6
Router-Kaskade und VPN-Chaining?
Hallo zusammen,
ich bin leider kein Netzwerkspezialist - daher nehmt bitte Rücksicht
Mit etwas Einarbeitungszeit hab ich es vor einiger Zeit hinbekommen zwei Router, als Router-Kaskade (oder wie man es nennen möchte) hinter einander zu schalten
- ob dies nun toll oder weniger toll ist, sei mal eine andere Frage.
Dies sieht wie folgt aus:
Internet
-
FritzBox
-
MikroTik
-
Heimnetzwerk
Wie ich es verstanden habe, packt man die öffentlich erreichbaren Geräte an den ersten Router (die FritzBox) und greift per VPN darauf zu.
Das würde auch soweit funktionieren.
Ich habe aber fast alle Geräte hinter dem zweiten Router (MikroTik) hängen und wollte dies auch gerne so lassen.
Ich würde jetzt ungern auf dem MikroTik-Router die Firewall aufmachen und "alles" 1-1 durchreichen.
Hier auf der Seite wird von VPN-Chaining gesprochen - ist das ein gängiges Pattern?
https://www.computerweekly.com/de/tipp/Tipps-zur-Verwaltung-von-zwei-par ....
Viel dazu gefunden habe ich leider nicht.
Ich hab auf beiden Routern eine VPN-Verbindung eingerichtet.
Kann dies denn überhaupt so funktionieren?
Unter Android, aber auch unter Android-VPNCilla scheint man immer nur eine VPN-Verbindung aktivieren zu können?
Hat einer von euch so eine Konfiguration? Welcher Client unterstützt dies?
Gruß
bluebook
ich bin leider kein Netzwerkspezialist - daher nehmt bitte Rücksicht
Mit etwas Einarbeitungszeit hab ich es vor einiger Zeit hinbekommen zwei Router, als Router-Kaskade (oder wie man es nennen möchte) hinter einander zu schalten
- ob dies nun toll oder weniger toll ist, sei mal eine andere Frage.
Dies sieht wie folgt aus:
Internet
-
FritzBox
-
MikroTik
-
Heimnetzwerk
Wie ich es verstanden habe, packt man die öffentlich erreichbaren Geräte an den ersten Router (die FritzBox) und greift per VPN darauf zu.
Das würde auch soweit funktionieren.
Ich habe aber fast alle Geräte hinter dem zweiten Router (MikroTik) hängen und wollte dies auch gerne so lassen.
Ich würde jetzt ungern auf dem MikroTik-Router die Firewall aufmachen und "alles" 1-1 durchreichen.
Hier auf der Seite wird von VPN-Chaining gesprochen - ist das ein gängiges Pattern?
https://www.computerweekly.com/de/tipp/Tipps-zur-Verwaltung-von-zwei-par ....
Viel dazu gefunden habe ich leider nicht.
Ich hab auf beiden Routern eine VPN-Verbindung eingerichtet.
Kann dies denn überhaupt so funktionieren?
Unter Android, aber auch unter Android-VPNCilla scheint man immer nur eine VPN-Verbindung aktivieren zu können?
Hat einer von euch so eine Konfiguration? Welcher Client unterstützt dies?
Gruß
bluebook
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2713563342
Url: https://administrator.de/contentid/2713563342
Ausgedruckt am: 24.11.2024 um 05:11 Uhr
6 Kommentare
Neuester Kommentar
Fritzbox und MT stehen in welchem Verhältnis zu einander? Router oder NATer?
Router Kaskaden sind ganz normal. NATer Kaskaden sind mindestens unschön.
Router Kaskaden sind ganz normal. NATer Kaskaden sind mindestens unschön.
Alles zum Thema Router Kaskaden findest du HIER.
Du löschst dann die komplette VPN Konfig auf der FritzBox und reichst den an der FritzBox eingehenden VPN Traffic schlicht und einfach per Port Forwarding an den dahinter kaskadierten Mikrotik weiter genau wie im o.a. Tutorial geschildert. Exposed Host ginge auch ist aber immer ein Scheunentor.
Wenn du z.B. in allen remoten Geräten den bordeigenen VPN Client nutzt und ein L2TP VPN auf dem Mikrotik realisiert hast, dann reichst du in der FritzBox UDP 500, 1701, 4500 und das ESP Protokoll auf die Mikrotik Koppel IP Adresse (WAN) weiter.
Wenn du andere VPN Verfahren nutzt wie OpenVPN oder WireGuard sind es dann entsprechend die dort von dir genutzen Ports. Leider machst du dazu je keinerlei hilfreiche Angaben.
(Default Ports stehen im o.a. Tutorial).
Alles easy und bei weitem kein Hexenwerk und hoffentlich war das jetzt auch rücksichtsvoll genug?!
Ich habe aber fast alle Geräte hinter dem zweiten Router (MikroTik) hängen und wollte dies auch gerne so lassen.
Das ist natürlich kein Problem und auch der bessere Weg!Du löschst dann die komplette VPN Konfig auf der FritzBox und reichst den an der FritzBox eingehenden VPN Traffic schlicht und einfach per Port Forwarding an den dahinter kaskadierten Mikrotik weiter genau wie im o.a. Tutorial geschildert. Exposed Host ginge auch ist aber immer ein Scheunentor.
Wenn du z.B. in allen remoten Geräten den bordeigenen VPN Client nutzt und ein L2TP VPN auf dem Mikrotik realisiert hast, dann reichst du in der FritzBox UDP 500, 1701, 4500 und das ESP Protokoll auf die Mikrotik Koppel IP Adresse (WAN) weiter.
Wenn du andere VPN Verfahren nutzt wie OpenVPN oder WireGuard sind es dann entsprechend die dort von dir genutzen Ports. Leider machst du dazu je keinerlei hilfreiche Angaben.
(Default Ports stehen im o.a. Tutorial).Alles easy und bei weitem kein Hexenwerk und hoffentlich war das jetzt auch rücksichtsvoll genug?!
Hallo zusammen,
danke für die Antworten!
Sorry, dass ich euch ggf. die relevanten Infos vorenthalten habe - was relevant ist, ist für mich schwer abzuschätzen.
Ich reiche diese aber natürlich gerne nach:
Aufgebaut hab ich es wie hier im Tutorial - ich glaube das hatte ich damals sogar als Grundlage:
Kopplung von 2 Routern am DSL Port
Beide mit NAT (soweit ich dies verstehe)
Und ja genau, VPN läuft bei beiden über L2TP.
Danke @aqui für die Erklärung und die Links!
Jetzt hab ich es auch verstanden - das klingt jetzt auch logisch für mich mit den Ports weiterleiten.
Das wäre also der "normale" Weg. Dann find ich den doch nicht so schlecht wie zuerst gedacht.
Ich kämpfe mich mal durch die Doku und probiere es aus.
Erlaubt mir trotzdem noch mal zurück zu der Idee mit den VPN-Chaining zu kommen:
Eigentlich "schöner" oder "gefühlt sicherer" hätte ich es gefunden, zuerst eine VPN-Verbindung zu dem ersten Router aufzubauen. Und wenn diese besteht, über die erste VPN-Verbindung eine weitere VPN-Verbindung zu dem zweiten Router aufzubauen. (Doppel gemoppelt, verschlüsselt in dem Fall nicht besser, okay).
Trotzdem fand ich den Ansatz gedanklich irgendwie nett...
Ist der Ansatz eher abwegig, oder nicht machbar? Bzw. eher theoretisch?
danke für die Antworten!
Sorry, dass ich euch ggf. die relevanten Infos vorenthalten habe - was relevant ist, ist für mich schwer abzuschätzen.
Ich reiche diese aber natürlich gerne nach:
Aufgebaut hab ich es wie hier im Tutorial - ich glaube das hatte ich damals sogar als Grundlage:
Kopplung von 2 Routern am DSL Port
Beide mit NAT (soweit ich dies verstehe)
Und ja genau, VPN läuft bei beiden über L2TP.
Danke @aqui für die Erklärung und die Links!
Jetzt hab ich es auch verstanden - das klingt jetzt auch logisch für mich mit den Ports weiterleiten.
Das wäre also der "normale" Weg. Dann find ich den doch nicht so schlecht wie zuerst gedacht.
Ich kämpfe mich mal durch die Doku und probiere es aus.
Erlaubt mir trotzdem noch mal zurück zu der Idee mit den VPN-Chaining zu kommen:
Eigentlich "schöner" oder "gefühlt sicherer" hätte ich es gefunden, zuerst eine VPN-Verbindung zu dem ersten Router aufzubauen. Und wenn diese besteht, über die erste VPN-Verbindung eine weitere VPN-Verbindung zu dem zweiten Router aufzubauen. (Doppel gemoppelt, verschlüsselt in dem Fall nicht besser, okay).
Trotzdem fand ich den Ansatz gedanklich irgendwie nett...
Ist der Ansatz eher abwegig, oder nicht machbar? Bzw. eher theoretisch?
Grundsätzlich kannst du auch ein VPN durch ein VPN tunneln. Das ist aber schon aus Performance-Gründen unklug…
zuerst eine VPN-Verbindung zu dem ersten Router aufzubauen.
Denkar ist das auch..und natürlich auch machbar.Du musst dann allerdings beachten das der kaskadierte Router kein NAT macht, denn sonst blockt die dann bestehende NAT Fiorewall am kaskadierten Router alle Verbindungen in die dahinter liegenden lokalen LANs am 2ten Router.
Wenn du dort aber ohne NAT normal tramnsparent routest geht das auch. Dann ist es mehr oder minder egal wo das VPN terminiert wird.
Das VPN bei nicht aktuellen FritzBoxen ist aber generell sehr mies im Durchsatz. Zudem erzwingt es mit IKEv1 immer einen zusätzlichen VPN Client.
2 gravierende nachteile die du mit dem Durchrechreichen des VPNs auf den MT und Nutzung dort von L2TP nicht hast.
Doppel gemoppelt, verschlüsselt in dem Fall nicht besser,
Nein und hat weitere gravierende Nachteile. Durch die doppelte Enkapsulierung bekommst du große MTU Probleme und es reduziert den Durchsatz von Protduktivdaten massiv.Vergiss also diesen Unsinn besser gleich wieder. Kollege @BirdyB hat es schon gesagt. Es ist weder nett noch sinnvoll und absolut abwegig.
Super, danke für die deutlichen Aussagen.
Klare Worte bringen einen meistens am besten weiter.
Auch das hab ich jetzt verstanden
Danke @aqui: Du hast mir wieder einmal sehr gut weitergeholfen!
Euch allen noch einen schönen Sonntag!
Gruß
BB
Klare Worte bringen einen meistens am besten weiter.
Auch das hab ich jetzt verstanden
Danke @aqui: Du hast mir wieder einmal sehr gut weitergeholfen!
Euch allen noch einen schönen Sonntag!
Gruß
BB
