12
VPN durch zwei Firewalls - FritzBox 6490 und ASUS RT-AC68U
Hallo zusammen,
habe einen Kabel Deutschland Anschluss mit einer FritzBox 6490.
Feste öffentliche V4 IP-Adresse.
Dahinter das private Netz 192.168.178.x (AVM Standard). In diesem Netz einige IP Kameras, die von extern über VPN erreichbar sein sollen. Auch soweit AVM Standard. In diesem Netz jetzt zusätzlich ein ASUS RT-AC68 Router.
Dieser Router besitzt als externe Adresse eine IP aus dem AVM Netz. Intern versorgt er ein neues privates IP Netz 192.168.1.x. Dieses Netz beherbergt Server, Clients, etc.
Nun soll auch von extern der Zugriff auf dieses "innere" Netz möglich sein.
Von extern mittels IPsec auf das interne AVM Netz kein Problem.
Wie kann aber ein anderer Nutzer z.B. iOS von außen über den AVM Router und den ASUS Router in das "innere" Netz gelangen?
Der ASUS kann IPSec oder Open VPN Tunnels terminieren.
Kann hier jemand helfen?
Vielen Dank!
habe einen Kabel Deutschland Anschluss mit einer FritzBox 6490.
Feste öffentliche V4 IP-Adresse.
Dahinter das private Netz 192.168.178.x (AVM Standard). In diesem Netz einige IP Kameras, die von extern über VPN erreichbar sein sollen. Auch soweit AVM Standard. In diesem Netz jetzt zusätzlich ein ASUS RT-AC68 Router.
Dieser Router besitzt als externe Adresse eine IP aus dem AVM Netz. Intern versorgt er ein neues privates IP Netz 192.168.1.x. Dieses Netz beherbergt Server, Clients, etc.
Nun soll auch von extern der Zugriff auf dieses "innere" Netz möglich sein.
Von extern mittels IPsec auf das interne AVM Netz kein Problem.
Wie kann aber ein anderer Nutzer z.B. iOS von außen über den AVM Router und den ASUS Router in das "innere" Netz gelangen?
Der ASUS kann IPSec oder Open VPN Tunnels terminieren.
Kann hier jemand helfen?
Vielen Dank!
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 285546
Url: https://administrator.de/forum/vpn-durch-zwei-firewalls-fritzbox-6490-und-asus-rt-ac68u-285546.html
Ausgedruckt am: 18.04.2025 um 18:04 Uhr
12 Kommentare
Neuester Kommentar
Hallo,
lies dir das mal durch:
Kopplung von 2 Routern am DSL Port
Das dürfte nur mit Portforwarding funktionieren und ist sicherlich keine optimale Lösung.
Gruß
lies dir das mal durch:
Kopplung von 2 Routern am DSL Port
Das dürfte nur mit Portforwarding funktionieren und ist sicherlich keine optimale Lösung.
Gruß
Moinsen!
IPSec kannst Du nur auf der Fritzbox ODER dem ASUS terminieren.
Ich habs noch nicht probiert, aber mir schwebt da vor, auf der FB eine Route zum Netz 192.168.1.0 mit Gateway "WAN-Adresse des Routers" (192.168.178.x) einzurichten. Das geht laut AVM easy.
http://avm.de/service/fritzbox/fritzbox-7390/wissensdatenbank/publicati ...
Sehe erstmal keinen Grund, warum der per IPSec ankommende Traffic da nicht landen sollte, aber bei AVM weiss man nie...
Alternativ Portweiterleitung auf der FB für die OpenVPN Ports auf den ASUS. Und dann dort Open VPN einrichten.
Der hat doch hoffentlich ne feste IP?
Gruß
Buc
IPSec kannst Du nur auf der Fritzbox ODER dem ASUS terminieren.
Ich habs noch nicht probiert, aber mir schwebt da vor, auf der FB eine Route zum Netz 192.168.1.0 mit Gateway "WAN-Adresse des Routers" (192.168.178.x) einzurichten. Das geht laut AVM easy.
http://avm.de/service/fritzbox/fritzbox-7390/wissensdatenbank/publicati ...
Sehe erstmal keinen Grund, warum der per IPSec ankommende Traffic da nicht landen sollte, aber bei AVM weiss man nie...
Alternativ Portweiterleitung auf der FB für die OpenVPN Ports auf den ASUS. Und dann dort Open VPN einrichten.
Der hat doch hoffentlich ne feste IP?
Gruß
Buc
1
Hi Buc,
beide Router haben eine feste IP!
Die "öffentliche" FritzBox die feste IP von KDG.
Der "sekundäre" ASUS eine feste IP im internen Netz der FritzBox.
Zu Deinen Vorschlag 1: Beim Tunnel kann ich nur die feste öffentliche Adresse der FB angeben, also wird dort der Tunnel terminiert. Durch die static route landen dann aber alle meine Pakete im ASUS Netz also bei 192.168.1.x, oder? Ich möchte aber von extern auch in die DMZ, also in das FB Netz 192.168.178.x!
Zu Deinem Vorschlag 2: (Hatte ich auch schon im Auge) Bei Open VPN muss ich die Adresse des ASUS angeben, da die FB den nicht terminieren kann. Die ist fest, aber nicht öffentlich. Oder hab ich was übersehen?
Danke schon mal,
Peter
beide Router haben eine feste IP!
Die "öffentliche" FritzBox die feste IP von KDG.
Der "sekundäre" ASUS eine feste IP im internen Netz der FritzBox.
Zu Deinen Vorschlag 1: Beim Tunnel kann ich nur die feste öffentliche Adresse der FB angeben, also wird dort der Tunnel terminiert. Durch die static route landen dann aber alle meine Pakete im ASUS Netz also bei 192.168.1.x, oder? Ich möchte aber von extern auch in die DMZ, also in das FB Netz 192.168.178.x!
Zu Deinem Vorschlag 2: (Hatte ich auch schon im Auge) Bei Open VPN muss ich die Adresse des ASUS angeben, da die FB den nicht terminieren kann. Die ist fest, aber nicht öffentlich. Oder hab ich was übersehen?
Danke schon mal,
Peter
Hallo,
die Router Kopplung kenne ich und habe sie auch (Alternative2 ) so im Einsatz. Funktioniert problemlos.
Leider ist damit nicht die Sache mit den beiden VPN Zugängen erledigt (siehe meinen anderen Kommentar).
Dennoch Danke!
die Router Kopplung kenne ich und habe sie auch (Alternative2 ) so im Einsatz. Funktioniert problemlos.
Leider ist damit nicht die Sache mit den beiden VPN Zugängen erledigt (siehe meinen anderen Kommentar).
Dennoch Danke!
Zitat von @pk-911:
Bei Open VPN muss ich die Adresse des ASUS angeben, da die FB den nicht terminieren kann.
Nein, du gibst die öffentliche IP der FB an und auf der FB leitest du die von OpenVPN verwendeten Ports auf die interne IP des Asus weiter, der dann terminiert.Bei Open VPN muss ich die Adresse des ASUS angeben, da die FB den nicht terminieren kann.
1
o.k., das teste ich!
Mach mal so.
Aber, wenn du auf der FB eine Route von 192.168.178.0 zu 192.168.1.0 mit Gateway "feste externe IP des ASUS" einrichtest, landen eben die Pakete für dein ASUS Netz auch dort, wenn sie via VPN ankommen. Das originale VPN bleibt bestehen. Es sagt der FB nur, was sie z.B. mit einem Paket für Client 192.168.1.101 machen soll, das sie ansonsten verwerfen würde, da sie den Adressaten nicht kennt. (Da es ja hinter 192.168.178.ASUS liegt.)
So denkt sie: "Schick ich mal an "ext. IP vom Asus-Router in meinem Netz", der weiss schon, wie es weitergeht. Und der ASUS Router weiss das ja dann auch, denn er kennt "seine" Adressen.
1x VPN reicht also. Fände ich eleganter. Aber das mit dem Open VPN geht sicher auch und trennt deine Netze im Zugriff von aussen, was ja auch gewollt sein könnte.
Gruß
Buc
Aber, wenn du auf der FB eine Route von 192.168.178.0 zu 192.168.1.0 mit Gateway "feste externe IP des ASUS" einrichtest, landen eben die Pakete für dein ASUS Netz auch dort, wenn sie via VPN ankommen. Das originale VPN bleibt bestehen. Es sagt der FB nur, was sie z.B. mit einem Paket für Client 192.168.1.101 machen soll, das sie ansonsten verwerfen würde, da sie den Adressaten nicht kennt. (Da es ja hinter 192.168.178.ASUS liegt.)
So denkt sie: "Schick ich mal an "ext. IP vom Asus-Router in meinem Netz", der weiss schon, wie es weitergeht. Und der ASUS Router weiss das ja dann auch, denn er kennt "seine" Adressen.
1x VPN reicht also. Fände ich eleganter. Aber das mit dem Open VPN geht sicher auch und trennt deine Netze im Zugriff von aussen, was ja auch gewollt sein könnte.
Gruß
Buc
Hallo zusammen,
zunächst mal vielen Dank euch beiden für die Unterstützung. Hat zur Lösung beigetragen.
Also habe zunächst einen IPsec Tunnel vom Internet auf die FritzBox eingerichtet. Nach Vorgabe, funktioniert einwandfrei und alle Geräte hinter der FB sind ansprechbar.
Dann ein Open VPN Tunnel cfg durch den ASUS generieren lassen. Hier braucht es einen kleinen Trick: Der ASUS muss temporär mit der öffentlichen Adresse der FB auf seinem WAN Interface statisch belegt warden. Dann generiert er mit dieser öffentlichen IP Adresse ein Open VPN .ovp File.
Danach den ASUS wieder mit seiner WAN Adresse ins interne FB Netz packen, also z.B. 192.168.178.100.
Dann auf der FB eine Port Weiterleitung für den Open VPN Port auf den ASUS eintragen. Das warts.
Jetzt können beide Netze ins Internet. Das FB Netz stellt eine DMZ dar. Von dort wäre der Zugriff auf das ASUS Netz nur mittels Tunnel möglich. Umgekehr kann jeder ASUS Netz User auf die Teilnehmer im FB Netz zugreifen. Aus dem Internet nutzt man den IPsec Tunnel zum DMZ Zugriff, bzw. für eine FB<->FB Kopplung und den Open VPN Tunnel zum Zugriff auf das interne ASUS Netz.
Performance Verlust konnte ich bis jetzt nicht feststellen.
Viele Grüße,
Peter
zunächst mal vielen Dank euch beiden für die Unterstützung. Hat zur Lösung beigetragen.
Also habe zunächst einen IPsec Tunnel vom Internet auf die FritzBox eingerichtet. Nach Vorgabe, funktioniert einwandfrei und alle Geräte hinter der FB sind ansprechbar.
Dann ein Open VPN Tunnel cfg durch den ASUS generieren lassen. Hier braucht es einen kleinen Trick: Der ASUS muss temporär mit der öffentlichen Adresse der FB auf seinem WAN Interface statisch belegt warden. Dann generiert er mit dieser öffentlichen IP Adresse ein Open VPN .ovp File.
Danach den ASUS wieder mit seiner WAN Adresse ins interne FB Netz packen, also z.B. 192.168.178.100.
Dann auf der FB eine Port Weiterleitung für den Open VPN Port auf den ASUS eintragen. Das warts.
Jetzt können beide Netze ins Internet. Das FB Netz stellt eine DMZ dar. Von dort wäre der Zugriff auf das ASUS Netz nur mittels Tunnel möglich. Umgekehr kann jeder ASUS Netz User auf die Teilnehmer im FB Netz zugreifen. Aus dem Internet nutzt man den IPsec Tunnel zum DMZ Zugriff, bzw. für eine FB<->FB Kopplung und den Open VPN Tunnel zum Zugriff auf das interne ASUS Netz.
Performance Verlust konnte ich bis jetzt nicht feststellen.
Viele Grüße,
Peter
Nochmal kurz zu Deinem eleganten Vorschlag: Soweit ich das verstehe funktioniert das aber nur, wenn der ASUS keine Firewall darstellt, da die einfache Paketweiterleitung an ihn ja zunächst von seiner Firewall unterbunden wird. Somit hätte ich dann ohne seine Firewall auch keine DMZ.
Grüße
Peter
Grüße
Peter
War in Urlaub...
Noch mal kurz: Wenn das ASUS nicht nur routet sondern auch firewalled, sollte natürlich in der Firewall auch eine Regel existieren, welche die Pakete aus 192.168.178.0 auf 192.168.1.0 erlaubt. Bestenfalls nur auf den benötigten Ports. Das sollte aber auch bei ASUS machbar und konfigurierbar sein Ist doch irgendwie selbstverständlich.
Die Firewall des ASUS greift ja standardmässig sowieso nur noch zwischen deinen privaten Subnetzen. (WAN=FB)
LG
Buc
Noch mal kurz: Wenn das ASUS nicht nur routet sondern auch firewalled, sollte natürlich in der Firewall auch eine Regel existieren, welche die Pakete aus 192.168.178.0 auf 192.168.1.0 erlaubt. Bestenfalls nur auf den benötigten Ports. Das sollte aber auch bei ASUS machbar und konfigurierbar sein Ist doch irgendwie selbstverständlich.
Die Firewall des ASUS greift ja standardmässig sowieso nur noch zwischen deinen privaten Subnetzen. (WAN=FB)
LG
Buc
Hi Buc,
also bei ASUS ginge das. Aber ich wollte bewußt mein Gästenetz 192.168.178.x als DMZ abbilden, also quasi halb-öffentlich. Deshalb gibt es keine freien Ports in mein super-privates 192.168.1.x Netz.
Es funktioniert alles einandfrei über die beschriebenen zwei verschiedenen Tunneltechniken. Ich nutze ovpn zum 192.168.1.x (ab jetzt PrivN, tippt sich schneller) Netz, was die einzige Portweiterleitung im 192.168.178.x (ab jetzt DMZ) Router darstellt.
Muss aber zugeben, so ein paar kleinere Probleme habe ich doch noch:
im DMZ gibt es Mobotix Überwachungskameras, die von allen im Haus genutzt werden sollen. Dises Leute dürfen in keinem Fall mein PrivN nutzen oder sehen, habe aber Zugriff auf DMZ.
Die Überwachungskameras zeichnen ihre Sequenzen im sicheren PrivN auf, müssen also durch den Firewall. Weiterhin kommunizieren Sie mit einem GIRA Homeserver im PrivN.
Prinzipiell wäre der Einsatz eines OVPN Tunnels von der Kamera durch den PrivN Firewall auf den Aufzeichnung- bzw. HomeServer möglich. Wahrscheinlich auch das sicherste. Allerdings gibt es 10 Kameras, die alle mit ihren Videosequenzen durch die Tunnel über die PrivN, also ASUS Firewall stürmen. Ob die ASUS das mitmacht wage ich zu bezweifeln. der Test ist relativ aufwändig, da alle Kameras umkonfiguriert werden müssen.
Wie sieht sicherheitstechnisch der Vergleich dieser Tunnel Lösung mit einer Portfreigabe und entsprechender Regel in der ASUS Firewall aus?
Danke und Grüße,
Peter
also bei ASUS ginge das. Aber ich wollte bewußt mein Gästenetz 192.168.178.x als DMZ abbilden, also quasi halb-öffentlich. Deshalb gibt es keine freien Ports in mein super-privates 192.168.1.x Netz.
Es funktioniert alles einandfrei über die beschriebenen zwei verschiedenen Tunneltechniken. Ich nutze ovpn zum 192.168.1.x (ab jetzt PrivN, tippt sich schneller) Netz, was die einzige Portweiterleitung im 192.168.178.x (ab jetzt DMZ) Router darstellt.
Muss aber zugeben, so ein paar kleinere Probleme habe ich doch noch:
im DMZ gibt es Mobotix Überwachungskameras, die von allen im Haus genutzt werden sollen. Dises Leute dürfen in keinem Fall mein PrivN nutzen oder sehen, habe aber Zugriff auf DMZ.
Die Überwachungskameras zeichnen ihre Sequenzen im sicheren PrivN auf, müssen also durch den Firewall. Weiterhin kommunizieren Sie mit einem GIRA Homeserver im PrivN.
Prinzipiell wäre der Einsatz eines OVPN Tunnels von der Kamera durch den PrivN Firewall auf den Aufzeichnung- bzw. HomeServer möglich. Wahrscheinlich auch das sicherste. Allerdings gibt es 10 Kameras, die alle mit ihren Videosequenzen durch die Tunnel über die PrivN, also ASUS Firewall stürmen. Ob die ASUS das mitmacht wage ich zu bezweifeln. der Test ist relativ aufwändig, da alle Kameras umkonfiguriert werden müssen.
Wie sieht sicherheitstechnisch der Vergleich dieser Tunnel Lösung mit einer Portfreigabe und entsprechender Regel in der ASUS Firewall aus?
Danke und Grüße,
Peter
Langsam wirds kompliziert.
ich würde aber wenn du so fragst versuchen, die FB quasi als Modem zu betreiben (exposed Host) und mir dann Gedanken machen in welchem Netz wer ist und was darf.
Also z.B. über eine PfSense dahinter dann 4 Netze definieren. (WAN (FB), Priv., Gast und IP-Cams)
Da kann man dann alles schön zentral definieren, VPN kann sie in allen Varianten und die Firewall kann man auch sehr fein tunen.
Anleitung und Support (!) auch hier im Forum.
Mit Homerouter hinter Homerouter und deinen Anforderungen ist das schwer, denn die können immer nur via VPN ein weiteres Netzwerk definieren, da sie die NIC's nicht verschiedenen Ranges zuordnen können und im WLAN das Bridging nicht deaktivierbar ist...
Gruß
Buc
ich würde aber wenn du so fragst versuchen, die FB quasi als Modem zu betreiben (exposed Host) und mir dann Gedanken machen in welchem Netz wer ist und was darf.
Also z.B. über eine PfSense dahinter dann 4 Netze definieren. (WAN (FB), Priv., Gast und IP-Cams)
Da kann man dann alles schön zentral definieren, VPN kann sie in allen Varianten und die Firewall kann man auch sehr fein tunen.
Anleitung und Support (!) auch hier im Forum.
Mit Homerouter hinter Homerouter und deinen Anforderungen ist das schwer, denn die können immer nur via VPN ein weiteres Netzwerk definieren, da sie die NIC's nicht verschiedenen Ranges zuordnen können und im WLAN das Bridging nicht deaktivierbar ist...
Gruß
Buc
1
