VPN durch zwei Firewalls - FritzBox 6490 und ASUS RT-AC68U

Hi Buc,

beide Router haben eine feste IP!
Die "öffentliche" FritzBox die feste IP von KDG.
Der "sekundäre" ASUS eine feste IP im internen Netz der FritzBox.

Zu Deinen Vorschlag 1: Beim Tunnel kann ich nur die feste öffentliche Adresse der FB angeben, also wird dort der Tunnel terminiert. Durch die static route landen dann aber alle meine Pakete im ASUS Netz also bei 192.168.1.x, oder? Ich möchte aber von extern auch in die DMZ, also in das FB Netz 192.168.178.x!

Zu Deinem Vorschlag 2: (Hatte ich auch schon im Auge) Bei Open VPN muss ich die Adresse des ASUS angeben, da die FB den nicht terminieren kann. Die ist fest, aber nicht öffentlich. Oder hab ich was übersehen?

Danke schon mal,

Peter

Hallo,

die Router Kopplung kenne ich und habe sie auch (Alternative2 ) so im Einsatz. Funktioniert problemlos.
Leider ist damit nicht die Sache mit den beiden VPN Zugängen erledigt (siehe meinen anderen Kommentar).

Dennoch Danke!

o.k., das teste ich!

Hallo zusammen,

zunächst mal vielen Dank euch beiden für die Unterstützung. Hat zur Lösung beigetragen.
Also habe zunächst einen IPsec Tunnel vom Internet auf die FritzBox eingerichtet. Nach Vorgabe, funktioniert einwandfrei und alle Geräte hinter der FB sind ansprechbar.
Dann ein Open VPN Tunnel cfg durch den ASUS generieren lassen. Hier braucht es einen kleinen Trick: Der ASUS muss temporär mit der öffentlichen Adresse der FB auf seinem WAN Interface statisch belegt warden. Dann generiert er mit dieser öffentlichen IP Adresse ein Open VPN .ovp File.
Danach den ASUS wieder mit seiner WAN Adresse ins interne FB Netz packen, also z.B. 192.168.178.100.
Dann auf der FB eine Port Weiterleitung für den Open VPN Port auf den ASUS eintragen. Das warts.
Jetzt können beide Netze ins Internet. Das FB Netz stellt eine DMZ dar. Von dort wäre der Zugriff auf das ASUS Netz nur mittels Tunnel möglich. Umgekehr kann jeder ASUS Netz User auf die Teilnehmer im FB Netz zugreifen. Aus dem Internet nutzt man den IPsec Tunnel zum DMZ Zugriff, bzw. für eine FB<->FB Kopplung und den Open VPN Tunnel zum Zugriff auf das interne ASUS Netz.
Performance Verlust konnte ich bis jetzt nicht feststellen.

Viele Grüße,

Peter

Nochmal kurz zu Deinem eleganten Vorschlag: Soweit ich das verstehe funktioniert das aber nur, wenn der ASUS keine Firewall darstellt, da die einfache Paketweiterleitung an ihn ja zunächst von seiner Firewall unterbunden wird. Somit hätte ich dann ohne seine Firewall auch keine DMZ.

Grüße

Peter

Hi Buc,

also bei ASUS ginge das. Aber ich wollte bewußt mein Gästenetz 192.168.178.x als DMZ abbilden, also quasi halb-öffentlich. Deshalb gibt es keine freien Ports in mein super-privates 192.168.1.x Netz.
Es funktioniert alles einandfrei über die beschriebenen zwei verschiedenen Tunneltechniken. Ich nutze ovpn zum 192.168.1.x (ab jetzt PrivN, tippt sich schneller) Netz, was die einzige Portweiterleitung im 192.168.178.x (ab jetzt DMZ) Router darstellt.
Muss aber zugeben, so ein paar kleinere Probleme habe ich doch noch:
im DMZ gibt es Mobotix Überwachungskameras, die von allen im Haus genutzt werden sollen. Dises Leute dürfen in keinem Fall mein PrivN nutzen oder sehen, habe aber Zugriff auf DMZ.
Die Überwachungskameras zeichnen ihre Sequenzen im sicheren PrivN auf, müssen also durch den Firewall. Weiterhin kommunizieren Sie mit einem GIRA Homeserver im PrivN.
Prinzipiell wäre der Einsatz eines OVPN Tunnels von der Kamera durch den PrivN Firewall auf den Aufzeichnung- bzw. HomeServer möglich. Wahrscheinlich auch das sicherste. Allerdings gibt es 10 Kameras, die alle mit ihren Videosequenzen durch die Tunnel über die PrivN, also ASUS Firewall stürmen. Ob die ASUS das mitmacht wage ich zu bezweifeln. der Test ist relativ aufwändig, da alle Kameras umkonfiguriert werden müssen.
Wie sieht sicherheitstechnisch der Vergleich dieser Tunnel Lösung mit einer Portfreigabe und entsprechender Regel in der ASUS Firewall aus?

Danke und Grüße,

Peter