c3r3br0
Goto Top

Konfiguration unseres LAN, WAN, VPN am Aussenstandort Wunderland. 3 mögliche Szenarien...

Hallo zusammen

Wir wollen bei uns eine neue Firewall konfigurieren, was mir noch ein wenig Kopfzerbrechen bearbeitet und zwar habe ich mir folgende Szenerien ausgedacht, dessen Vor- und Nachteile ich nicht abzuwägen weiss. Könnt ihr mir mit eurem Rat weiterhelfen?

Szenario 1 - bestehendes Szenario am Aussenstandort "Wunderland" (k.A. wer das mal eingerichtet hat und weshalb das so funktioniert hat):

80.128.100.100 (WAN) <--> Modem (PPPoE): 192.168.5.1/22 (Gateway) <--> Firewall: 192.168.5.2/22 (Gateway) <--> Clients: 192.168.7.0 - 30/24 (DHCP von Firewall)

Problem: Am Aussenstandort mussten wir die Firewall ersetzen und haben für die VPN-Verbindung (IPsec), die von der Firewall aufgebaut wird, die Konfiguration 1:1 übernommen. Leider ohne erfolg. Die Verbindung baut sich nicht mehr auf. Deshalb will ich im Zusammenhang mit dem neuen Firewallkonzept gleich auch den Netzaufbau am Aussenstandort "Wunderland" anpassen.


Szenario 2 - so denke ich müsste es richtig sein:

80.128.100.100 (WAN) <--> Modem (PPPoE): 192.168.0.1/24 (Gateway) <--> Firewall: 192.168.0.2/24 (Gateway) <--> Clients: 192.168.0.3 - 254/24 (DHCP von Firewall)


Szenario 3 - wir erhalten neu am Aussenstandort ein Businessinternetanschluss mit fixer IP und nun auch endlich einem Modem das bridgbar wäre. Daher wäre auch folgendes möglich:

80.128.100.100 (WAN) <--> Modem (Bidgemode): 80.128.100.100 (WAN) <--> Firewall (PPPoE): 192.168.0.1/24 (Gateway) <--> Clients: 192.168.0.1 - 254/24 (DHCP von Firewall)

Und kann es sein, dass es Firewalllösungen gibt, die kein PPPoE beherrschen? Fortigate D100 z.B.! Wie kann ich denn das Szenario 3 lösen? Szenario 3 kommt mir entgegen, da ich mir durch das Bridgen des Modems weniger Komplikationen mit dem IPsec-VPN Tunnel verspreche, welches sich von der Firewall des Aussenstandortes zu unserem Hauptstandort aufbaut.

Tausend Dank einmal mehr für euren Fachrat.

Grüsse

c3r3br0

Content-ID: 237948

Url: https://administrator.de/forum/konfiguration-unseres-lan-wan-vpn-am-aussenstandort-wunderland-3-moegliche-szenarien-237948.html

Ausgedruckt am: 22.12.2024 um 23:12 Uhr

108012
108012 15.05.2014 um 03:12:25 Uhr
Goto Top
Hallo,

Problem: Am Aussenstandort mussten wir die Firewall ersetzen
und haben für die VPN-Verbindung (IPsec), die von der Firewall
aufgebaut wird, die Konfiguration 1:1 übernommen. Leider ohne erfolg.
- Wurde dort mittels Zertifikaten gearbeitet?
- Bei dem Tausch des Routers ändern sich auch die MAC Adressen!
Sind da noch irgend welche Filter oder Firewallregeln die sich auf
die alten MAC Adressen beziehen?


...und nun auch endlich einem Modem das bridgbar wäre.
Einen Router bridged man damit er zu einem Modem wird bzw.
nur als Modem agiert und ein reines Modem muss man nicht
bridgen denn es ist ja nur ein Modem!!!

Und kann es sein, dass es Firewalllösungen gibt, die kein
PPPoE beherrschen?
Bestimmt sogar.

Fortigate D100 z.B.!
Das steht dann aber auch dort in der Bedienungsanleitung!

Szenario 3 kommt mir entgegen,
- Welche Firewalls nutzt Ihr denn auf allen Seiten für das VPN?
- Ist das auch wirklich "nur" ein Modem oder ein Router der im
so genannten "Bridged Modus" läuft!?

Normaler Weise ist VPN heute zu Tage kein großes Problem
mehr nur sollten wir hier schon ein paar Infos mehr von Dir erhalten
damit wir hier nicht im freien Fall weiter raten müssen.
- Was sind das für Modems bzw. Router
- Was ist dort konfiguriert?
- Was sind das für Provider?
- Habt Ihr nur feste also statische öffentliche Adressen oder arbeitet
Ihr auch mittels DynDNS oder NoIP.org?
- Was sind das für Firewalls?
- Was ist bei den Firewalls konfiguriert?
- Was sind noch für Switche mit im Spiel? Layer2 oder Layer3?

Gruß ♪
Dobby♬
aqui
aqui 15.05.2014 aktualisiert um 14:09:40 Uhr
Goto Top
80.128.100.100 (WAN) <--> Modem (PPPoE): 192.168.5.1/22 (Gateway)
Das geht so niemals, denn ein "Modem" kann NICHT routen, was hier in deiner Darstellung aber so beschrieben ist !

Dein vermeintliches "Modem" ist hier also ein NAT Router wenn deine obige Beschreibung technisch korrekt ist !!

die Konfiguration 1:1 übernommen. Leider ohne erfolg.
Komisch, eigentlich völlig unverständlich ?! Wenn man es richtig macht, die Basics beachtet funktioniert das fehlerlos auf Anhieb.
Hast du dir das hiesige, dazu passende IPsec Tutorial wirklich mal genau durchgelesen ??
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Kapitel: "Achtung bei Firewall im Router und Router Kaskade:"

Wenn man nur annähernd die Grundlagen dort beachtet ist das ein Kinderspiel einen IPsec Tunnel zum Fliegen zu bringen.
Vermutlich hast du wie so häufig hier vergessen auf deinem vermeintlichen "Modem" was hier aber ein NAT Router ist die IPsec relevanten Protokolle als da sind UDP 500, UDP 4500 und das ESP Protokoll mit der IP Nummer 50 (nein kein TCP oder UDP 50 !) auf den WAN Port der dahinter kaskadierten Firewall zu legen.
Ohne das kommt dann auch trotz noch so korrekter IPsec Konfiguration kein VPN zustande...logisch !
Besser also das "Modem" wäre ein wirkliches Modem und KEIN Router !
Dann hätte "Szenario 1" wunderbar und fehlerfrei funktioniert !

Szenario 2:
Wiederholung des Fehlers "Modem" Router hier. Und...
WASbitte sehr ist da der Unterschied zu "Szenario 1" abgesehen von der Tatsache das im Kaskadierungsnetz lediglich eine andere IP Adresse benutzt wird ?!
Für unterschiedliche Designs ist die IP Adressierung völlig Latte !
Folglich besteht keinerlei Unterschied zw. 1 und 2 bei dir !

Szenario 3:
Ahhhhh, endlich ist das Modem hier mal ein Modem !!
Ein Modem ist nämlich immer passiv und routet NICHT !
Vom Design her ist auch Szenario 3 vollkommen gleich wie 1 und 2 du beschreibst hier also überflüssigerweise immer das völlig gleiche Szenario !

Das was du nicht verstanden hast oder woran du scheiterst ist die Tatsache das es nur sehr sehr wenige Firewalls mit integriertem DSL Modem gibt.
PPPoE können sie durch die Bank alle !!
Der Knackpunkt für dich ist hier die technisch korrekte Bezeichnung Modem und Router die du hier laienhaft völlig vermischt.

Für deine Firewall benötigst du ein reines Modem. Also z.B. einen Speedport der im Setup auf PPPoE Passthrough gesetzt wurde oder eine Fritzbox die im Setup als reines Modem only konfiguriert wurde. Siehe auch hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Kapitel: "Installation und Betrieb" !

Ein Modem ist ein rein passiver Medienwandler der nur Ethernet Pakete auf DSL Framing wandelt aber kein Routing und schon gar kein NAT (IP Adress Translation) macht ! (NAT Firewall)

Ein Router davor statt eines reinen Modems bedeutet dann immer ein NAT bzw. durch die quasi Firewalling Funktion des NAT auch eine pseudo Firewall.
So ein Standard Kaskaden Szenario mit all seinen Nachteilen und Fallstricken beschreibt dieses Forums Tutorial in der "Alternative 2" :
Kopplung von 2 Routern am DSL Port

Für ein IPsec VPN ist so eine Router Kaskade immer tödlich, denn es erfordert immer eine zusätzliche Port Forwarding Konfiguration auf dem vorgeschalteten Router der obigen 3 Protokollports damit IPsec funktioniert.
90% aller Fehlerthreads hier im Forum behandeln dann das Fehlen diese Port Forwardings oder es werden durch Unwissen vollkommen falsche Ports geforwardet die mit IPsec nichts zu tun haben.
Sowas haben wir hier mindestens ein bis zwei mal wöchentlich....
Ersetzt man den Router durch ein wirkliches "Nur Modem" entledigt man sich all dieser Probleme !

Wenn du das beachtest wird jedes deiner Szenarien sofort und auf Anhieb fehlerfrei funktionieren. Du bist vermutlich aus Unwissenheit in all die Fehler getappt die solche Kaskaden im VPN Umfeld mit sich bringen ?!
Sinnvoll als HW sind also hier kleine Firewalls mit einem "NUR Modem" am WAN Port:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
oder eben gleich ein Router inklusive xDSL Modem und SPI Firewall wo du dann alles in einem einzigen Gerät hast:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Lancom, Funkwerk etc. sind ähnlich.