snupydoo
Goto Top

Portweiterleitung von anderer IP neben VPN Tunnel

Hallo

Ich hab folgendes Szenario.... ich habe ein Mikrotik CCR1016 mit 2 Netzen definiert:

192.168.1.0/24 -> Admin Netz für NAS/Drucker/Cisco WLAN Controller usw.
192.168.2.0/24 -> Netzwerk wo wir mit Laptop/PC /Handy drin sind.

Ich habe 2 IP Adresse von meinem Internet Provider. Nenn wir diese mal IP1 und IP2.
Bis jetzt war es immer so das ich die wahrlos durch SRC-Nat auf einen der IPs raus schicken konnte.

Jetzt ahb ich mir ein Vilfo Router besorgt. Den hab ich die auf dem WAN Port die IP2 gegeben und
sein Netz 192.168.0.0/24 (GW 192.168.0.1) auf eth3 gelegt und die IP2 auf dem CCR deaktiviert.
Der CCR ist jetzt auf eth3 ein Client des Vilfo Routers.

Hab des im Routing jetzt so eingestellt das das Netz 192.168.1.0/24 über IP1 normal raus geht
und das Netz 192.168.2.0/24 über die IP des CCR 192.168.0.2 zum GW 192.168.0.1 des Vilfo Routers
raus geht über die IP2. Der Vilfo Router baut nun für das gesammte Datenaufkommen im
192.168.2.0/24 ein VPN Tunnel auf.

Soweit so gut läuft das auch schon und haut alles hin. Und die Netze 192.168.1.0/24 und 192.168.2.0/24
lassen sich untereinander auch klar alles erreichen bzw pingen.

Jetzt das Problem. Da ich ja nicht über VPN auf mein Gerät im Netz2 - z.B. 192.168.2.10 zugreifen kann bzw erreiche,
gibt es irgendwie eine möglichkeit per Portweiterleitung (Dst-Nat) von der IP1 was für das Netz 1 das GW ist
auch das Netz2 also über IP1 das Netz 192.168.2.0/24 zu erreichen?
Beisse mir da die Zähne gerade aus.

Oder hat jemand eine andere Idee?

Gruss Snupy

Content-ID: 514172

Url: https://administrator.de/contentid/514172

Ausgedruckt am: 24.11.2024 um 22:11 Uhr

aqui
aqui 12.11.2019 aktualisiert um 13:23:12 Uhr
Goto Top
Da ich ja nicht über VPN auf mein Gerät im Netz2 - z.B. 192.168.2.10 zugreifen kann
Wieso nicht ??
Wenn bei dir das Routing sauber und richtig konfiguriert ist muss auch das gehen ! Logisch, denn alle beteiligten Router sollten dann alle IP Netze kennen, inkl. des VPN Netzes natürlich.
Dein CCR, rennt der im Layer 3 (Routing) Mode, sprich routet zwischen den beteiligten Netzen ?
Du hast also vermutlich irgendwas mit dem Routing falsch gemacht.
Eine Layer 3 Skizze deine IP Netze wäre hier sehr hilfreich denn die obige Schilderung ist gelinde gesagt nicht sehr transparent was das angeht..
Snupydoo
Snupydoo 12.11.2019 um 15:09:52 Uhr
Goto Top
Hab mal das Bild angehangen was ich selbst schnell mal per hand auf ein Blatt Papier gekritzelt habe.
Wie gesagt vorne den PC will ich über WAN1 vom CCR1016 raus schicken aber auch dem Server erreichen
das passt alles. Der Server soll aber über WAN2 (192.168.0.2) raus zum Vilfo Router gehen, der dann
die VPN über IP2 aufbaut.

Über NordVPN oder anderen VPN Providern hab ich halt rein Rückkanal bzw kann keine Portweiterleitung
nutzen. Zumindest will ich das der Server wenn er ins Internet will über die VPN Verbindung raus geht mit
anderer IP vom VPN anbieter. Aber ich möchte auch gern den Server erreichbar machen von aussen irgendwie
bzw über IP1 am WAN 1. Hab die Datenpakete schon markiert das über WAN2 raus gehen und über VPN
raus gehen ...das haut alles hin. Nur möchte auch von aussen ran kommen. Und der Server lässt sich ja
nicht von IP1 her aus ansprechen vom default GW des CCR1016 da das Netz ja statisch über WAN2 geroutet
wirdund nicht das GW1 nehemn sollen. Zwar kommen die anfragen am Server an aber der CCR will ja
das die daten über WAN2 raus gehen und gehen somit nicht über WAN1 wieder raus von wo ich aus ran möchte!

Gruss Snupy
vpn_problem
aqui
aqui 12.11.2019 aktualisiert um 19:50:52 Uhr
Goto Top
Nur möchte auch von aussen ran kommen.
Die Frage ist WIE willst du von außen rankommen ???
Mit einem VPN ist das ja problemlos.
Per Port Forwarding über WAN 1 für den öffentlichen Zugriff geht es nicht oder nur mit einigen Klimmzügen.
Klar, denn der Server "weiss" ja nicht das Internet Traffic via WAN 1 reinkommt zu ihm und er würde Reply Traffic strikt nach nach seinen Default Gateway behandeln, sprich sendet es via WAN2 wieder raus, damit kommt am Absender das Reply mit einer völlig anderen Absender IP an und der Client würde Standard konform die Session sofort verwerfen und abbrechen...aus die Maus. Soviel zur Theorie.
So nach Schema "F", ist das also nicht lösbar.

Es gibt 2 Möglichkeiten einer Teillösung:
1.) Die einfache Variante:
Wenn Clients die zugreifen immer an einem festen Ort oder Location sind, sprich also deren öffentliche Absender IPs immer in einem festen Bereich sind z.B. 85.0.0.0 /8 dann kannst du im Server eine statische Route hinzufügen:
ip route 85.0.0.0 255.0.0.0 via WAN1

Masken entsprechend angepasst.
Du weisst aber selber das das eine mehr als wackelige Angelegenheit ist. Durch die massive IPv4 Knappheit im Internet werden die Adressen immer weiter gesplittet. Es kann also sein das du irgendwann 100 dieser Ausnahme Routen via WAN1 im Server hat.
Das klappt für einzelen statische Clients skaliert aber bei hochmobilen und vielen Clients niemals.
2.) Die komplizierte aber umfassendere Variante:
Du kannst im Mikrotik Traffic markieren der im WAN1 Port reinkommt und als Zieladresse den Server hat.
Dann musst du dem Mikrotik sagen das er diesen spezifisch markierten Traffic nicht an WAN2 forwarden soll sondern an WAN1.
Das ist mit internem Scripting mit etwas Aufwand machbar.
Eine andere Lösung gibt es nicht.
Nur nebenbei:
Öffentliche VPN Provider sind mit Vorsicht zu geniessen. In der Regel sind deren VPN Schlüssel nicht sicher und an deren Tunnelendpunkten versammeln sich gerade Schlapphüte und Schnüffler. Sowas sollte man also immer auf dem Radar haben gut sich überlegen und besser mit eigenen Schlüsseln selber machen.