dracon
Goto Top

Von daheim via Firma zu BMD - VPN zu VPN plus Maskierung

Liebe Community,

Nach dreißig Jahren braver Administrator-Tätigkeit hat mich nun die Zeit - die verschlafene Entwicklung - eingeholt und ich muss Euch um Hilfe bitten... Das Problem:

Ich habe zuhause (A) meinen Arbeitscomputer stehen und bin via VPN mit dem Netzwerk der Firma (B) verbunden: TPLink Archer MR600 via IPSec Lan2Lan --- funktioniert prächtig face-smile

Die Firma (B) ist via VPN Lan2Lan mit der Cloud der Buchhaltungsfirma BMD (C) verbunden: TPLink ER7206 mit static IP und via IPSec L2L --- funktioniert in der Firma auch prächtig face-smile

... Ihr werdet es vielleicht schon erraten haben: Von A nach C funktioniert gar nicht prächtig - eigentlich gar nicht, weil BMD sinnvoller Weise die interne IP-Mask der Firma eingetragen hat, aber natürlich nicht die IP-Mask bei mir zuhause. Darüber bin ich prinzipiell ja auch sehr froh - nur ...

Konkret brauche ich also eine Adresse-Übersetzung/-Maskierung, oder was auch immer, damit BMD glaubt, das Endgerät am Ort A hätte eine Adresse von Ort B.

Ich bin offensichtlich unfähig, mittels TPLink Archer MR600 (IPSec L2L) bei mir zuhause (A) und TPLink ER7206 (IPSec L2L) in der Firma (B) einen maskierten Zugang zu BMD (C) zu etablieren.

BMD meinte, da muss ich halt routen...

Und leider ist TPLink nicht wirklich für üppige Handbücher bekannt... Kann mir jemand helfen?

Die Adressbereiche sind natürlich unterschiedlich gewählt: A hat 192.168.x.x/24, B hat 10.10.x.x/24, und C hat 172.19.x.x/24 (Das ist die BMD-Vorgabe)

Vielen Dank schon jetzt für Eure Vorschläge

Content-ID: 8111793966

Url: https://administrator.de/forum/von-daheim-via-firma-zu-bmd-vpn-zu-vpn-plus-maskierung-8111793966.html

Ausgedruckt am: 03.04.2025 um 01:04 Uhr

radiogugu
radiogugu 11.08.2023 um 15:42:50 Uhr
Goto Top
Mahlzeit.

Zitat von @dracon:
Ich habe zuhause (A) meinen Arbeitscomputer stehen und bin via VPN mit dem Netzwerk der Firma (B) verbunden: TPLink Archer MR600 via IPSec Lan2Lan --- funktioniert prächtig face-smile

Ich hoffe die IT und GF der Arbeit sind an Bord.

Die Firma (B) ist via VPN Lan2Lan mit der Cloud der Buchhaltungsfirma BMD (C) verbunden: TPLink ER7206 mit static IP und via IPSec L2L --- funktioniert in der Firma auch prächtig face-smile

... Ihr werdet es vielleicht schon erraten haben: Von A nach C funktioniert gar nicht prächtig - eigentlich gar nicht, weil BMD sinnvoller Weise die interne IP-Mask der Firma eingetragen hat, aber natürlich nicht die IP-Mask bei mir zuhause. Darüber bin ich prinzipiell ja auch sehr froh - nur ...

Konkret brauche ich also eine Adresse-Übersetzung/-Maskierung, oder was auch immer, damit BMD glaubt, das Endgerät am Ort A hätte eine Adresse von Ort B.

Besser für das Sicherheitskonzept wäre es du nutzt einen PC oder optimaler einen RDS Server als "Jump Host" in der Firma, um die Buchhaltung über den VPN Tunnel der Firma (B) zu BMD (C) zu nutzen.

BMD meinte, da muss ich halt routen...

Da haben die recht.

Gruß
Marc
dracon
dracon 11.08.2023 um 15:57:11 Uhr
Goto Top
Hallo Marc,

Danke für die schnelle Antwort,
die IT ist sogar hautnah mit eingebunden - bin ja ich selber - das ist ja das peinliche... 30 Jahre sind nicht genug, oder schon zu viel...

Muss gestehen, das Konzept eines Jump Host ist nicht ganz mein Freund - bin ein kleiner Purist, der gerne mit klaren Routen harte Fakten schafft - nur die verd... Adressübersetzung will mir bei der genannten Hardware eben nicht klar werden.

Marc, danke für Plan B - werde aber noch ein bisserl auf einen Plan A hoffen.
Grüße Christian
radiogugu
radiogugu 11.08.2023 um 16:09:56 Uhr
Goto Top
Aber ein Jump Host wäre ja innerhalb eurer Infrastruktur und entsprechend sicherer, als eine Anbindung eines Privatanschlusses an die Buchhaltung.

Just my 2 Cents.

Gruß
Marc
aqui
aqui 11.08.2023 aktualisiert um 17:09:47 Uhr
Goto Top
BMD meinte, da muss ich halt routen...
Was natürlich Blödsinn ist, denn bei IPsec VPNs bestimmst du bekanntlich mit deinem IPsec Phase 2 Setup welche IP Netze in den Tunnel geroutet werden und welche nicht. Siehst du ja auch jetzt schon an deiner bestehenden Router VPN Konfig.
Mit anderen Worten du musst das BMD IP Zielnetz zusätzlich in deiner P2 hinzufügen und vice versa die BMD dein lokales IP Netz und fertig ist der Lack.
Einige Forenthreads erklären dir die Grundlagen dazu...
Routingprobleme über OpenVPN auf Fritzbox
PFSense mit Fritzboxen verbinden
Routingprobleme unter VPN
Lesen und verstehen... 😉
dracon
dracon 11.08.2023 um 18:28:26 Uhr
Goto Top
Lieber aqui,

Bin zwar vielleicht schon etwas out of time als Netzadmin, aber die guten alten Grundlagen sind schon noch fest verankert - hab bis 2003 noch selber Netzwerktechniker auf den Lehrabschluss trainiert face-wink
IPSec ist sicher kein Problem für mich face-smile face-smile

Was Dir ein bisserl entgangen ist, das ist, dass ich von BMD genau eine Firewall-Regel habe, die ich zu schlucken habe: nur 10.10.x.x - Adressen aus meiner statischen Firmen-Adresse werden von der dortigen Firewall akzeptiert - BMD macht da gar nix vice versa - außer nett lächeln.

Entweder ich nehme Plan B - also Marc seinen Vorschlag, den ich als alte EDV-Konserve nicht mag, obwohl er vielleicht der sinnvollste sein mag - oder irgendjemand verrät mir eine NAT-artige Variante der Adressübersetzung, die ich schlichtweg nicht realisiert habe.

Einfaches Routing ist eben leider zu wenig - das hätte ich in wenigen Minuten längst umgesetzt.
Ich glaube nicht, dass ich einem IPSec-Anfängerfehler erlegen bin face-wink ... zumindest hoff ich das mal.

Und sollte sich zufällig irgendeiner meiner ehemaligen Schüler grad im selben Forum rumtreiben - dann lacht nicht, es kann Euch schneller ähnlich gehen, als ihr glauben würdet. Es kommt ständig so viel neues daher, dass man im Lauf der Jahre schon mal Lücken aufbaut.
Nur Fragen hilft weiter...

nochmals Danke, Aqui, auch wenn ich die Lösung nicht erkannt habe!
clSchak
clSchak 12.08.2023 um 09:39:51 Uhr
Goto Top
Hi

vielleicht ein wenig "Konstruktiv": Route den Traffic durch eine, in der Firma stehende, OpnSense, nur das die "NAT" macht und somit mit einer internen IP Adresse bei dem Dienstleister ankommt.

D.h. du erstellst die P2 Regel nur das die nicht direkt auf BMC zeigt sondern auf die interne OpnSense und die leitet dann weiter zum BMC, aber via NAT und nicht als Router.

Weitere Alternative: Proxy der in der Firma steht, RemoteApp Dienst innerhalb der Firma wäre auch eine Alternative, dann startest lediglich das Programm in der RDP und muss nicht auf einen Jumphost.
aqui
aqui 12.08.2023 aktualisiert um 12:46:29 Uhr
Goto Top
IPSec ist sicher kein Problem für mich
Perfekt! 👍🏻 Allerdings fragt man sich warum du auf die einfache Lösung dann nicht gekommen bist. 😉
Und nochmals...eine „Firewall Regel“ bestimt nicht allein was in den IPsec Tunnel geroutet wird, sie kann das nur generell noch zusätzlich filtern.
Natürlich sind in den Phase 2s auch Summary Masken erlaubt wie 10.10.0.0 /16, was dann sämtliche Traffic mit 10.10.x.y IP Adressen in den Tunnel routet bzw. zusätzlich noch filtert.
Wenn die BMD dieses strikt vorgibt und du keinerlei Optionen hast diese Vorgabe zu beeinflussen dann MUSST du natürlich zwangsweise deine eigene IP Adressierung daran anpassen und darfst im Heimnetz auch nur ein Subnetz im 10.10.x.y Bereich, mit welcher Maske auch immer, betreiben.
So einfach sind dann die (IPsec) Regeln aber das weisst du natürlich auch selber.
BMD macht da gar nix außer...
Das ist natürlich Unsinn und weisst du als kundiger Netzwerker auch selber. Rücktraffic MUSS immer erlaubt sein ansonsten wäre jegliche TCP/IP Kommunikation ja unterbunden. Die nutzen also auch stateful Regeln in ihrer Firewall, was ja auch generell üblich ist.
Du weisst als erfahrener Profi auch das bei VPNs generell eine enge Absprache vonnöten ist was beide Tunnelenden anbetrifft. Insofern ist es schwierig einen Tunnel zu etablieren ohne entsprechende Settings abzustimmen. Genau das wollen Admins ja bei einem VPN ja primär auch verhindern.

Es ist also in der Tat mit einfachem Routing bzw. Phase 2 Setting erledigt wenn du dich den o.a. Adressierungsvorgaben beugst.
Ob sich die BMD mit simplem NAT „überlisten“ lässt und das dann auch noch in einem 2stufigen VPN Hop ist eher fraglich. Noch dazu wenn die Optionen dafür auf einem billigen Asus Consumer Router dahingehend doch mehr als begrenzt sind!

Der Ansatz des Kollegen @clSchak ist da deutlich vielversprechender den relevanten Traffic deines lokalen Clients auf eine Firmen IP Adresse dort zu Source NATen um somit der BMD eine firmeninterne IP vorzugaukeln. Das ist ein Ansatz der in jedem Falle klappt was das „Überlisten“ anbetrifft. 😉
Aber...es gilt wie immer: Versuch macht bekanntlich klug! 😉