5
NAT Portforwarded VPN
Hallo zusammen!
Ich möchte zwei Standorte per VPN verbinden. Die Firewalls können keine DNS Adressen auflösen, was das Setting kompliziert macht.
Je Standort habe ich eine Firewall, einen MikroTiK Router und eine ISP Fritzbox.
Die Fritzbox hat eine DDNS Adresse. Per Portforwarding werden die Pakete an den MikroTiK Router weitergeleitet.
Den MikroTiK Router nutze ich um die Pakete per DST-NAT an die DynDNS Adresse der Fritzbox weiterzuleiten.
Die Firewall baut eine UDP-encapsulated VPN auf (mit NAT-T).
Also grob ist der Weg: Firewall 1 schickt die UDP encapsuleted Pakete (mit Port) an die Adresse der Firewall 2. Per Route kommen die Pakete an der MikroTiK 1 an, dort wird die DST Adresse auf die DDNS Adresse der Fritzbox 2 umgeschrieben (DST-NATed). An der Fritzbox 2 geht's per Portforwarding weiter zur Firewall 2.
Funktioniert aber noch nicht ganz. Hat jemand eine Idee wie's funktionieren könnte?
Ich möchte zwei Standorte per VPN verbinden. Die Firewalls können keine DNS Adressen auflösen, was das Setting kompliziert macht.
Je Standort habe ich eine Firewall, einen MikroTiK Router und eine ISP Fritzbox.
Die Fritzbox hat eine DDNS Adresse. Per Portforwarding werden die Pakete an den MikroTiK Router weitergeleitet.
Den MikroTiK Router nutze ich um die Pakete per DST-NAT an die DynDNS Adresse der Fritzbox weiterzuleiten.
Die Firewall baut eine UDP-encapsulated VPN auf (mit NAT-T).
Also grob ist der Weg: Firewall 1 schickt die UDP encapsuleted Pakete (mit Port) an die Adresse der Firewall 2. Per Route kommen die Pakete an der MikroTiK 1 an, dort wird die DST Adresse auf die DDNS Adresse der Fritzbox 2 umgeschrieben (DST-NATed). An der Fritzbox 2 geht's per Portforwarding weiter zur Firewall 2.
Funktioniert aber noch nicht ganz. Hat jemand eine Idee wie's funktionieren könnte?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-ID: 92129582514
Url: https://administrator.de/contentid/92129582514
Printed on: September 1, 2024 at 02:09 o'clock
5 Comments
Latest comment
Die Beschreibung des Netzdesigns ist leider etwas wirr. Es ist nicht ganz klar wo die beiden Tunnelendpunkte liegen? Versteht man dich richtig sind das die beiden Firewalls. Nur das ist relevant für die Konfiguration. Leider fehlt hier die Information WER hier die VPN Responderseite ist und wer der Initiator ist. 
Wenn auf beiden Seiten der Primärrouter, also der der den Provideranschluss bedient eine FRITZ!box ist halten diese immer die Peer IP Adressen bzw. DDNS Adressen. Die Tunnelpeer Adresse des Initiators muss also auf diese Adresse zeigen.
Unverständlich ist was diese eigentlich überflüssige 3er Kaskade soll bzw. wo da der tiefere Sinn für so ein Setup liegt.
Die weiterführenden Links des hiesigen VPN Site-TO-Site Tutorials haben diverse Praxis Konfigurationen für so ein Szenario. Ggf. wirst du dort fündig für eine Lösung.
Grundlagen beim IPsec Port Forwarding in Router Kaskaden, wie immer, HIER
Wenn auf beiden Seiten der Primärrouter, also der der den Provideranschluss bedient eine FRITZ!box ist halten diese immer die Peer IP Adressen bzw. DDNS Adressen. Die Tunnelpeer Adresse des Initiators muss also auf diese Adresse zeigen.
Unverständlich ist was diese eigentlich überflüssige 3er Kaskade soll bzw. wo da der tiefere Sinn für so ein Setup liegt.
Die weiterführenden Links des hiesigen VPN Site-TO-Site Tutorials haben diverse Praxis Konfigurationen für so ein Szenario. Ggf. wirst du dort fündig für eine Lösung.
Grundlagen beim IPsec Port Forwarding in Router Kaskaden, wie immer, HIER
Danke für die Antwort!
Anbei das vereinfachte Netzdesign.
Knackpunkt ist, dass die VPN-Gateways nicht aufs Internet zugreifen können und somit auch nicht die DDNS Adressen auflösen. Dieses Problem versuche ich durch NAT-en an den MikroTiKs zu lösen.
Standort1 MikroTiK Regeln:
/ip firewall nat add chain=dstnat action=dst-nat dst-address=20.0.2.2 to-addresses=DDNS-IP(2) protocol=udp
/ip firewall nat add chain=srcnat action=src-nat src-address=20.0.1.2 to-addresses=DDNS-IP(1) protocol=udp
Entsprechend die Regeln an der MikroTiK am Standort2
Die DDNS-IPs werden durch ein Skript aufgelöst und korrekt in die Regeln eingefügt (habe ich überprüft)
An den Fritzboxen werden ESP und die UDP-Ports der VPN freigegeben (für die MikroTiK)
PS: Wenn ich von Fritzbox zu Fritzbox eine VPN aufbaue und dann die "airgapped" VPN durch die Fritzbox VPN schicke funktioniert es - Ist natürlich extremer Overhead und nur ein Test ob sonst alles funktioniert.
Habe auch überlegt ob ich einen IPIP-Tunnel von MikroTiK zu MikroTiK machen kann - geht aber nicht, da IPIP-Tunnel keine Ports unterstützen die weitergeleitet werden können... Gibt es Alternativen, dass man sozusagen zwei Standort-Netze übers Internet verbinden kann ohne den VPN - Verschlüsselungsoverhead.
Anbei das vereinfachte Netzdesign.
Knackpunkt ist, dass die VPN-Gateways nicht aufs Internet zugreifen können und somit auch nicht die DDNS Adressen auflösen. Dieses Problem versuche ich durch NAT-en an den MikroTiKs zu lösen.
Standort1 MikroTiK Regeln:
/ip firewall nat add chain=dstnat action=dst-nat dst-address=20.0.2.2 to-addresses=DDNS-IP(2) protocol=udp
/ip firewall nat add chain=srcnat action=src-nat src-address=20.0.1.2 to-addresses=DDNS-IP(1) protocol=udp
Entsprechend die Regeln an der MikroTiK am Standort2
Die DDNS-IPs werden durch ein Skript aufgelöst und korrekt in die Regeln eingefügt (habe ich überprüft)
An den Fritzboxen werden ESP und die UDP-Ports der VPN freigegeben (für die MikroTiK)
PS: Wenn ich von Fritzbox zu Fritzbox eine VPN aufbaue und dann die "airgapped" VPN durch die Fritzbox VPN schicke funktioniert es - Ist natürlich extremer Overhead und nur ein Test ob sonst alles funktioniert.
Habe auch überlegt ob ich einen IPIP-Tunnel von MikroTiK zu MikroTiK machen kann - geht aber nicht, da IPIP-Tunnel keine Ports unterstützen die weitergeleitet werden können... Gibt es Alternativen, dass man sozusagen zwei Standort-Netze übers Internet verbinden kann ohne den VPN - Verschlüsselungsoverhead.
Gibt es Alternativen, dass man sozusagen zwei Standort-Netze übers Internet verbinden kann ohne den VPN - Verschlüsselungsoverhead.
Generic Routing Encapsulation
Fällt mir spontan ein. Gibt aber wohl noch weitere.
Grüße
Hi,
für eine unverschlüsselte Layer 2 Verbindung zwischen den beiden MTs kannst du natürlich auch VXLAN verwenden.
VG
für eine unverschlüsselte Layer 2 Verbindung zwischen den beiden MTs kannst du natürlich auch VXLAN verwenden.
VG
1
Wenn es das denn nun war bitte nicht vergessen deinen Thread dann auch als erledigt zu schliessen!
How can I mark a post as solved?
How can I mark a post as solved?
