NAT Portforwarded VPN
Hallo zusammen!
Ich möchte zwei Standorte per VPN verbinden. Die Firewalls können keine DNS Adressen auflösen, was das Setting kompliziert macht.
Je Standort habe ich eine Firewall, einen MikroTiK Router und eine ISP Fritzbox.
Die Fritzbox hat eine DDNS Adresse. Per Portforwarding werden die Pakete an den MikroTiK Router weitergeleitet.
Den MikroTiK Router nutze ich um die Pakete per DST-NAT an die DynDNS Adresse der Fritzbox weiterzuleiten.
Die Firewall baut eine UDP-encapsulated VPN auf (mit NAT-T).
Also grob ist der Weg: Firewall 1 schickt die UDP encapsuleted Pakete (mit Port) an die Adresse der Firewall 2. Per Route kommen die Pakete an der MikroTiK 1 an, dort wird die DST Adresse auf die DDNS Adresse der Fritzbox 2 umgeschrieben (DST-NATed). An der Fritzbox 2 geht's per Portforwarding weiter zur Firewall 2.
Funktioniert aber noch nicht ganz. Hat jemand eine Idee wie's funktionieren könnte?
Ich möchte zwei Standorte per VPN verbinden. Die Firewalls können keine DNS Adressen auflösen, was das Setting kompliziert macht.
Je Standort habe ich eine Firewall, einen MikroTiK Router und eine ISP Fritzbox.
Die Fritzbox hat eine DDNS Adresse. Per Portforwarding werden die Pakete an den MikroTiK Router weitergeleitet.
Den MikroTiK Router nutze ich um die Pakete per DST-NAT an die DynDNS Adresse der Fritzbox weiterzuleiten.
Die Firewall baut eine UDP-encapsulated VPN auf (mit NAT-T).
Also grob ist der Weg: Firewall 1 schickt die UDP encapsuleted Pakete (mit Port) an die Adresse der Firewall 2. Per Route kommen die Pakete an der MikroTiK 1 an, dort wird die DST Adresse auf die DDNS Adresse der Fritzbox 2 umgeschrieben (DST-NATed). An der Fritzbox 2 geht's per Portforwarding weiter zur Firewall 2.
Funktioniert aber noch nicht ganz. Hat jemand eine Idee wie's funktionieren könnte?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 92129582514
Url: https://administrator.de/forum/nat-portforwarded-vpn-92129582514.html
Ausgedruckt am: 30.12.2024 um 17:12 Uhr
5 Kommentare
Neuester Kommentar
Die Beschreibung des Netzdesigns ist leider etwas wirr. Es ist nicht ganz klar wo die beiden Tunnelendpunkte liegen? Versteht man dich richtig sind das die beiden Firewalls. Nur das ist relevant für die Konfiguration. Leider fehlt hier die Information WER hier die VPN Responderseite ist und wer der Initiator ist.
Wenn auf beiden Seiten der Primärrouter, also der der den Provideranschluss bedient eine FRITZ!box ist halten diese immer die Peer IP Adressen bzw. DDNS Adressen. Die Tunnelpeer Adresse des Initiators muss also auf diese Adresse zeigen.
Unverständlich ist was diese eigentlich überflüssige 3er Kaskade soll bzw. wo da der tiefere Sinn für so ein Setup liegt.
Die weiterführenden Links des hiesigen VPN Site-TO-Site Tutorials haben diverse Praxis Konfigurationen für so ein Szenario. Ggf. wirst du dort fündig für eine Lösung.
Grundlagen beim IPsec Port Forwarding in Router Kaskaden, wie immer, HIER
Wenn auf beiden Seiten der Primärrouter, also der der den Provideranschluss bedient eine FRITZ!box ist halten diese immer die Peer IP Adressen bzw. DDNS Adressen. Die Tunnelpeer Adresse des Initiators muss also auf diese Adresse zeigen.
Unverständlich ist was diese eigentlich überflüssige 3er Kaskade soll bzw. wo da der tiefere Sinn für so ein Setup liegt.
Die weiterführenden Links des hiesigen VPN Site-TO-Site Tutorials haben diverse Praxis Konfigurationen für so ein Szenario. Ggf. wirst du dort fündig für eine Lösung.
Grundlagen beim IPsec Port Forwarding in Router Kaskaden, wie immer, HIER
Gibt es Alternativen, dass man sozusagen zwei Standort-Netze übers Internet verbinden kann ohne den VPN - Verschlüsselungsoverhead.
Generic Routing Encapsulation
Fällt mir spontan ein. Gibt aber wohl noch weitere.
Grüße
Wenn es das denn nun war bitte nicht vergessen deinen Thread dann auch als erledigt zu schliessen!
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?