Wie zwinge ich WLAN Gäste durch einen VPN-Tunnel an einer FritzBox 7390 - Oder: WLAN Kneipengäste zu mir nach Hause routen um dort einen installierten HotSpotRouter zu nutzen
Hallo!
Ich hoffe ich bekomme es vernünftig hin meine Idee zu beschreiben.
Also hier eine kleine Einleitung:
Ich möchte 2 kleine entfernte Standorte (Ich nenne Sie Kneipen) mit einem Hotspot ausstatten.
Zuhause sind ein paar Mietwohnungen vorhanden die ich auch mit versorgen möchte über den Hotspot.
Zuhause habe ich ein ordentlichen Upload von 10 Mbit
Ich habe von Zyxel den N4100 (Ich nenne Ihn Hotspot), gekauft. Er hat eine integrierte Abrechnung mit PayPal und das funktioniert auch alles perfekt und bin zufrieden.
Meine Idee:
Da der Hotspot teuer ist, möchte ich diesen nur einmal kaufen.
Die Kneipen möchte ich per VPN Tunnel nach Hause zum Hotspot leiten. <-- Das ist mein Hauptanliegen!
Der Besitzer soll dennoch sein eigenes WLAN haben und mit seinem Internetzugang nutzen.
Was ich habe:
1x Hotspot N4100
3x FritzBox 7390
1x FritzBox 7170
Was die Tage noch kommt:
1x NXC2500 = Zyxel WLAN Controller
4x NWA3560-N = Accesspoint für den WLAN Controller
Mein Ansatz:
In der Kneipe wollte ich eigentlich eine FritzBox 7390 aufstellen und Zuhause. Beide per VPN Tunnel verbinden.
Aber ich scheiter natürlich daran, wie ich die Box so einrichte das der User das Lokale Internet nicht nutzen kann, sondern nur den VPN Tunnel nutzen kann um somit an den Hotspot zu gelagen.
Wer hat ne Idee das so einzurichten? Worauf muss ich da besonders achten?
Einen VPN Tunnel bekomme ich ja hin, aber so 100%ig weiß ich nicht wie ich das konfiguerien muss.
Vielleicht hat ja schon jemand Erfahrung mit diesem Szenario?
Gruß!
FB!
Ich hoffe ich bekomme es vernünftig hin meine Idee zu beschreiben.
Also hier eine kleine Einleitung:
Ich möchte 2 kleine entfernte Standorte (Ich nenne Sie Kneipen) mit einem Hotspot ausstatten.
Zuhause sind ein paar Mietwohnungen vorhanden die ich auch mit versorgen möchte über den Hotspot.
Zuhause habe ich ein ordentlichen Upload von 10 Mbit
Ich habe von Zyxel den N4100 (Ich nenne Ihn Hotspot), gekauft. Er hat eine integrierte Abrechnung mit PayPal und das funktioniert auch alles perfekt und bin zufrieden.
Meine Idee:
Da der Hotspot teuer ist, möchte ich diesen nur einmal kaufen.
Die Kneipen möchte ich per VPN Tunnel nach Hause zum Hotspot leiten. <-- Das ist mein Hauptanliegen!
Der Besitzer soll dennoch sein eigenes WLAN haben und mit seinem Internetzugang nutzen.
Was ich habe:
1x Hotspot N4100
3x FritzBox 7390
1x FritzBox 7170
Was die Tage noch kommt:
1x NXC2500 = Zyxel WLAN Controller
4x NWA3560-N = Accesspoint für den WLAN Controller
Mein Ansatz:
In der Kneipe wollte ich eigentlich eine FritzBox 7390 aufstellen und Zuhause. Beide per VPN Tunnel verbinden.
Aber ich scheiter natürlich daran, wie ich die Box so einrichte das der User das Lokale Internet nicht nutzen kann, sondern nur den VPN Tunnel nutzen kann um somit an den Hotspot zu gelagen.
Wer hat ne Idee das so einzurichten? Worauf muss ich da besonders achten?
Einen VPN Tunnel bekomme ich ja hin, aber so 100%ig weiß ich nicht wie ich das konfiguerien muss.
Vielleicht hat ja schon jemand Erfahrung mit diesem Szenario?
Gruß!
FB!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 231970
Url: https://administrator.de/contentid/231970
Ausgedruckt am: 22.11.2024 um 10:11 Uhr
12 Kommentare
Neuester Kommentar
Hallo,
nutze doch einfach das schon vorhandene WLAN in der Kneipe
und dann muss dort doch nur "VPN Passthrough" aktiviert bzw.
vorhanden sein und dann kannst Du doch zu Deinem WLAN
HotSpot zu Hause eine VPN Verbindung aufbauen, oder?
Was für Geräte sind es denn mit denen Du dann surfen
bzw. die VPN Verbindung aufbauen möchtest?
Gruß
Dobby
nutze doch einfach das schon vorhandene WLAN in der Kneipe
und dann muss dort doch nur "VPN Passthrough" aktiviert bzw.
vorhanden sein und dann kannst Du doch zu Deinem WLAN
HotSpot zu Hause eine VPN Verbindung aufbauen, oder?
Was für Geräte sind es denn mit denen Du dann surfen
bzw. die VPN Verbindung aufbauen möchtest?
Gruß
Dobby
Bin mir nicht ganz sicher ob Du mein Anliegen verstanden hast.
So habe ich es nun einmal verstanden und Du mir erklärt!Im Grunde möchte ich in der Kneipe eine FritzBox 7390 aufstellen um
einen VPN Tunnel zur Fritzbox 7390 Zuhause aufzubauen welcher am
Hotspot angeschlossen ist.
Das war schon um Ecken präziser und Dir kann geholfen werden!!!!einen VPN Tunnel zur Fritzbox 7390 Zuhause aufzubauen welcher am
Hotspot angeschlossen ist.
Ok dann eben mal schnell hier alles abtippen und in 15 Minuten
ist das "Ding" erledigt!
AVM Anleitung
Step-by-Step Guide: Verbindung zwischen zwei Netzwerken (Fritz!Boxen) einrichten
Auch mit wenig Erfahrung ist das schnell abgehandelt und
eingetippt und wenn die ganze Sache steht, dann erst
würde ich an Deiner Stelle einen neuen Beitrag aufmachen
und danach fragen wie denn nun alle Benutzer gezwungen
werden nur den Tunnel zu benutzen!!!
Gruß
Dobby
Hallo,
Dein Anliegen ist - wenn die Fritzboxen mitspielen und die neue Firmware für den NXC draußen ist - kein Problem.
Da hast Du echt Schwein gehabt bei Deiner Beschaffung
Folgende funktionale Herausforderung gibt es: Der Hotspot schaltet bei erfolgreicher Anmeldung für die definierte Zeit die Source-MAC-Adresse frei. Wenn Du also über einen gerouteten Tunnel (was ein Site-to-Site-IPSec-Tunnel in der Regel ist) hereinkommst, wird nur der erste User eine Anmeldemaske zu sehen bekommen und alle weiteren User sind dann automatisch mit freigeschaltet, weil nur die MAC-Adresse des Router-Interfaces gegenüber dem Hotspot sichtbar ist. Du musst also per Layer2-Tunnel dafür sorgen, dass sich die Clients in der Broadcastdomäne des LAN-Interfaces des N4100 befinden.
Die schlechte Nachricht: Bei derzeitigem Firmwarestand kann der NXC2500 das nicht!
Die gute Nachricht: Der Controller wird demnächst per Firmwareupdate mächtig aufgerüstet. U.a. erhält er die hier erforderliche Möglichkeit, einen GRE-Tunnel zwischen AP und Controller zu etablieren. Bislang war dieses Feature ausschließlich dem NXC5200 vorbehalten. Die neue Firmware (ZLD4.10) kommt voraussichtlich bis Ende des Monats. Diesbezüglich hast also Glück gehabt. Ebenso bei der Wahl der APs, denn die beliebten APs im Feuermelderdesign unterstützen den Tunnelmodus nämlich generell nicht.
Für das Gäste-WLAN routest Du also einfach diesen GRE-Tunnel durch den IPSEc-Tunnel hindurch.
Einen Haken hat die Sache allerdings: Das funktioniert nicht mit jeder Kombination von IPSec-Gateways! Ich habe dieses Szenario problemlos zwischen ZywallUSGs und zwischen Fortinets und ZywallUSGs am laufen. Zwischen einer alten Zywall (ZyNOS-basierend) und einer ZywallUSG bekomme ich es hingegen nicht hin. Der GRE-Tunnel steht zwar, aber es geht kein Traffic durch. Ich habe auch von anderen gehört, dass die damit Probleme haben. Das scheint ein MTU-Problem zu sein. Ob dies auch die Fritzboxen betrifft, weiss ich (noch ) nicht.
Zumindest am Hauptstandort würde ich Dir ohnehin die Ablösung der Fritzbox dringend ans Herz legen, und zu einer vernünftigen Firewall raten, um verhindern zu können, dass aus den Remotestandorten und den Gästennetzen auf Dein eigenes LAN zugegriffen wird! Meine Empfehlung wäre dafür natürlich eine Zywall. Aber kaufe bitte nicht unbedacht eine aktuelle USG, denn da kommt demnächst auch die neue Serie mit ZLD4.10 auf den Markt..
Kein Problem: 2 SSIDs, den Traffic des einen WLANs wie beschrieben per GRE durch den Tunnel und der Traffic des anderen wird lokal ausgekoppelt.
Gruß
Steffen
Dein Anliegen ist - wenn die Fritzboxen mitspielen und die neue Firmware für den NXC draußen ist - kein Problem.
Ich habe von Zyxel den N4100 (Ich nenne Ihn Hotspot), gekauft. Er hat eine integrierte Abrechnung mit PayPal und das funktioniert
...
Da der Hotspot teuer ist, möchte ich diesen nur einmal kaufen.
Die Kneipen möchte ich per VPN Tunnel nach Hause zum Hotspot leiten. <-- Das ist mein Hauptanliegen!
Was die Tage noch kommt:
1x NXC2500 = Zyxel WLAN Controller
4x NWA3560-N = Accesspoint für den WLAN Controller
...
Da der Hotspot teuer ist, möchte ich diesen nur einmal kaufen.
Die Kneipen möchte ich per VPN Tunnel nach Hause zum Hotspot leiten. <-- Das ist mein Hauptanliegen!
Was die Tage noch kommt:
1x NXC2500 = Zyxel WLAN Controller
4x NWA3560-N = Accesspoint für den WLAN Controller
Da hast Du echt Schwein gehabt bei Deiner Beschaffung
Folgende funktionale Herausforderung gibt es: Der Hotspot schaltet bei erfolgreicher Anmeldung für die definierte Zeit die Source-MAC-Adresse frei. Wenn Du also über einen gerouteten Tunnel (was ein Site-to-Site-IPSec-Tunnel in der Regel ist) hereinkommst, wird nur der erste User eine Anmeldemaske zu sehen bekommen und alle weiteren User sind dann automatisch mit freigeschaltet, weil nur die MAC-Adresse des Router-Interfaces gegenüber dem Hotspot sichtbar ist. Du musst also per Layer2-Tunnel dafür sorgen, dass sich die Clients in der Broadcastdomäne des LAN-Interfaces des N4100 befinden.
Die schlechte Nachricht: Bei derzeitigem Firmwarestand kann der NXC2500 das nicht!
Die gute Nachricht: Der Controller wird demnächst per Firmwareupdate mächtig aufgerüstet. U.a. erhält er die hier erforderliche Möglichkeit, einen GRE-Tunnel zwischen AP und Controller zu etablieren. Bislang war dieses Feature ausschließlich dem NXC5200 vorbehalten. Die neue Firmware (ZLD4.10) kommt voraussichtlich bis Ende des Monats. Diesbezüglich hast also Glück gehabt. Ebenso bei der Wahl der APs, denn die beliebten APs im Feuermelderdesign unterstützen den Tunnelmodus nämlich generell nicht.
Für das Gäste-WLAN routest Du also einfach diesen GRE-Tunnel durch den IPSEc-Tunnel hindurch.
Einen Haken hat die Sache allerdings: Das funktioniert nicht mit jeder Kombination von IPSec-Gateways! Ich habe dieses Szenario problemlos zwischen ZywallUSGs und zwischen Fortinets und ZywallUSGs am laufen. Zwischen einer alten Zywall (ZyNOS-basierend) und einer ZywallUSG bekomme ich es hingegen nicht hin. Der GRE-Tunnel steht zwar, aber es geht kein Traffic durch. Ich habe auch von anderen gehört, dass die damit Probleme haben. Das scheint ein MTU-Problem zu sein. Ob dies auch die Fritzboxen betrifft, weiss ich (noch ) nicht.
Zumindest am Hauptstandort würde ich Dir ohnehin die Ablösung der Fritzbox dringend ans Herz legen, und zu einer vernünftigen Firewall raten, um verhindern zu können, dass aus den Remotestandorten und den Gästennetzen auf Dein eigenes LAN zugegriffen wird! Meine Empfehlung wäre dafür natürlich eine Zywall. Aber kaufe bitte nicht unbedacht eine aktuelle USG, denn da kommt demnächst auch die neue Serie mit ZLD4.10 auf den Markt..
Zitat von @Bohling:
Die Kneipen möchte ich per VPN Tunnel nach Hause zum Hotspot leiten. <-- Das ist mein Hauptanliegen!
Der Besitzer soll dennoch sein eigenes WLAN haben und mit seinem Internetzugang nutzen.
Die Kneipen möchte ich per VPN Tunnel nach Hause zum Hotspot leiten. <-- Das ist mein Hauptanliegen!
Der Besitzer soll dennoch sein eigenes WLAN haben und mit seinem Internetzugang nutzen.
Kein Problem: 2 SSIDs, den Traffic des einen WLANs wie beschrieben per GRE durch den Tunnel und der Traffic des anderen wird lokal ausgekoppelt.
Gruß
Steffen
Zitat von @Bohling:
Das heißt, das der N4100 nur die MAC Adresse der Fritzbox in der Kneipe Sieht, jedoch nicht die WLAN Clients??
Er sieht die MAC-Adresse des letzten Hops aus seiner Richtung. Also - wie ich bislang den momentan von Dir anvisierten Aufbau vermute - die MAC-Adresse der Fritzbox am Standort des N4100.Das heißt, das der N4100 nur die MAC Adresse der Fritzbox in der Kneipe Sieht, jedoch nicht die WLAN Clients??
Wo sonst?
Zitat von @Bohling:
> Kein Problem: 2 SSIDs, den Traffic des einen WLANs wie beschrieben per GRE durch den Tunnel und der Traffic des anderen wird
> lokal ausgekoppelt.
Genau DAS sollte am besten mit der FritzBox 7390 irgendwie funktionieren. Hardware ist ja schon vorhanden.
Fürs zentralisierte Gäste-WLAN brauchst Du definitiv den Zyxel-AP vor Ort! Das WLAN für den Kneipenbesitzer selbst kann natürlich auch (sowohl zusätzlich als auch ausschließlich) die dortige Fritzbox übernehmen.> Kein Problem: 2 SSIDs, den Traffic des einen WLANs wie beschrieben per GRE durch den Tunnel und der Traffic des anderen wird
> lokal ausgekoppelt.
Genau DAS sollte am besten mit der FritzBox 7390 irgendwie funktionieren. Hardware ist ja schon vorhanden.
Ist eigentlich simpel. Worüber Du Dir allerdings bislang scheinbar zu wenig Gedanken gemacht hast, ist die Frage, wie Du Dich am Hauptstandort vor unberechtigte Zugriffen aus den Remotestandorten schützen möchtest? Meines Wissens kann die Fritzbox z.B. keine Firewallregeln auf den VPN-Tunnel anwenden.
Was man machen könnte ist, dem NXC2500 zusätzlich die Aufgabe angedeihen zu lassen, als Firewall zu arbeiten, um das eigene LAN abzugrenzen. Dann brauchst Du keine zusätzliche Hardware.
Gruß
sk
Zitat von @Bohling:
Das bedeutet das ich den Zyxel AP irgendwie durch den VPN Tunnel routen kann um diesen an den WLAN Controller NXC2500 anzubinden?
Das wäre ja ein Traum!
Das bedeutet das ich den Zyxel AP irgendwie durch den VPN Tunnel routen kann um diesen an den WLAN Controller NXC2500 anzubinden?
Das wäre ja ein Traum!
Ja selbstverständlich! Du musst 2 Dinge unterscheiden:
1) wie der AP selbst (z.B. hinsichtlich seiner Konfiguration) mit dem Controller kommuniziert
2) wie der Traffic der mit dem AP verbundenen Clients zum Hotspot kommt
zu 1) Dafür benötigst Du den IPSec-Tunnel zwischen den Fritzboxen.
Hierüber kommuniziert der AP mit dem Controller per CAPWAP-Protokoll (zwecks Konfiguration) und für das Layer2-Bridging des eigentlichen Client-Traffics wird zwischen AP und Controller wie bereits geschrieben ein zusätzlicher GRE-Tunnel aufgebaut und über den IPSec-Tunnel übertragen.
zu 2) Über den GRE-Tunnel leitet der AP den Traffic der Clients zum Controller. Dort wird der GRE-Tunnel auf das passende VLAN/den richtigen Port gebridget. Dies hat den Effekt, dass sich die WLAN-Clients quasi im lokalen Netz des Hotspots befinden. Die WLAN-Gäste bekommen von Hotspot-Gateway eine IP-Adresse und verwenden dieses als Standardgateway.
Zitat von @Bohling:
Zur Not würde ich das Hardwaretechnisch voneinander trennen - aber sicherlich gibts da auch noch einen anderen Weg...
Zur Not würde ich das Hardwaretechnisch voneinander trennen - aber sicherlich gibts da auch noch einen anderen Weg...
Ich schrieb ja bereits, dass Du dafür alles benötigte schon zur Verfügung hast. Ich hatte nämlich zunächst übersehen, dass der NXC mit dem kommenden Firmwareupdate auch die bislang künstlich restriktierten Routing- und Firewallfunktionalitäten wieder aufgebohrt bekommt. Wie gesagt: Schwein gehabt. Aber das nächste Mal frag vorher, bevor Du losgehst und einfach etwas kaufst ohne zu wissen, ob und wie sich das Avisierte umsetzen lässt!
Gruß
sk