[gelöst] VPN mit Router hinter VPN-Fritzboxnetz

[hungry1987]

Hallo,

ich habe folgendes Problem, welches ich erstmal aufzeichnen möchte:

Firmennetz1
Fritzbox1
192.168.10.1/24
|
|
VPN
|
|
Fritzbox2
192.168.20.1/24

hinter Fritzbox2:

192.168.20.10/24
Fritzbox3
192.168.178.1/24
Firmennetz 2

192.168.20.11/24
Fritzbox4
192.168.11.1/24
Firmennetz1


Nun soll folgendes geschehen:

VPN Verbindung möglich zwischen Fritzbox 1 und 4
VPN Verbindung nicht möglich zwischen 1 und 3

Was funktioniert ist:

VPN Verbindung zwischen 1 und 2
VPN Verbindung von 4 nach 1
VPN von 3 nach 1 (!) soll ja nicht funktionieren!

Einstellungen:

Box 3 und 4 nutzen jeweils die Verbindung von 2 um eine eigene Verbindung aufzubauen. (Verbindung selbst aufbauen mit IP)
VPN ist nach Anleitung, ebenso die statische Route von Box 2 an 4

Problem:

Es funktioniert einfach nicht. Ebenso kommt nun Box3 auf das Netz hinter Box1, was definitiv nicht funktionieren soll un darf.

Ich hoffe jemand kann mir behilflich sein, oder auch evtl ein besseres Setup empfehlen, mit dem die obigen Axiome erfüllt wären.

Mfg

 

[MaxMuster]

Also, so sieht es aus?

               192.168.10.0/24 (LAN 1)
                       |
                       |.1
                   Fritzbox-1 
                       |
                       |
                      VPN
                       |
                       |
                   Fritzbox-2
                       |.1
                       |
               192.168.20.0/24  (LAN 2)
                |           |
                |           |
                |.10        |.11
         Fritzbox-3        Fritzbox-4      
            |.1                 |.1
            |                   |
   192.168.178.0/24      192.168.11.0/24
         (LAN 3)             (LAN 4)

Was mir noch nicht klar ist, sind die vielen "VPN-Verbindungen".
Sollen und können jetzt alle Boxen VPN-Verbindungen selbst aufbauen, oder willst du die Benutzung der VPN-Strecke FB1-FB2 für die anderen LANs zulassen/verbieten??

Jörg

 

[hungry1987]

Hallo Jörg,

danke erstmal für deine Antwort.
VPN Verbindung haben nur die Box 1 und 2. (7270)
Aufbauen kann auch nur Box 1 und 2, die Boxen 3 und 4 sind nur alte Boxen ohne VPN Funktion. (7050).

Ich will also die Benutzung der Strecke für Box 4 erlauben und Box 3 verbieten.

Mfg

 

[MaxMuster]

Wenn du dem "FB-3"-er Netz das verbieten willst, müsstest du (der Theorie nach) nur einen "deny"-Eintrag für die IP der FB3 im LAN2 ergänzen.
Also so aus dem Kopf auf den beiden Seiten

"deny ip 192.168.20.10 255.255.255.255 any",
bzw.
"deny ip any 192.168.20.10 255.255.255.255",

jeweils vor dem analogen Eintrag für "permit" mit dem kompletten Netz.

Denn weil du die Boxen auf "Verbindung selbst aufbauen" stehen hast, werden alle Pakete aus LAN-3 auf die IP 192.168.20.10 übersetzt, alle aus LAN-4 auf 192.168.20.11.
Eine Ergänzung der VPN-Regeln um LAN-4 sollte damit übrigens auch überflüssig sein.

Jörg

 

[hungry1987]

Hallo Jörg,

danke erstmal für die Antwort. Das mitm deny hab ich eben probiert und funktioniert.
Leider kann ich immer noch nicht von Fritzbox1 auf die PCs hinter Fritzbox4 zugreifen.
Ich komme auch nicht von Fritzbox2 auf das Netz hinter Fritzbox4.

Könntest du mir dabei behilflich sein?

Mfg
Johannes

 

[MaxMuster]

Das Problem wirst du auch so nicht lösen können. Aus Sicht der FB-4 ist das LAN-2 schon "das Internet", denn so hast du es konfiguriert.
Daher macht die Box dort zum einen eine Adressübersetzung (NAT), wenn du vom LAN-4 irgendwo hin willst (z.B. auch in LAN-1). Es ist aber nicht möglich, die "von außen" (aus Sicht der Box: dem Internet) kommende Pakete zu dem LAN durchzulassen.

Dazu wäre es nötig eine andere Zugangsart einzustellen.
Versuche mal:
- Internet über LAN deaktivieren (also quasi: Zugang über DSL, auch wenn du das nicht willst)
- In den erweiterten Einstellungen: "Alle Computer befinden sich im selben IP-Netzwerk" ausschalten
- LAN-A die IP 192.168.20.11 geben, DHCP ausschalten
- LAN-B die IP 192.168.11.1 DHCP je nach Wunsch vermutlich ein
- Routing einstellen: 0.0.0.0 0.0.0.0 über 192.168.20.1


Jörg

EDIT: Falls du das Handbuch nicht parat hast ;-), vorsorglich die Defaults, wenn die Netze getrennt sind:

„Alle Computer befinden sich im selben IP-Netzwerk“ deaktivieren

Wenn Sie die Einstellung „Alle Computer befinden sich im selben IP-Netzwerk“ ausschalten, dann erhalten die Schnitt-
stellen der FRITZ!Box Fon WLAN eigene IP-Adressen. Werksseitig sind folgende Einstellungen vorgegeben:

[B]Schnittstelle	IP-Adresse 	Subnetzmaske 		DHCP-Server[/B]
LAN A		192.168.181.1	An jeder		An jeder
LAN B		192.168.178.1	Schnittstelle ist	Schnittstelle
USB 		192.168.179.1	die Subnetzmaske	ist der
WLAN		192.168.182.1	255.255.255.0		DHCP-Server
				eingestellt		aktiviert.

 

[hungry1987]

So verzweifelt ich gerade diese Einstellung suche... ich finde Sie nirgends. Laut Handbuch müsste Sie unter IP Adressen sein.

Dort ist sie aber nicht

Box: 7170, Firmware: 29.04.80

 

[sf3978]

[...]
... wenn die Netze getrennt sind:
[...]

@hungry1987:
Sind die Netze bei dir getrennt? Gibt es in der Firmware 29.04.80 noch die Möglichkeit die Netze zu trennen?

 

[gt40]

Ab fw .80 gibt es die Möglichkeit nicht mehr. Nur wenn es vorher schon eingestellt war bleibt es erhalten.

 

[hungry1987]

Ziel ist es die Netze zu trennen.

192.168.10.0/24 (LAN 1, FIRMA A)
                       |
                       |.1
                   Fritzbox-1 
                       |
                   INTERNET
                       |
                      VPN
                       |
                   INTERNET
                       |
                   Fritzbox-2
                       |.1
                       |
               192.168.20.0/24  (LAN 2)
                |             |
                |             |
                |.10         |.11
         Fritzbox-3        Fritzbox-4      
            |.1                |.1
            |                   |
   192.168.178.0/24      192.168.11.0/24
   (LAN 3, FIRMA B)       (LAN 4, FIRMA A)

So soll es im Endeffekt aussehen.

Lan4+1 gehören zu einem Firmennetz
Lan3 zu einem anderen
Die Firmennetze sollen untereinander keinen Zugang haben,
da sensible Daten über Lan ausgetauscht werden könnten.
Die Hardware befindet sich dementsprechend in einem gesicherten Raum ohne
Anschlussmöglichkeiten für die jeweiligen Firmen.
Hinter den Lans3 und 4 schließt jeweils ein Switch bis zu 10 Computer an.

Leider ist bei Lan2 nur ein Internetzugang vorhanden und laut Vertrag mit Internetanbieter darf dort auch nur 1 Gerät gleichzeitig eine PPPOE Verbindung aufrechterhalten. Bei Verbindung mit einer zweiten (schon versucht) geht eine verloren.

Lan 3 soll also keinen Zugang zu Lan4 und Lan1 haben.

Lan2 dient nur als "Hilfsnetz" in diesem Aufbau.

Ich habe es auch schon mit anderen Aufbauanordnungen versucht. Jedoch bisher kein so "gutes" Ergebnis wie mit diesem erzielt. Nur VPN funktioniert nicht, was leider sehr schade ist.

 

[MaxMuster]

Ach, da hat sich die 7050 zur 7170 weiterentwickelt ;-)

Die 7170 kann aber VPN, dann sollte diese (FB-4) am besten die Verbindung zur FB-1 aufbauen, und alles ist, wie es sein sollte...

Oder hast du mich missverstanden? Das "Aufteilen" sollte bei FB-4 geschehen.
Wenn allerdings das Netz LAN-3 nicht auf LAN-4 zugreifen darf, ist diese Lösung auch nicht so toll.

Was auf jeden Fall wohl ginge:
Internetzugang über die 7050 (an den Platz von Fritzbox-2) mit "aufgeteilten" LANs wie oben beschrieben, dann an LAN-A und LAN-B der 7050 die beiden anderen Boxen (wie vorher mit "über LAN, eigene Verbindung aufbauen), die FritzBox-4 muss dann VPN-fähig sein.

Jörg

PS: Ob natürlich die "Absicherung" vertraulicher Firmendaten mit einem solchen Konstrukt wirklich Sinn macht, wage ich zu bezweifeln. In der Bucht bekommt man auch "echtes" Netzwerkequipment ;-) teilweise zu ganz vertretbaren Preisen...

 

[hungry1987]

Hm vielen Dank erstmal für all eure Beiträge.

Leider muss der prinzipielle Aufbau mit dem VPN so erhalten bleiben, da die 7170 an beiden Enden der VPN Verbindung zusätzlich noch Voip Funktionen bereitstellen.
Ich habe bereits versucht an Stelle der Fritzbox4 eine 7170 mit VPN zu schalten. Jedoch konnte ich durch die Fritzbox2 keine VPN Verbindung zur Fritzbox1 herstellen, obwohl ich Port500 UDP/TCP und ESP weitergeleitet habe.
Für Lan4 also eine Fritzbox zu besorgen die VPN beherrscht wäre kein Problem. An Geld soll es nicht mangeln hauptsache der Aufbau funktioniert möglichst bald um den Geschäftsbetrieb nicht weiter zu beinträchtigen.

Welches "echte" Netzwerkequipement würdest du denn empfehlen Jörg?

Wir hätten auch noch einige Managed Switches zur Verfügung, jedoch beherrschen nicht alle Geräte im Lan Funktionen zum Tagging (allen voran die Drucker und einige der älteren PCs)

Mfg

 

[MaxMuster]

Platt gesprochen, würde ich dafür alles nehmen, was "IOS" spricht ;-) (also was von Cisco), oder auch LanCom usw. Allerdings habe ich den Vorteil, dass ich die Dinger auch konfigurieren kann, was nicht so jedermanns Ding ist...

Wenn du noch eine 7170 "über" hast, könntest du ja mal an folgendes denken:
7170 mit "Freetz" ausstatten, darin "cpmaccfg" und "iptables" als Pakete auswählen.

Dann solltest du sogar mit einer Box auskommen:

Mit cpmaccfg kannst du den Switch in der Box quasi in einzelne LAN-Ports aufteilen und jedem eine IP zuweisen, z.B. Port 3 LAN-3 und Port 4 LAN-4.

Die VPN-Config sollte dann so sein, dass das Netz "LAN-4" mit "LAN-1" sprechen kann, das "Transfernetz" LAN-2 wird dann überflüssig. Damit kann man nur von LAN-4 auf LAN-1 kommen.

              192.168.10.0/24 (LAN 1, FIRMA A)
                       |
                       |.1
     __________________|____________________
    |                                       |
    |       F  r  i  t  z  b  o  x  -  1    |
    |_______________________________________|
                       |
                       |
              Internet / VPN
                       |
     __________________|____________________
    |                                       |
    |       F  r  i  t  z  b  o  x  -  2    |
    |                                       |
    |    Port LAN 3          Port LAN 4     |
    |_______________________________________|
            |.1                 |.1
            |                   |
   192.168.178.0/24      192.168.11.0/24
   (LAN 3, FIRMA B)       (LAN 4, FIRMA A)

Um den Zugriff zwischen LAN-3 und LAN-4 zu unterbinden, müsstest du das noch mit iptables "verbieten".

Jörg

 

[hungry1987]

Hallo nochmal,

vielen Dank für all eure Beiträge, welche mir nun wirklich zur Lösung meines Problems geholfen haben.
Ich habe nun über die Bucht noch eine weitere 7240 günstig erworben welche nun VPN über die erste Box herstellt, da sich herausgestellt hat dass die 7170 die ich noch hatte einen Fehler hat und allgemein kein VPN aufbaut, egal wo im Aufbau sie steht.

192.168.10.0/24 (LAN 1, FIRMA A)
                       |
                       |.1
                   Fritzbox-1 (7170) -------
                       |                            |
                   INTERNET                         |
                       |                            |
                   Fritzbox-2 (7170)                VPN
                       |.1                          |
                       |                            |
               192.168.20.0/24  (LAN 2)             |
                |             |                     |
                |             |                     |
                |.10         |.11                   |
 (7050) Fritzbox-3        Fritzbox-4 (7240) ------     
            |.1                |.1
            |                   |
   192.168.178.0/24      192.168.11.0/24
   (LAN 3, FIRMA B)       (LAN 4, FIRMA A)

An der Fritzbox 2 ist daher eine Weiterleitung des Port 500UPD und ESP eingerichtet.

Ich danke euch allen nochmals ganz herzlich. Ihr habts mir echt geholfen!

MFG

 

[MaxMuster]

Freut mich zu hören, dass es jetzt geht.

Zur Übersichtlichkeit wäre es schön, wenn du den Titel um ein "[gelöst]" oder so ergänzen könntest (Erster Beitrag -> Ändern -> Erweitert und dann den Titel ändern).

Jörg

Am Rande:

... da sich herausgestellt hat dass die 7170 die ich noch hatte einen Fehler hat ...

Falls du damit Probleme hast: Melde dich, wenn ich Sie für dich entsorgen soll

 

[hungry1987]

Die ist schon aufm Weg zum Support war ja noch Garantie drauf

Softwareproblem ist es eher nicht, da selbst die Recovery.exe nichts brachte.