WinFuture-Forum.de: Problem mit VPN Firewall + FritzBox 7490 - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Netzwerk
Seite 1 von 1

Problem mit VPN Firewall + FritzBox 7490


#1 Mitglied ist offline   Gord3n 

  • Gruppe: aktive Mitglieder
  • Beiträge: 98
  • Beigetreten: 27. Oktober 07
  • Reputation: 3

geschrieben 24. Februar 2017 - 17:27

Hallo,
wir möchten hinter unserer FritzBox 7490 eine VPN Firewall installieren.

Aufbau des ganzen:

[ Netzwerk A (192.168.1.0/27) ] ----- [Linksys LRT214 .1] ----- [GW FritzBox 7490 .30]

An dem LRT214 ist auf Port1 der Switch also das Netzwerk A angesteckt. Auf Port4 gehts dann zur Fritzbox.
Diese Konfiguration funktioniert. Bringt mir aber so scheinbar nichts. Der LRT214 verfügt über Port1-4 , WAN1 und DMZ. Firewall Regeln greifen anscheinend nur über den WAN1 Port. Stecke ich die FritzBox von Port4 auf WAN1 um , geht keine Verbindung ins Internet bzw. zur FritzBox.

Im LRT214 Menü kann ich bei WAN Connections folgendes einstellen:
WAN Connection Type:
- Optain an IP automatically
- Static IP
- PPPoE
- PPTP
- L2TP
- Transparent Bridge

Bei PPPoE könnte ich die Zugangsdaten von der Telekom reinschreiben welche aktuell in der FritzBox stehen. Wo kann ich dann aber der FritzBox sagen, dass ein anderes Gerät welches hinter der FritzBox steht die Verbindung aufbaut? Oder müsste ich die FritzBox und den LRT214 tauschen? Eine Option bei der FritzBox "Vorhandener Zugang über Lan" gäbe es. Wäre das die Lösung des ganzen ?


Hoffe dass Ihr mir helfen könnt :)
Schönes Wochenende !

mfg
Florian

Dieser Beitrag wurde von Gord3n bearbeitet: 24. Februar 2017 - 17:29

0

Anzeige



#2 _d4rkn3ss4ev3r_

  • Gruppe: Gäste

geschrieben 24. Februar 2017 - 17:38

Warum verwendest du nicht einfach das VPN der Fritbox?
Was spricht dagegen oder was für Probleme hast du
0

#3 Mitglied ist offline   Gord3n 

  • Gruppe: aktive Mitglieder
  • Beiträge: 98
  • Beigetreten: 27. Oktober 07
  • Reputation: 3

geschrieben 24. Februar 2017 - 18:23

Das wir OpenVPN verwenden wollen + eine zusätzliche Hardware Firewall, da der FW auf der FritzBox nicht so vertraut wird.

Hab jetzt gerade das oben im letzten Absatz geschriebene getestet, so geht leider auch nichts. Kann über PPPoe mit den Zugangsdaten keinerlei Verbinung ins Internet aufbauen.
0

#4 _d4rkn3ss4ev3r_

  • Gruppe: Gäste

geschrieben 24. Februar 2017 - 18:29

Wenn der Fritzbox nicht vertraut wird, sollte sie aus dem Netzwerk entfernt werden.
Problem gelöst.

Schon witzig das externe VPN Dienste mehr vertraut wird als ein VPN über das eigene Heimnetzwerk.
*Kopf gegen Wand hau*

Wegen Provider-Login-Daten: Dafür brauchst du wohl einen Router mit integriertem Modem oder ein externes Modem.
0

#5 Mitglied ist online   DanielDuesentrieb 

  • Gruppe: aktive Mitglieder
  • Beiträge: 9.341
  • Beigetreten: 15. Januar 06
  • Reputation: 273
  • Geschlecht:Männlich
  • Wohnort:Troisdorf

geschrieben 24. Februar 2017 - 18:36

Und wenn es in den Business Bereich geht, hat die Fritz!Box da auch nicht viel zu suchen. Dann baut man Cisco, bintec oder andere Business Lösungen ein.
0

#6 Mitglied ist offline   Gord3n 

  • Gruppe: aktive Mitglieder
  • Beiträge: 98
  • Beigetreten: 27. Oktober 07
  • Reputation: 3

geschrieben 24. Februar 2017 - 18:42

Richtig, aber leider haben hier in dem Fall Cisco, Bintec oder andere Business Lösungen zuviel Geld gekostet.
0

#7 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 8.895
  • Beigetreten: 20. Juli 07
  • Reputation: 1.126
  • Geschlecht:Männlich
  • Wohnort:Zuhause
  • Interessen:Ja

geschrieben 24. Februar 2017 - 23:50

So richtig steig ich da grad nicht durch. Was soll überhaupt erreicht werden? Gibt es eine Zweigstelle, die mit einer anderen verbunden werden soll?

Für site-to-site kommt die VPN-FW hinter die FB, in ein eigenes Subnetz (30er reicht völlig) und muß dann in der FB als statische Route eingetragen werden (genauer: die Gegenstelle muß als statische Route eingetragen werden mit dem VPN-Router als Gateway).

Und weil natürlich die ungesicherte Netzverbindung (WAN1) gesichert werden muß, greifen da auch erstmal die Firewallregeln. DMZ... wenn ihr Webserver oä habt, die extern zugänglich sein müssen, dann kämen die da dran.


Von den Auswahlmöglichkeiten die Du schreibst wäre eigentlich L2TP die einzig akzeptable, zumindest unter der Annahme, daß da L2TP+IPsec gemeint und konfigurierbar ist. SSTP (SSL) wäre eine andere.

Die restlichen sind aus Sicherheitsgründen nicht zu gebrauchen (ich unterstell jetzt einfach mal daß klar ist, daß da paar Optionen dabei stehen, die mit VPN nix zu tun haben und damit natürlich auch nicht unter "sind nicht zu gebrauchen" fallen).


Aber wie gesagt, solange es keinen Bedarf an VPN gibt, weil nämlich keine privaten Netzwerke zu verbinden sind und/oder auch kein externer Zugriff ermöglicht werden soll, solange ist VPN einfach ein Einfallstor, was es zu deaktivieren gilt. Kurz: Anschalten wenn soll und muß; ausschalten wenn nicht.
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

#8 Mitglied ist offline   Gord3n 

  • Gruppe: aktive Mitglieder
  • Beiträge: 98
  • Beigetreten: 27. Oktober 07
  • Reputation: 3

geschrieben 25. Februar 2017 - 12:43

Beitrag anzeigenZitat (RalphS: 24. Februar 2017 - 23:50)

So richtig steig ich da grad nicht durch. Was soll überhaupt erreicht werden? Gibt es eine Zweigstelle, die mit einer anderen verbunden werden soll?


Richtig, im grunde soll eine bzw. später 2 Zweigstellen per VPN angebunden werden.

Beitrag anzeigenZitat (RalphS: 24. Februar 2017 - 23:50)

Und weil natürlich die ungesicherte Netzverbindung (WAN1) gesichert werden muß, greifen da auch erstmal die Firewallregeln. DMZ... wenn ihr Webserver oä habt, die extern zugänglich sein müssen, dann kämen die da dran.


DMZ wird hier nicht benötigt. Es gibt keinen Webserver oder ähnliches.

Beitrag anzeigenZitat (RalphS: 24. Februar 2017 - 23:50)

Von den Auswahlmöglichkeiten die Du schreibst wäre eigentlich L2TP die einzig akzeptable, zumindest unter der Annahme, daß da L2TP+IPsec gemeint und konfigurierbar ist. SSTP (SSL) wäre eine andere.


Von dehn Auswahlmöglichkeiten die ich oben geschrieben habe, damit ist doch eigendlich nur gemeint wie sich das Linksys Gerät über den WAN Port zur FB verbindet? Hat doch eigendlich nichts mit VPN zu tun ?

Aber schonmal danke für deine Hilfe :)

Dieser Beitrag wurde von Gord3n bearbeitet: 25. Februar 2017 - 12:43

0

#9 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 8.895
  • Beigetreten: 20. Juli 07
  • Reputation: 1.126
  • Geschlecht:Männlich
  • Wohnort:Zuhause
  • Interessen:Ja

geschrieben 25. Februar 2017 - 14:44

Wenn der VPN-GW das mit PPPoE selber hinkriegt, könnte man das so regeln:

1, Clients alle ganz normal an die Fritzbox.

2, die Fritzbox als IP-Client konfigurieren. Dafür geht aber LAN1 an der FB drauf.

3, besagtes LAN1 der FB mit einem der LAN-Ports des VPN-GW verbinden und bedenken, daß dies ein eigenes Subnetz ist.

4, auf dem VPN-GW konfigurieren, welche Pakete in den Tunnel müssen und welche klar gesendet werden dürfen (= solche mit Ziel "Anderes LAN" bzw solche mit Ziel Internet also).

5, nicht vergessen daß das auch wieder ein anderes Subnetz sein muß.

6, Konfiguration auf der Gegenseite nicht vergessen, sonst finden die Pakete den Weg in den Tunnel, finden aber nicht wieder zurück.

Kurz: <A:192.168.1.0/27> FB <X:192.168.1.252/30> VPN-GW <via public ip<INTERNET<via public ip> VPN-GW <B:192.168.1.32/27>

bzw bei Bedarf noch ein <Y:192.168.1.248/30> und eine FB auf der B-Seite dazwischen, die dann auch wieder IP-Client spielen darf.

Aufpassen von wegen der IP-Vergabe im <VPN-GW+FB> Subnetz, evtl müssen die händisch verteilt werden.

Dieser Beitrag wurde von RalphS bearbeitet: 25. Februar 2017 - 14:45

"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

#10 Mitglied ist offline   Gord3n 

  • Gruppe: aktive Mitglieder
  • Beiträge: 98
  • Beigetreten: 27. Oktober 07
  • Reputation: 3

geschrieben 26. Februar 2017 - 12:53

Okay Super :)
Dann werd ich mich nächste Woche damit mal spielen, wenn ich wieder Zeit habe :)
0

#11 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 8.895
  • Beigetreten: 20. Juli 07
  • Reputation: 1.126
  • Geschlecht:Männlich
  • Wohnort:Zuhause
  • Interessen:Ja

geschrieben 26. Februar 2017 - 15:01

Paß nur mit den Subnetzen auf. Ich nehm ja mal an Du hast Gründe für das /27. Ich hab mich dann einfach ans Schema gehalten, aber wenn in Subnetz B mehr als 30 Clients passen sollen reicht ein /27er natürlich nicht und dann kann man auch nicht mit NetzID 192.168.1.32 kommen.
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

Thema verteilen:


Seite 1 von 1

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0