Site2Site (involviert: VPN-Router, Fritz, DualWan Router)

Hi Leute,

ich bin Lichtjahre davon entfernt, um mich als ein Profi bezeichnen zu können. Ich habe bereits etliche Versuche erfolglos unternommen und habe genug Motivation, es weiter zu versuchen. Doch bevor ich weitere etliche Stunden mit der Recherche nach einer Möglichkeit und den richtigen Einstellungen verbringe, bitte ich euch lediglich um Beantwortung einer Frage. Lohnt es sich überhaupt bei folgendem Szenario?

Site A: D-Link DI-804HV VPN Router mit fester IP -> 111.222.333.444/30. Dahinter ein Netzwerk ->192.168.1.0/24

Site B: FritzBox mit DynDNS -> Ports 500,1194,1701,4500,10000 weiter geleitet zum TP-Link ER6020 an WAN2 ->192.168.178.2. Dahinter ein Netzwerk -> 192.168.2.0/24.

Also:
192.168.1.0 <- 111.222.333.444 <-> dyndns -> 192.168.178.2 -> 192.168.2.0

Bekommt man hier ein Site2Site überhaupt hin? Wenn ja, dann werde ich es weiter versuchen. Wenn nicht, dann probiere ich es mit OPNSense. Die Einstellungsmöglichkeiten haben mich erschlagen, aber es gibt genug Anleitungen.

Tja, ich hoffe dass es geht, denn mit OPNSense möchte ich mich zunächst noch nicht befassen (mir läuft es eiskalt den Rücken runter, wenn ich da die VPN-Einstellungen sehe).

na dann erfrischende Grüße aus Berlin.
mradic

Content-Key: 666700

Url: https://administrator.de/contentid/666700

Ausgedruckt am: 17.06.2021 um 20:06 Uhr

Mitglied: tikayevent
tikayevent am 13.05.2021
Technisch ist es sicher möglich, da beide IPSec können, aber wenn du bisher keine tiefergehenden Erfahrungen mit IPSec gemacht hast, ist das, was du vorhast, als sehr frustrierend einzustufen.

IPSec, insbesondere mit IKEv1, was bei dir zwingend nötig ist, aufgrund der Technik, ist schon bei identischer Technik auf beiden Seiten für Anfänger eine Herausforderung. Du hast unterschiedliche Technik auf beiden Seiten, die vermutlich auch noch unterschiedliche Begrifflichkeiten verwendet und noch zwei extra Hürden drin (einen NAT-Router vor dem eigentlichen VPN-Gateway und eine Seite mit dynamischer IP-Adresse).

Auch solltest du dringend die Gerätewahl überdenken, da insbesondere der D-Link eine extreme Sicherheitsgefahr darstellt. Ich hoffe, dass dir bewusst ist, dass das Gerät seit 2009 kein Firmwareupdate mehr erhalten hat und du damit grob fahrlässig handelst. Beim TP-Link sieht es nicht anders aus, je nach Hardwareversion ist das Gerät seit 2015 eine Gefahr oder gerade frisch (2020) erst aus dem Support gefallen.

Selbst ich, der tagtäglich mit IPSec zu tun hat, müsste vermutlich etliche Stunden an Zeit in die Geräte einbringen, um erstmal die Gemeinsamkeiten der beiden Geräte zu finden.

Wenn dir die opnSense da schon Kopfschmerzen bereitet, solltest du damit auch nicht direkt einen Test in der Produktion machen. Am besten nimmst du erstmal zwei Fritzboxen, nicht das idealste, aber man kommt ziemlich schnell zum Ziel. Mit meiner bevorzugten Marke LANCOM wärst du vermutlich auch tagelang beschäftigt.

Das ist meine persönliche Einschätzung zu dem, was du beschrieben hast und nur eine Empfehlung.
Mitglied: mradic
mradic am 13.05.2021
Tja, ...das habe ich alles nicht ausgesucht. Ich bin ein Fianer und muss das Netzwerk nur zum Laufen halten, bis der ausgelernte Fisy im August kommt. Der wird das schon richten, denke ich. Da ich zurzeit etwas Zeit habe, wollte ich das vorab versuchen einzustellen -> Neugier, Entdecker, meine Schulter zum raufklopfen so richtig ausstrecken, Freude an der Problemlösung.....etc.

Ich habe ca 12 Stunden, verteilt auf drei Tage, mit dem Probieren verbracht und bin einer, der da noch 20 Stunden, reine Arbeitszeit ohne Recherche, investieren könnte, möchte und will. Ich habe bereits eine VM mit OPNSense auf dem Server erstellt und ne Leitung direkt zur Fritzbox gelegt. Ich probiere mal diesen Weg. Vielen Dank für die schnelle Antwort.
Mitglied: aqui
aqui aktualisiert am 13.05.2021
Bekommt man hier ein Site2Site überhaupt hin?
Ja, das klappt problemlos !
Allerdings ist beim Gegenüber der FritzBox zwingend zu beachten das die FB maximal AES 256, SHA1, DH-Group 2 und nur den Agressive Mode supportet. Das ist beim D-Link DI-804HV VPN Setup in jedem Falle zu beachten für die Phase 1 und Phase 2 Settings im IPsec VPN.
Solltest du hier immer den Main Mode aktiviert haben wird der Tunnelaufbau logischerweise immer scheitern denn die FB akzeptiert nur Aggressve Mode Verbindungen.
Sieht dir dazu auch die IPsec Setups in einigen diese Sito to Site VPNs mit gemischter Hardware an:
https://administrator.de/tutorial/ipsec-vpn-praxis-mit-standort-kopplung ...
Mitglied: tikayevent
tikayevent am 13.05.2021
@aqui: Der Tunnel soll nicht gegen die FBox laufen sondern gegen den TP-Link.

Mainmode würde in dieser Konstruktion eh nicht funktionieren, weil eine Seite eine dynamische IP hat, Main Mode benötigt aber entweder Zertifikate oder, wenn es per PSK laufen soll, zwei statische IPs.

Ich habe ja geschrieben, technisch möglich, aber nicht sinnvoll aufgrund der Hardwaregegebenheiten und insbesondere weil es ein Risiko darstellt, seit 12 Jahren ungepflegte Hardware zu betreiben.
Mitglied: aqui
aqui aktualisiert am 13.05.2021
1Love
OK, sorry, das hatte ich im Eifer des Gefechts in den falschen Hals bekommen.
Dann ist aber die Port Weiterleitung des TO auch falsch bzw. fehlerhaft !! Er schreibt
FritzBox mit DynDNS -> Ports 500,1194,1701,4500,1000
Das ist etwas laienhaft weil die Protokollangabe fehlt ob das UDP oder TCP ist. Es sollte UDP sein jedenfalls was die für IPsec relevanten Ports UDP 500, 4500 anbetrifft. UDP 1194 ist kompletter Unsinn, denn das ist OpenVPN und hat mit IPsec bekanntlich nicht das Geringste zu tun. Ebenso 1701. Das wäre wenn überhaupt dann TCP und gehört zum L2TP VPN. Sieht also eher nach hilflosem Schrottschuß denn zielgerichteter Konfig aus... :-( face-sad
Sehr viel fataler ist das der TO das ESP Protokoll dann vergessen hat !
Wir raten hier ja mal im freien Fall das er ein IPsec VPN betreibt oder betreiben will. Obwohl... mit dem OpenVPN Protokoll Port auch anderes denkbar wäre und es hier eher freie Raterei ist um welches der zahllosen VPN Protokolle es denn nun wirklich geht. :-( face-sad
Sollte es also IPsec sein musst die FB UDP 500, 4500 und ESP forwarden:
ipsec - Klicke auf das Bild, um es zu vergrößern
Siehe dazu auch die Details zurm Thema Router_Kaskade.
Das geht aber auch nur dann wenn in der davor kaskadierten FB alles was mit VPN zu tun hat deaktiviert ist. Ansonsten blockiert sie jegliches IPsec Forwarding da sie ja auch selber aktiver IPsec VPN Server ist oder sein kann. Trotz aktiviertem Port Forwarding. Hier gilt es also auzupassen.
Mitglied: mradic
mradic am 14.05.2021
Hallo Leute, alles flauschig oder was?

vielen Dank für eure Informationen. Sorry wegen der fehlenden Protokollangabe. Habe angenommen, dass es klar wäre. Ich habe verschiedene Dinge ausprobiert und habe daher auch vorab die Ports reingeballert. Wie gesagt, ne VM mit OPNSense habe ich ja auch aufgezogen und habe es damit versucht. Eine tiefergehende Befassung mit der Mataterie ist natürlisch unabdingbar und kann so die Geschichte auch anderweitig sinnvoll einsetzen.

Tja, was gibt es sonst zu erzählen -> ihr seid Klasse Leute. Vielen Dank. Ich werde die verlinkten, weitergehenden Informationen durchlesen und vielleicht ergibt sich da was. Falls ich zeitnah erfolgreich sein werde, dann melde ich mich nochmal kurz.
Mitglied: aqui
aqui am 14.05.2021
Und dannach dann nicht vergessen den Thread zu schliessen...
https://administrator.de/faq/32
Heiß diskutierte Beiträge
Administrator.de Feedback
Neue Administrator Version
FrankVor 1 TagInformationAdministrator.de Feedback65 Kommentare

Hallo User, heute Nacht haben wir Release 5.9 unserer Seite veröffentlicht. Diese bringt ein paar grundlegende Neuerungen für unsere User mit sich: Die Suche nach ...

Windows 10
Windows 11 Vorabversion aufgetaucht
NixVerstehenVor 1 TagTippWindows 1021 Kommentare

Auf Deskmodder.de ist ein Bericht über eine im Netz aufgetauchte Vorabversion von Windows 11 aufgetaucht. Der Bericht: Deskmodder.de - Windows 11 Vorabversion Bericht Download der ...

Internet Domänen
Domaine Join via VPN
SpryceeVor 1 TagFrageInternet Domänen4 Kommentare

Hallo, ich bin gerade dabei die namen einiger rechner umzubenennen dabei verwende ich ein Powershell script welches auf dem rechner ausgeführt wird. Jetzt gibt es ...

Windows Server
Durchgeschliffener Drucker funktioniert auf dem Server nicht
Disse1987Vor 1 TagFrageWindows Server12 Kommentare

Hallo zusammen, wieder einmal muss ich mich an euch wenden da wir mit unserem Latein am Ende sind. Seid ein paar Tagen hat eine Kundin ...

Hardware
PC und Monitor über Entfernung verbinden
gelöst ben1300Vor 13 StundenFrageHardware14 Kommentare

Guten Morgen :) folgende IST Situation: Ich habe einen Gaming PC, welchen meine Freundin gerne nutzt, z.B. für das "legendäre" Spiel Sims 4 ;) Normalerweise ...

Windows Server
Auf Active Directory Benutzer und Computer von Windows 10 zugreifen
RealThoreVor 1 TagFrageWindows Server9 Kommentare

Hallo zusammen, da wir in der Abteilung (10 Leute) uns regelmäßig um die RDP Sessions auf unseren DCs (2012 R2) prügeln, wolle ich mal nachfragen, ...

Sicherheit
Windows Server und Callback Server
gelöst samreinVor 1 TagFrageSicherheit4 Kommentare

Moin zusammen, heute Nacht wurde unser öffentlicher IP Addressbereich angegriffen. Auf einem Windows 2016 Gateway Server der ausschliesslich über Port 443 erreichbar ist sprang sogar ...

Netzwerke
Internetprobleme seit Serverinstallation
beepboopVor 5 StundenFrageNetzwerke13 Kommentare

Guten Tag zusammen Bei einem Kunden habe ich ein sehr merkwürdiges Problem. Wir haben vor zwei Wochen einen Server beim Kunden installiert. Vorher waren nur ...