VPN Weiterleitung ins Subnetz

[sf3978]

@sf3978:
Wenn der WRT NAT macht brauchst du kein statisches Routing.
Die FB braucht das WRT-Netz (192.168.2.x) nicht zu kennen.
Das erledigt die NAT im WRT.
[...]

Der WRT macht nur NAT für die Clients aus seinem Subnetz. Ohne statisches Routing in der FritzBox, komme ich von außen, nicht über das (durch das) Subnetz der FritzBox in das Subnetz des WRT.

 

[eisbaerin]

Das NAT wirkt aber immer in beide Richtungen. Sobald du NAT eingeschaltet hast kannst du nur noch Packete an die WAN-Adresse des WRT schicken.
Diese liegt ja im Zwischennetz und somit wird keine statische Route gebraucht.

Ich vermute du hast in deinem WRT NAT ausgeschaltet, dann hast du natürlich Recht, dann muß man es so machen wie du es schreibst.
Allerdings muß dann auch noch im VPN-Client das Heimnetz in der Accesslist frei geschaltet werden, da der standartmäßig nur das Netz der FB frei gibt.

 

[sf3978]

[...]
Ich vermute du hast in deinem WRT NAT ausgeschaltet, ....

Ich weiss was ich eingeschaltet habe und was nicht. Und ich weiss was in meinem LAN/WLAN, wie und warum funktioniert. Deine Erklärungen werden immer verwirrender und widersprüchlicher. Ich steige hier aus.

 

[eisbaerin]

Ich steige hier aus.

na dann tschüß und schönen Abend noch.

 

[gt40]

Hallo zusammen.
@Eisbär : Denk mal darüber nach warum sf3978 Recht hat.

Wenn der VPN Tunnel in der Fritzbox terminiert wird, dann befindet man sich bereits im 1. Netz. Was soll aber nun mit dem Paket passieren, daß eigentlich an das zweite Netz adressiert ist? Das soll zum WRT. Und weil die Fritzbox das wissen muss gehört eine statische Route angelegt, die besagt alles was in dieses zweite Netz soll, muss über die IP-Adresse des WRT laufen. In der Fritzbox wird nämlich gar nicht "genatted", der VPN Client ist Mitglied des Fritzbox Netzes.

@Mandarine, versuchs mal wie sf3978 vorgeschlagen hat.

Gruss
gt40

 

[ByteNet]

Moin zusammen,

ich würde das Thema gern noch einmal aufgreifen, da ich zurzeit genau vor dem gleichen Aufbau stehe, ich aber einfach nicht in das 2 Subnetz hinter der Firewall komme. Andersherum ist der Zugriff kein Thema.
Kurz zu meinem Aufbau:
Standort1 -> UTM <-> Internet <-> FritzBox Cable <- pfSense <- Standort2 <- angeschlossenes Gerät
192.168.2.0 -> UTM <-> Internet <-> 192.168.200.254 <- 192.168.200.250 <- 192.168.99.0 <- 192.168.99.1-254

Der Zugriff vom „Standort 2“ aus dem 192.168.99.0 Netz auf den "Standort 1" ist ohne Probleme möglich. Andersherum leider nicht, bzw. schon aber ich komme nur auf das 200er Netz der Firtzbox vor der pfSense (192.168.200.0).
Ich hab über die Jahre bereits einiges umgesetzt mit der UTM / pfSense, aber seit einigen Tagen stehe ich vor dieser Konstellation und komme keinen Schritt weiter. Wie bringe ich nun der UTM bei, dass alle Anfragen in das Subnetz des Standortes 2 über den Tunnel an die pfSense geschickt wird? Denn der Standort 1 kennst das 192.168.99.0 Subnetz hinter der pfSense ja überhaupt nicht.

Eine Route auf der Fritzbox ist bereits angelegt:
192.168.99.0
2355.255.255.0
Gateway 192.168.200.250

Ist der richtige weg hier eine Statische Route auf der UTM? Ich meine mal gelesen zu haben das Statische Routen nicht bei IPSec Verbindungen greifen? Oder muss ich mit NAT (SNAT/1:1NAT) arbeiten? Ich bin für jeden Tip dankbar.

Gruß aus Braunschweig