VPN zwischen 2 x Fritzbox und Monowall dahinter
Hallo Administratoren ;)
Zum Aufbau:
2 Standorte mit je einer Fritzbox (7390) stellen die Internetverbindung und fungieren als funktionierender VPN Tunnel.
Jeweils dahinter ist eine m0n0wall zur Nutzung des Captive Portals.
Was um alles in der Welt muss ich machen, damit ich einen SBS Server dahinter "sehen" kann?
Eine Regel in der FritzBox? Eine Regel in der m0n0wall? Beides? An beiden Standorten?
Muss da was im VPN - Protokoll hinterlegt sein? Bin mit meinem Latein völlig am Ende
Ich hoffe auf Hilfe, und bitte, schreibt, wenn ihr mehr Infos zur Konfig braucht ...
Gruß, Marco
Zum Aufbau:
2 Standorte mit je einer Fritzbox (7390) stellen die Internetverbindung und fungieren als funktionierender VPN Tunnel.
Jeweils dahinter ist eine m0n0wall zur Nutzung des Captive Portals.
Was um alles in der Welt muss ich machen, damit ich einen SBS Server dahinter "sehen" kann?
Eine Regel in der FritzBox? Eine Regel in der m0n0wall? Beides? An beiden Standorten?
Muss da was im VPN - Protokoll hinterlegt sein? Bin mit meinem Latein völlig am Ende
Ich hoffe auf Hilfe, und bitte, schreibt, wenn ihr mehr Infos zur Konfig braucht ...
Gruß, Marco
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 223099
Url: https://administrator.de/forum/vpn-zwischen-2-x-fritzbox-und-monowall-dahinter-223099.html
Ausgedruckt am: 22.12.2024 um 23:12 Uhr
10 Kommentare
Neuester Kommentar
Zitat von @DrBulla:
Was um alles in der Welt muss ich machen, damit ich einen SBS Server dahinter "sehen" kann?
Was um alles in der Welt muss ich machen, damit ich einen SBS Server dahinter "sehen" kann?
Hinter was?
- Fritzbox?
- monowall?
- VPN?
- FB + VPN + Monowall?
Und was heißt für Dich sehen?
- ICMP-Echo?
- http?
- dns?
- smb/cifs?
- lpd?
lks
Das "Problem" ist das das WAN Interface deiner Monowall ja vermutlich im lokalen LAN der FB liegt.
Die lokalen LANs der FB sind aber ja transparent über die VPN Verbindung zu erreichen, damit also auch die WAN Ports der jeweiligen Monowalls.
Um einen Rechner hinter der Monowall zu erreichen musst du also folgendes machen:
Ist ein bischen Aufwand funktioniert aber fehlerlos !
Generell hast du einen Designfehler bei deinem Netz gemacht. Besser wäre es die Monowall den VPN Tunnel aufbauen zu lassen, das erspart dir die Regelfrickelei. Allerdings sind dann die lokalen FB Netze nicht miteinander verbunden.
Letzteres muss ja kein Nachteil sein wenn du lokal nix hast und die FBs rein dafür benutzt die Monowalls ins Internet zu bringen. Dann wäre es erheblich besser die MWs das VPN machen zu lassen.
Hast du auch noch lokale Rechner in den jeweiligen FB LANs die sich erreichen müssen geht das natürlich nicht.
Auch da schläg wieder der Designfehler zu den du gemacht hast. Es wäre dann sinnvoller ein ALIX Board für die MWs zu verwenden am LAN Port die lokalen netze zu realisieren und am OPT Port die CPs und nur über den WAN das Internet zu machen.
Die MWs realisieren dann den VPN Tunnel. Damit ist die Erreichbarkeit dann 3 Mausklicks in den FW Regeln.
So oder so beises funktioniertnur deine Option ist etwas Konfig aufwändiger und limitiert das du mit Port Forwarding arbeiten musst zwangsweise...
Die lokalen LANs der FB sind aber ja transparent über die VPN Verbindung zu erreichen, damit also auch die WAN Ports der jeweiligen Monowalls.
Um einen Rechner hinter der Monowall zu erreichen musst du also folgendes machen:
- Firewall am WAN Port son konfigurieren das RFC 1918 IP Adressen nicht geblockt sind (General Setting)
- Zugriff auf die WAN Port IP vom jeweil gegenüber liegenden lokalen FB IP Netz erlauben.
- Port Forwarding für den entsprechenden Dienste Port von der WAN IP auf die lokale Rechner IP einrichten (Firewall NAT Regel)
Ist ein bischen Aufwand funktioniert aber fehlerlos !
Generell hast du einen Designfehler bei deinem Netz gemacht. Besser wäre es die Monowall den VPN Tunnel aufbauen zu lassen, das erspart dir die Regelfrickelei. Allerdings sind dann die lokalen FB Netze nicht miteinander verbunden.
Letzteres muss ja kein Nachteil sein wenn du lokal nix hast und die FBs rein dafür benutzt die Monowalls ins Internet zu bringen. Dann wäre es erheblich besser die MWs das VPN machen zu lassen.
Hast du auch noch lokale Rechner in den jeweiligen FB LANs die sich erreichen müssen geht das natürlich nicht.
Auch da schläg wieder der Designfehler zu den du gemacht hast. Es wäre dann sinnvoller ein ALIX Board für die MWs zu verwenden am LAN Port die lokalen netze zu realisieren und am OPT Port die CPs und nur über den WAN das Internet zu machen.
Die MWs realisieren dann den VPN Tunnel. Damit ist die Erreichbarkeit dann 3 Mausklicks in den FW Regeln.
So oder so beises funktioniertnur deine Option ist etwas Konfig aufwändiger und limitiert das du mit Port Forwarding arbeiten musst zwangsweise...
Routing in den Fritzboxen zu den Netz hinter den monowalls stimmt?
Ist die verbindung zwischen Monowall und fritzbox nur ein Transfernetz, d.h. außer monowall höngt nichts an FB oder hängen da auch stationen dran, die ggf hinter die monowall müssen (Siehe auch aquis Fragen). Wenn nur hinter den Monowalls Systeme sind, wür4de ich die fritzboxen gegen reone Modems austauschen und alles druch die monowalls abwickeln.
Ansonsten mußte du die regeln und das routing auf den Monowalls anpassen.
lks
Deine WAN Port Regel oben ist Unsinn ! Was soll denn da VPN Passthrough drin ?? Das VPN rennt nur über die FBs !! Die MW "sieht" doch logischerweise rein gar nix vom VPN…vergiss den Unsinn also.
Folgende FW Regeln solltest du am WAN Port einrichten:
Allow Source: IP Network <remotes lokales Netz> all Destination: WAN IP Address Ports: all (kann man später weiter dichtmachen)
Analog machst du das an der MW auf der anderen Seite.
Damit müsste dann ein Ping auf die WAN IP der MWs der jeweils remoten Seite schon möglich sein.
Im 2ten Step musst du nun am WAN Port eine NAT Regel aufstellen mit Port Forwarding je nachdem welche Dienste du am Server freigeben willst.
Rennt auf dem Server ein Web Server ist das z.B.
Incomming Port TCP 80 Destination: <ip_adresse_server> TCP 80
Wenn du jetzt auf der remoten Seite die WAN IP der lokalen MW ansprichst mit einem Browser landest du auf dem Server !
Dieses Port Forwarding musst du für alle Dienste vom Server machen die du erreichen willst.
Dieses Szenario ist analog dasgleiche wenn du von außen über die NAT Firewall eines Routers auf interne LAN Resourcen willst. Du musst ja aus dem lokalen Netz an der FB irgendwie die Firewall der MW überwinden und das geht in deinem Design nur über Port Forwarding (NAT) Regeln an der MW.
Wie gesagt generell ist dein Design fehlerhaft und schlecht. Wenn die FBs nur Router bzw. Modem spielen wäre es erheblich besser dort ein Port Forwarding für UDP 500, UDP 4500 und ESP Protokoll (sprich IPsec) einzurichten und die beiden Monowalls das VPN bauen zu lassen.
Auch die FBs hätten nicht sein müssen, denn das hätten 2 simple billige VDSL Modems machen können ala Speedport 300HS, 721 usw.
Damit hast du dann eine transparente VPN Verbindung beider lokalen IP Segmente über die Monowall transparent über die FBs und kannst dir die ganze Frickelei mit dem FB VPN Port Forwarding usw. sparen die dich nur einengt.
Du hast das Pferd vollkommen falsch aufgezäumt…vermutlich weil du nicht richtig nachgedacht hast, sorry.
Besser du änderst die Konfig dementsprechend, das erleichtert dein Leben mit dem Netz erheblich.
Folgende FW Regeln solltest du am WAN Port einrichten:
Allow Source: IP Network <remotes lokales Netz> all Destination: WAN IP Address Ports: all (kann man später weiter dichtmachen)
Analog machst du das an der MW auf der anderen Seite.
Damit müsste dann ein Ping auf die WAN IP der MWs der jeweils remoten Seite schon möglich sein.
Im 2ten Step musst du nun am WAN Port eine NAT Regel aufstellen mit Port Forwarding je nachdem welche Dienste du am Server freigeben willst.
Rennt auf dem Server ein Web Server ist das z.B.
Incomming Port TCP 80 Destination: <ip_adresse_server> TCP 80
Wenn du jetzt auf der remoten Seite die WAN IP der lokalen MW ansprichst mit einem Browser landest du auf dem Server !
Dieses Port Forwarding musst du für alle Dienste vom Server machen die du erreichen willst.
Dieses Szenario ist analog dasgleiche wenn du von außen über die NAT Firewall eines Routers auf interne LAN Resourcen willst. Du musst ja aus dem lokalen Netz an der FB irgendwie die Firewall der MW überwinden und das geht in deinem Design nur über Port Forwarding (NAT) Regeln an der MW.
Wie gesagt generell ist dein Design fehlerhaft und schlecht. Wenn die FBs nur Router bzw. Modem spielen wäre es erheblich besser dort ein Port Forwarding für UDP 500, UDP 4500 und ESP Protokoll (sprich IPsec) einzurichten und die beiden Monowalls das VPN bauen zu lassen.
Auch die FBs hätten nicht sein müssen, denn das hätten 2 simple billige VDSL Modems machen können ala Speedport 300HS, 721 usw.
Damit hast du dann eine transparente VPN Verbindung beider lokalen IP Segmente über die Monowall transparent über die FBs und kannst dir die ganze Frickelei mit dem FB VPN Port Forwarding usw. sparen die dich nur einengt.
Du hast das Pferd vollkommen falsch aufgezäumt…vermutlich weil du nicht richtig nachgedacht hast, sorry.
Besser du änderst die Konfig dementsprechend, das erleichtert dein Leben mit dem Netz erheblich.
Zitat von @aqui:
Im 2ten Step musst du nun am WAN Port eine NAT Regel aufstellen mit Port Forwarding je nachdem welche Dienste du am Server
freigeben willst.
Im 2ten Step musst du nun am WAN Port eine NAT Regel aufstellen mit Port Forwarding je nachdem welche Dienste du am Server
freigeben willst.
Ich würde NAT an den Monowalls ganz abschalten und nur ganz normal routen. Dazu müssen nur die Routen in den Fritzboxen eingetragen werden und das NAT zum Internet machen auch die Fritzboxen "automatisch".
Dann muß man nur noch die passenden Zugriffsregeln eintragen, ohne irgendwelches NAT zu involvireen, was eh nur zu Verwirrungen führt.
lks
M.E. kann man NAT an der MW nicht abschalten, das geht nur an der pfSense. Das wäre dann natürlich die sinnvollste Lösung abgesehen von der direkten Lösung mit Firewall und Modem ohne Router Kaskade.
Aber alle diese eigentlich überflüssigen Klimmzüge und Workarounds könnte man sich mit einem direkten Firewall VPN komplett sparen. Der grundlegende Fehler liegt schon im Design an sich.
Aber alle diese eigentlich überflüssigen Klimmzüge und Workarounds könnte man sich mit einem direkten Firewall VPN komplett sparen. Der grundlegende Fehler liegt schon im Design an sich.
Kann sein, daß ich das verwechselt habe, habe gerade keine monowall zur hand, um nachzushauen.
Aber wie Du schon sagtest: Wenn da eh nur die Monowall hinter den fritzboxen hängt, sollte man grundsätzlich üebr ein redesign (austausch der FBs gegen Modems und VPN direkt zwischen den Monowalls nachdenken.
lks