10
VPN zwischen 2 x Fritzbox und Monowall dahinter
Hallo Administratoren ;)
Zum Aufbau:
2 Standorte mit je einer Fritzbox (7390) stellen die Internetverbindung und fungieren als funktionierender VPN Tunnel.
Jeweils dahinter ist eine m0n0wall zur Nutzung des Captive Portals.
Was um alles in der Welt muss ich machen, damit ich einen SBS Server dahinter "sehen" kann?
Eine Regel in der FritzBox? Eine Regel in der m0n0wall? Beides? An beiden Standorten?
Muss da was im VPN - Protokoll hinterlegt sein? Bin mit meinem Latein völlig am Ende
Ich hoffe auf Hilfe, und bitte, schreibt, wenn ihr mehr Infos zur Konfig braucht ...
Gruß, Marco
Zum Aufbau:
2 Standorte mit je einer Fritzbox (7390) stellen die Internetverbindung und fungieren als funktionierender VPN Tunnel.
Jeweils dahinter ist eine m0n0wall zur Nutzung des Captive Portals.
Was um alles in der Welt muss ich machen, damit ich einen SBS Server dahinter "sehen" kann?
Eine Regel in der FritzBox? Eine Regel in der m0n0wall? Beides? An beiden Standorten?
Muss da was im VPN - Protokoll hinterlegt sein? Bin mit meinem Latein völlig am Ende
Ich hoffe auf Hilfe, und bitte, schreibt, wenn ihr mehr Infos zur Konfig braucht ...
Gruß, Marco
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 223099
Url: https://administrator.de/contentid/223099
Ausgedruckt am: 22.11.2024 um 19:11 Uhr
10 Kommentare
Neuester Kommentar
Zitat von @DrBulla:
Was um alles in der Welt muss ich machen, damit ich einen SBS Server dahinter "sehen" kann?
Was um alles in der Welt muss ich machen, damit ich einen SBS Server dahinter "sehen" kann?
Hinter was?
- Fritzbox?
- monowall?
- VPN?
- FB + VPN + Monowall?
Und was heißt für Dich sehen?
- ICMP-Echo?
- http?
- dns?
- smb/cifs?
- lpd?
lks
Das "Problem" ist das das WAN Interface deiner Monowall ja vermutlich im lokalen LAN der FB liegt.
Die lokalen LANs der FB sind aber ja transparent über die VPN Verbindung zu erreichen, damit also auch die WAN Ports der jeweiligen Monowalls.
Um einen Rechner hinter der Monowall zu erreichen musst du also folgendes machen:
Ist ein bischen Aufwand funktioniert aber fehlerlos !
Generell hast du einen Designfehler bei deinem Netz gemacht. Besser wäre es die Monowall den VPN Tunnel aufbauen zu lassen, das erspart dir die Regelfrickelei. Allerdings sind dann die lokalen FB Netze nicht miteinander verbunden.
Letzteres muss ja kein Nachteil sein wenn du lokal nix hast und die FBs rein dafür benutzt die Monowalls ins Internet zu bringen. Dann wäre es erheblich besser die MWs das VPN machen zu lassen.
Hast du auch noch lokale Rechner in den jeweiligen FB LANs die sich erreichen müssen geht das natürlich nicht.
Auch da schläg wieder der Designfehler zu den du gemacht hast. Es wäre dann sinnvoller ein ALIX Board für die MWs zu verwenden am LAN Port die lokalen netze zu realisieren und am OPT Port die CPs und nur über den WAN das Internet zu machen.
Die MWs realisieren dann den VPN Tunnel. Damit ist die Erreichbarkeit dann 3 Mausklicks in den FW Regeln.
So oder so beises funktioniertnur deine Option ist etwas Konfig aufwändiger und limitiert das du mit Port Forwarding arbeiten musst zwangsweise...
Die lokalen LANs der FB sind aber ja transparent über die VPN Verbindung zu erreichen, damit also auch die WAN Ports der jeweiligen Monowalls.
Um einen Rechner hinter der Monowall zu erreichen musst du also folgendes machen:
- Firewall am WAN Port son konfigurieren das RFC 1918 IP Adressen nicht geblockt sind (General Setting)
- Zugriff auf die WAN Port IP vom jeweil gegenüber liegenden lokalen FB IP Netz erlauben.
- Port Forwarding für den entsprechenden Dienste Port von der WAN IP auf die lokale Rechner IP einrichten (Firewall NAT Regel)
Ist ein bischen Aufwand funktioniert aber fehlerlos !
Generell hast du einen Designfehler bei deinem Netz gemacht. Besser wäre es die Monowall den VPN Tunnel aufbauen zu lassen, das erspart dir die Regelfrickelei. Allerdings sind dann die lokalen FB Netze nicht miteinander verbunden.
Letzteres muss ja kein Nachteil sein wenn du lokal nix hast und die FBs rein dafür benutzt die Monowalls ins Internet zu bringen. Dann wäre es erheblich besser die MWs das VPN machen zu lassen.
Hast du auch noch lokale Rechner in den jeweiligen FB LANs die sich erreichen müssen geht das natürlich nicht.
Auch da schläg wieder der Designfehler zu den du gemacht hast. Es wäre dann sinnvoller ein ALIX Board für die MWs zu verwenden am LAN Port die lokalen netze zu realisieren und am OPT Port die CPs und nur über den WAN das Internet zu machen.
Die MWs realisieren dann den VPN Tunnel. Damit ist die Erreichbarkeit dann 3 Mausklicks in den FW Regeln.
So oder so beises funktioniertnur deine Option ist etwas Konfig aufwändiger und limitiert das du mit Port Forwarding arbeiten musst zwangsweise...
1
FritzBox (vpn) -> monowall -> Server
"sehen" heißt pingen resp. Netzlaufwerk
"sehen" heißt pingen resp. Netzlaufwerk
Zitat von @aqui:
- Firewall am WAN Port son konfigurieren das RFC 1918 IP Adressen nicht geblockt sind (General Setting)
Häckchen raus .. war sowieso schon ...
* Zugriff auf die WAN Port IP vom jeweil gegenüber liegenden lokalen FB IP Netz erlauben.
Proto Source Port Destination Port Description
- 192.168.133.1 * * * vpn passthrough
So? oder IP-Adresse des VPN Netzwerkes 192.168.133.0/24 ? Hab ich schon probiert, ging auch nicht.
* Port Forwarding für den entsprechenden Dienste Port von der WAN IP auf die lokale Rechner IP einrichten (Firewall NAT
Regel)
Regel)
Als inbound Regel?
Fertisch...
Ist ein bischen Aufwand funktioniert aber fehlerlos !
Ist ein bischen Aufwand funktioniert aber fehlerlos !
Na, Aufwand ist nicht schlimm - aber bis dahin
bringen. Dann wäre es erheblich besser die MWs das VPN machen zu lassen.
Habe ich ewig dran rumprobiert, ging irgendwie ... nie, leider, nun, jetzt sind die Fritzboxen halt vorhanden und dort lief es recht schnell und "einfach".
PS: Was ist mit der m0n0wall am anderen Ende? Vice versa?
Marco
Routing in den Fritzboxen zu den Netz hinter den monowalls stimmt?
Ist die verbindung zwischen Monowall und fritzbox nur ein Transfernetz, d.h. außer monowall höngt nichts an FB oder hängen da auch stationen dran, die ggf hinter die monowall müssen (Siehe auch aquis Fragen). Wenn nur hinter den Monowalls Systeme sind, wür4de ich die fritzboxen gegen reone Modems austauschen und alles druch die monowalls abwickeln.
Ansonsten mußte du die regeln und das routing auf den Monowalls anpassen.
lks
Hinter den Fritzboxen hängt je nur die monowall.
Da vdsl (tag 7) nicht geht und die Software nicht ersetzt werden soll/kann durch ca. 40.000 generierte und aufbereitete Voucher ... fällt die Möglichkeit raus.
Routing und Regeln anpassen.
Ja, da bin ich mit dran .. (hätte ich doch Netzwerktechnik studiert
Marco
Da vdsl (tag 7) nicht geht und die Software nicht ersetzt werden soll/kann durch ca. 40.000 generierte und aufbereitete Voucher ... fällt die Möglichkeit raus.
Routing und Regeln anpassen.
Ja, da bin ich mit dran .. (hätte ich doch Netzwerktechnik studiert
Marco
Deine WAN Port Regel oben ist Unsinn ! Was soll denn da VPN Passthrough drin ?? Das VPN rennt nur über die FBs !! Die MW "sieht" doch logischerweise rein gar nix vom VPN…vergiss den Unsinn also.
Folgende FW Regeln solltest du am WAN Port einrichten:
Allow Source: IP Network <remotes lokales Netz> all Destination: WAN IP Address Ports: all (kann man später weiter dichtmachen)
Analog machst du das an der MW auf der anderen Seite.
Damit müsste dann ein Ping auf die WAN IP der MWs der jeweils remoten Seite schon möglich sein.
Im 2ten Step musst du nun am WAN Port eine NAT Regel aufstellen mit Port Forwarding je nachdem welche Dienste du am Server freigeben willst.
Rennt auf dem Server ein Web Server ist das z.B.
Incomming Port TCP 80 Destination: <ip_adresse_server> TCP 80
Wenn du jetzt auf der remoten Seite die WAN IP der lokalen MW ansprichst mit einem Browser landest du auf dem Server !
Dieses Port Forwarding musst du für alle Dienste vom Server machen die du erreichen willst.
Dieses Szenario ist analog dasgleiche wenn du von außen über die NAT Firewall eines Routers auf interne LAN Resourcen willst. Du musst ja aus dem lokalen Netz an der FB irgendwie die Firewall der MW überwinden und das geht in deinem Design nur über Port Forwarding (NAT) Regeln an der MW.
Wie gesagt generell ist dein Design fehlerhaft und schlecht. Wenn die FBs nur Router bzw. Modem spielen wäre es erheblich besser dort ein Port Forwarding für UDP 500, UDP 4500 und ESP Protokoll (sprich IPsec) einzurichten und die beiden Monowalls das VPN bauen zu lassen.
Auch die FBs hätten nicht sein müssen, denn das hätten 2 simple billige VDSL Modems machen können ala Speedport 300HS, 721 usw.
Damit hast du dann eine transparente VPN Verbindung beider lokalen IP Segmente über die Monowall transparent über die FBs und kannst dir die ganze Frickelei mit dem FB VPN Port Forwarding usw. sparen die dich nur einengt.
Du hast das Pferd vollkommen falsch aufgezäumt…vermutlich weil du nicht richtig nachgedacht hast, sorry.
Besser du änderst die Konfig dementsprechend, das erleichtert dein Leben mit dem Netz erheblich.
Folgende FW Regeln solltest du am WAN Port einrichten:
Allow Source: IP Network <remotes lokales Netz> all Destination: WAN IP Address Ports: all (kann man später weiter dichtmachen)
Analog machst du das an der MW auf der anderen Seite.
Damit müsste dann ein Ping auf die WAN IP der MWs der jeweils remoten Seite schon möglich sein.
Im 2ten Step musst du nun am WAN Port eine NAT Regel aufstellen mit Port Forwarding je nachdem welche Dienste du am Server freigeben willst.
Rennt auf dem Server ein Web Server ist das z.B.
Incomming Port TCP 80 Destination: <ip_adresse_server> TCP 80
Wenn du jetzt auf der remoten Seite die WAN IP der lokalen MW ansprichst mit einem Browser landest du auf dem Server !
Dieses Port Forwarding musst du für alle Dienste vom Server machen die du erreichen willst.
Dieses Szenario ist analog dasgleiche wenn du von außen über die NAT Firewall eines Routers auf interne LAN Resourcen willst. Du musst ja aus dem lokalen Netz an der FB irgendwie die Firewall der MW überwinden und das geht in deinem Design nur über Port Forwarding (NAT) Regeln an der MW.
Wie gesagt generell ist dein Design fehlerhaft und schlecht. Wenn die FBs nur Router bzw. Modem spielen wäre es erheblich besser dort ein Port Forwarding für UDP 500, UDP 4500 und ESP Protokoll (sprich IPsec) einzurichten und die beiden Monowalls das VPN bauen zu lassen.
Auch die FBs hätten nicht sein müssen, denn das hätten 2 simple billige VDSL Modems machen können ala Speedport 300HS, 721 usw.
Damit hast du dann eine transparente VPN Verbindung beider lokalen IP Segmente über die Monowall transparent über die FBs und kannst dir die ganze Frickelei mit dem FB VPN Port Forwarding usw. sparen die dich nur einengt.
Du hast das Pferd vollkommen falsch aufgezäumt…vermutlich weil du nicht richtig nachgedacht hast, sorry.
Besser du änderst die Konfig dementsprechend, das erleichtert dein Leben mit dem Netz erheblich.
Zitat von @aqui:
Im 2ten Step musst du nun am WAN Port eine NAT Regel aufstellen mit Port Forwarding je nachdem welche Dienste du am Server
freigeben willst.
Im 2ten Step musst du nun am WAN Port eine NAT Regel aufstellen mit Port Forwarding je nachdem welche Dienste du am Server
freigeben willst.
Ich würde NAT an den Monowalls ganz abschalten und nur ganz normal routen. Dazu müssen nur die Routen in den Fritzboxen eingetragen werden und das NAT zum Internet machen auch die Fritzboxen "automatisch".
Dann muß man nur noch die passenden Zugriffsregeln eintragen, ohne irgendwelches NAT zu involvireen, was eh nur zu Verwirrungen führt.
lks
M.E. kann man NAT an der MW nicht abschalten, das geht nur an der pfSense. Das wäre dann natürlich die sinnvollste Lösung abgesehen von der direkten Lösung mit Firewall und Modem ohne Router Kaskade.
Aber alle diese eigentlich überflüssigen Klimmzüge und Workarounds könnte man sich mit einem direkten Firewall VPN komplett sparen. Der grundlegende Fehler liegt schon im Design an sich.
Aber alle diese eigentlich überflüssigen Klimmzüge und Workarounds könnte man sich mit einem direkten Firewall VPN komplett sparen. Der grundlegende Fehler liegt schon im Design an sich.
Kann sein, daß ich das verwechselt habe, habe gerade keine monowall zur hand, um nachzushauen.
Aber wie Du schon sagtest: Wenn da eh nur die Monowall hinter den fritzboxen hängt, sollte man grundsätzlich üebr ein redesign (austausch der FBs gegen Modems und VPN direkt zwischen den Monowalls nachdenken.
lks
