bohling
Goto Top

Wie zwinge ich WLAN Gäste durch einen VPN-Tunnel an einer FritzBox 7390 - Oder: WLAN Kneipengäste zu mir nach Hause routen um dort einen installierten HotSpotRouter zu nutzen

Hallo!

Ich hoffe ich bekomme es vernünftig hin meine Idee zu beschreiben.
Also hier eine kleine Einleitung:

Ich möchte 2 kleine entfernte Standorte (Ich nenne Sie Kneipen) mit einem Hotspot ausstatten.
Zuhause sind ein paar Mietwohnungen vorhanden die ich auch mit versorgen möchte über den Hotspot.
Zuhause habe ich ein ordentlichen Upload von 10 Mbit

Ich habe von Zyxel den N4100 (Ich nenne Ihn Hotspot), gekauft. Er hat eine integrierte Abrechnung mit PayPal und das funktioniert auch alles perfekt und bin zufrieden.

Meine Idee:
Da der Hotspot teuer ist, möchte ich diesen nur einmal kaufen.
Die Kneipen möchte ich per VPN Tunnel nach Hause zum Hotspot leiten. <-- Das ist mein Hauptanliegen!
Der Besitzer soll dennoch sein eigenes WLAN haben und mit seinem Internetzugang nutzen.

Was ich habe:
1x Hotspot N4100
3x FritzBox 7390
1x FritzBox 7170

Was die Tage noch kommt:
1x NXC2500 = Zyxel WLAN Controller
4x NWA3560-N = Accesspoint für den WLAN Controller

Mein Ansatz:
In der Kneipe wollte ich eigentlich eine FritzBox 7390 aufstellen und Zuhause. Beide per VPN Tunnel verbinden.
Aber ich scheiter natürlich daran, wie ich die Box so einrichte das der User das Lokale Internet nicht nutzen kann, sondern nur den VPN Tunnel nutzen kann um somit an den Hotspot zu gelagen.

Wer hat ne Idee das so einzurichten? Worauf muss ich da besonders achten?
Einen VPN Tunnel bekomme ich ja hin, aber so 100%ig weiß ich nicht wie ich das konfiguerien muss.
Vielleicht hat ja schon jemand Erfahrung mit diesem Szenario?

Gruß!
FB!

Content-ID: 231970

Url: https://administrator.de/contentid/231970

Ausgedruckt am: 22.11.2024 um 10:11 Uhr

108012
108012 07.03.2014 um 12:16:09 Uhr
Goto Top
Hallo,

nutze doch einfach das schon vorhandene WLAN in der Kneipe
und dann muss dort doch nur "VPN Passthrough" aktiviert bzw.
vorhanden sein und dann kannst Du doch zu Deinem WLAN
HotSpot zu Hause eine VPN Verbindung aufbauen, oder?

Was für Geräte sind es denn mit denen Du dann surfen
bzw. die VPN Verbindung aufbauen möchtest?

Gruß
Dobby
Bohling
Bohling 07.03.2014 um 12:35:04 Uhr
Goto Top
Bin mir nicht ganz sicher ob Du mein Anliegen verstanden hast.

Im Grunde möchte ich in der Kneipe eine FritzBox 7390 aufstellen um einen VPN Tunnel zur Fritzbox 7390 Zuhause aufzubauen welcher am Hotspot angeschlossen ist.

Die Gäste sollen also durch den VPN-Tunnel gezwungen werden.
Die Gäste sollen das Intenet vor Ort nicht nutzen dürfen, nur durch den VPN Tunnel.
108012
108012 07.03.2014 aktualisiert um 12:57:58 Uhr
Goto Top
Bin mir nicht ganz sicher ob Du mein Anliegen verstanden hast.
So habe ich es nun einmal verstanden und Du mir erklärt!

Im Grunde möchte ich in der Kneipe eine FritzBox 7390 aufstellen um
einen VPN Tunnel zur Fritzbox 7390 Zuhause aufzubauen welcher am
Hotspot angeschlossen ist.
Das war schon um Ecken präziser und Dir kann geholfen werden!!!!
Ok dann eben mal schnell hier alles abtippen und in 15 Minuten
ist das "Ding" erledigt!

AVM Anleitung
Step-by-Step Guide: Verbindung zwischen zwei Netzwerken (Fritz!Boxen) einrichten

Auch mit wenig Erfahrung ist das schnell abgehandelt und
eingetippt und wenn die ganze Sache steht, dann erst
würde ich an Deiner Stelle einen neuen Beitrag aufmachen
und danach fragen wie denn nun alle Benutzer gezwungen
werden nur den Tunnel zu benutzen!!!

Gruß
Dobby
Bohling
Bohling 07.03.2014 aktualisiert um 13:04:37 Uhr
Goto Top
Danke für die schnelle Antwort!

Hmm, leider immer noch nicht das was ich brauche. Den VPN Tunnel bekomme ich ja hin und ist auch schon aktiv.

Aber wichtig ist, das die WLAN User der Kneipe das Internet vor Ort auf KEINEN FALL bebnutzen dürfen.
Diese sollen durch den VPN Tunnel "gezwungen" werden.

Die Beschreibung erklärt mir nur wie ich 2 Subnetze miteinander verbinde. face-sad
sk
sk 07.03.2014 um 13:05:14 Uhr
Goto Top
Hallo,

Dein Anliegen ist - wenn die Fritzboxen mitspielen und die neue Firmware für den NXC draußen ist - kein Problem.


Ich habe von Zyxel den N4100 (Ich nenne Ihn Hotspot), gekauft. Er hat eine integrierte Abrechnung mit PayPal und das funktioniert
...
Da der Hotspot teuer ist, möchte ich diesen nur einmal kaufen.
Die Kneipen möchte ich per VPN Tunnel nach Hause zum Hotspot leiten. <-- Das ist mein Hauptanliegen!

Was die Tage noch kommt:
1x NXC2500 = Zyxel WLAN Controller
4x NWA3560-N = Accesspoint für den WLAN Controller

Da hast Du echt Schwein gehabt bei Deiner Beschaffung face-wink

Folgende funktionale Herausforderung gibt es: Der Hotspot schaltet bei erfolgreicher Anmeldung für die definierte Zeit die Source-MAC-Adresse frei. Wenn Du also über einen gerouteten Tunnel (was ein Site-to-Site-IPSec-Tunnel in der Regel ist) hereinkommst, wird nur der erste User eine Anmeldemaske zu sehen bekommen und alle weiteren User sind dann automatisch mit freigeschaltet, weil nur die MAC-Adresse des Router-Interfaces gegenüber dem Hotspot sichtbar ist. Du musst also per Layer2-Tunnel dafür sorgen, dass sich die Clients in der Broadcastdomäne des LAN-Interfaces des N4100 befinden.
Die schlechte Nachricht: Bei derzeitigem Firmwarestand kann der NXC2500 das nicht!
Die gute Nachricht: Der Controller wird demnächst per Firmwareupdate mächtig aufgerüstet. U.a. erhält er die hier erforderliche Möglichkeit, einen GRE-Tunnel zwischen AP und Controller zu etablieren. Bislang war dieses Feature ausschließlich dem NXC5200 vorbehalten. Die neue Firmware (ZLD4.10) kommt voraussichtlich bis Ende des Monats. Diesbezüglich hast also Glück gehabt. Ebenso bei der Wahl der APs, denn die beliebten APs im Feuermelderdesign unterstützen den Tunnelmodus nämlich generell nicht. face-wink
Für das Gäste-WLAN routest Du also einfach diesen GRE-Tunnel durch den IPSEc-Tunnel hindurch.
Einen Haken hat die Sache allerdings: Das funktioniert nicht mit jeder Kombination von IPSec-Gateways! Ich habe dieses Szenario problemlos zwischen ZywallUSGs und zwischen Fortinets und ZywallUSGs am laufen. Zwischen einer alten Zywall (ZyNOS-basierend) und einer ZywallUSG bekomme ich es hingegen nicht hin. Der GRE-Tunnel steht zwar, aber es geht kein Traffic durch. Ich habe auch von anderen gehört, dass die damit Probleme haben. Das scheint ein MTU-Problem zu sein. Ob dies auch die Fritzboxen betrifft, weiss ich (noch face-wink) nicht.
Zumindest am Hauptstandort würde ich Dir ohnehin die Ablösung der Fritzbox dringend ans Herz legen, und zu einer vernünftigen Firewall raten, um verhindern zu können, dass aus den Remotestandorten und den Gästennetzen auf Dein eigenes LAN zugegriffen wird! Meine Empfehlung wäre dafür natürlich eine Zywall. Aber kaufe bitte nicht unbedacht eine aktuelle USG, denn da kommt demnächst auch die neue Serie mit ZLD4.10 auf den Markt.. face-wink


Zitat von @Bohling:

Die Kneipen möchte ich per VPN Tunnel nach Hause zum Hotspot leiten. <-- Das ist mein Hauptanliegen!
Der Besitzer soll dennoch sein eigenes WLAN haben und mit seinem Internetzugang nutzen.

Kein Problem: 2 SSIDs, den Traffic des einen WLANs wie beschrieben per GRE durch den Tunnel und der Traffic des anderen wird lokal ausgekoppelt.


Gruß
Steffen
Bohling
Bohling 07.03.2014 um 13:19:06 Uhr
Goto Top
Danke für die Info, daran hab ich noch gar nicht gedacht face-smile

Folgende funktionale Herausforderung gibt es: Der Hotspot schaltet bei erfolgreicher Anmeldung für die definierte Zeit die
Source-MAC-Adresse frei. Wenn Du also über einen gerouteten Tunnel (was ein Site-to-Site-IPSec-Tunnel in der Regel ist)
hereinkommst, wird nur der erste User eine Anmeldemaske zu sehen bekommen und alle weiteren User sind dann automatisch mit
freigeschaltet, weil nur die MAC-Adresse des Router-Interfaces gegenüber dem Hotspot sichtbar ist. Du musst also per
Layer2-Tunnel dafür sorgen, dass sich die Clients in der Broadcastdomäne des LAN-Interfaces des N4100 befinden.
Das heißt, das der N4100 nur die MAC Adresse der Fritzbox in der Kneipe Sieht, jedoch nicht die WLAN Clients??
Das wäre natürlich irre ärgerlich face-sad


Die schlechte Nachricht: Bei derzeitigem Firmwarestand kann der NXC2500 das nicht!
Die gute Nachricht: Der Controller wird demnächst per Firmwareupdate mächtig aufgerüstet. U.a. erhält er die
hier erforderliche Möglichkeit, einen GRE-Tunnel zwischen AP und Controller zu etablieren. Bislang war dieses Feature
ausschließlich dem NXC5200 vorbehalten. Die neue Firmware (ZLD4.10) kommt voraussichtlich bis Ende des Monats.
Das ist schon mal gut zu wissen! Ich hoffe ich bekomme das eingerichtet.
Wobei der Controller am N4100 Standort ist.


Kein Problem: 2 SSIDs, den Traffic des einen WLANs wie beschrieben per GRE durch den Tunnel und der Traffic des anderen wird lokal
ausgekoppelt.
Genau DAS sollte am besten mit der FritzBox 7390 irgendwie funktionieren. Hardware ist ja schon vorhanden.
Jaggl
Jaggl 07.03.2014 um 13:39:59 Uhr
Goto Top
ich würde das so nicht machen.... Google mal nach Mikrotik, der kann sowas und ist mehr als Günstig und sehr Gut! Da würde ich bei jeder Kneipe so ein Teil Aufstellen mit HotSpot Funktion und gut is...
sk
Lösung sk 07.03.2014, aktualisiert am 08.03.2014 um 14:29:18 Uhr
Goto Top
Zitat von @Bohling:

Das heißt, das der N4100 nur die MAC Adresse der Fritzbox in der Kneipe Sieht, jedoch nicht die WLAN Clients??
Er sieht die MAC-Adresse des letzten Hops aus seiner Richtung. Also - wie ich bislang den momentan von Dir anvisierten Aufbau vermute - die MAC-Adresse der Fritzbox am Standort des N4100.

Zitat von @Bohling:

Wobei der Controller am N4100 Standort ist.
Wo sonst? face-wink

Zitat von @Bohling:

> Kein Problem: 2 SSIDs, den Traffic des einen WLANs wie beschrieben per GRE durch den Tunnel und der Traffic des anderen wird
> lokal ausgekoppelt.
Genau DAS sollte am besten mit der FritzBox 7390 irgendwie funktionieren. Hardware ist ja schon vorhanden.
Fürs zentralisierte Gäste-WLAN brauchst Du definitiv den Zyxel-AP vor Ort! Das WLAN für den Kneipenbesitzer selbst kann natürlich auch (sowohl zusätzlich als auch ausschließlich) die dortige Fritzbox übernehmen.

Zitat von @Bohling:

Das ist schon mal gut zu wissen! Ich hoffe ich bekomme das eingerichtet.
Ist eigentlich simpel. Worüber Du Dir allerdings bislang scheinbar zu wenig Gedanken gemacht hast, ist die Frage, wie Du Dich am Hauptstandort vor unberechtigte Zugriffen aus den Remotestandorten schützen möchtest? Meines Wissens kann die Fritzbox z.B. keine Firewallregeln auf den VPN-Tunnel anwenden.
Was man machen könnte ist, dem NXC2500 zusätzlich die Aufgabe angedeihen zu lassen, als Firewall zu arbeiten, um das eigene LAN abzugrenzen. Dann brauchst Du keine zusätzliche Hardware.


Gruß
sk
Bohling
Bohling 07.03.2014 um 15:28:10 Uhr
Goto Top
Er sieht die MAC-Adresse des letzten Hops aus seiner Richtung. Also - wie ich bislang den momentan von Dir anvisierten Aufbau
vermute - die MAC-Adresse der Fritzbox am Standort des N4100.
Dann kann ich mir das ja schon mal abschmatzen face-sad

Fürs zentralisierte Gäste-WLAN brauchst Du definitiv den Zyxel-AP vor Ort! Das WLAN für den Kneipenbesitzer selbst
kann natürlich auch (sowohl zusätzlich als auch ausschließlich) die dortige Fritzbox übernehmen.
Das bedeutet das ich den Zyxel AP irgendwie durch den VPN Tunnel routen kann um diesen an den WLAN Controller NXC2500 anzubinden?
Das wäre ja ein Traum!


Ist eigentlich simpel. Worüber Du Dir allerdings bislang scheinbar zu wenig Gedanken gemacht hast, ist die Frage, wie Du Dich
am Hauptstandort vor unberechtigte Zugriffen aus den Remotestandorten schützen möchtest? Meines Wissens kann die
Fritzbox z.B. keine Firewallregeln auf den VPN-Tunnel anwenden.
Was man machen könnte ist, dem NXC2500 zusätzlich die Aufgabe angedeihen zu lassen, als Firewall zu arbeiten, um das
eigene LAN abzugrenzen. Dann brauchst Du keine zusätzliche Hardware.
Zur Not würde ich das Hardwaretechnisch voneinander trennen - aber sicherlich gibts da auch noch einen anderen Weg...
sk
Lösung sk 07.03.2014, aktualisiert am 08.03.2014 um 14:29:07 Uhr
Goto Top
Zitat von @Bohling:

Das bedeutet das ich den Zyxel AP irgendwie durch den VPN Tunnel routen kann um diesen an den WLAN Controller NXC2500 anzubinden?
Das wäre ja ein Traum!

Ja selbstverständlich! Du musst 2 Dinge unterscheiden:
1) wie der AP selbst (z.B. hinsichtlich seiner Konfiguration) mit dem Controller kommuniziert
2) wie der Traffic der mit dem AP verbundenen Clients zum Hotspot kommt

zu 1) Dafür benötigst Du den IPSec-Tunnel zwischen den Fritzboxen.
Hierüber kommuniziert der AP mit dem Controller per CAPWAP-Protokoll (zwecks Konfiguration) und für das Layer2-Bridging des eigentlichen Client-Traffics wird zwischen AP und Controller wie bereits geschrieben ein zusätzlicher GRE-Tunnel aufgebaut und über den IPSec-Tunnel übertragen.

zu 2) Über den GRE-Tunnel leitet der AP den Traffic der Clients zum Controller. Dort wird der GRE-Tunnel auf das passende VLAN/den richtigen Port gebridget. Dies hat den Effekt, dass sich die WLAN-Clients quasi im lokalen Netz des Hotspots befinden. Die WLAN-Gäste bekommen von Hotspot-Gateway eine IP-Adresse und verwenden dieses als Standardgateway.


Zitat von @Bohling:

Zur Not würde ich das Hardwaretechnisch voneinander trennen - aber sicherlich gibts da auch noch einen anderen Weg...

Ich schrieb ja bereits, dass Du dafür alles benötigte schon zur Verfügung hast. Ich hatte nämlich zunächst übersehen, dass der NXC mit dem kommenden Firmwareupdate auch die bislang künstlich restriktierten Routing- und Firewallfunktionalitäten wieder aufgebohrt bekommt. face-wink Wie gesagt: Schwein gehabt. Aber das nächste Mal frag vorher, bevor Du losgehst und einfach etwas kaufst ohne zu wissen, ob und wie sich das Avisierte umsetzen lässt!


Gruß
sk
Bohling
Bohling 08.03.2014 um 14:39:23 Uhr
Goto Top
Ja selbstverständlich! Du musst 2 Dinge unterscheiden:
1) wie der AP selbst (z.B. hinsichtlich seiner Konfiguration) mit dem Controller kommuniziert
Das hab ich verstanden

2) wie der Traffic der mit dem AP verbundenen Clients zum Hotspot kommt
Das hab ich auch verstanden face-smile

zu 1) Dafür benötigst Du den IPSec-Tunnel zwischen den Fritzboxen.
OK

Hierüber kommuniziert der AP mit dem Controller per CAPWAP-Protokoll (zwecks Konfiguration) und für das Layer2-Bridging
des eigentlichen Client-Traffics wird zwischen AP und Controller wie bereits geschrieben ein zusätzlicher GRE-Tunnel
aufgebaut und über den IPSec-Tunnel übertragen.
Die Details mit den Protokollen hab ich leider nicht so richtig drauf, aber leichtes Verständnis habe ich schon

zu 2) Über den GRE-Tunnel leitet der AP den Traffic der Clients zum Controller. Dort wird der GRE-Tunnel auf das passende
VLAN/den richtigen Port gebridget. Dies hat den Effekt, dass sich die WLAN-Clients quasi im lokalen Netz des Hotspots befinden.
Die WLAN-Gäste bekommen von Hotspot-Gateway eine IP-Adresse und verwenden dieses als Standardgateway.
GENAU so habe ich mir das vorgestellt.

Ich schrieb ja bereits, dass Du dafür alles benötigte schon zur Verfügung hast. Ich hatte nämlich
zunächst übersehen, dass der NXC mit dem kommenden Firmwareupdate auch die bislang künstlich restriktierten
Routing- und Firewallfunktionalitäten wieder aufgebohrt bekommt. face-wink Wie gesagt: Schwein gehabt. Aber das nächste Mal
frag vorher, bevor Du losgehst und einfach etwas kaufst ohne zu wissen, ob und wie sich das Avisierte umsetzen lässt!
Für die Konfiguration benötige ich sicherlich nochmal Hilfe.
Allein das mit den VLAN ist mir bisweilen recht unbekannt, scheint aber sehr nützlich zu sein. Da muss ich mich erstmal reinlesen.
Gibt es zufällig einen Link für die Thematik? Oder ist das alles recht simpel zu verstehen?
Bohling
Bohling 08.03.2014 um 22:57:54 Uhr
Goto Top
Ich habe mal einen neue Frage verfasst die etwas übersichtlicher ist: Accesspoint NWA3650 durch VPN Tunnel mit NXC2500 verbinden