Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Portweiterleitung auf VPN Client

Mitglied: Tobinsky

Tobinsky (Level 1) - Jetzt verbinden

23.05.2020 um 03:30 Uhr, 436 Aufrufe, 5 Kommentare

Hallo und einen schönen guten Morgen an alle VPN Experten.

Nun brauche ich mal ein wenig Hilfestellung zum Thema VPN und eine Portweiterleitung zu einem VPN Clienten.

Wir haben aktuell einen Business Internetanschluss mit fester IP Adresse und einer Fritze 7490 als Internetrouter. Die Fritze mit der IP Adresse 192.168.0.100 stellt logischerweise das Netzwerk mit dem IP Adressenbereich 192.168.0.0 dar. Nun gibt es im Netzwerk einen ASUS Router RT-AC68U mit der WAN IP Adresse 192.168.0.253. Dieser ASUS Router hat die ehrenvolle Aufgabe eines OpenVPN Servers erhalten. Als Firmware wurde Asuswrt-Merlin installiert. Selbstverständlich haben ich auf der Fritze alle Ports weitergeleitet so das sich problemlos VPN Clienten mit dem OpenVPN Server verbinden können. Soweit so gut, es funktioniert tadellos. VPN Clienten können sich verbinden und werden auch in der VPN Übersicht der ASUS Kiste angezeigt. Die Verbindung ist stabil.

Die besagten VPN Clienten (aktuell 2 Stück) sind LTE Router des Herstellers Teltonika RUT240. Diese sind eingerichtet und verrichten Ihren Dienst zu meiner vollständigen Zufriedenheit.

Zwecke der ganzen Sache mit dem VPN liegt darin, das ich diese Router aus der Ferne fernadministrieren möchte. Das funktioniert auch soweit ganz gut. Sobald die VPN Verbindung steht bekommen sie beispielsweise die 10.8.0.2 und der andere eben die 10.8.0.3. VPN ist so eingerichtet das nicht der Traffic über den Tunnel läuft.

Da natürlich der ASUS auch ein Router ist stellt der wiederum auch ein Netzwerk bereit. Dieses Netzwerk lautet 192.168.100.0 Wobei der ASUS die IP 192.168.100.100 hat.

Damit ich nun auf die LTE Router zugreifen kann muss ich mit meinem Computer zwingend in das Netz des ASUS gehen. Erst dann kann ich im Browser die 10.8.0.2 aufrufen und erreiche so die Weboberfläche der LTE Box. Das kann man weiter so machen ist mir aber auf dauer etwas zu umständlich.
Mir ist klar das ich aus dem Netz der Fritze niemals die 10.8.0.2 erreichen kann. Da dachte ich mir ich könnte auf der ASUS Kiste eine Portweiterleitung auf die IP Adresse 10.8.0.2 machen.

So richtete ich dann eine Portweiterleitung auf der ASUS Kiste ein: Port 5080 weiterleiten auf Port 80 zu der IP Adresse des VPN Clients 10.8.0.2. Diese Weiterleitung konnte ich auch speichern, die ASUS Kiste hat keine Fehlermeldung ausgegeben. Nun dachte ich das ich aus dem Netz der Fritze dann den LTE Router erreichen kann indem ich im Browser http://192.168.0.253:5080 aufrufe. Leider funktioniert das nicht.
Dann habe ich geprüft ob überhaupt die Funktion der Portweiterleitung auf der ASUS Kiste funktioniert und habe eine Testserver in das Netz der ASUS Kiste gehängt (192.168.100.1) und die Portweiterleitung geändert auf den Testserver.
Beim erneuten Aufruf aus dem Netz der Fritz konnte ich jedoch den Testserver erreichen.

Hat jemand eine Idee weshalb die Portweiterleitung zu der IP das VPN Clienten nicht funktioniert ?

Ich hoffe das ich alles genau genug geschildert habe. Falls nicht, last es mich wissen.

Viele Grüße und ein schönes Wochenede
Mitglied: LordGurke
23.05.2020, aktualisiert um 06:01 Uhr
Das mit der Portweiterleitung ist doch quatsch...
Richte auf der FritzBox einfach eine statische Route ein, die das Netz 10.8.0.0/24 auf die 192.168.0.100 routet.
Dafür müsstest du dann allerdings am Asus-Router (wenn es aktiviert ist) das NAT auf dessen "WAN"-Schnittstelle Richtung Fritzbox deaktivieren.

Wenn die VPN-Clients sich allerdings in ihren jeweiligen lokalen Netzwerken ebenfalls in 192.168.0.0/24 befinden, wird das dahingehend aufwendiger, dass der Asus-Router dann zwingend NAT in Richtung VPN machen müsste.
Bitte warten ..
Mitglied: aqui
23.05.2020 um 09:25 Uhr
VPN ist so eingerichtet das nicht der Traffic über den Tunnel läuft.
Auch die Logik dieser Weisheit müsste man erstmal erklärt bekommen ! Bahnhof, Ägypten...???
Nun gibt es im Netzwerk einen ASUS Router RT-AC68U mit der WAN IP Adresse 192.168.0.253
Wie ist dieser denn angebunden ?? Einbeinig im .0.0er Netz oder als klassische Router_Kaskade ??
Das wäre noch wichtig zu wissen um überhaupt mal das VPN Design zu verstehen. Leider keinerlei Info dazu.
Mir ist klar das ich aus dem Netz der Fritze niemals die 10.8.0.2 erreichen kann
Auch das ist doch völliger Quatsch wie Kollege @LordGurke oben schon zu Recht bemerkt hat. Das 10.8.0.0er IP Netz ist das interne VPN IP Netz bei OpenVPN. Das trägt man immer auf den jeweiligen Internet Router beider Seiten als statische Route ein Siehe dazu auch HIER ! Der Kollege oben hat es schon gesagt.
Außerdem ist dieses Netz vollkommen irrelevant für den Management Zugriff der remoten Router, denn für diese nimmt man logischerweise immer die lokale IP Adresse ihres LAN Netzes und niemals die interne Tunnel Adresse des VPN IP Netzes.
Vermutlich macht der TO hier einen gehörigen Denkfehler was seine IP Adressierung anbetrifft.
Das (vermutlich) einbeinige Design ist ebenso kontraproduktiv denn der VPN Traffic muss immer doppelt durch den LAN Port des VPN Router was nicht besonders effizent ist. Vom Sicherheitsproblem ungeschützten Traffic ins internen LAN zu schleusen mal ganz abgesehen.
Letztlich stellt sich auch die Frage nach dem Sinn des ganzen. Die FritzBox ist selber VPN Router und man hätte sinnigerweise das VPN auf der FritzBox belassen und 2 IPsec Tunnel zu den Teltonikas realisiert. So wäre das VPN in der Peripherie geblieben wie es professionell gemacht wird.
Gut das VPN der FB ist nicht das perfromanteste wo man dann wieder bei der Frage eines billigen Consumer Routers an einem Business Anschluss ist was in sich schon fragwürdig ist. Hier wäre eine kleine [ Firewall] oder ein etwas potentere Router statt einer Plaste Consumerbüchse sicher angebrachter gewesen. Aber nungut...
Generell ist auch die Wahl solcher dümmlichen Allerwelts IP Netze wie 192.168.0.0 /24 die von Millionen Routern im Internet genutzt werden keine besonders intelligente Idee in einem VPN Adress Design. Das Warum kannst du HIER nachlesen.
Fazit:
Trage die statischen Routen nach und dann rennt das auch wie es soll. Ob du das VPN Konzept generell nochmal überdenken solltest ist deine Sache...
Bitte warten ..
Mitglied: Tobinsky
23.05.2020 um 21:57 Uhr
Hallo und guten Abend LordGurke,

erst mal vielen Dank für deine Antwort.
Das mit der Portweiterleitung mag vielleicht Quatsch sein, war aber erst mal für den Anfang mein Laienhafter Ansatz zur Problemlösung.

Meinst du jetzt wirklich auf die 192.168.0.100 routen? Das wäre die Fritze ja selber. Oder meintest du auf die IP der ASUS Kiste mit der WAN IP 192.168.0.253 ?

Ich bitte um Verzeihung, das habe ich vergessen anzugeben: Ich habe natürlich drauf geachtet das die VPN Clienten in ihrem eigenem Netz keine gleichen Netzwerke haben. Ein VPN Client hat das lokale Netz 192.168.1.0/24 mit der IP Adresse 192.168.1.1 und der andere mit seinem lokalem Netz befindet sich im 192.168.2.0/24 mit der IP Adresse 192.168.2.1
Es sollte daher keine gleichen Netzwerke geben.

Jedenfalls habe ich das mal ausprobiert. Ich habe NAT in der ASUS Kiste deaktiviert - geht auch recht easy im Menüpunkt WAN.

Dann habe ich in der Fritze eine Statische Route angelegt 10.8.0.0/24 mit dem Ziel auf die WAN IP der ASUS Kiste also 192.168.0.253, abgespeichert und mit OK übernommen.
Ein Aufruf im Browser aus dem Netz der Fritze: http://10.8.0.2 führte leider zum Time out (schade)
Um nicht gleich aufzugeben habe ich einfach weitere statische Routen in die Fritze zum testen eingetragen: Ein mal 192.168.100.0/24 und 192.168.1.0/24 und 192.168.2.0/24 alle auf die WAN IP der ASUS Kiste.
Versuch macht klug:
Aufruf im Browser 192.168.1.1 (IP lokales Netz erster VPN Client) -> Time out
Aufruf im Browser 192.168.2.1 (IP lokales Netz zweiter VPN Client) -> Time out
Aufruf im Browser 192.168.100.100 (IP lokales Netz der ASUS Kiste) -> Erfolgreich! ich konnte die Weboberfläche der ASUS Kiste erreichen.

Natürlich habe ich auch brav vorher geprüft ob die VPN Verbindung besteht und das tat sie auch.

Jetzt habe ich die schwache Vermutung das ich irgendwo - vermutlich in der ASUS Kiste ebenfalls noch eine Statische (Rück-)Route eintippen muss, Sehe ich das richtig?
Bitte warten ..
Mitglied: Tobinsky
23.05.2020 um 22:42 Uhr
Hallo und guten Abend aqui,

mit "VPN ist so eingerichtet das nicht der Traffic über den Tunnel läuft." ist nicht Bahnhof oder Ägypten gemeint sondern nur die Tatsache das wenn Netzwerkteilnehmer im lokalen Netz des VPN Clinten sind nicht der Internettraffic über den VPN Tunnel geroutet wird!
Sollten sich Netzwerkteilnehmer im Netz des VPN Clienten befinden läuft der Traffic ganz normal über den Weg ins Internet über die LTE Verbindung ohne Umweg über den VPN Tunnel.

Die Anbindung der ASUS Kiste ist eine klassische Router Kaskade. Der WAN Port hat eine IP Adresse aus dem Netz der Fritzbox und als Gateway ist eben die Fritzbox eingetragen. Zu Anfang war auf der ASUS Kiste noch NAT aktiviert. Das habe ich aber geändert um den Tips von LordGurke ein mal nachzugehen.

Auch an der Stelle erst mal vielen Dank für den Tip. Ich wusste nicht das die Tunnel-IP an der Stelle vollkommen unwichtig ist. Ich muss ganz klar sagen das ich kein Profi bin und vermutlich solche Fehler einfach mache oder gemacht habe.

Klar kann man alles etwas besser und professioneller aufbauen. Die Frage warum ich einen Business Anschluss habe liegt einfach in der Tatsache das ich an meiner Wohnadresse sonst einen Anschluss bekommen hätte ohne öffentlich IPv4 Adresse - Ich glaube das heißt DS-light oder so?
Nach Rücksprache mit dem Provider und der Bitte um eine IPv4 IP ließ mach mich wissen, wenn ich einen Business Anschluss nehmen würde gäbe es eine IPv4 und optional eben eine feste IP Adresse. Ob das nun sinnvoll ist für meine Zwecke sei doch dahingestellt. Ich für mein Ego wollte nun einfach eine IPv4 und die habe ich mir damit erfüllt. Das ist nun mal so und eben mein persönlicher Wunsch.

Klar weiß ich das die Fritze eine klare Consumerkiste von der Stange ist. Aber auch hier sei gesagt das es (bisher) so gereicht hat. Mir ist bekannt das die Fritze auch einen VPN Server bereit stellen kann. Mir schien die Idee mit einem zusätzlichen VPN Server (die ASUS Kiste) eben sinnvoller das ganze zu realisieren. Die ASUS Kiste kann eben OpenVPN und die Fritze leider nicht.
Ob jetzt die Wahl des Netzes 192.168.0.0/24 dumm mag ja sein. Ich habe aber darauf geachtet das es keine gleichen Netze gibt. Leider habe ich das vergessen im Anfangspost zu erwähnen.

Aber ich möchte ganz klar noch mal schreiben das es bei meiner VPN-Geschichte nicht darum geht aus der Ferne hier im Heimnetz der Fritze irgendwas zu erreichen, sondern schlicht und ergreifend um die Tatsache meine LTE Kisten aus der Ferne fernzuadministrieren.
Bitte warten ..
Mitglied: aqui
24.05.2020, aktualisiert um 12:54 Uhr
nicht der Internettraffic über den VPN Tunnel geroutet wird!
Der Netzwerker nennt sowas "Gateway Redirect" im Gegensatz zu "Split Tunneling" wo nur die spezifischen remoten Netze in den Tunnel geroutet werden.
Mal wieder ein Beispiel wie missverständlich das für Helfende sein kann wenn man Fehler in der Beschreibung macht.
Die Anbindung der ASUS Kiste ist eine klassische Router Kaskade.
Auch das hattest du leider NICHT beschrieben was hier das Verständnis weiter erschwert hat.
Zu Anfang war auf der ASUS Kiste noch NAT aktiviert.
Ist das da wirklich deaktivierbar ?? Die meisten der billigen Consumer Router mit original Firmware supporten das Abschalten vom NAT nicht. Asus wäre dann mal eine positive Ausnahme.
Klar kann man alles etwas besser und professioneller aufbauen.
Nein, das mit der Kaskade ist absolut OK. So bleibt der VPN Traffic ja in der Peripherie. Schlechter wäre ein Design mit einem VPN Server im lokalen Netz.
Was den tieferen Sinn anbetrifft 2 aktive VPN Router zu kaskadieren kannst wohl nur du beantworten. Die FB an sich kann ja schon VPN. Ein zweiter VPN Router als "Durchlauferhitzer" ist eigentlich ein überflüssiger Stromfresser der die Performance verschlechtert. Aber du hast ganz sicher deine Gründe...
Ich glaube das heißt DS-light oder so?
Igitt...ja da hast du dich genau richtig entschieden. DS-Lite ist der letzte Mist, denn damit sind IPv4 VPNs technisch unmöglich. Damit du verstehst was das ist:
https://de.wikipedia.org/wiki/IPv6#Dual-Stack_Lite_(DS-Lite)
Das ist nun mal so und eben mein persönlicher Wunsch.
Keine Kritik ! Absolut alles richtig gemacht wenn DS-Lite die Alternative war !!!
Mir schien die Idee mit einem zusätzlichen VPN Server (die ASUS Kiste) eben sinnvoller das ganze zu realisieren.
Die Logik kannst sicher nur du erklären...
Was ist an einem OpenVPN VPN anders als einem was mit IPsec arbeitet ?? Teltonika supportet IPsec mit IKEv1 und v2 und ist damit voll kompatibel zur FritzBox und IPsec ist als Protokoll performanter.
Warum also der völlig überflüssige Asus Router ?? Das ist technisch völlig unverständlich und überflüssig eher nach dem Motto Warum einfach machen wenn es umständlich und schlechter auch geht. Aber egal...deine Entscheidung !
Ob jetzt die Wahl des Netzes 192.168.0.0/24 dumm mag ja sein.
Ja ist es leider ! Das WARUM wir dir hier erklärt:
https://administrator.de/wissen/vpns-einrichten-pptp-117700.html#toc-7
Dieses Netz wird von Speedport Routern und diversen anderen Massenherstellern als Default verwendet. Die Gefahr also das du bei einem Hotel, Hotspot, Bekannten, Internet Cafe usw. in diesem Netz landest ist also sehr sehr groß. Bedeutet dann auch sofort das du dann auf dein VPN zuhause bzw. deine Fernwartung NICHT mehr zugreifen kann. Klar, denn doppelte IP Adressierung !
In sofern ist es also recht dumm so ein Massen IP Netz im VPN Umfeld zu verwenden. Sinnvoller wäre bei VPN Nutzung immer eine etwas exotischere Adressenwahl. Genau aus dem obigen Grund.
sondern schlicht und ergreifend um die Tatsache meine LTE Kisten aus der Ferne fernzuadministrieren.
Wie gesagt....das scheitert sofort wenn "die Ferne" mal in einem 192.168.0.0er Netz liegt und die Gefahr ist sehr groß. Aber ist oben ja schon alles gesagt.

Wenn's das denn nun war und nun alles rennt bitte dann auch
https://administrator.de/faq/32
nicht vergessen !
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Portweiterleitung auf VPN Netz
Frage von gamerffRouter & Routing3 Kommentare

Hallo Forum, ich habe zwei Fritzboxen per VPN mit einander verbunden. Fritzbox 1: 192.168.178.1 Fritzbox 2: 192.168.1.1 Wie kann ...

LAN, WAN, Wireless

Portweiterleitung von anderer IP neben VPN Tunnel

gelöst Frage von SnupydooLAN, WAN, Wireless3 Kommentare

Hallo Ich hab folgendes Szenario ich habe ein Mikrotik CCR1016 mit 2 Netzen definiert: 192.168.1.0/24 -> Admin Netz für ...

Router & Routing

VPN - Fritzbox - Problem bei der DDNS Portweiterleitung - (Raspberrry IP für eine Portweiterleitung)

gelöst Frage von Hocus-PocusRouter & Routing22 Kommentare

Hallo, eine Denkaufgabe des Tages! ;-) Das Netzwerk: 1. FritzBox 7490 -> DSL Anschluss (192.168.10.1) vom öffentlichen Netzwerk (Internet) ...

Firewall

Portweiterleitung ipfire

gelöst Frage von AkcentFirewall9 Kommentare

Hallo, habe hier eine Telekom Digibox und eine IPfire. Hier wurde eine Portweiterleitung für den Port 443 eingerichtet, welche ...

Neue Wissensbeiträge
Datenschutz
Datenschutzproblem?
Information von Penny.Cilin vor 4 StundenDatenschutz1 Kommentar

Hallo, gerade im Heise Newsticker gefunden: Frage: Warum wurden die Akten nicht ordnungsgemäß gesichert bzw. aufbewahrt? Patientenakten sind 30 ...

Windows Netzwerk

SCOM ( System Center Operations Manager ) um eine E-Mailschnittstelle erweitern

Anleitung von Juanito vor 1 TagWindows Netzwerk

Einleitung System Center Operations Manager (SCOM) ist Microsoft's Lösung zum Überwachen von Servern. Dazu zählt die generelle Erreichbarkeit, Festplattenspeicher, ...

Humor (lol)
BioShield gegen 5G
Information von magicteddy vor 2 TagenHumor (lol)3 Kommentare

Moin wer sich gegen die hochgefährlichen 5G schützen möchte wird hier fündig: 5GBioShield "gegen 5G-Strahlung" Ich glaube, ich sollte ...

Windows Server

ScheduledTasks mit einem Group-Managed-Service-Account (GMSA) ausführen

Anleitung von ToniHo vor 2 TagenWindows Server

Hallo zusammen, wer schonmal versucht hat ein Group-Managed-Service-Account (GMSA) auf einem bestehenden ScheduledTask einzutragen, ist an der GUI vermutlich ...

Heiß diskutierte Inhalte
Festplatten, SSD, Raid
Wie Festplatte von altem Notebook sicher löschen
gelöst Frage von NilsholgerssonFestplatten, SSD, Raid12 Kommentare

Hallo, habe ein altes P3 Celeron 800 Notebook, dessen Festplatte ich sicher löschen möchte. Habe von der Ultimate Boot ...

Microsoft
USB-Ports sperren mit Software
Frage von trabajadorMicrosoft10 Kommentare

Hallo, gesucht wird eine Software, welche alle USB-Ports sperrt bis auf für Maus, Tastatur und einem Admin-USB-Stick. Verwendet wird ...

Router & Routing
VPN Router hinter Glasfaser Router des ISP
gelöst Frage von TenerifeITRouter & Routing10 Kommentare

Hallo zusammen, ich habe bisher noch keine VPN Router eingerichtet und nun von einem Kunden 2 TP-Link TL-R600VPN Router ...

Windows 10
Virtualbox neueste Version W10pro 1909 nach Update auf 2004 Oberfläche hinüber bis fast ohne Funktion
Frage von UweGriWindows 109 Kommentare

Liebe profi Admins, zu Testzwecken hatte ich in einer VirtualBox neuste Ausführung ein W10 pro 1909 ohne Kummer laufen. ...