VPN Zugriff in Router Kaskade
Hi,
ich weiß nicht genau, ob ich den Titel richtig gesetzt habe, aber folgende Problematik:
Wir haben aktuell 2 Router in Verwendung, eine Fritzbox 3270[Router 1] und einen TP Link WR941ND[Router 2].
Aktuelle Konfiguration:
[Router 1]
- über statische IP vom ISP direkt im Netz
- DHCP ON
- VPN eingerichtet (interne AVM Lösung)
[Router 2]
- statische IP aus der Range von [Router 1]
- DHCP OFF
- über LAN mit [ROUTER 1] verbunden
Verkabelung:
ISP => [Router 1] (WAN) => [Router 2] (LAN) => Netzwerk (LAN)
Warum 2 Router? Wir hatten erst die Fritzbox und wollten im Zuge einiger Attacken in und aus unserem Netzwerk
den Traffic loggen. Daher die Idee den TP Link vor die Fritzbox zu schalten, weil nur über WAN geloggt wird.
Allerdings funktioniert dann die angenehm simple VPN Lösung der Fritzbox nicht mehr.
Wunschkonfiguration:
ISP => [Router 2] (WAN) => [Router 1] (WAN ODER LAN???) => Netzwerk (LAN) (Probiert)
ODER
ISP => [Router 1] (WAN) => [Router 2] (WAN muss wegen Firewall und Logging) => Netzwerk (LAN) (Nicht probiert)
Die Wunschkonfiguration an sich funktioniert, wenn [Router 1] hinter [Router 2] über LAN angeschlossen wird, soviel ist klar,
aber VPN der Fritzbox geht dann nicht mehr, die Verbindung kann nicht mehr aufgebaut werden.
Hat jemand eine Idee oder schon ähnliche Erfahrungen gemacht?
ich weiß nicht genau, ob ich den Titel richtig gesetzt habe, aber folgende Problematik:
Wir haben aktuell 2 Router in Verwendung, eine Fritzbox 3270[Router 1] und einen TP Link WR941ND[Router 2].
Aktuelle Konfiguration:
[Router 1]
- über statische IP vom ISP direkt im Netz
- DHCP ON
- VPN eingerichtet (interne AVM Lösung)
[Router 2]
- statische IP aus der Range von [Router 1]
- DHCP OFF
- über LAN mit [ROUTER 1] verbunden
Verkabelung:
ISP => [Router 1] (WAN) => [Router 2] (LAN) => Netzwerk (LAN)
Warum 2 Router? Wir hatten erst die Fritzbox und wollten im Zuge einiger Attacken in und aus unserem Netzwerk
den Traffic loggen. Daher die Idee den TP Link vor die Fritzbox zu schalten, weil nur über WAN geloggt wird.
Allerdings funktioniert dann die angenehm simple VPN Lösung der Fritzbox nicht mehr.
Wunschkonfiguration:
ISP => [Router 2] (WAN) => [Router 1] (WAN ODER LAN???) => Netzwerk (LAN) (Probiert)
ODER
ISP => [Router 1] (WAN) => [Router 2] (WAN muss wegen Firewall und Logging) => Netzwerk (LAN) (Nicht probiert)
Die Wunschkonfiguration an sich funktioniert, wenn [Router 1] hinter [Router 2] über LAN angeschlossen wird, soviel ist klar,
aber VPN der Fritzbox geht dann nicht mehr, die Verbindung kann nicht mehr aufgebaut werden.
Hat jemand eine Idee oder schon ähnliche Erfahrungen gemacht?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 224756
Url: https://administrator.de/contentid/224756
Ausgedruckt am: 20.11.2024 um 03:11 Uhr
3 Kommentare
Neuester Kommentar
Zitat von @mufi1985:
Wunschkonfiguration:
ISP => [Router 2] (WAN) => [Router 1] (WAN ODER LAN???) => Netzwerk (LAN) (Probiert)
ODER
ISP => [Router 1] (WAN) => [Router 2] (WAN muss wegen Firewall und Logging) => Netzwerk (LAN) (Nicht probiert)
Wunschkonfiguration:
ISP => [Router 2] (WAN) => [Router 1] (WAN ODER LAN???) => Netzwerk (LAN) (Probiert)
ODER
ISP => [Router 1] (WAN) => [Router 2] (WAN muss wegen Firewall und Logging) => Netzwerk (LAN) (Nicht probiert)
irgendwie sind Deine Bezeichnungen verwirrend.
warum nehmt Ihr nicht als Router2 einen Mikrotik für wenig Geld oder einen Eigenbau-pfsense, die richtig routen kann (und gleichzeitig Firewall spielen). Dann kann man auch ohne weiteres von der Fritzbox hinter den Router 2 routen, ohne daß man Aufstände wegen NAT & Co. machen muß.
Und warum braucht Ihre eine zweiten Router um den Traffic zu überwachen. das geht doch auch einfach, indem man zwischen Fritbox udn LAn eine Firewall klemmt.
lks
PS. Mal mal ein Schaubild mit Beinchen der Router, IP-Adressen dran udn Potrbezeichnungen. Dann wird das vielleicht etwas klarer, was Du hast udn was Du willst.
nachtrag: Du könntest den TP-Link mit ddwrt flashen udn damit zumindest ordentliche Routersoftware draufpacken. Dann NAT abschalten und eien statische Route in der Frirtzbox eintragen sollte alles tun.
Hallo,
hat der TP-Link ein integriertes Modem?
Dann würde ich das so oder so lassen, "gehen" tut immer vieles, aber wie Sinnvoll es ist ist dann die nächste Frage.
Also entweder einen Router und einen WLAN AP dahinter oder nur einen Router und ein Switch, oder aber zwei
Router hintereinander von denen der zweite kein Modem hat und bei dem man SPI & NAT abstellen kann, dann
ist das schon so möglich und auch machbar und sicherlich auch nicht so ein "Gerfrickel" und gemurkse.
Entschuldige bitte, aber diese Frage und zwar genau diese kommt hier drei Mal im Monat ungefiltert durch
weil keiner die Suchfunktion bedienen kann oder will.
Gruß
Dobby
hat der TP-Link ein integriertes Modem?
Dann würde ich das so oder so lassen, "gehen" tut immer vieles, aber wie Sinnvoll es ist ist dann die nächste Frage.
Also entweder einen Router und einen WLAN AP dahinter oder nur einen Router und ein Switch, oder aber zwei
Router hintereinander von denen der zweite kein Modem hat und bei dem man SPI & NAT abstellen kann, dann
ist das schon so möglich und auch machbar und sicherlich auch nicht so ein "Gerfrickel" und gemurkse.
Entschuldige bitte, aber diese Frage und zwar genau diese kommt hier drei Mal im Monat ungefiltert durch
weil keiner die Suchfunktion bedienen kann oder will.
Gruß
Dobby
Die Fritzbox verwendet IPsec als VPN Protokoll. Wenn du natürlich den TP Link davor kaskadierst, dann verhindert dessen NAT Firewall einen Zugriff auf die Fritzbox WAN IP Adresse mit der Folge das das VPN nicht mehr funktioniert. Ein täglicher Klassiker hier bei Administrator.de wenn es um VPNs und Router Kaskaden geht.
Die Lösung ist kinderleicht…
Du musst auf der TP Link Gurke einfach ein simples Port Forwarding der 3 IPsec Protokollkomponenten auf die WAN IP der FB einrichten als da sind:
Diese Tutorials erklären die Grundlagen (Thema VPN hinter NAT:
VPNs einrichten mit PPTP (hier mit PPTP VPN)
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Die Lösung ist kinderleicht…
Du musst auf der TP Link Gurke einfach ein simples Port Forwarding der 3 IPsec Protokollkomponenten auf die WAN IP der FB einrichten als da sind:
- UDP 500 (IKE)
- UDP 4500 (NAT Traversal)
- ESP Protokoll mit der IP Nummer 50 (Achtung kein TCP/UDP 50, ESP ist ein eigenständiges Protokoll)
Diese Tutorials erklären die Grundlagen (Thema VPN hinter NAT:
VPNs einrichten mit PPTP (hier mit PPTP VPN)
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software