clusterwork
Goto Top

NAT Portforwarded VPN

Hallo zusammen!

Ich möchte zwei Standorte per VPN verbinden. Die Firewalls können keine DNS Adressen auflösen, was das Setting kompliziert macht.

Je Standort habe ich eine Firewall, einen MikroTiK Router und eine ISP Fritzbox.
Die Fritzbox hat eine DDNS Adresse. Per Portforwarding werden die Pakete an den MikroTiK Router weitergeleitet.
Den MikroTiK Router nutze ich um die Pakete per DST-NAT an die DynDNS Adresse der Fritzbox weiterzuleiten.
Die Firewall baut eine UDP-encapsulated VPN auf (mit NAT-T).

Also grob ist der Weg: Firewall 1 schickt die UDP encapsuleted Pakete (mit Port) an die Adresse der Firewall 2. Per Route kommen die Pakete an der MikroTiK 1 an, dort wird die DST Adresse auf die DDNS Adresse der Fritzbox 2 umgeschrieben (DST-NATed). An der Fritzbox 2 geht's per Portforwarding weiter zur Firewall 2.

Funktioniert aber noch nicht ganz. Hat jemand eine Idee wie's funktionieren könnte?

Content-ID: 92129582514

Url: https://administrator.de/forum/nat-portforwarded-vpn-92129582514.html

Ausgedruckt am: 30.12.2024 um 17:12 Uhr

aqui
aqui 07.08.2024 aktualisiert um 23:10:03 Uhr
Goto Top
Die Beschreibung des Netzdesigns ist leider etwas wirr. Es ist nicht ganz klar wo die beiden Tunnelendpunkte liegen? Versteht man dich richtig sind das die beiden Firewalls. Nur das ist relevant für die Konfiguration. Leider fehlt hier die Information WER hier die VPN Responderseite ist und wer der Initiator ist. face-sad
Wenn auf beiden Seiten der Primärrouter, also der der den Provideranschluss bedient eine FRITZ!box ist halten diese immer die Peer IP Adressen bzw. DDNS Adressen. Die Tunnelpeer Adresse des Initiators muss also auf diese Adresse zeigen.
Unverständlich ist was diese eigentlich überflüssige 3er Kaskade soll bzw. wo da der tiefere Sinn für so ein Setup liegt.
Die weiterführenden Links des hiesigen VPN Site-TO-Site Tutorials haben diverse Praxis Konfigurationen für so ein Szenario. Ggf. wirst du dort fündig für eine Lösung.
Grundlagen beim IPsec Port Forwarding in Router Kaskaden, wie immer, HIER
Clusterwork
Clusterwork 08.08.2024, aktualisiert am 09.08.2024 um 14:30:43 Uhr
Goto Top
Danke für die Antwort!

Anbei das vereinfachte Netzdesign.

Knackpunkt ist, dass die VPN-Gateways nicht aufs Internet zugreifen können und somit auch nicht die DDNS Adressen auflösen. Dieses Problem versuche ich durch NAT-en an den MikroTiKs zu lösen.

Standort1 MikroTiK Regeln:
/ip firewall nat add chain=dstnat action=dst-nat dst-address=20.0.2.2 to-addresses=DDNS-IP(2) protocol=udp
/ip firewall nat add chain=srcnat action=src-nat src-address=20.0.1.2 to-addresses=DDNS-IP(1) protocol=udp

Entsprechend die Regeln an der MikroTiK am Standort2

Die DDNS-IPs werden durch ein Skript aufgelöst und korrekt in die Regeln eingefügt (habe ich überprüft)

An den Fritzboxen werden ESP und die UDP-Ports der VPN freigegeben (für die MikroTiK)

PS: Wenn ich von Fritzbox zu Fritzbox eine VPN aufbaue und dann die "airgapped" VPN durch die Fritzbox VPN schicke funktioniert es - Ist natürlich extremer Overhead und nur ein Test ob sonst alles funktioniert.

Habe auch überlegt ob ich einen IPIP-Tunnel von MikroTiK zu MikroTiK machen kann - geht aber nicht, da IPIP-Tunnel keine Ports unterstützen die weitergeleitet werden können... Gibt es Alternativen, dass man sozusagen zwei Standort-Netze übers Internet verbinden kann ohne den VPN - Verschlüsselungsoverhead.
viragomann
viragomann 08.08.2024 um 18:28:20 Uhr
Goto Top
Gibt es Alternativen, dass man sozusagen zwei Standort-Netze übers Internet verbinden kann ohne den VPN - Verschlüsselungsoverhead.

Generic Routing Encapsulation

Fällt mir spontan ein. Gibt aber wohl noch weitere.

Grüße
CapFloor
CapFloor 08.08.2024 um 21:14:00 Uhr
Goto Top
Hi,

für eine unverschlüsselte Layer 2 Verbindung zwischen den beiden MTs kannst du natürlich auch VXLAN verwenden.

VG
aqui
aqui 20.08.2024 um 14:42:37 Uhr
Goto Top
Wenn es das denn nun war bitte nicht vergessen deinen Thread dann auch als erledigt zu schliessen!
Wie kann ich einen Beitrag als gelöst markieren?