[Frage] Fritz!Box WLAN 3270 inkl. VPN hinter einem QSC SDSL Router

[luk83]

Hallo Community,

ich stehe vor einem Problem, hier meine Beschreibung:

Im Büro ist eine 2MBit SDSL Leitung von QSC vorhanden, welche an einem SDSL Router (One 60) hängt. Der Router hat 4 LAN Ports, welche jeweils über eine Doppelbelegung verfügen (Externes Netz, internes Netz). Es ist noch ein 3Com 24 Port Switch am One 60 SDSL Router angeklemmt.

IP-Adressen (Bereiche):
Firmen-Netz: 192.168.0.x / 255.255.255.0
Fritz!Box-Netz: 192.168.178.x / 255.255.255.0


Die Mitarbeiter sollen sich in naher Zukunft per VPN in das Firmennetzwerk verbinden können, hierfür habe ich eine Fritz!Box WLAN 3270 gekauft. Die Fritz!Box habe ich per LAN1-Port an den 3Com Switch geklemmt und die Fritz!Box auf "Internetzugang über LAN 1" eingestellt, damit ich die VPN-Funktionen auch nutzen kann.

Meine Herausforderung ist nun:
- Wenn sich ein Mitarbeiter per VPN auf die Fritz!Box verbindet, dann bekommt dieser eine 192.168.178.x IP-Adresse zugewiesen. Mittels Routing soll der Mitarbeiter dann auf das 192.168.0.x Netz zugreifen können. Kann ich es allein nur mit der Fritz!Box realisieren, oder benötige ich hierfür noch zusätzliche Hardware?

Für jegliche Hilfe wäre ich euch echt dankbar!

Gruß,
Lukas

P.S.: Fehler sind bestimmt vorhanden

 

[luk83]

Mir ist da ein Gedanke in den Kopf geschossen: Wenn ich auf einem HP Switch 2 VLAN's für die beiden Netze bilde und ein Routing zwischen den beiden VLAN's konfiguriere, dann müsste es doch klappen?...oder sind meine Gedanken falsch?

Danke & Gruß,
Lukas

 

[frank_m24]

Hallo,

Der Router hat 4 LAN Ports, welche jeweils über eine Doppelbelegung verfügen (Externes Netz, internes Netz).

Was bedeutet das denn? Routet er auch die öffentliche IP vollwertig ins interne Netz? Hast du mehrere öffentliche IPs? Gibt es 2 Stecker pro Port? Davon hab ich noch nie gehört.

Wenn sich ein Mitarbeiter per VPN auf die Fritz!Box verbindet, dann bekommt dieser eine 192.168.178.x IP-Adresse zugewiesen. Mittels Routing soll der Mitarbeiter dann auf das 192.168.0.x Netz zugreifen können.

Das geht nicht so einfach, wie du dir das vorstellst. Zum einen ist das 192.168.0.x Netz ja das öffentliche Netz der Fritzbox, ein Zugriff darauf über VPN ist erst mal nicht vorgesehen. Da kann man aber wahrscheinlich noch mit einer hier im Forum vorhandenen Anleitung drum herum (wenn auch möglicherweise nur sehr unelegant über das Umbiegen des Default-Gateways mit allen daraus resultierenden negativen Konsequenzen für die VPN Clients).
Dann ist die Fritzbox ein NAT Router in ihr WAN Netz, das darfst du nicht vergessen. Viele Dienste des 192.168.0.x Netzes, die nicht NAT-aware sind, werden damit über VPN nicht funktionieren.

Wenn ich auf einem HP Switch 2 VLAN's für die beiden Netze bilde und ein Routing zwischen den beiden VLAN's konfiguriere, dann müsste es doch klappen?

Oh nein, je nach deiner tatsächlichen Umsetzung wird das eine Katastrophe, da du für die Fritzbox internes und externes Subnetz kurzschließt.

Wenn du mich fragst: Verlagere das ganze Netz hinter die Fritzbox, inkl. Swtch. Die hängt noch als einziger Client am One 60. Alles andere ist in ihrem Subnetz.

 

[luk83]

Was bedeutet das denn? Routet er auch die öffentliche IP vollwertig ins interne Netz? Hast du mehrere öffentliche IPs? Gibt es 2 Stecker pro Port? Davon hab ich noch nie gehört.

Ja, habe 4 öffentliche IP's. Ich kann der Netzwerkkarte eine öffentliche IP zuweisen, dann ist der Server / Client von außen per eingestellten IP erreichbar, oder ich vergebe der LAN-Karte eine IP-Adresse vom internen Netz.

Das geht nicht so einfach, wie du dir das vorstellst. Zum einen ist das 192.168.0.x Netz ja das öffentliche Netz der Fritzbox, ein Zugriff darauf über VPN ist erst mal nicht vorgesehen. Da kann man aber wahrscheinlich noch mit einer hier im Forum vorhandenen Anleitung drum herum (wenn auch möglicherweise nur sehr unelegant über das Umbiegen des Default-Gateways mit allen daraus resultierenden negativen Konsequenzen für die VPN Clients).
Dann ist die Fritzbox ein NAT Router in ihr WAN Netz, das darfst du nicht vergessen. Viele Dienste des 192.168.0.x Netzes, die nicht NAT-aware sind, werden damit über VPN nicht funktionieren.

Warum nicht? Die Fritz!Box bekommt eine feste interne IP (192.168.0.125) und habe von QSC ein Port-Forwarding auf die IP-Adresse einstellen lassen. Durch die öffentliche IP-Adresse des QSC Routers konnte ich mich auch mittels des VPN-Clients (von Shrew Soft) problemlos verbinden. Ich hatte da die IP 192.168.178.130 zugewiesen bekommen. Nur kam ich halt nicht vom 192.168.178.x in das 192.168.0.x Netz, weil kein Routing eingestellt ist.

Oh nein, je nach deiner tatsächlichen Umsetzung wird das eine Katastrophe, da du für die Fritzbox internes und externes Subnetz kurzschließt.

Warum das externe? Die Fritz!Box hat in diesem Fall nur eine interne IP (192.168.0.125) und die entsprechenden VPN-Ports werden auch an diese IP weitergeleitet.


Danke für deine Antwort und ich hoffe, das du die Situation durch die ergänzenden Angaben besser verstehen kann.

Gruß,
Lukas

 

[frank_m24]

Hallo,

ich hab die Situation schon verstanden. Dir fehlen aber offensichtlich noch einige Grundlagen im Bereich Routing und VPN.

Nur kam ich halt nicht vom 192.168.178.x in das 192.168.0.x Netz, weil kein Routing eingestellt ist.

Mit dem Routing hat das nur indirekt zu tun. Die VPN Konfiguration in Fritzboxen ist so ausgelegt, dass der Zugriff nur auf das interne Netz der Fritzbox erlaubt ist. Weder andere Netze im LAN Bereich der Box noch der WAN Bereich ist standardmäßig über VPN erreichbar. Aber wie gesagt: Die Konfiguration könnte man aufbohren. Da du aber aufs WAN Interface zugreifen willst, möglicherweise nur durch Umleiten des Default Gateways. Das bedeutet, auch sämtlicher Internetverkehr der VPN Clients wird durch eure 2 MBit Leitung gepumpt. Das würde doch sehr schnell sehr eng und ist nicht ideal.

Die Fritz!Box hat in diesem Fall nur eine interne IP (192.168.0.125) und die entsprechenden VPN-Ports werden auch an diese IP weitergeleitet.

Die 192.168.0.125 ist aus Sicht der Fritzbox die externe IP. Verwechsle es nicht mit "öffentlicher IP". Es gibt einen Unterschied zwischen privat und öffentlich bzw. intern und extern. Eine externe IP kann auch aus einem privaten Pool kommen.

Da die Box nach wie vor die Verbindung zwischen ihrer externen IP und ihrem internen Netzwerk per NAT Routing herstellt, bleibt das Problem mit dem Zugriff auf die Dienste, auch wenn du die Konfiguration aufbohrst. Da hilft es auch nicht, weitere Routen irgendwie einzurichten. Die Box muss ihre VPN Clients auf jeden Fall per NAT auf ihr WAN Interface routen. Das Problem ist nun mal, dass du aus dem VPN ans WAN Interface der Box willst. Im LAN der Box wäre das alles einfacher. Sehr viel einfacher.

 

[luk83]

Hallo,

ich hab die Situation schon verstanden. Dir fehlen aber offensichtlich noch einige Grundlagen im Bereich Routing und VPN.

Ja, das stimmt voll und ganz. Hmm okay, blöd, dann muss wohl eine Alternative her. Hättest du evtl. einen Raschlag für mich?

Besten Dank,
Lukas

 

[frank_m24]

Wie ich schon sagte: Verschiebe dein gesamtes Netz in den Bereich der Fritzbox. Also so:

                          |---- Rechner
                          |---- Rechner
-- One 60 --- Fritzbox ---|---- Rechner
                          |---- Rechner
                          |---- Rechner

Zwischen Fritzbox und Rechner könnte noch der Switch hängen.

Damit werden dann die VPN Clients zu vollwertigen Mitgliedern des Netzwerkes und haben uneingeschränkten Zugriff auf alle lokalen Systeme und Dienste.

 

[luk83]

Hi,

hmm, okay, so habe ich es noch noch nicht in Betracht gezogen. Es sind zudem 2 Server im Netzwerk vorhanden:

1. AD, DNS, DHCP, Exchange
2. Webserver

Aber das sollte nicht zum Problem werden. Danke für deinen Hinweis! Ich werde berichten.

Gruß,
Lukas