mrnight
Goto Top

VPN Verbindung bei kaskadierten Routern

Hallo an die Gemeinde

Ich hoffe hier auf ein paar Spezialisten für VPN Verbindungen zu treffe, die mir mit der Konfiguration der Fritzbox und seinen
nachfolgenden Router helfen können. Dazu nachfolgend eine Skizze, die die Netzarchitektur zeigt.

netzwerk router

Für diese VPN- Verbindungen werden keine Tools der Fritzbox oder dem Nigthawk verwenden. Die Server sind für
diese Aufgabe zuständig. Das Problem an der Geschichte ist, dass ich den Server hinter dem 2. Router mit VPN
nicht erreiche. Den ersten Server hat keine Probleme mit der VPN-Verbindung

Die nötigen Ports sind sowohl am 1. wie auch 2. Server alle offen

Wie kann ich auf der Fritzbox die Ports für den Sekundären Router öffnen ohne das die
Fritzbox meckert, dass Sie diesen Port schon offen hat?

Dasselbe Problem betrifft auch den Remotedesktop!

Wäre für ein paar Lösungsansätze dankbar.

MrNight

Content-ID: 324151

Url: https://administrator.de/forum/vpn-verbindung-bei-kaskadierten-routern-324151.html

Ausgedruckt am: 25.12.2024 um 01:12 Uhr

michi1983
michi1983 17.12.2016 aktualisiert um 08:02:01 Uhr
Goto Top
Hallo,

erstmal schlage ich vor, dass du deine Skizze um deine IP Adressierung erweiterst und deine Devices dann mit IP Adressen ansprichst im Text.

Woher sollen wir wissen was Router 2 und Server 1 oder Server 2 ist?

Als 2. bist du ev so nett und verrätst uns welches VPN Protokoll du im Einsatz hast und was du unter alle nötigen Ports verstehst. Hier wären Port Nr. und Protokolle sehr hilfreich face-wink

Dann schauen wir weiter...

Gruß
BirdyB
BirdyB 17.12.2016 um 08:50:54 Uhr
Goto Top
Moin,

ich verstehe gerade die Fragestellung nicht...
Wo wird das VPN terminiert? bzw. Wo soll es terminiert werden?
Welche Ports willst du in der Fritzbox freigeben? Oder doch forwarden?

Gruß!

BirdyB
Lochkartenstanzer
Lochkartenstanzer 17.12.2016 aktualisiert um 09:36:09 Uhr
Goto Top
https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publicati ...

Mene Kristallkugel sagt, daß Du noch zusätzlich Ports und Protokolle verwechselst.

Nenn also erstmal ross und reiter (protokolle und ports) damit wir dir helfen können.

Wenn Kollege aqui hier auftaucht, gibt es sonst erstmal ein Zäpfchen für Dich. face-smile

Und das Archiv solltest Du Dir auch mal anschauen.

lks
131381
Lösung 131381 17.12.2016 aktualisiert um 09:39:18 Uhr
Goto Top
Moin,
also du hast hier anscheinend noch Nachholbedarf was Routing und NAT-Szenarien betrifft.
Wie du gerade selbst feststellen kannst ist das DST-NATing eines Ports auf mehrere Devices im Netz nicht möglich. Wenn du also auf den Servern ein VPN Protokoll wie L2TP o. IPsec, PPTP oder SSTP fährst bei denen sich die Ports aus Prinzip nicht abändern lassen wird so etwas nie und nimmer funktionieren.
Ein VPN terminiert man immer auf einer Firewall bzw. Borderrouter. Die Fritzbox ist in dieser Hinsicht natürlich Plaste-Elaste und für vernünftigen Firmeneinsatz nicht zu gebrauchen da unter anderem VLAN-Fähigkeit und andere essentielle Dinge vermissen lässt.

Normalerweise löst man so etwas in folgender Art und Weise:

Variante A:
Man hat ein öffentliches Subnetz oder zwei oder mehr öffentliche IP-Adressen. Bei dieser Variante schleift man die Ports jeder IP 1 zu 1 (1to1 NAT) auf den Router an die entsprechende VPN Gegenstelle der jeweiligen Domain.

Variante B:
Man terminiert das VPN erneut auf dem Borderrouter (diesmal aber einen vernünftigen, Fritzbox kannst du hier vergessen), und weist den VPN-Usern jeweils das richtige VLAN zu in dem dieser zu arbeiten hat, oder jeweils separate Subnetze welche durch Firewall-Regeln nur entsprechenden Zugriff auf die eigene Domain haben.

Aber das VPN auf den Servern zu terminieren ist die denkbar schlechteste Idee!! Typischer Anfängerfehler, sowas lässt man immer dedizierte Router bzw. VPN-Appliances tun, denn so baust du dir quasi eine Autobahn direkt durch dein Wohnzimmer und beschäftigst die Server zusätzlich mit der Abwehr von Angreifern.

Gruß mik
Lochkartenstanzer
Lochkartenstanzer 17.12.2016 um 09:39:04 Uhr
Goto Top
Zitat von @131381:

Man terminiert das VPN erneut auf dem Borderrouter (diesmal aber einen vernünftigen, Fritzbox kannst du hier vergessen),

Nunja, es gibt Szenarien, bei denen das IPSEC der Fritzbüx vollkommen ausreicht.

lks
131381
131381 17.12.2016 aktualisiert um 09:48:26 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @131381:

Man terminiert das VPN erneut auf dem Borderrouter (diesmal aber einen vernünftigen, Fritzbox kannst du hier vergessen),

Nunja, es gibt Szenarien, bei denen das IPSEC der Fritzbüx vollkommen ausreicht.

Da stimme ich dir natürlich zu, aber bei der begrenzten Kapazität welche die Hardware hier bietet sind dann auch nicht mehr wie 10 parallele Verbindungen drin. Zudem sind die VPN-User erst mal alle im selben Subnetz und lassen sich nicht mehr vernünftig trennen, man bräuchte also wieder zusätzliche Hardware Für seinen Einsatz also vollkommen ungeeignet. Mit vernünftiger Hardware (welche auch Multi-Firmentauglich ist) hätte er dieses Gefrikkel mit Routerkaskaden erst gar nicht. Das gehört IMHO in die Kategorie Netzwerk des Grauens face-smile.

Den Begriff "Netzarchitektur" hat das Schaubild oben nie und nimmer verdient, das hat kein Architekt sondern ein Arschitekt verbockt.
aqui
Lösung aqui 17.12.2016 aktualisiert um 12:53:12 Uhr
Goto Top
Leider wie immer sehr oberflächlich beschrieben und es wurde wie immer vergessen anzugeben WELCHES VPN Protokoll denn verwendet wurde face-sad
So oder so ist das technisch aber nicht zu realsisieren, da hier mit 2 VPN Servern hinter dem zentralen NAT Router (FritzBox) gearbeitet wird.
Bei Port Forwarding ist dies technisch nicht möglich.
Man muss sich also entscheiden ob das VPN auf Server 1 oder Server 2 terminiert wird !!

OK, bei Server 1 funktioniert es, damit ist dann Server 2 unmöglich zu erreichen sofern das Port Forwarding dann nicht auf Server 2 umgebogen wird, denn man kann niemals die gleichen TCP/UDP Port bzw. VPN Protokolle auf 2 Hosts hinter dem NAT forwarden...klar.
Also gesetzt den Fall es soll Server 2 werden kann man davon ausgehen das der "Nachtfalke" auch als NAT Router arbeitet (also IP Adress Translation auf dem WAN Port zur FB macht)
Leider ist die Beschreibung des TOs hier wieder sehr oberflächlich.
In einer Kaskade mit doppeltem NAT muss die FB also die VPN Ports und Protokolle logischerweise per Port Forwarding and den WAN Port des Nighthawk forwarden, dieser wiederum muss dann genau diese Ports und Protokolle per Port Forwarding an die Hostadresse des Servers forwarden.
Dann klappts auch.
Wie gesagt es kann aber technisch bedingt per Port Forwarding immer nur ein einziger Server hinter dem Konstrukt erreicht werden niemals beide.
Es sei denn man benützt unterschiedliche VPN Protokolle auf den Servern. Unterschiedliche Protokollports kann man ntürlich auch auf unterschiedliche IPs forwarden.

Das und auch die Frickelei des Port Forwarding zeigt schon das gesamte kranke und laienhafte Design dieses VPN Netzes.
Es ist eigentlich fatal VPN Tunnel durch ein doppelt gesichertes Netz zu transportieren indem an Löcher in die Firewall bohrt und eigentlich will man ja genau das verhindern.
Ein VPN Server gehört immer in den Perimeter, sprich also an den Rand des Netzes. In diesem Falle die FritzBox.
Minimal aber sollte hinter der FritzBox dann eine zentrale VPN Firewall stehen wie z.B. diese hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Die dann zentral für beide Server das VPN terminiert und gleichzeitig die beiden Netze separiert.

Das wäre ein sinnvolles VPN Konstrukt und nicht diese Frickelei mit einem weiteren NAT Router in einer Kaskade.
Nichtsdestotrotz funktioniert dieses Frickeldesign auch wenn man es denn richtig konfiguriert.
orcape
orcape 17.12.2016 um 21:53:34 Uhr
Goto Top
Hi,
Du solltest Dein Konstrukt hier schon ein "wenig" nachbessern, dazu haben die Kollegen eigentlich alles gesagt. Wie das @aqui hier schon verlinkt hat, nach der Fritte ein ALIX/APU als Firewall (z.B. pfSense). Hier die VPN-Server terminieren, entsprechendes Portforwarding auf der Fritte und das war es eigentlich auch schon. Zum einen bist Du zu Deinen remoten Clients flexibler, (evtl. Verbindung untereinander) zum anderen kannst Du, wenn es die örtlichen Gegebenheiten ermöglichen, sogar auf Deinen WLAN-Router verzichten, denn alles was der kann, bringt das ALIX/APU locker auch.
Gruß orcape
MrNight
MrNight 17.01.2017 um 03:23:09 Uhr
Goto Top
Hallo an alle die mir zu diesem Thema geantwortet haben

Ich beantworte die diversen Anregung hier sozusagen gesammelt.
Also da habt ihrs mir aber schön gegeben face-sad Es ist klar, dass es immer bessere und klevere Lösungen gibt, doch vielleicht haben
einige Herren mit Ihren Antworten übers Ziel hinaus geschossen.
Ich verwende das Material was ich habe und muss mit diesem zurecht kommen. Dies geht aus meiner Fragestellung auch klar hervor.
Nun, so oder so wurde die Frage für mich beantwortet. Ich habe die Ports für die VPN-Verbindung dem Server zugewiesen, der diese benötigt
und die Verbindung funktioniert auch.
Grunsätzlich könnte ich so auch beide Server VPN-Verbindung (mit verschiedenen Protokollen) versorgen.
So danke ich allen, die sich die Zeit und die Mühe genommen haben, mir bei dieser Frage zu helfen.

Mr. Night