20
Netzwerk Routing und VPN zwischen zwei Standorten
Hallo zusammen,
ich stehe gerade vor einem Problem, bei dem ich leider nicht weiter komme und wollte hier um paar Ratschläge bitten.
Mein Vater ist Selbstständig und hat seit kurzem eine zweite Filiale und ich soll nun das Netzwerk dafür einrichten.
Um unseren Netzwerkaufbau zu verdeutlichen, habe ich kurz versucht es grob auf zu zeichnen.
Wir haben bei uns Zuhause, eine Fritzbox, in der ist ein Router (Turris Omnia) welcher unser Netzwerk aufteilt in Gast/Privat/Firma (aus Sicherheitsgründen).
Um an beiden Standorten die Telefonie mit der gleichen Nummer zu ermöglichen, habe ich bereits einen Lan to Lan VPN Tunnel erstellt (So heißt das zumindest in der FritzBox, das ist vermutlich ein Site to Site VPN). Dieser Funktioniert soweit, den die FritzBox2 agiert als Telefonie Client der Fritzbox1 und das Pingen in das jeweils andere Netz klappt auch.
Nun stehe ich vor dem Problem, das von dem Standort2 aus der Server und der Drucker erreicht werden sollen und aus unserem "Firmennetzwerk" im Turris soll der Drucker am Standort2 erreicht werden können.
Zuerst dachte ich daran, per Portweiterleitung/Statischen Routen es durch zu routen. Hat leider bis jetzt nach einigen Versuchen noch nicht geklappt, deshalb zu meiner ersten Frage, ist das Möglich bzw. wie ermöglicht man das am besten?
Zweite Idee von mir war, einen weiteren Site to Site VPN Tunnel zwischen denn beiden Netzen?
Grund warum ich diese beiden Lösungen bevorzugen würde ist, das es Anwenderfreundlicher ist. Denn einmal eingerichtet wird der Server immer über dieselbe IP Adresse erreicht
Das ist deshalb wichtig, denn ein Laptop wird voraussichtlich an beiden Standorten benutzt, also soll dieser sowohl in dem "Firmennetzwerk" als auch im Netzwerk an Standort2 den Server erreichen könne ohne etwas umzustellen.
Natürlich wäre ein "normaler" VPN mit einem VPN Server im Firmennetzwerk und auf jedem PC ein Client auch eine Möglichkeit, da sehe ich nur das Problem, das erstens
- der Drucker an Standort2 nicht erreicht wird wofür dann ein weiter VPN Server in diesem Netzwerk nötig ist.
und zweitens
- Der Hauptanwender der ganzen Sache ist meine Mutter, und wenn sich der PC aus welchem Grund auch immer mal nicht mit dem VPN Server verbindet dann werde ich sofort angerufen warum es nicht funktioniert. Deshalb soll das ganze so Anwenderfreundlich wie möglich sein.
Sehe ich das Richtig, das dass aktuell meine einzigen Optionen sind, oder hat jemand noch eine andere Idee?
Ich hoffe auf etwas Rat, da ich leider im Thema Netzwerktechnik etwas unerfahren bin und nicht die Zeit habe mich ihn jede Möglichkeit einzulesen, da dass ganze am Montag funktionieren soll.
Vielen Dank im Voraus schonmal
Grüße Matthias
ich stehe gerade vor einem Problem, bei dem ich leider nicht weiter komme und wollte hier um paar Ratschläge bitten.
Mein Vater ist Selbstständig und hat seit kurzem eine zweite Filiale und ich soll nun das Netzwerk dafür einrichten.
Um unseren Netzwerkaufbau zu verdeutlichen, habe ich kurz versucht es grob auf zu zeichnen.
Wir haben bei uns Zuhause, eine Fritzbox, in der ist ein Router (Turris Omnia) welcher unser Netzwerk aufteilt in Gast/Privat/Firma (aus Sicherheitsgründen).
Um an beiden Standorten die Telefonie mit der gleichen Nummer zu ermöglichen, habe ich bereits einen Lan to Lan VPN Tunnel erstellt (So heißt das zumindest in der FritzBox, das ist vermutlich ein Site to Site VPN). Dieser Funktioniert soweit, den die FritzBox2 agiert als Telefonie Client der Fritzbox1 und das Pingen in das jeweils andere Netz klappt auch.
Nun stehe ich vor dem Problem, das von dem Standort2 aus der Server und der Drucker erreicht werden sollen und aus unserem "Firmennetzwerk" im Turris soll der Drucker am Standort2 erreicht werden können.
Zuerst dachte ich daran, per Portweiterleitung/Statischen Routen es durch zu routen. Hat leider bis jetzt nach einigen Versuchen noch nicht geklappt, deshalb zu meiner ersten Frage, ist das Möglich bzw. wie ermöglicht man das am besten?
Zweite Idee von mir war, einen weiteren Site to Site VPN Tunnel zwischen denn beiden Netzen?
Grund warum ich diese beiden Lösungen bevorzugen würde ist, das es Anwenderfreundlicher ist. Denn einmal eingerichtet wird der Server immer über dieselbe IP Adresse erreicht
Das ist deshalb wichtig, denn ein Laptop wird voraussichtlich an beiden Standorten benutzt, also soll dieser sowohl in dem "Firmennetzwerk" als auch im Netzwerk an Standort2 den Server erreichen könne ohne etwas umzustellen.
Natürlich wäre ein "normaler" VPN mit einem VPN Server im Firmennetzwerk und auf jedem PC ein Client auch eine Möglichkeit, da sehe ich nur das Problem, das erstens
- der Drucker an Standort2 nicht erreicht wird wofür dann ein weiter VPN Server in diesem Netzwerk nötig ist.
und zweitens
- Der Hauptanwender der ganzen Sache ist meine Mutter, und wenn sich der PC aus welchem Grund auch immer mal nicht mit dem VPN Server verbindet dann werde ich sofort angerufen warum es nicht funktioniert. Deshalb soll das ganze so Anwenderfreundlich wie möglich sein.
Sehe ich das Richtig, das dass aktuell meine einzigen Optionen sind, oder hat jemand noch eine andere Idee?
Ich hoffe auf etwas Rat, da ich leider im Thema Netzwerktechnik etwas unerfahren bin und nicht die Zeit habe mich ihn jede Möglichkeit einzulesen, da dass ganze am Montag funktionieren soll.
Vielen Dank im Voraus schonmal
Grüße Matthias
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 618016
Url: https://administrator.de/contentid/618016
Printed on: April 23, 2024 at 14:04 o'clock
20 Comments
Latest comment
Welcher Router hängt hat die direkte Verbindung zum Internet? Die Fritzbox oder der Turris?
Ist auf dem Turris NAT aktiv? Kann man dieses abschalten? Wenn NAT abgeschaltet ist, sind entsprechende statische Routen von der Fritzbox zum Turris angelegt worden?
Ist auf dem Turris NAT aktiv? Kann man dieses abschalten? Wenn NAT abgeschaltet ist, sind entsprechende statische Routen von der Fritzbox zum Turris angelegt worden?
Die FritzBox hat eine direkte Verbindung zum Internet.
Auf dem Turris ist NAT aktiv ja, und man kann es auch abschalten. habe gerade kurz nachgesehen was das macht, da ich davor noch nichts davon gehört habe.
Wenn ich es abschalte, wie kann ich das Verstehen. werden dann alle IP Adressen an die Fritzbox weiter gegeben?
Auf dem Turris ist NAT aktiv ja, und man kann es auch abschalten. habe gerade kurz nachgesehen was das macht, da ich davor noch nichts davon gehört habe.
Wenn ich es abschalte, wie kann ich das Verstehen. werden dann alle IP Adressen an die Fritzbox weiter gegeben?
Wenn du NAT abschaltest, macht die Fritzbox das NAT. Aber mit aktivem NAT auf dem Turris wird deine Konstruktion unnötig schwer. Und es werden keine IP-Adressen weitergegeben, sondern dann ist der Turris erst ein richtiger Router, so wie der Begriff Router früher mal vorgesehen war.
Du solltest dich nur mit der Firewall beschäftigen, da diese Pseudo-NAT-Firewall, die gar keine ist sondern immer nur so dargestellt wird, dann eben nicht mehr existiert.
Du solltest dich nur mit der Firewall beschäftigen, da diese Pseudo-NAT-Firewall, die gar keine ist sondern immer nur so dargestellt wird, dann eben nicht mehr existiert.
Du musst den Fritzboxen eine Konfig Datei mit den weiteren Netzen hochladen. Damit die Boxen den Traffic in die Tunnel stecken und nicht verwerfen.
Natürlich muss lokal das Routing stimmen. Auf zweit NATer pro Site bevorzugt verzichten.
Natürlich muss lokal das Routing stimmen. Auf zweit NATer pro Site bevorzugt verzichten.
okay ja, habe es gestern mit abgeschaltetem NAT am Turris versucht, leider hatte ich mit deaktivierten NAT keine Internetverbindung mehr?
Die FritzBox gibt dem Turris ja auch ne IP Adresse, dann muss ich da auch etwas umstellen oder?
Die FritzBox gibt dem Turris ja auch ne IP Adresse, dann muss ich da auch etwas umstellen oder?
Du musst alle IP-Netzwerke, die am Turris anliegen, in der Fritzbox als statische Route angeben.
Ah okay ja das funktioniert jetzt, wenn ich jetzt die IP Adresse des Servers anpinge, bekomme ich die Meldung Zeitüberschreitung bei der Anforderung.
Mit dem befehl tracert -d IPAdressedesServers routet er zur fritzbox, diese zum Turris und dann erhalte ich IPAdressedesServers meldet: Zielprotokoll nicht erreichbar.
Habe versucht die Firewall auf dem Server zu deaktivieren, dann kommt jedoch weiterhin dieselbe Fehlermeldung? Da sich aber die IP Adresse des Servers zurückmeldet vermute ich, das das Routing funktioniert? muss ich noch bestimmte Ports öffnen?
Mit dem befehl tracert -d IPAdressedesServers routet er zur fritzbox, diese zum Turris und dann erhalte ich IPAdressedesServers meldet: Zielprotokoll nicht erreichbar.
Habe versucht die Firewall auf dem Server zu deaktivieren, dann kommt jedoch weiterhin dieselbe Fehlermeldung? Da sich aber die IP Adresse des Servers zurückmeldet vermute ich, das das Routing funktioniert? muss ich noch bestimmte Ports öffnen?
Du musst in der FritzBox eine zweite IPsec Phase 2 SA eintragen um das Firmennetz zu erreichen.
AVM hat ein fertiges HowTo dafür wie man es macht:
https://avm.de/service/vpn/praxis-tipps/mit-fritzfernzugang-auf-mehrere- ...
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
AVM hat ein fertiges HowTo dafür wie man es macht:
https://avm.de/service/vpn/praxis-tipps/mit-fritzfernzugang-auf-mehrere- ...
wenn ich jetzt die IP Adresse des Servers anpinge, bekomme ich die Meldung Zeitüberschreitung bei der Anforderung.
Wenn das Windows ist dann ist ICMP (Ping) im Default deaktiviert ! Das musst du erst in der Windows Firewall erlauben damit du Pingen kannst.https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Zitat von @aqui:
Du musst in der FritzBox eine zweite IPsec Phase 2 SA eintragen um das Firmennetz zu erreichen.
AVM hat ein fertiges HowTo dafür wie man es macht:
https://avm.de/service/vpn/praxis-tipps/mit-fritzfernzugang-auf-mehrere- ...
Du musst in der FritzBox eine zweite IPsec Phase 2 SA eintragen um das Firmennetz zu erreichen.
AVM hat ein fertiges HowTo dafür wie man es macht:
https://avm.de/service/vpn/praxis-tipps/mit-fritzfernzugang-auf-mehrere- ...
ja das habe ich eingerichtet. Das funktioniert denke ich soweit auch.
muss man für den Zugriff auf das Netzlaufwerk von dem Server über die statische Route vom Standort2 am Server noch irgendwas freigeben? denn dabei bekomme ich folgende Fehlermeldung
muss man für den Zugriff auf das Netzlaufwerk von dem Server über die statische Route vom Standort2 am Server noch irgendwas freigeben?
Nein, muss man nicht.Statische Routen sind nicht erforderlich weil der Router beim IPsec Tunnelaufbau die Routen aus den Phase 2 SAs immer automatisch anlegt. Statische Routen sind da überflüssig.
denn dabei bekomme ich folgende Fehlermeldung
Du versuchst einen SMB/CIFS Zugriff auf ein freies Share im remoten Netz.Das blockiert bekanntlich die Windows Firewall wieder im Default weil die Absender IP Adresse fremd ist (VPN). Zugriffe lässt die Windows Firewall im Default nur aus dem lokalen Netz zu.
Solche Binsenweisheiten kennt man aber als Winblows Knecht...!
Fazit:
Firewall mit besonderer Sicherheit im Suchfeld eingeben und dort unter "Datei- und Druckerfreigabe" Die IP Absender Adressierungsrange auf "Beliebig" oder (etwas sicherer) die remote Netzadresse angeben.
Dann klappt es auch mit dem Zugriff...
1
Der PC ist ja nicht direkt über VPN verbunden?
die beiden Fritz Boxen sind per VPN verbunden, der PC befindet sich an standort2 und der Server im Turris? wie kommt dann das Netzlaufwerk durch den Turris?
die beiden Fritz Boxen sind per VPN verbunden, der PC befindet sich an standort2 und der Server im Turris? wie kommt dann das Netzlaufwerk durch den Turris?
Zeig Mal die Traceroute.
192.168.20.1 ist die IP Adresse des Routers an Standort2
192.168.1.155 ist die IP Adresse des Servers, die er vom Turris bekommen hat.
Den Hinweis von Kollege aqui hast du geprüft?
eine Frage noch Wie sicher ist das ganze Netzwerk mit abgeschaltetem NAT?
Also die Netzwerktrennung und vor allem das Firmennetzwerk?
Also die Netzwerktrennung und vor allem das Firmennetzwerk?
Zitat von @142583:
Den Hinweis von Kollege aqui hast du geprüft?
Den Hinweis von Kollege aqui hast du geprüft?
ja und habe es auch mit deaktivierter Firewall versucht, funktioniert trotzdem nicht.
Der erste NAT ist ja noch da und das doppelte NAT schon keine Sicherheit gebracht.
NAT ist kein Sicherheitsfeature.
Ohne die Konfig des NATs zu kennen, ist die Diskussion sowieso belanglos.
Wichtig ist dass mindestens SPI arbeitet, und das ist eine halbwegs gesunde Unterscheidung in die Zustände von TCP bzw. UDP Verbindungen gibt und deren Beendigung bzw Aufrechterhaltung.
Wenn man sich dann um Sicherheit Sorgen macht, dann sollte man vielleicht sich nicht alleine auf die Wirkungsweise eines Routers oder NATers beschränken.
Bist du denn der Meinung dass eine entsprechen konfigurierte Firewall in deinem konkreten Fall überhaupt zusätzliche Sicherheit gewährleisten kann?
NAT ist kein Sicherheitsfeature.
Ohne die Konfig des NATs zu kennen, ist die Diskussion sowieso belanglos.
Wichtig ist dass mindestens SPI arbeitet, und das ist eine halbwegs gesunde Unterscheidung in die Zustände von TCP bzw. UDP Verbindungen gibt und deren Beendigung bzw Aufrechterhaltung.
Wenn man sich dann um Sicherheit Sorgen macht, dann sollte man vielleicht sich nicht alleine auf die Wirkungsweise eines Routers oder NATers beschränken.
Bist du denn der Meinung dass eine entsprechen konfigurierte Firewall in deinem konkreten Fall überhaupt zusätzliche Sicherheit gewährleisten kann?
Zitat von @Kainze:
ja und habe es auch mit deaktivierter Firewall versucht, funktioniert trotzdem nicht.
Zitat von @142583:
Den Hinweis von Kollege aqui hast du geprüft?
Den Hinweis von Kollege aqui hast du geprüft?
ja und habe es auch mit deaktivierter Firewall versucht, funktioniert trotzdem nicht.
Die Traceroute sieht auch etwas merkwürdig aus.
Kann ein am entfernten Standort angeschlossen auch client durch den Router hinweg überhaupt auf das SMB des Servers zugreifen? Sprich Patch dich mal an die Fritzbox und versuche den Zugriff.
Der Turris trennt ja unser Netzwerk.
Das Private Netzwerk ist ja getrennt vom Firmennetzwerk genauso wie das Gastnetzwerk.
und das funktioniert mit deaktiviertem NAT ja nicht mehr.
Das Private Netzwerk ist ja getrennt vom Firmennetzwerk genauso wie das Gastnetzwerk.
und das funktioniert mit deaktiviertem NAT ja nicht mehr.
Hast du nicht gesagt dass du ihn auf Routing umgestellt hast und der Fritzbox verraten hast welche Netze dort, also hinter dem Router, zu finden sind?
