Topic: VPN wie würdet ihr das machen?

[chrischnian]

So hallo Leute

da der letzte Thread hierzu schon ein wenig her ist mal das Thema wieder mal auftauen.

Sieh hier: http://forums.contribs.org/index.php/topic,32717.0.html

Ich habe folgendes Problem.

Im Büro steht der SME1 (IP-intern: 192.168.0.1 Provider: Telecom mit dyndns für externen Zugriff, Fritzbox wird nur als Modemersatz genutzt. Also gibt es im Grunde nicht.) dieser ist als Server dort eingerichtet und macht super seinen Job.

Daheim steht der SME2 (IP-intern: 192.168.178.50 Provider: Freenet Router ist FritzBox wegen VOIP , dyndns ist auch On und über Port weiterleitung ist einiges auf den SME gerichtet)

Mein Problem ich würde gerne beide Server per VPN verbinden. Denke aber das ich wegen den FritzBox Router Probleme bekomme.

Kann ich nach dem alten HowTo von 2006 noch gehen?
Sollte ich ein wenig die Sachen, vorallem daheim umkonfigurieren, damit es vielleicht besser klappt?
Mein Problem ist halt das ich die Fritzbox für Voip brauche da ich zur Zeit nicht von Freenet wegkomme.

Wer hat sonstnoch Tipps?

Gruss

Chris

[turandot]

Hallo chrischnian,

ich habe sowas am laufen, aber der Internetzugang ist bei mir mit IPCop realisiert, nicht mit Fritzbox.

Die Frage ist erstmal, was Du mit "VPN" meinst und erreichen willst. Ich habe zwei lokale Netze miteinander gekoppelt (Net2Net), in denen jeder Rechner aus Netzwerk A jeden Rechner in Netzwerk B erreichen kann.

Oder willst Du  eine "Roadwarrior" Lösung aufsetzen, bei der Du von Extern nur auf den SME hinter der Firewall (Fritzbox) zugreifen willst?

Leider kann ich keine Hilfe zur Fritzbox geben, da ich keine habe :-}

Gruß, turandot

[chrischnian]

Ich will beide Netze koppeln so das ich schnell auf einen Rechner aus den anderen Netz zugreifen kann und umgekehrt.

Wir wollen Datenaustauschen und so auch von zuhause auf das Netz zugreifen.

Gruss

chris

PS: Hast du es nach diesen Tut gemacht oder gibt es schon einfachere bzw bessere Lösungen?

[turandot]

Nope, ich habe das nicht nach dem Tutorial gemacht. Bei mir sieht die Topologie so aus:

SME_A <-- LAN_A --> IPCop_A <-- VPN via Internet --> IPCop_B <-- LAN_B --> SME_B

Die IPCops spannen das Net2Net-VPN auf. Habe das sowohl mit IPSec (ist in IPCop Out-of-the-Box integriert) als auch mit OpenVPN für IPcop d.h. Zerina http://www.zerina.de/zerina/ (Net2Net) probiert, funktioniert beides. Die SMEs sind jeweils als Server Standalone im jeweiligen LAN (kein DHCP, kein Gateway usw.). Mir kommt es mit den SMEs primär auf Fileshare und Windows-Domänen-Service an; die eigentliche Netzwerkfunktionalität liefern mir die IPCops.

Aus prinzipiellen Überlegungen würde ich Dir raten, daß die FritzBoxen untereinander das VPN aufspannen, ich weiß aber nicht, ob die das können. Die SMEs laufen dann als Server Only. In der Topologie oben müßtest Du dann IPCop durch FritzBox ersetzen.

Alternativ könntest Du folgendes machen:

LAN_A --> SME_A <-- LAN_A' --> FritzBox_A <-- VPN via Internet --> FritzBox_B <-- LAN_B' --> SME_B <-- LAN_B

Dann müßten die SMEs jeweils als Gateway laufen und das Net2Net-VPN zum anderen SME aufspannen. Die FritzBoxen müßten allen VPN-Traffic an den dahinter liegenden SME durchreichen, der von der anderen FritzBox stammt. Wenn die Fritzbox-Firewall in der Lage ist, Ports nur von bestimmten Quellen (der DynDNS-Adresse der anderen FritzBox) durchzureichen, würde ich Dir für die SMEs empfehlen, keine Zusätze wie OpenVPN zu benutzen sondern das eingebaute PPTP. PPTP ist zwar nicht ultrasicher, aber wenn die FritzBox_A den Traffic nur von der FritzBox_B (und umgekehrt) durchreicht, sollte das auch halben Sicherheitsparanoikern reichen. Andererseits ist das Durchreichen von PPTP-Traffic so eine Sache: das beherrscht nicht jede Firewall aufgrund des verwendeten GRE-Protokolls. Keine Ahnung, ob die FritzBox das kann: habe keine und will auch keine bei mir

Die Idee beruht auf http://www.heise.de/netze/DMZ-selbst-gebaut--/artikel/78397 , wobei die FritzBoxen die externen Router wären und die SMEs die sekundären Router.

Hoffentlich hilfts!?

Gruß,

turandot

[e[nt]e]

Ich würde auch sagen, dass das schwierig (vielleicht auch unmöglich, hab da auch nicht so die Erfahrung) wird, wenn die SMEs hinter den Fritz!Boxen stehen und die Verbindung aufbauen sollen. Zumindest wenn sie als Server-Only laufen. Wenn sie als Server und Gateway laufen und die anderen PCs dahinter stehen sollte es eigentlich klappen, wie turandot ja auch schon meinte.
Was sind das denn für Fritz!Boxen? Mit der 7170 und der 7270 soll man eine VPN Verbindung (IPSec) aufbauen können. Wie es bei den anderen Modellen aussieht weiß ich nicht. Müsstest du dich mal bei AVM informieren, ob es für deine Boxen eine entsprechende Firmware gibt. Zum Thema Fritz!Box und VPN gibt es von AVM ein VPN-Portal.

Wenn die Fritzbox-Firewall in der Lage ist, Ports nur von bestimmten Quellen (der DynDNS-Adresse der anderen FritzBox) durchzureichen [...]

AFAIK leider nein.

Andererseits ist das Durchreichen von PPTP-Traffic so eine Sache: das beherrscht nicht jede Firewall aufgrund des verwendeten GRE-Protokolls. Keine Ahnung, ob die FritzBox das kann

Kann sie
Klappt bei mir problemlos mit einer Eumex 300 IP, die ja 'ne leicht modifizierte Fritz!Box ist.

Gruß
Niklas

[turandot]

Noch 'ne Ergänzung von meiner Seite...

Bei meinem Vorschlag, die SMEs als Gateway (hinter den FritzBoxen) zu betreiben und per PPTP zum Aufspannen des VPNs zu benutzen, habe ich nicht bedacht, daß dann ein SME als PPTP-Client, der andere als PPTP-Server agieren muß. Der SME hat aber wohl nur den PPTP-Server an Bord. Das wird wohl nicht so nicht gehen.

Was aber in jedem Fall gehen sollte (SME als sekundäres Gateway hinter der FritzBox; vgl. Kommentar Niklas aka e[nt]e zum Durchreichen von PPTP-Traffic) ist, daß einzelne Clients aus dem LAN_A auf den SME_B via PPTP zugreifen (und umgekehrt).

Ob das reicht, hängt vom gewollten Einsatzzweck ab. Mir ist das zu wenig, weil ich von beliebigen Rechnern vom LAN_A auf beliebige andere Geräte im LAN_B (z.B. Netzwerkdrucker) zugreifen will.

Gruß, turandot

[faber38]

hi...
wir sind auch gerade dabei eine VPN über 2 SME aufzubauen...
soweit funktioniert es...

die Server finden sich... ping möglich

Ping von Client --> ServerA----VPN---ServerB  funktioniert schon nicht. (in beide Richtungen)

ich muste die "route" über console eingeben... über den Server-Manger hat dies nicht funktioniert.

wir haben uns strickt nach der Beschreibung
http://web.inter.nl.net/users/hanscees/sme7/openvpnsitetositetunnelsme7.html
gehalten...
jedoch so richtig will das ganze nicht...

wie sieht es bei euch aus ?.. seid ihr weiter ?

[faber38]

hi..
wir haben über
route add -net Netzwerk_B netmask 255.255.255.0 gw TunnelIP-Server_B
route add -net Netzwerk_A netmask 255.255.255.0 gw TunnelIP-Server_A

das ganze soweit hinbekommen das wir vom Client_A über Server_A nach Server_B pingen können...

jedoch noch nicht bis zum Client_B

was fehlt da noch ?