Open VPN hinter NAT im flachen Netzwerk möglich?
Hallo,
aktuell ist bei dem Kunden alles wie es soll.
PFsense mit LAN (10.1.1.1) und WAN per PPPoE und fester IP.
VPN mit OpenVPN funktioniert prima.
Nun soll/muss/soll die Fritz!Box des Anbieters verwendet werden und für eine bestimmte Software muss diese im gleichen Netzwerk wie die PCs sein.
(Es sind nur 1 NAS und 5 PCs sowie 2 Personen mit NB die OpenVPN nutzen)
Kann ich die PFsense 2x mit dem LAN verbinden?
LAN = 10.1.1.2
WAN = 10.1.1.3 (hier kommt die Portweiterleitung für OpenPVN 1194 UDP an)
mit NAT im VPN könnte ich mir das glatt vorstellen dass das geht.
Oder gar nur einen Port?
Aber geht es wirklich?
Danke
aktuell ist bei dem Kunden alles wie es soll.
PFsense mit LAN (10.1.1.1) und WAN per PPPoE und fester IP.
VPN mit OpenVPN funktioniert prima.
Nun soll/muss/soll die Fritz!Box des Anbieters verwendet werden und für eine bestimmte Software muss diese im gleichen Netzwerk wie die PCs sein.
(Es sind nur 1 NAS und 5 PCs sowie 2 Personen mit NB die OpenVPN nutzen)
Kann ich die PFsense 2x mit dem LAN verbinden?
LAN = 10.1.1.2
WAN = 10.1.1.3 (hier kommt die Portweiterleitung für OpenPVN 1194 UDP an)
mit NAT im VPN könnte ich mir das glatt vorstellen dass das geht.
Oder gar nur einen Port?
Aber geht es wirklich?
Danke
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 523581
Url: https://administrator.de/forum/open-vpn-hinter-nat-im-flachen-netzwerk-moeglich-523581.html
Ausgedruckt am: 22.12.2024 um 14:12 Uhr
8 Kommentare
Neuester Kommentar
Natürlich kannst Du das. Sinnvoll ist es aber nicht.
LAN = 10.1.1.2
WAN = 10.1.1.3 (hier kommt die Portweiterleitung für OpenPVN 1194 UDP an)
WAN = 10.1.1.3 (hier kommt die Portweiterleitung für OpenPVN 1194 UDP an)
Wäre in diesem Fall nicht sinnvoll.
mit NAT im VPN könnte ich mir das glatt vorstellen dass das geht.
Oder gar nur einen Port?
Aber geht es wirklich?
Es reicht ein Port im LAN.
Du mußt nur die Routen richtig setzen..
Alle Netze, die durch das OpenVPN müssen, müssen durch die Frotznox auf Deinen OpenVPN-Router geroutet werden.
lks.
Moin,
dann kannst du die Sense ja weglassen wenn am Client nur das GW auf die Fritte geändert werden müsste.
Warum auch immer unbedingt eine Fritte dort hinein muss.
Wieso wird der OpenVPN Server der Sense nicht genutzt? Das wäre simples Portforwarding auf die Sense und die Clients können sich sauber hinter einer richtigen Firewall aufhalten.
Gruß
Spirit
dann kannst du die Sense ja weglassen wenn am Client nur das GW auf die Fritte geändert werden müsste.
Warum auch immer unbedingt eine Fritte dort hinein muss.
Wieso wird der OpenVPN Server der Sense nicht genutzt? Das wäre simples Portforwarding auf die Sense und die Clients können sich sauber hinter einer richtigen Firewall aufhalten.
Gruß
Spirit
Spannend wäre ja mal die technische Begründung zu kennen warum die oder eine FritzBox denn zwingend im gleichen Layer 2 Segment sein muss wie eine bestimmte Software ???
Es müsste ja rein eine Kommunikation dieser Software Clients mit der FritzBox sein über ein proprietäre Protokoll was zudem nicht routebar sein soll.
WAS also sollte eine FritzBox genau broadcasten oder aussenden an Protokollen welche nicht routebar sein sollten über die pfSense ??? Eigentlich gibt es da kein einziges.
Das Argument hört sich technisch blödsinnig an und wird es, wie immer, vermutlich auch sein. Dort versucht sehr wahrscheinlich mal wieder ein technisch unkundiger Software Hersteller einen Kunden in eine Zwangskonfig zu pressen weil er selber sein eigenes Produkt nicht kennt oder keine Lust auf spezifischen Support hat.
Abgesehen davon wird doch ein Software Hersteller niemals so blöd sein seinen Kunden eine Zwangs Hardware Konfig vorzuschreiben !
Was ist denn genau mit diesen Millionen Kunden, die aus guten Grund eine sichere Firewall in ihrem Umfeld einsetzen statt eine billige Plastik Consumer Box die in Firmen Netzen normal nichts zu suchen hat ?! So unprofessionell kan eigentlich ein seriöser Software hersteller gar nicht sein !
An die Mehrheit solcher professionell eingestellten Firmen Kunden wäre zudem deren Produkt ja dann völlig unverkäuflich. Glaubhaft ist sowas auch nicht, eher laienhaft.
Du solltest also in der Tat nochmal nach den genauen technischen Gründen fragen WARUM das denn so sein muss statt es einfach laienhaft und devot zu glauben !!
Die Firewall so auszuhebeln und quasi zu überbrücken macht sie dann völlig nutzlos in dem Umfeld. Wie Kollege @Spirit-of-Eli oben schon richtig sagt kannst du sie dann besser gleich völlig entsorgen und weglassen und wieder nur mit der FB arbeiten. Wenn denn diese blödsinnige Aussage des SW Herstellers tatsächlich stimmen sollte.
Netztechnische Gründe gibt es wenigstens keine für solche Aussage !
Es müsste ja rein eine Kommunikation dieser Software Clients mit der FritzBox sein über ein proprietäre Protokoll was zudem nicht routebar sein soll.
WAS also sollte eine FritzBox genau broadcasten oder aussenden an Protokollen welche nicht routebar sein sollten über die pfSense ??? Eigentlich gibt es da kein einziges.
Das Argument hört sich technisch blödsinnig an und wird es, wie immer, vermutlich auch sein. Dort versucht sehr wahrscheinlich mal wieder ein technisch unkundiger Software Hersteller einen Kunden in eine Zwangskonfig zu pressen weil er selber sein eigenes Produkt nicht kennt oder keine Lust auf spezifischen Support hat.
Abgesehen davon wird doch ein Software Hersteller niemals so blöd sein seinen Kunden eine Zwangs Hardware Konfig vorzuschreiben !
Was ist denn genau mit diesen Millionen Kunden, die aus guten Grund eine sichere Firewall in ihrem Umfeld einsetzen statt eine billige Plastik Consumer Box die in Firmen Netzen normal nichts zu suchen hat ?! So unprofessionell kan eigentlich ein seriöser Software hersteller gar nicht sein !
An die Mehrheit solcher professionell eingestellten Firmen Kunden wäre zudem deren Produkt ja dann völlig unverkäuflich. Glaubhaft ist sowas auch nicht, eher laienhaft.
Du solltest also in der Tat nochmal nach den genauen technischen Gründen fragen WARUM das denn so sein muss statt es einfach laienhaft und devot zu glauben !!
Die Firewall so auszuhebeln und quasi zu überbrücken macht sie dann völlig nutzlos in dem Umfeld. Wie Kollege @Spirit-of-Eli oben schon richtig sagt kannst du sie dann besser gleich völlig entsorgen und weglassen und wieder nur mit der FB arbeiten. Wenn denn diese blödsinnige Aussage des SW Herstellers tatsächlich stimmen sollte.
Netztechnische Gründe gibt es wenigstens keine für solche Aussage !
Zitat von @aqui:
Spannend wäre ja mal die technische Begründung zu kennen warum die oder eine FritzBox denn zwingend im gleichen Layer 2 Segment sein muss wie eine bestimmte Software ???
Spannend wäre ja mal die technische Begründung zu kennen warum die oder eine FritzBox denn zwingend im gleichen Layer 2 Segment sein muss wie eine bestimmte Software ???
Ich rate mal ins blaue:
Man kann z.B. mit der uralten Fritz!Software über eine Fritz!Box faxe senden und empfangen.
Die Software überprüft bei der Installation und beim Start ob sie die Fritz!Box direkt erreichen kann. Wenn nicht startet sie schlicht nicht.
Vermutlich will er nur das VPN der pfs weiter nutzen.
Hallo.
Die Konstellation klingt so, als würde die TK Funktionalität (mit Fax oder ohne) genutzt werden wollen.
Würde die Fritte als reines Modem nutzen und die PFSense als Exposed Host definieren. Die TK Funktionen sollten davon unberührt bleiben, wenn die Fritzbox weiterhin erreichbar bleibt (Stichwort Regelwerk in der PFSense).
Kam mir gleich irgendwie bekannt vor:
Fritzbox hinter Firewall für Fritzfax nutzen - Keine Kommunikation
Eventuell hilft das ja weiter.
Gruß
Radiogugu
Die Konstellation klingt so, als würde die TK Funktionalität (mit Fax oder ohne) genutzt werden wollen.
Würde die Fritte als reines Modem nutzen und die PFSense als Exposed Host definieren. Die TK Funktionen sollten davon unberührt bleiben, wenn die Fritzbox weiterhin erreichbar bleibt (Stichwort Regelwerk in der PFSense).
Kam mir gleich irgendwie bekannt vor:
Fritzbox hinter Firewall für Fritzfax nutzen - Keine Kommunikation
Eventuell hilft das ja weiter.
Gruß
Radiogugu
Würde die Fritte als reines Modem nutzen und die PFSense als Exposed Host definieren
Das wäre aber technischer Blödsinn, denn bei einem reinem Modem gibt es keinen "exposted Host" mehr. In einem reinem Modem Betrieb wäre keinerlei IP Forwarding mehr möglich, die FB also nur ein passiver Medienwandler wie es reine Modems in der Regel auch sind.Wenn das noch möglich ist ist die FB kein "reines" Modem in dem Sinne sondern nur ein Router der PPPoE Forwarding macht, was aber dann mit einem Modem in dem Sinne technisch nichts zu tun hat.
Nur um das mal in den richtigen technischen Kontext zu bringen....
Kopplung von 2 Routern am DSL Port
Genau das ist das Problem mit den neuen Fritzboxen. Es gibt keine Möglichkeit mehr die als reines Modem zu verwenden, wenn einmal ein gewisser Software-Stand aufgespielt wurde.
So hätte der TO jedoch noch die Möglichkeit die Funktionen der Firtzbox zu verwenden. Wir raten nur hier wieder alle im Dunkeln, was der TO denn überhaupt wirklich will und was die Anforderungen sind.
Gruß
Radiogugu
So hätte der TO jedoch noch die Möglichkeit die Funktionen der Firtzbox zu verwenden. Wir raten nur hier wieder alle im Dunkeln, was der TO denn überhaupt wirklich will und was die Anforderungen sind.
Gruß
Radiogugu
Als TK Lösung können die auch weiterhin laufen.
Dann muss die Fritte nur als IP-Client konfiguriert werden. Anschließend VOIP Konfig drauf und ab gehts.
Wenn man außerdem den Einrichtungs-Assistenten gar nicht benutzt und weg klickt, kann die Büchse auch noch PPPOE passthrough. Es gibt nur in der GUI keine Punkt zur Konfiguration von dieser Funktion.
Ich musste mich selbst lange Zeit damit herum schlagen. Grundsätzlich gibt es keinen Konstellation wo man auf eine Fritte angewiesen ist. (Außer den möglicherweise wieder aufkommenden Routerzwang :X )
Dann muss die Fritte nur als IP-Client konfiguriert werden. Anschließend VOIP Konfig drauf und ab gehts.
Wenn man außerdem den Einrichtungs-Assistenten gar nicht benutzt und weg klickt, kann die Büchse auch noch PPPOE passthrough. Es gibt nur in der GUI keine Punkt zur Konfiguration von dieser Funktion.
Ich musste mich selbst lange Zeit damit herum schlagen. Grundsätzlich gibt es keinen Konstellation wo man auf eine Fritte angewiesen ist. (Außer den möglicherweise wieder aufkommenden Routerzwang :X )