Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 25 subscribers
  • Views 6912 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Fritzbox - VPN als Standardgateway

tracert
Hallo,

ich habe zwischen einer Fritzbox und meiner UTM ein IPSec VPN errichtet.
Das klappt auch alle wunderbar, aus dem "Internal Network" (192.168.10.0/24) kann ich das Fritzbox Netzwerk (192.168.0.0/24) komplett erreichen.

Nun habe ich vor mir eine zweite DMZ zu erreichten, deren Standard Gateway die Fritzbox werden soll. Das normale Internal Network soll also keine Verbindung zum DMZ Netz2 oder zur Fritzbox bekommen, das DMZ Network soll komplett (inkl. ipv4 und ipv6 Internet) über die Fritzbox geroutet werden.



Ich hab das der Einfachheit halber mal probiert überhaupt den Traffic des kompletten Internal Network über die Fritzbox zu routen und bin alleine an diesem Versuch kläglich gescheitert.

Wie bekomme ich es hin die Fritzbox als Gateway zu definieren?

Vielen Dank [;)]


This thread was automatically locked due to age.
  • 0
    Wenn die DMZ auf der UTM eingerichtet ist, ist die UTM Gateway. Die DMZ müsste als auf der FB konfiguriert werden.


    Ach so, halt ....

    DMZ -> UTM -> VPN -> FB -> Internet

    So? Die UTM soll allen Traffic von der DMZ in den Tunnel schicken?
    Das wird ... Nein, lass es. Warum muss das so?
  • 0
    Falls Du Dich doch quälen willst: Hostroute in der DMZ zur FB (int). Auf der UTM Gateway und Policyroute DMZ / FB. Ggf. noch NAT. Aber ob die FB damit überhaupt kann ... ?
  • 0 in reply to K.N. 
    DMZ -> UTM -> VPN -> FB -> Internet

    Genau so soll das!

    So? Die UTM soll allen Traffic von der DMZ in den Tunnel schicken?
    Das wird ... Nein, lass es. Warum muss das so? 


    Es geht leider nicht anders, weil die Rechner in der DMZ auf keinen Fall kontakt zu den anderen lokalen Rechnern haben darf und zusätzlich immer über die IP der Fritzbox ans Inet muss. 

    Die Fritzbox hat eine feste IP und ich brache unbedingt diese IP für die Rechner in der DMZ um gewisse Dienste nutzen zu können (IP Sperre)


    Hostroute in der DMZ zur FB (int). 

    Ist diese Route nicht automatisch gesetzt, wenn ich dem entfernten Gateway ipv4 Internet zuordne?

    Auf der UTM Gateway und Policyroute DMZ / FB.

    Das Gateway möchte ich aber nur für die DMZ2 ändern. Wie geht das?

    Ggf. noch NAT.

    Das wäre kein Problem.

    ädit: Mit der NAT das wird doch ein Problem, weil ich masquerading nur für Interfaces einstellen kann und das VPN keines ist.

    Irgendwie muss es ja gehen es gibt genug Leute die Sophos zu Anonymisierungs-VPN's verbinden lassen und den ganzen Traffic durch den Tunnel jagen. Ich will ja nix Anderes machen...

    Mir wäre erstmal schon geholfen, wenn ich es hinbekommen würde den Traffic aus dem normalen Netzwerk komplett durch den VPN zu schieben, die Anpassung an die DMZ bekomme ich hinterher sicherlich alleine hin.
  • 0
    Warum nicht im Step1 die Fritzbox zu einer UTM tauschen, dann hat das Hand und Fuß !
  • 0 in reply to duckek
    Weil da Telefonie mit drüber läuft und ich das nicht ändern kann.

    Einzige Hardware-Änderungsmöglichkeit wäre noch ein Openvpn fähiger Router im Netzwerk hinter der Fritzbox...

    Das würde zumindest die Fritzbox als Fehlerquelle ausschließen.
  • 0
    Vielleicht wäre es einfacher, wenn der Server in der DMZ ZB per VPN direkt auf der FB terminiert. 

    Die Hostroute benötigt der DMZServer, damit er weiß, wie er die FB als Default Gateway erreicht.
  • 0 in reply to K.N.
    Auch eine tolle Idee, allerdings etwas schwierig umzusetzen weil direkt am Anschluss erstmal nur ein Access Point kommt.

    Außerdem muss auf jeden Fall vermieden werden, dass bei nicht bestehender VPN Verbindung über das normale WAN rausgegangen wird. (Sobald die Gegenseite einen Fehlversuch feststellt ist der Zugang dicht und muss vom Admin entsperrt werden)

    Daher würde ich das schon gerne über die UTM laufen lassen.

    Außerdem gab es da ja mal so einen FAQ mit Endpoints hinter der UTM, Sicherheit usw [:$]
  • 0
    Ich melde mich nochmal.

    So das erste Problem ist gelöst, mit der Fritzbox geht es nicht weil bei Lan to Lan Verbindungen ab gewissen Firmware-Versionen die Internetfreigabe gesperrt ist.

    Also habe ich mir eine einen WRT54G Router mit Openvpn in das Netz hinter der Fritte gestellt und jetzt eine SSL Verbindung hergstellt.

    Jetzt stehe ich doch vor dem Problem, dass ich für die DMZ nicht so einfach den WRT Router als Gateway setzen kann.

    Die UTM verbindet sich als SSL Client mit dem WRT Router.
    In beide Richtungen sind die jeweils dahinter liegenden Netze erreichbar, also da wären:
    192.168.2.0/24 (DMZ der UTM)
    192.168.0.0/24 (Netz hinter der Fritzbox

    Das interne Netz der UTM ist:
    192.168.10.0/24

    Jetzt gibt es natürlich die Möglichkeit per server.conf der UTM als SSL Client ein redirect-gateway zu pushen.
    Da es nur ein Standard Gateway gibt, steht dann natürlich mein normales internes Netz ohne Internet da. 
    Selbst wenn ich das per Firewall freischalten würde, will ich den normalen internen Internetverkehr natürlich weiterhin über die lokale Wan Verbindung abwickeln.

    Wie kann ich der UTM mitteilen, dass sie nur für die DMZ als Gateway die Fritzbox im entfernten Netz verwenden soll?
  • 0
    So ich habe eine Übergangslösung gefunden.

    Wenn ich durch den Openvpn Server eine Standardroute setzen lasse (redirect-gateway def1) kriegt die UTM das VPN als Standardroute.

    Jetzt kann ich hergehen und per policybased Routing für das normale intenal Net eine Außnahme erstellen. (Internal -> any -> any -> WAN Schnittstelle)


    Es wäre sehr wünschenswert, wenn Astaro endlich alle Schnittstellen im Webinterface verfügbar machen könnte (dazu gehören auch virtuelle Schnittstellen wie tun und tap Devices)

    Das würde was das VPN Routing angeht einfach so Vieles unglaublich einfacher machen...

    Ich werde mir jedenfalls mittelfristig noch eine kleine 110er kaufen und ins entfernte Netz stellen um nicht für jeden Mist eine Außnahme eintragen zu müssen.
  • 0 in reply to tracert

    Wo findet man server.conf in der UTM ?

    MfG - Bob