144534
Jun 09, 2020, updated at Jun 10, 2020 (UTC)
2283
20
0
Kniffliges Routing Problem - auf der Arbeit Fritz!VPN von zuhause nutzen
Guten Morgen!
Ich versuche gerade eine VPN Verbindung von meinem Arbeitsplatz(Firmennetzwerk) ein VPN-Tunnel nach Hause aufzubauen.
Bevor die Frage aufkommt - nein, OpenVPN steht nicht zur Auswahl
Mein Ziel ist es, dass Internettraffic über die Fritzbox dahoam läuft, ich aber weiterhin Zugriff auf das lokale Firmennetzwerk habe, dass funktioniert mit der Standard configs nicht, ansonsten tut der Tunnel einwandfrei.
Dazu müssen wohl IP-Routen gesetzt werden, doch dass VLAN auf der Arbeit bereitet mir Kopfzerbrechen:
Netzwerke:
Arbeit:
Gesamt: 172.26.0.0/255.255.0.0, Gateway 172.26.1.254
VLAN: 172.27.232.0/255.255.255.0, Gateway 172.27.232.254
Fritz Zuhaus:
192.168.178.0/255.255.255.0 (default)
IP Adresse des VPN Client: 192.168.178.201
VPN.cfg von der Fritzbox:
VPN.cfg des Clients:
Kann mir jemand bitte behilflich sein? Vielen Dank!
Ich versuche gerade eine VPN Verbindung von meinem Arbeitsplatz(Firmennetzwerk) ein VPN-Tunnel nach Hause aufzubauen.
Bevor die Frage aufkommt - nein, OpenVPN steht nicht zur Auswahl
Mein Ziel ist es, dass Internettraffic über die Fritzbox dahoam läuft, ich aber weiterhin Zugriff auf das lokale Firmennetzwerk habe, dass funktioniert mit der Standard configs nicht, ansonsten tut der Tunnel einwandfrei.
Dazu müssen wohl IP-Routen gesetzt werden, doch dass VLAN auf der Arbeit bereitet mir Kopfzerbrechen:
Netzwerke:
Arbeit:
Gesamt: 172.26.0.0/255.255.0.0, Gateway 172.26.1.254
VLAN: 172.27.232.0/255.255.255.0, Gateway 172.27.232.254
Fritz Zuhaus:
192.168.178.0/255.255.255.0 (default)
IP Adresse des VPN Client: 192.168.178.201
VPN.cfg von der Fritzbox:
vpncfg {
connections {
enabled = yes;
conn_type = conntype_user;
name = "*****************************";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 192.168.178.201;
remoteid {
user_fqdn = "********************************";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "***********************************************";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.178.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipaddr = 192.168.178.201;
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist =
"permit ip 192.168.178.0 255.255.255.0 192.168.178.201 255.255.255.255",
"permit ip any 192.168.178.201 255.255.255.255";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOFVPN.cfg des Clients:
/*
version {
revision = "$Revision: 1.30 $";
creatversion = "1.1";
}
pwcheck {
}
datapipecfg {
security = dpsec_quiet;
icmp {
ignore_echo_requests = no;
destunreach_rate {
burstfactor = 6;
timeout = 1;
}
timeexceeded_rate {
burstfactor = 6;
timeout = 1;
}
echoreply_rate {
burstfactor = 6;
timeout = 1;
}
}
masqtimeouts {
tcp = 15m;
tcp_fin = 2m;
tcp_rst = 3s;
udp = 5m;
icmp = 30s;
got_icmp_error = 15s;
any = 5m;
tcp_connect = 6m;
tcp_listen = 2m;
}
ipfwlow {
input {
}
output {
}
}
ipfwhigh {
input {
}
output {
}
}
NAT_T_keepalive_interval = 20;
}
targets {
policies {
name = "***********************************";
connect_on_channelup = no;
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
virtualip = 192.168.178.201;
remoteip = 0.0.0.0;
remotehostname = "****************************";
localid {
user_fqdn = "*****************************";
}
mode = mode_aggressive;
phase1ss = "all/all/all";
keytype = keytype_pre_shared;
key = "****************************";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipaddr = 192.168.178.201;
}
phase2remoteid {
ipnet {
ipaddr = 192.168.178.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.178.0 255.255.255.0",
"reject udp any any eq 53",
"reject udp any any eq 500",
"reject udp any any eq 4500",
"permit ip any any";
wakeupremote = no;
}
}
policybindings {
}
// EOFKann mir jemand bitte behilflich sein? Vielen Dank!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 577735
Url: https://administrator.de/contentid/577735
Printed on: April 26, 2024 at 09:04 o'clock
20 Comments
Latest comment
Moin,
weiß Euer Admin, dass Du gerade versuchst, die Sicherheitsmechanismen auszuhebeln?
Looser
weiß Euer Admin, dass Du gerade versuchst, die Sicherheitsmechanismen auszuhebeln?
Looser
2
1. Ich habe Admin Rechte(weil ich zur Administration gehöre, wenn auch Ich noch etwas unerfahren bin)
2. Ich habe die (in)offizielle Erlaubnis/Duldung meines Vorgesetzten dazu bekommen. Es wäre aber gut, wenn ich dazu nichts in unserer Sophos UTM umstellen müsste
3. ich könnte lügen - oder es könnte dir eigentlich auch egal sein :P
2. Ich habe die (in)offizielle Erlaubnis/Duldung meines Vorgesetzten dazu bekommen. Es wäre aber gut, wenn ich dazu nichts in unserer Sophos UTM umstellen müsste
3. ich könnte lügen - oder es könnte dir eigentlich auch egal sein :P
Nein - da die Beantwortung durchaus Fraglich im Sinne der Foren-Richtlinien ist da du ja damit Sicherheits-Funktionen (Proxy,...) umgehst.
Dazu kommt das hier keiner eure Firewall-Config kennt ob die sowas überhaupt zulässt ... Ganz davon ab das die "Anleitung" ja auch andere Lesen können...
Und nebenbei: Nur weil du Admin-Rechte hast bedeutet das nicht das du es auch DARFST. Und bevor du weiter in die Richtung gehst kannst du mal EINE Frage beantworten: Dir ist bewusst das du im Falle eines Problems (z.B. weil du nen Virus zuhause im Netz hast der die Firma abschießt) auch durchaus persönlich haftbar sein kannst WEIL du eben Schutzfunktionen absichtlich umgangen hast? Ich würde mal - ohne das ich Anwalt bin - vermuten das man sowas durchaus als "Grob Fahrlässig" sehen darf und von der Kündigung bis hin zum Schadensersatz is alles drin. Sei es also weil dein Chef jemanden kostengünstig loswerden will (-> Kündigung) oder weil wirklich ein finanzieller Schaden entstanden ist - dabei musst du nicht mal zwingend einen Schaden verursachen. Wenn dein Chef dich loswerden will weiss der natürlich von nix - und muss selbstverständlich auf deine Kosten noch das Netz auf weitere Lücken und/oder Schäden überprüfen...
Ich würde also def. überlegen ob es das Wert ist - grad aktuell wo es aufgrund der Wirtschaftslage durchaus erhebliches Potential für Kündigungen geben kann...
Dazu kommt das hier keiner eure Firewall-Config kennt ob die sowas überhaupt zulässt ... Ganz davon ab das die "Anleitung" ja auch andere Lesen können...
Und nebenbei: Nur weil du Admin-Rechte hast bedeutet das nicht das du es auch DARFST. Und bevor du weiter in die Richtung gehst kannst du mal EINE Frage beantworten: Dir ist bewusst das du im Falle eines Problems (z.B. weil du nen Virus zuhause im Netz hast der die Firma abschießt) auch durchaus persönlich haftbar sein kannst WEIL du eben Schutzfunktionen absichtlich umgangen hast? Ich würde mal - ohne das ich Anwalt bin - vermuten das man sowas durchaus als "Grob Fahrlässig" sehen darf und von der Kündigung bis hin zum Schadensersatz is alles drin. Sei es also weil dein Chef jemanden kostengünstig loswerden will (-> Kündigung) oder weil wirklich ein finanzieller Schaden entstanden ist - dabei musst du nicht mal zwingend einen Schaden verursachen. Wenn dein Chef dich loswerden will weiss der natürlich von nix - und muss selbstverständlich auf deine Kosten noch das Netz auf weitere Lücken und/oder Schäden überprüfen...
Ich würde also def. überlegen ob es das Wert ist - grad aktuell wo es aufgrund der Wirtschaftslage durchaus erhebliches Potential für Kündigungen geben kann...
Ich weiß was ich tue, ich brauche keine Belehrungen, ich bin mir die Risiken bewusst, aber dennoch danke für diese Worte.
Also, bitte.
Also, bitte.
Zitat von @144534:
Also, bitte.
Also, bitte.
Ok - und an genau dieser Stelle bin ich raus... scheinbar ist deine Wahrnehmung eh das wir die Ehre haben dir dein Problem lösen zu dürfen... Frag halt deine Kollegen, die sollten es dir ja locker erklären können....
1
Bevor die Frage aufkommt - nein, OpenVPN steht nicht zur Auswahl
Jeder halbwegs kundige Netzwerk Administrator hat das schon an der Überschrift des Threads erkannt, denn auch Laien wissen mittlerweile ja das FritzBox Hardware kein OpenVPN supportet sondern lediglich rein nur IPsec kann !! Die Bemerkung war in einem Administrator Forum also recht sinnfrei... 
Um es kurz zu machen....
Du sitzt mit deinem VPN Fritz Client im Firmennetz, hast einen Tunnel mit Gateway Redirection auf deine heimische FritzBox aufgebaut. Ist das so richtig verstanden ?
Die Gateway Redirection bewirkt das aller Traffic der nicht lokal ist dann über den Tunnel zu deiner heimischen FritzBox ins Internet geht. Logisch, denn andersrum wäre es ja klassisches Split Tunneling.
Normal ist aber auch das lokaler Traffic weiterhin lokal bleibt und auch immer lokal funktioniert. Wenn das Firmennetz also ein dummes, flaches Layer 2 Netzwerk ist ohne jegliche Segmentierung (VLANs) dann kannst du auch weiterhin in diesem lokalen Netz arbeiten. Auch logisch, denn reiner lokaler Layer 2 Traffic braucht keinerlei Router.
Ist das lokale Firmen Netz allerdings segmentiert in VLANs, dann geht das nicht mehr. Logisch, denn alle Fremdnetze gehen dann durch das Gateway Redirect in den Tunnel zur FritzBox nach Hause...und dort dann ins Nirwana.
Bei Segmentierung im Firmennetz erfordert es dann in der Tat statische Routen ala route add... auf dem Office PC.
Im Grunde eine einfache und simple Logik ! Ein route print zeigt dir doch immer die lokale Routing Tabelle und damit weiss man doch WO alle Pakete hingehen ! Was bitte ist daran denn knifflig ??
Was etwas wirr ist ist die FritzBox Konfig Datei, bzw. dort die Deklaration des Tunneltraffics, also alles was die FB in den Tunnel routen soll:
"permit ip 192.168.178.0 255.255.255.0 192.168.178.201 255.255.255.255",
"permit ip any 192.168.178.201 255.255.255.255";
Das ist definitiv falsch !
Kann man auch sofort sehen wenn man sich einmal klassische Box Konfigs von der AVM VPN Seite ansieht.
Sieht eher ein bischen nach einer falschen IP Adressierung aus das Firmennetz und Heimnetz beides das dümmliche .178.0er Standard FritzBox Netz nutzen. Das würde dann IP Adress technisch so oder so gar nicht gehen !! Warum wir HIER erklärt !
Ganz schön eingebildet - jetzt stell dir mal vor: ich hätte einfach ein paar informationen... ausgelassen oder was anderes erzählt, aber die gleiche technische situation ist gleich geblieben - Ehre - LOL - dir hätte ich nen Bären aufgebrummt, dank mir lieber für meine Ehrlichkeit
Beim nächsten mal - Antworte garnicht, du verschwendest meine Zeit
Beim nächsten mal - Antworte garnicht, du verschwendest meine Zeit
OK, gut dann vergiss alles was oben steht ! 
möchte jemand Popcorn?
1
So kurz vor dem Mittagessen? Da bekomme ich dann noch Ärger, wenn ich nachher nicht aufesse
Das hier:
Beißt sich aber mit dem hier:
Das hier:
Zitat von @144534:
Ich weiß was ich tue, ich brauche keine Belehrungen, ich bin mir die Risiken bewusst, aber dennoch danke für diese Worte.
Ich weiß was ich tue, ich brauche keine Belehrungen, ich bin mir die Risiken bewusst, aber dennoch danke für diese Worte.
Beißt sich aber mit dem hier:
1. Ich habe Admin Rechte(weil ich zur Administration gehöre, wenn auch Ich noch etwas unerfahren bin)
Beleidigt abgemeldet...
Gut dann kann der Beitrag wohl in Bibers berühmten "Rundordner".
Schade im die Zeit der Tipperei die man für solche Leute investiert ! ;-(
Gut dann kann der Beitrag wohl in Bibers berühmten "Rundordner".
Schade im die Zeit der Tipperei die man für solche Leute investiert ! ;-(
Ist heute nicht erst Dienstag ?
1
Ja, leider
Es gibt halt Leute die sind entweder zu Unerfahren um das Freitags-Special zu erkennen oder ggf. auch einfach etwas langsamer und brauchen nen paar Tage um die Frage die sich Freitags gestellt hat eben zu Schreiben...
Zitat von @aqui:
Beleidigt abgemeldet...
Gut dann kann der Beitrag wohl in Bibers berühmten "Rundordner".
Schade im die Zeit der Tipperei die man für solche Leute investiert ! ;-(
Beleidigt abgemeldet...
Gut dann kann der Beitrag wohl in Bibers berühmten "Rundordner".
Schade im die Zeit der Tipperei die man für solche Leute investiert ! ;-(
Dir fehlt halt das Feingefühl, zwischen den Zeilen zu lesen. Dass das nix gibt mit Ihm konnte man doch schon nach dem Eingangspost rauslesen
Üben üben! Du schaffst das schon noch.
Tja - oder alternativ hat er es geschafft seine Fritte zum laufen zu bringen und der Chef war doch nich ganz einverstanden... Keine Ahnung ob die Rechner aufm Arbeitsamt auch dieses Forum freigeschaltet haben :D
Cool,
da fragt er nach Hilfe bezüglich Routing vom Firmennetz aus ins Heimnetz, bekommt diese sogar und ist beleidigt.
Ob da wirklich alles so abgesprochen ist, wie er behauptet hat??? Glaub ich bin jetzt mal ruhig
da fragt er nach Hilfe bezüglich Routing vom Firmennetz aus ins Heimnetz, bekommt diese sogar und ist beleidigt.
Ob da wirklich alles so abgesprochen ist, wie er behauptet hat??? Glaub ich bin jetzt mal ruhig
Bei seinem Kommentar "Ich weiß was ich tue" hats mich dahingerafft...
Aber Respekt an aqui, dass er es trotzdem noch versucht hat. *Daumen hoch*
Aber Respekt an aqui, dass er es trotzdem noch versucht hat. *Daumen hoch*
Aber Respekt an aqui, dass er es trotzdem noch versucht hat. *Daumen hoch*
Definitiv, das hat Respekt verdient.
Ganz schön eingebildet - jetzt stell dir mal vor: ich hätte einfach ein paar informationen... ausgelassen oder was anderes erzählt, aber die gleiche >technische situation ist gleich geblieben - Ehre - LOL - dir hätte ich nen Bären aufgebrummt, dank mir lieber für meine Ehrlichkeit
Bei dem kam ich aus dem Kopfschütteln nicht mehr raus, vor allem kapieren tu ich es bis heute nicht
Definitiv, das hat Respekt verdient.
Danke für die Blumen !