135624
Jul 14, 2018
1791
7
0
URL über IPSEC routen
Hallöchen zusammen,
ich hab das Konstrukt auf dem angehängten Bild kurz aufgemalt.
Ich möchte jetzt von Client aus Netzwerk 1 auf den Cloud-Speicher zugreifen. Von Client aus Netzwerk 2 funktioniert dies bereits. Die Firewall-Regeln stimmen auch schon. Der Zugriff erfolgt über SMB (soll über die VPN dann verschlüsselt erfolgen). So die URL für den Zugriff wird ja über den DNS der Firtbox aufgelöst und dann raus über das Default-Gateway. Und damit an der IPSEC vorbei ins WAN. Im Netzwerk 2 funktioniert das über Policy-Routing sehr gut. Wie sage ich jetzt der Fritzbox, dass die URL durch die VPN geroutet werden soll, wo dann eine Regel wieder über Policy-Routing das Gateway für die OpenVPN nutzt?
Ich hab schon mal versucht das Gateway des Netzwerkes an der Pfsense im Netzwerk 2, in dem die IPSEC landet als DNS-Server direkt am Client anzugeben. Die DNS-Auflösung funktioniert nicht mehr.
Hat jemand eine Idee, was ich mir hierfür mal anschauen sollte? Ich könnte mir mit Sicherheit viel Arbeit sparen in dem ich einfach eine Firewall oder in Netzwerk 1 stelle oder einfach von dem Client in dem Netz ne OPENVPN aufbaue, aber dann lerne ich ja nichts :D
Ich bedanke mich im voraus schon einmal für die Unterstützung.
VG
ich hab das Konstrukt auf dem angehängten Bild kurz aufgemalt.
Ich möchte jetzt von Client aus Netzwerk 1 auf den Cloud-Speicher zugreifen. Von Client aus Netzwerk 2 funktioniert dies bereits. Die Firewall-Regeln stimmen auch schon. Der Zugriff erfolgt über SMB (soll über die VPN dann verschlüsselt erfolgen). So die URL für den Zugriff wird ja über den DNS der Firtbox aufgelöst und dann raus über das Default-Gateway. Und damit an der IPSEC vorbei ins WAN. Im Netzwerk 2 funktioniert das über Policy-Routing sehr gut. Wie sage ich jetzt der Fritzbox, dass die URL durch die VPN geroutet werden soll, wo dann eine Regel wieder über Policy-Routing das Gateway für die OpenVPN nutzt?
Ich hab schon mal versucht das Gateway des Netzwerkes an der Pfsense im Netzwerk 2, in dem die IPSEC landet als DNS-Server direkt am Client anzugeben. Die DNS-Auflösung funktioniert nicht mehr.
Hat jemand eine Idee, was ich mir hierfür mal anschauen sollte? Ich könnte mir mit Sicherheit viel Arbeit sparen in dem ich einfach eine Firewall oder in Netzwerk 1 stelle oder einfach von dem Client in dem Netz ne OPENVPN aufbaue, aber dann lerne ich ja nichts :D
Ich bedanke mich im voraus schon einmal für die Unterstützung.
VG
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 380292
Url: https://administrator.de/contentid/380292
Printed on: April 24, 2024 at 22:04 o'clock
7 Comments
Latest comment
Hallo
Routing geht in den Routingtabellen nur über IPs. Eine URL mit FQDN kann deshalb nicht geröstet werden. Wenn die IP des Cloudspeichers sich immer mal ändert, geht es nur, wenn das defaultgateway von Netz 1 auf Netz 2 zeigt. Dazu brauchst Du eine Rückroute von 2 auf 1.
Grüße
lcer
Routing geht in den Routingtabellen nur über IPs. Eine URL mit FQDN kann deshalb nicht geröstet werden. Wenn die IP des Cloudspeichers sich immer mal ändert, geht es nur, wenn das defaultgateway von Netz 1 auf Netz 2 zeigt. Dazu brauchst Du eine Rückroute von 2 auf 1.
Grüße
lcer
Hi,
danke für Deine Antwort.
Nein, das wäre nicht gut, den ganzen Traffic darüber zu schicken. Dann bleibt mir ja nichts andere übrig als entweder Firewall oder einfach die OpenVPN aufzubauen.
Mhm…
Kann die Fritzbox eine OpenVPN-Verbindung aufbauen? Also mit GUI bestimmt nicht. Kennst da jemand eine gute verständliche und vor allem aktuelle Anleitung, wenn es denn geht?
VG
danke für Deine Antwort.
Nein, das wäre nicht gut, den ganzen Traffic darüber zu schicken. Dann bleibt mir ja nichts andere übrig als entweder Firewall oder einfach die OpenVPN aufzubauen.
Mhm…
Kann die Fritzbox eine OpenVPN-Verbindung aufbauen? Also mit GUI bestimmt nicht. Kennst da jemand eine gute verständliche und vor allem aktuelle Anleitung, wenn es denn geht?
VG
Optimalerweise einen internen IP Kreis erstellen, auf den Zugegriffen wird, der ist dann auch nur per VPN Routbar, per SMB solltest du sowieso nur über diesen Weg zugreifen können.
VG
VG
Wie sage ich jetzt der Fritzbox, dass die URL durch die VPN geroutet werden soll
Das ist kinderleicht.Du musst der FritzBüx mitteilen das die IP Adresse für das interne OpenVPN Netzwerk (das Netz was du im OVPN Setup per server 172.16.2.0 255.255.255.0 Kommando distribuierst) auch in den VPN Tunnel geroutet wird. Das netz muss die FB ja auch kennen das es über den Tunnel erreichbar ist und NICHT via Default Route zum Provider !
Vermutlich hast du in der IPsec Policy der pfSense einzig und allein nur das Client LAN des Netzwerks 2 eingetragen, so das die FritzBüx auch nur einzig dieses Netz kennt was sie in den Tunnel routen muss.
Ohne Konfig der pfSense können wir nur im freien Fall raten...
Die Routing Tabelle der FritzBüx hätte dir das auch sofort gezeigt.
Da das OVPN Netzwerk vermutlich fehlt in der FB Routing Tabelle, routet die FB das dann lokal ins Internet wo es dann ins Nirwana geht, weil du dort sehr wahrscheinlich ein privates RFC 1918 IP Netz nutzt, oder ?
Das hättest du auch sofort selber gesehen wenn du vom Client in Netz 1 mal einen Traceroute gemacht hättest auf die interne OVPN IP.
Lösung:
Sorge dafür das die IPsec Credentials richtig konfiguriert sind und das OVPN Netz an die FritzBox beim IPsec VPN Tunnelaufbau kommuniziert wird.
Am einfachsten machst du das z.B. wenn du wie oben schon erwähnt folgende IP Adressierung nutzt:
- Lokales LAN pfSense = 172.16.1.0 /24
- OVPN intern = 172.16.2.0 /24
So werden dann ALLE 172.16er Netze von der FB in den IPsec VPN Tunnel zur pfSense geroutet und du kannst alles auf der Netz 2 Seite erreichen ! Voruasgesetzt natürlich die Firewall Regeln der pfSense stimmen und das lokale FB Netz darf die OVPN Interfaces passieren ?!
Auch hier wäre ein Screenshot hilfreich gewesen würs Troubleshooting.
Achtung: Zusätzlich musst du auch dem OVPN Server bzw. Client über ein ip route Kommando das lokale LAN der FB mitteilen, da er das ja logischerweise auch in den OVPN Tunnel routen muss.
Hier kommt es aber darauf an ob du mit push route einzelne Routen im OVPN distribuierst oder ob du dort ein Gateway Redirect machst und alles in den Tunnel routest.
Hier ist deine o.a. Beschreibung leider sehr oberflächlich so das wir hier auch leider nur die Glaskugel bemühen können
Die Routing Tabellen der beiden VPN Router, des OVPN Servers und ein Traceroute wäre hier ebenfals hilfreich fürs Troubleshooting.
Hi,
danke für die Antwort und entschuldige die späte Rückmeldung.
Wie sage ich der FB denn, dass sie eine bestimmte Domain (IP kann sich ja auch ändern) über den IPSEC-Tunnel der Fritzbox routen soll? Im Netzwerk 2 funktioniert das Routing einwandfrei. Da aber der Cloudspeicher über eine öffentliche Domain und IP angesprochen wird, haut die Fritzbox das ja über sein Default raus. Die Firewall würde das richtig über die OPENVPN routen.
Also muss ich der FB nur sagen, dass sie das über den IPSEC schicken soll. Alles weitere sollte bereits konfiguriert sein und selbst wenn nicht, seh ich ja den block auf der Firewall.
Als Statische Route darf ich das ja auch nicht einstellen auf der FB.
Danke und VG
danke für die Antwort und entschuldige die späte Rückmeldung.
Wie sage ich der FB denn, dass sie eine bestimmte Domain (IP kann sich ja auch ändern) über den IPSEC-Tunnel der Fritzbox routen soll? Im Netzwerk 2 funktioniert das Routing einwandfrei. Da aber der Cloudspeicher über eine öffentliche Domain und IP angesprochen wird, haut die Fritzbox das ja über sein Default raus. Die Firewall würde das richtig über die OPENVPN routen.
Also muss ich der FB nur sagen, dass sie das über den IPSEC schicken soll. Alles weitere sollte bereits konfiguriert sein und selbst wenn nicht, seh ich ja den block auf der Firewall.
Als Statische Route darf ich das ja auch nicht einstellen auf der FB.
Danke und VG
Wie sage ich der FB denn, dass sie eine bestimmte Domain (IP kann sich ja auch ändern) über den IPSEC-Tunnel der Fritzbox routen soll?
Das geht nicht über die Domain direkt bzw. deren namen sondern nur über die IPs die diese Domain verwendet. Klar, denn das IP Routing versteht nunmal nur IP Adressen und logischerweise keine Namen.Also muss ich der FB nur sagen, dass sie das über den IPSEC schicken soll.
Richtig !
Und wie genau sage ich ihr das für eine IP-Adresse? Weil statische Route funktioniert nicht (oder ich bin zu doof).
