht erreichbare 192er Adressen bekommen. Wenn davon mal einer geklaut wird und sich jemand damit auskennt, ist er in meinem privaten Netz drin. Daher ein zweites "VPN-Netz".
LG
Tobias
Clients bekommen bei IPsec Dialin VPNs niemals IPs aus unterschiedlichen IP Netzen vom Router !
Das wäre technisch unmöglich, denn du nutzt ja für alle VPN Clients an diesem Router einen gemeinsamen IP Adress Pool !
Technisch kann das also niemals passieren was du oben schilderst. Es sei denn du hast den Router falsch konfiguriert !!
Oder....der Client befindet sich in einem lokalen LAN oder WLAN was ebenfalls diese IP Adresse deines VPN Client Pools benutzt !
Dazu solltest du dann mal etwas über intelligente VPN IP Adressierung lesen
VPNs einrichten mit PPTP
In deinem Design mit den RasPis wäre es sinnvoll an diese ein lokales DMZ Netz zu senden, so das diese erstmal nur Verbindung ins DMZ Netz haben. Das DMZ Netz koppelst du dann ins lokale LAN über eine FW. Noch besser du nutzt gleich direkt eine FW für VPN und DMZ/LAN. So bekommst du die Diebstahl Problematik ja auch in den Griff.
Aber auch ohne haben die RasPi Clients ja ein Zertifikat und Username Passwort. Auch wenn einer gestohlen wird löschst du den User im VPN Server und gut iss. Zusätzlich könntest du noch das Zertifikat wechseln was dann absolut wasserdicht ist. OK, natürlich nur wenn du IKEv2 nutzt wie im o.a. Tutorial mit der pfSense beschrieben.
Das wäre technisch unmöglich, denn du nutzt ja für alle VPN Clients an diesem Router einen gemeinsamen IP Adress Pool !
Technisch kann das also niemals passieren was du oben schilderst. Es sei denn du hast den Router falsch konfiguriert !!
Oder....der Client befindet sich in einem lokalen LAN oder WLAN was ebenfalls diese IP Adresse deines VPN Client Pools benutzt !
Dazu solltest du dann mal etwas über intelligente VPN IP Adressierung lesen
VPNs einrichten mit PPTP
In deinem Design mit den RasPis wäre es sinnvoll an diese ein lokales DMZ Netz zu senden, so das diese erstmal nur Verbindung ins DMZ Netz haben. Das DMZ Netz koppelst du dann ins lokale LAN über eine FW. Noch besser du nutzt gleich direkt eine FW für VPN und DMZ/LAN. So bekommst du die Diebstahl Problematik ja auch in den Griff.
Aber auch ohne haben die RasPi Clients ja ein Zertifikat und Username Passwort. Auch wenn einer gestohlen wird löschst du den User im VPN Server und gut iss. Zusätzlich könntest du noch das Zertifikat wechseln was dann absolut wasserdicht ist. OK, natürlich nur wenn du IKEv2 nutzt wie im o.a. Tutorial mit der pfSense beschrieben.
Das was ich oben geschrieben hatte ist nicht der IST-Zustand sondern der Wunsch
Dann frage ich ganz anders: WIe bekomme ich es hin (Stichworte/Google-Wörter reichen auch) für meine "Außen-Raspberrys" ein VPN-Netz aufzubauen in das im Falle eines Diebstahls eines der Geräte den Schaden gering hält (nur dieses Netz wird gekapert).
Parallel dazu habe ich ja noch mein "privates Netz" zu Hause und das soll halt abgeschottet sein.
Eine Idee wäre jeder Client-VPN-Verbindung eine feste IP zu geben 172.x.x.1, 172.x.x.2 und den Rest mit Routen lösen, aber selbst das kann meinn RV130 nicht.
Die Anforderung kann doch nicht so exotisch sein..
LG
Tobias
Dann frage ich ganz anders: WIe bekomme ich es hin (Stichworte/Google-Wörter reichen auch) für meine "Außen-Raspberrys" ein VPN-Netz aufzubauen in das im Falle eines Diebstahls eines der Geräte den Schaden gering hält (nur dieses Netz wird gekapert).
Parallel dazu habe ich ja noch mein "privates Netz" zu Hause und das soll halt abgeschottet sein.
Eine Idee wäre jeder Client-VPN-Verbindung eine feste IP zu geben 172.x.x.1, 172.x.x.2 und den Rest mit Routen lösen, aber selbst das kann meinn RV130 nicht.
Die Anforderung kann doch nicht so exotisch sein..
LG
Tobias
Zitat von @aqui:
...an diese ein lokales DMZ Netz zu senden, so das diese erstmal nur Verbindung ins DMZ Netz haben
...an diese ein lokales DMZ Netz zu senden, so das diese erstmal nur Verbindung ins DMZ Netz haben
Was meinst Du genau damit? Die gehen mit LTE-Stick online und bekommen vom Provider die Adresse 192.168.1.100 und sind somit nicht erreichbar. Dann bauen sie (mit meinem Script) eine VPN-Verbindung in mein Heimnetz auf, bekommen dort eine IP aus meinem Privatpool und sind somit erreichbar (aus meinem Privatnetz).
Wenn ich das mitbekomme...
Hallo,
Gruß,
Peter
Zitat von @tooooooobi:
Die gehen mit LTE-Stick online und bekommen vom Provider die Adresse 192.168.1.100 und sind somit nicht erreichbar.
Das liegt aber nicht an die IP 192.168.1.100. Das liegt vermutlich daran das der LTE Anbieter CGN (Carrier Grade NAT) macht und du somit keine Portweiterleitung usw. damit machen kannst. Es soll allerdings LTE Anbieter geben welche dir Öffentliche IPv4 geben.Die gehen mit LTE-Stick online und bekommen vom Provider die Adresse 192.168.1.100 und sind somit nicht erreichbar.
Wenn ich das mitbekomme...
Und da setzten deine Probleme an. Auch ein Monitoren ob das Endgerät per VPN erreichbar ist, hilft nicht wirklich da du nicht wissen kannst warum der VPN Tunnel nicht aufgebaut wird. (defektes Netzteil des Raspi, defekter Raspi, defekter Router beim Raspi, Gebeäude hat unvorhegesehnen Stromausfall weil jemand dei Oberleitung aufm Lande umgenietet hat usw. usw.) Es gibt unzählige Gründe warum der VPN Tunnel nicht aufgebaut werden kann, und nicht jeder ist ein Diebstahl wo du Zertifikat Löscht, Passwort änderst usw. usw. Wenn Diebstahl deine einzige Sorge ist, den Raspi in ein Gehäuse einbauen das dann ebenfalls gestohlen werden muss und an diesem eine Alarmanlage bzw. Melder per LTE/3G anbinden welcher dich dann alarmiert. Allerdings ist das auch keine Gewähr das die Kavalleri ausrückt wenn der LTE/3G Anbieter einen Ausfall hat. Sorge also dafür das der Raspi nicht gestohlen werden kann, manch einer hat deshalb ein Gebäude dann an der Stelle errichtetGruß,
Peter
Ich will doch einfach nur ein zweites VPN-Netz.
Ist in der Richtung Portforwarding auf eine Box hinter dem Router was möglich?
Überlege gerade in die Richtung erst Fritzbox, dahinter der Cisco, dann in der Fritz
500 UDP -> 61002 Cisco usw....
aber dann brauch ich nen Client der das Verbiegen aller Ports erlaubt.
Gibt es keine Hardwareempfehlung wo man VPNs in verschiedene Netze routen kann?
Ist in der Richtung Portforwarding auf eine Box hinter dem Router was möglich?
Überlege gerade in die Richtung erst Fritzbox, dahinter der Cisco, dann in der Fritz
500 UDP -> 61002 Cisco usw....
aber dann brauch ich nen Client der das Verbiegen aller Ports erlaubt.
Gibt es keine Hardwareempfehlung wo man VPNs in verschiedene Netze routen kann?
WIe bekomme ich es hin (Stichworte/Google-Wörter reichen auch) für meine "Außen-Raspberrys" ein VPN-Netz aufzubauen in das im Falle eines Diebstahls eines der Geräte den Schaden gering hält (nur dieses Netz wird gekapert).
Guckst du hier:IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Oder statt pfSense tut es auch ein Mikrotik Router RB750Gr3 oder ein RB2011 z.B.
Cisco, Mikrotik, pfSense VPN Standort Vernetzung mit dynamischem Routing
Je nach verwendeter Hardware...
Überlege gerade in die Richtung erst Fritzbox, dahinter der Cisco, dann in der Fritz
Ist natürlich Blödsinn. Was sollen solche sinnfreinen Router Kaskaden ?!Eine Firewall oder anständigen Router (Mikrotik) und dort ein DMZ Interface dran, fertig ist der Lack !
Gibt es keine Hardwareempfehlung wo man VPNs in verschiedene Netze routen kann?
Das kann jede handelsübliche Firewall oder Router. Siehe HW Empfehlungen oben, damit machst du nichts falsch !
ES GEHT NICHT UM STANDORTVERNETZUNG, sondern um Clientverbindungen zum Router, siehe auch #1 und#3, geht aber keiner drauf ein...
Bei ausgehenden Verbindungen - ja. Bei eingehenden Verbindungen definitiv nicht.
der hier ist der einzige wonach es in der Beschreibung klappen könnte, laut diesem Screenshot aber auch nur 2 Netze (siehe unten: "2 Profile")
Leider ist die Beschreibung des Routers so grottenschlecht dass man es nicht herauslesen kann.
Das kann jede handelsübliche Firewall oder Router. Siehe HW Empfehlungen oben, damit machst du nichts falsch !
Bei ausgehenden Verbindungen - ja. Bei eingehenden Verbindungen definitiv nicht.
der hier ist der einzige wonach es in der Beschreibung klappen könnte, laut diesem Screenshot aber auch nur 2 Netze (siehe unten: "2 Profile")
Leider ist die Beschreibung des Routers so grottenschlecht dass man es nicht herauslesen kann.
Bei ausgehenden Verbindungen - ja. Bei eingehenden Verbindungen definitiv nicht.
Das ging davon aus das man schon VPN Router verwendet, also einen Router der selber schon VPN Server ist für Clients wie z.B. die FritzBox oder Mikrotik.Klar das simple nicht VPN Router sowas nicht supporten. Firewalls haben in der Regel immer einen VPN Server an Board. Idealerweise einen der mehrere der üblichen VPN Protokolle supportet (L2TP, IPsec, PPTP, SSL usw.)
Also jeder dieser Router kann das. Ebenso die pfSense Firewall und alle Firewalls die VPN Server sein können bzw. das Feature an Bord haben. Das ist eine simple Standardanforderung für einen VPN Client Dialin.
Das Forum hier hat diverse Tutorials mit Client Dialin Konfigs zu verschiedener Hardware.
Hallo,
https://drfone.wondershare.com/vpn/vpn-hardware.html
https://www.zdnet.de/88275224/vpn-loesungen-fuer-unternehmen-im-ueberbli ...
https://www.shellfire.de/blog/vpn-hardware/
Gruß,
Peter
Zitat von @tooooooobi:
ES GEHT NICHT UM STANDORTVERNETZUNG, sondern um Clientverbindungen zum Router, siehe auch #1 und#3, geht aber keiner drauf ein...
Lasse deine Raspis oder eine davorgeschalteten Router eben eine VPN Verbindungen zu dir aufbauen. Das ist dann immer ausgehend und erfordert nu an deiner Seite Portforwardings. Entscheide dich zuerst für einen Router und ob du einen VPN Router nimmst oder doch lieber es per Software auf eine Raspi oder Linux, oder Windows deinen VPN Server haben willst. Natürlich sollte dieser Router wenn er denn den VPN Server darstellen soll, dann auch die VPN Protokolle deiner VPN Clients (Raspis) beherrschen und notfalls auch in entsprechender Anzahl. VPN Software gibt es mittlerweile für jedes OS und fast in jeder Form. Auch Hardware gibt es mittlerweile reichlich.ES GEHT NICHT UM STANDORTVERNETZUNG, sondern um Clientverbindungen zum Router, siehe auch #1 und#3, geht aber keiner drauf ein...
https://drfone.wondershare.com/vpn/vpn-hardware.html
https://www.zdnet.de/88275224/vpn-loesungen-fuer-unternehmen-im-ueberbli ...
https://www.shellfire.de/blog/vpn-hardware/
Bei ausgehenden Verbindungen - ja. Bei eingehenden Verbindungen definitiv nicht.
Dann müssen eben deine RASPi von den Standorten eine VPN Verbindung ausfbauen sobald die mit dem Internet Verbunden sind.Gruß,
Peter
Zitat von @Pjordorf:
Dann müssen eben deine RASPi von den Standorten eine VPN Verbindung ausfbauen sobald die mit dem Internet Verbunden sind.
Gruß,
Peter
Dann müssen eben deine RASPi von den Standorten eine VPN Verbindung ausfbauen sobald die mit dem Internet Verbunden sind.
Gruß,
Peter
Der Thread hier ist hoffnungslos verloren. Es liest keiner mit, es wird einfach irgendwas daher geantwortet. Natürlich müssen die Raspis selbst die Verbindung aufbauen (schrieb ich ja in #3).
Und wenn jm einen klaut, kriege ich es nicht mit wenn derjenige ihn ausliest und die VPN-Zugangsdaten findet, gerade bei denen die teilweise wochen lang off sind und durch mechalische Trigger aufwachen. Daher mehrere Zugänge für mehrere Subnetze. Aber ich widerhole mich. Das hat hier keinen SInn...
Danke euch trotzdem für die Lösungsversuche...
Portforwardings
Ja, das hatten wir oben auch schon, Router der forwarded ist dann aber per VPN nicht mehr erreichbar (weil er ja forwarded). Ich versuche es woanders. Es ist (mal wieder) ein großer Fehler gewesen zu viele Nebenbeiinfos preiszugeben. Es werden zig Probleme versucht zu lösen die nicht existieren und keiner sagt mehr was zum eigentlichen Problem.
Und viele der Router in den Links können das was ich brauche nämlich genau NICHT.
Hallo,
Und was meinst du woran das liegt?
Gruß,
Peter
Und was meinst du woran das liegt?
Und wenn jm einen klaut,
Den braucht noch nicht mal jemand mit nach Hause nehmen. es reicht das Netzwerkkabel zu ziehen und sich ausgiebig mit dein Raspi zu beschäftigen. Dann häng ich dort das LAN Kabel wieder dran und schau mich auf deinen Systemen um. Und wenn gut gemacht bekommst du nur mit das der Raspi mal ein oder 2 Wochen nicht erreicbar war. Aber geklaut wurde er ja nicht...Aber ich widerhole mich. Das hat hier keinen SInn...
Und wir sind Schukd oder was?Danke euch trotzdem für die Lösungsversuche...
GerneGruß,
Peter
Router der forwarded ist dann aber per VPN nicht mehr erreichbar
Ist auch Blödsinn, denn wenn man das in der NAT Firewall antsprechend customized geht das natürlich. Oder man geht remote auf einen Rechner im lokalen Netz und connected von da den davor kaskadierten Router, was immer geht.So oder...es gibt zig Lösungen dafür.
und keiner sagt mehr was zum eigentlichen Problem.
Was ist denn jetzt noch das eigentliche Problem ??Mit entsprechender HW wie pfSense, Mikrotik usw. ist das in 10 Minuten fehlerfrei aufgesetzt.
Wo ist denn nun wirklich dein Problem ??
An der globalen Erwärmung?
Und wenn jm einen klaut,
Den braucht noch nicht mal jemand mit nach Hause nehmen. es reicht das Netzwerkkabel zu ziehen und sich ausgiebig mit dein Raspi zu beschäftigen. Dann häng ich dort das LAN Kabel wieder dran und schau mich auf deinen Systemen um. Und wenn gut gemacht bekommst du nur mit das der Raspi mal ein oder 2 Wochen nicht erreicbar war. Aber geklaut wurde er ja nicht...Das ist leider vollkommen richtig, noch ein Grund mehr für ein getrenntes Netz.
Zitat von @aqui:
So oder...es gibt zig Lösungen dafür.
Router der forwarded ist dann aber per VPN nicht mehr erreichbar
Ist auch Blödsinn, denn wenn man das in der NAT Firewall antsprechend customized geht das natürlich. Oder man geht remote auf einen Rechner im lokalen Netz und connected von da den davor kaskadierten Router, was immer geht.So oder...es gibt zig Lösungen dafür.
Nach 3 Wochen hab ich den Aufbau vergessen
Zitat von @aqui:
Mit entsprechender HW wie pfSense, Mikrotik usw. ist das in 10 Minuten fehlerfrei aufgesetzt.
Wo ist denn nun wirklich dein Problem ??
und keiner sagt mehr was zum eigentlichen Problem.
Was ist denn jetzt noch das eigentliche Problem ??Mit entsprechender HW wie pfSense, Mikrotik usw. ist das in 10 Minuten fehlerfrei aufgesetzt.
Wo ist denn nun wirklich dein Problem ??
Kannst Du mir ein Gerät von Mikrotik empfehlen was zudem folgendes noch kann: "Mini-DNS-Server" (kleine Tabelle füe eine Hand voll Einträge reicht), VLANs, PPPoE, halt ne kleine Box vor der Fritzbox (die ungerne ersetzt werden soll mit ihren sehr gut funktionierenden Mesh-Repeatern)
Vielen Dank!
Und bitte bitte NICHT immer jeden mit einem Einzelthread zitieren. Das kann man auch zusammenfassen mit einem @NickName davor !!
Wenn du erstmal klein anfangen willst um mit der Hardware "warm" zu werden und erstmal nicht zuviel zu investieren, dann nimmst du einen hAP lite:
https://varia-store.com/de/produkt/33635-mikrotik-routerboard-rb941-2nd- ...
Für 20 Euronen hast du das komplette Router OS Featureset plus WLAN Interface und kannst dann erstmal alles ausprobieren was du willst und alles testen.
Wenn du nachher einen leistungsfähigeren Router mit Gig Ports brauchst nimmst du den hEX (750G3) oder einen 2011er oder 3011er oder wenn du 10G Ports brauchst einen CRS305-1G-4S.
Nach 3 Wochen hab ich den Aufbau vergessen
Das Problem können wir aber garantiert nicht im Forum hier lösen... ein Gerät von Mikrotik empfehlen
Du kannst ALLES nehmen was Router OS supportet. Die Firmware ist auf jeglicher Hardware immer gleich.Wenn du erstmal klein anfangen willst um mit der Hardware "warm" zu werden und erstmal nicht zuviel zu investieren, dann nimmst du einen hAP lite:
https://varia-store.com/de/produkt/33635-mikrotik-routerboard-rb941-2nd- ...
Für 20 Euronen hast du das komplette Router OS Featureset plus WLAN Interface und kannst dann erstmal alles ausprobieren was du willst und alles testen.
Wenn du nachher einen leistungsfähigeren Router mit Gig Ports brauchst nimmst du den hEX (750G3) oder einen 2011er oder 3011er oder wenn du 10G Ports brauchst einen CRS305-1G-4S.
Wow... Aber jetzt mal ganz ehrlich - das Ding kostet ein fünftel von meinem Cisco und kann gefühlt 3x so viel. Wo ist der Haken?
Der Haken ist nur das der 100Mbit Ports hat in der Preisklasse. Wenn du für den Anfang damit leben kannst gibts keine weiteren Haken. Genau das ist ja der Pluspunkt bei dem Mikrotiks. Cisco Funktionalität zum kleinen Preis.
