maju134
Goto Top

VPN Client mit Site to Site Routing?

Guten Tag liebes Forum,

Ich bin auszubildener in der Fachrichtung Systemintegration und benötige eure Hilfe.

Zu dem Problem:

Wir haben 2 Standorte, Standort A und B. Diese sind vernetzt mit einer Site to Site VPN Verbindung mit lancom Routern, die auch wunderbar funktionieren. (192.168.v.xyz, 192.168.v.xyz)

Beides Domänennetzwerke.

Wir haben außerdem noch eine sehr professionelle (ironie) Fritzbox im Standort A, die für "Home-Office" gedacht ist.

Das Problem ist nun, dass man über VPN Client (Wireguard) sich mit der Fritzbox verbindet, um auf Datenverzeichnisse zu gelangen. Das klappt logischerweise auch mit Verzeichnissen, die lokal im Standort A sind.

Man kommt nur nicht auf die Verzeichnisse auf Standort B nicht.

Klar, simpelste Lösung wäre dort auch eine Fritzbox oder ähnliches hinzustellen und sich dann darüber zu verbinden, jedoch kommt man dann nicht auf die Datenverzeichnisse von Standort A drauf.

Ich bin kein Experte oder sonstiges, ich habe mich reingelesen in's Thema und verstehe an sich auch einiges.

Jedoch bin ich überfragt, wie die VPN Benutzer der Fritzbox quasi auch die Möglichkeit haben, sich mit dem Standort B Netz zu "connecten". Sei es anpingen, auf Verzeichnisse rauf usw.

Mir sagt Routingtabelle usw etwas, jedoch bisher nur misserfolg.

Ich bin dankbar für jede Hilfe oder Tipp für dieses Problem.

mfg
Manu

Content-ID: 22402839489

Url: https://administrator.de/contentid/22402839489

Ausgedruckt am: 14.11.2024 um 03:11 Uhr

SeaStorm
SeaStorm 27.09.2023 um 13:12:49 Uhr
Goto Top
Hi

also auf Clientseite muss zumindest mal die WG Config angepasst werden indem unter
AllowedIPs = xxx
Das zusätzliche Netz ergänzt wird. Oder schlicht alles durch den Tunnel schicken.

Ab dann ist es eine Frage des Routings (und der Firewalls) innerhalb deines Netzes
MaJu134
MaJu134 27.09.2023 aktualisiert um 14:50:31 Uhr
Goto Top
Zitat von @SeaStorm:

Hi

also auf Clientseite muss zumindest mal die WG Config angepasst werden indem unter
AllowedIPs = xxx
Das zusätzliche Netz ergänzt wird. Oder schlicht alles durch den Tunnel schicken.

Ab dann ist es eine Frage des Routings (und der Firewalls) innerhalb deines Netzes

Die Clientconfig sieht wie folgt aus:

[Interface]
Address = 192.168.1.134/24
DNS = 192.168.1.5

[Peer]

AllowedIPs = 192.168.1.0/24, 192.168.4.0/24, 0.0.0.0/1, 128.0.0.0/1


Ich habe bei AllowedIPs die 192.168.4.0/24 hinzugefügt, damit diese erlaubt sind. Die Firewalls sollten kein Problem darstellen, muss ich was in der Site to Site Lancom VPN einstellen?
Th0mKa
Th0mKa 27.09.2023 um 14:18:42 Uhr
Goto Top
Quote from @MaJu134:
Die Clientconfig sieht wie folgt aus:

Kannst du den Beitrag bitte wieder löschen? VPN Keys zu posten ist eher semi gut...

/Thomas
SeaStorm
SeaStorm 27.09.2023 aktualisiert um 14:23:24 Uhr
Goto Top
(Falls das die echten Daten sind ist jetzt nur ein mäßig gute Idee deinen PSK und Private Key zusammen mit deiner public IP hier zu veröffentlichen! Mach das weg! Ich rate dir dringend diesen Key zu löschen/sperren)

muss ich was in der Site to Site Lancom VPN einstellen
Das kannst nur du beantworten face-smile
Kommt drauf an wie das bisher umgesetzt wurde.

Aber vermutlich musst du das Wireguard-Netz im Remote-Standort entsprechend auch routen.
Wobei mich das ein bisschen irritiert das scheinbar dein Wireguard Netz die gleiche IP-Range hat wie dein internes Netz ?
MaJu134
MaJu134 27.09.2023 um 14:51:15 Uhr
Goto Top
Ja, sry. Da war ich zu schnell. Jedoch dient das zu Testzwecken, habe ich korrigiert und erneut aufgesetzt.
MaJu134
MaJu134 27.09.2023 um 14:54:33 Uhr
Goto Top
Zitat von @SeaStorm:

(Falls das die echten Daten sind ist jetzt nur ein mäßig gute Idee deinen PSK und Private Key zusammen mit deiner public IP hier zu veröffentlichen! Mach das weg! Ich rate dir dringend diesen Key zu löschen/sperren)

muss ich was in der Site to Site Lancom VPN einstellen
Das kannst nur du beantworten face-smile
Kommt drauf an wie das bisher umgesetzt wurde.

Aber vermutlich musst du das Wireguard-Netz im Remote-Standort entsprechend auch routen.
Wobei mich das ein bisschen irritiert das scheinbar dein Wireguard Netz die gleiche IP-Range hat wie dein internes Netz ?

Was meinst du genau mit Wireguard-Netz? Ich melde mich per Wireguard Software auf der Fritzbox an, kriege eine IP von der Fritzbox letztendlich. (1.xxx)

Ja, ich müsste das eventull in Standort B genau so machen. Ich bedanke mich für die Antwort.
SeaStorm
SeaStorm 27.09.2023 um 15:34:08 Uhr
Goto Top
Ich vermute mal das die Fritzbox diese Config so ausspuckt?
In der Regel macht man ein eigenes Netz für die VPN Clients damit man am Ende vom Tag unterscheiden kann welcher Client IM und welcher AUSSERHALB des internen Netzes ist, also wer per VPN da ist.

Alles in einem geht zwar, ist aber echt hässlich
Avoton
Avoton 28.09.2023 um 06:32:29 Uhr
Goto Top
Moin!

Warum lasst ihr die Einwahl nicht auch über einen der LANCOMs laufen?

Dass die Fritzbox das Wireguard Netz im LAN IP Ränge aufspannt ist normal, da ist die nicht ganz standardkonform...

Gruß,
Avoton
MaJu134
MaJu134 28.09.2023 um 09:26:19 Uhr
Goto Top
Zitat von @Avoton:

Moin!

Warum lasst ihr die Einwahl nicht auch über einen der LANCOMs laufen?

Dass die Fritzbox das Wireguard Netz im LAN IP Ränge aufspannt ist normal, da ist die nicht ganz standardkonform...

Gruß,
Avoton

Die Idee finde ich gut. Die Frage wäre dann noch, ab wann ist ein Lancom Router überfordert? Also ein Lancom Router müsste dann Site to Site halten und gleichzeitig benutzer an- und abmelden von zu Hause. Gibt es da Performance verluste?
Avoton
Avoton 28.09.2023 um 10:49:44 Uhr
Goto Top
Was für einen LANCOM habt ihr denn?

Normalerweise packen die 25 VPN Tunnel ohne Probleme.
MaJu134
MaJu134 28.09.2023 um 11:23:31 Uhr
Goto Top
Zitat von @Avoton:

Was für einen LANCOM habt ihr denn?

Normalerweise packen die 25 VPN Tunnel ohne Probleme.

LANCOM 1781VA.

Dann werde ich das ansprechen und versuchen umzusetzen.