FritzBoxVPN 2 FritzBoxVPN jeweils hinter Routern

[jrehbein]

Hallo Freunde,

ich weiß das ist ein schon zigfach durchgekautes Thema.
Mein Grundaufbau steht auch schon jedoch kann ich es hier nicht richtig testen.
Leider wurde mein erstes, bereits realisiertes, Konzept über Board geworfen da neue Anforderungen dazu kamen.

Deshalb möchte ich von euch nur wissen ob mein Konzept so möglich ist oder ob ich einen Denkfehler darin habe.


Es geht um folgendes 2 getrennte Lans sollen miteinander verbunden werden.
Jeder würde sagen klar machen wir ein Bridging zwischen den 2 FritzBoxen.
Aber aufgrund dessen daß reger Verkehr auf der Leitung fließen soll und es nur 2000er DSL Verbindungen sind,
es reiner IP Verkehr ist und und und, ist mir persönlich eine Point 2 Point Verbindung lieber.


Hardware:
2x FritzBoxen 7050 für die VPN Verbindung
1x Speedport W 701
1x irgendein Router (nicht bestimmbar, aber hoffentlich VPN durchgängig)



Das ganze wird folgendermaßen aussehen:

LAN A (Client Seite)
|
|
FritzBox VPN Client
|
|
irgend ein Router (1)
|
|
|----------|
| |
| Internet |
| |
|----------|
|
|
Speedport Router
|
|
FritzBox VPN Server
|
|
LAN B (Server Seite)




Es soll folgendes realisiert werden:
Alle Clients aus LAN A sollen auf LAN B zugreifen können und natürlich auch umgekehrt.
Ich definiere mal Subnetze um es zu veranschaulichen, diese können natürlich geändert werden.

Serverseitig:
Wir sind mit dem Internet über den Speedport verbunden, auf diesem ist DHCP aktiviert (192.168.1.0).
Die FritzBox hängt mit ihrem DSL Port an dem Router. Die Geräte im LAN B haben feste IPs (192.168.2.0), die Gateway ist natürlich der FritzBox Server.
Auf der Serverseite bin ich sehr flexibel und kann einiges verändern.


Clientseitig:
Hier sind wir über einen unbekannten Router mit dem Internet verbunden. In der Regel ist hier DHCP aktiviert. Leider kennen wir die den Pool nicht. Auf dieser Seite wird sich eventuell falls es funktioniert der Router und die Netze die vor der FritzBox sitzen ändern und wir können Nichts daran verändern

Hier soll die Client FritzBox über den DSL Port hinter den Router gesetzt werden.
Alle Geräte im LAN A haben eine feste IP Adresse haben und müssen auf einen Server im LAN B zugreifen.
-------------

edit: Idee verworfen, da ich keinerlei Informationen gefunden habe ob ich den DSL Port als vollständige Netzwerkkarte nutzen kann.
Deshalb ein neuer Ansatz:

Serverseitig:
Wir sind mit dem Internet über den Speedport verbunden, auf diesem ist DHCP aktiviert (192.168.2.0).
Die FritzBox hängt hinter dem Speedport Router. Die Geräte im LAN B haben feste IPs (192.168.2.0),
die Gateway für diese ist natürlich der FritzBox Server alle Anfragen welche nicht über die VPN müssen gehen über den Speedport ins Inet.
Auf der Serverseite bin ich sehr flexibel und kann einiges verändern.


Clientseitig:
Hier sind wir über einen unbekannten Router mit dem Internet verbunden. In der Regel ist hier DHCP aktiviert.
Leider kennen wir die den Pool nicht. Hier soll die Client FritzBox per DHCP eine Adresse bekommen.
Die FritzBox bekommt noch eine 2. virtuelle IP Adresse in einem anderen IP Bereich (10.0.0.1)
Alle Geräte im LAN A haben eine feste IP Adresse (10.0.0.0) haben und müssen auf einen Server im LAN B zugreifen.
-------------


Mir würde als Info reichen, ist so realisierbar und falls nicht was ich ändern soll.
Die Konfiguration werd ich mir schon zusammenstellen können.



Vielen Dank und Grüße
Jan

 

[MaxMuster]

Also, ich versuche es mal:

Wenn die Fritzboxen "nur VPN" machen sollen, werden sie wohl per LAN "eingebunden", nicht über den DSL Port? Das wäre z.B. auch für DHCP auf dem Router (nicht auf der Fritzbox) notwendig. Ich sähe das so:

F'Box
 VPN     PC1       PC<n>
Client
   |      |         |
   |      |  ...    |
   |      |         |
--------------------------
   LAN A (Client Seite)
         |
         |
  irgend ein Router (1)
         |
         |
    |----------|
    |          |
    | Internet |
    |          |
    |----------|
         |
         |
  Speedport Router
         |
         |
   LAN B (Server Seite)
--------------------------
   |      |         |
   |      |  ...    |
   |      |         |
F'Box
 VPN     PC1       PC<n>
Server

Auf der Serverseite wirst du wenig Probleme bekommen, da du alles selbst im Griff hast.
Die Clientseite ist/macht in mehrere Hinsicht ein Problem:
- Um die Verbindung zum Servernetz zu realisieren, muss der Verkehr dafür zur Client-Fritzbox geroutet werden. Möglichkeiten: Route für Servernetz auf unbekanntem Router in Richtung Clientfritzbox oder Route auf den "Endgeräten" (PC's) eintragen
- Wenn das Client-Netz (IP-Adressen) unbekannt ist, kann es auf dem Server nicht geroutet werden. Da müsste nach dem Aufbau der VPN-Verbindung das Routing auf dem Server vom Client aus nachgepflegt werden (Client und Server können sich ja immer "sehen").
- Mögliche "Workarounds":
1. NAT auf dem Client (wenn die Verbindung immer nur in Richtung Servernetz initiiert wird)
2. ein "Overlaynetz" als sekundäres Netz auf dem unbekannten Netz (z.B. 10.11.12.0/24), in dem alle Geräte eine zweite IP bekommen plus die Route für das Servernetz über die Clientbox (damit wäre auch das Routingproblem im Server behoben), benötigt aber massive Eingriffe beim Clientnetz

Jörg

 

[jrehbein]

Hallo Jörg,

habe gerade meinen ersten Beitrag editiert.
Deine Zeichnung ist natürlich richtig, es reicht die FritzBox mit der LAN Schnittstelle ins Netz zu hängen.

Es sollte nur verbildlichen wie die Pakete alles durchlaufen und wenn der DSL Port als eigenständige Netzwerkkarte betrieben werden kann wäre es (glaube ich) auch so wie ich es dargestellt habe korrekt gewesen.


Der erste Ansatz:
Die Idee mit dem DSL Port war folgende, dieser bekommt per DHCP eine IP Adresse und theoretisch bekommen alle Geräte im Netz per DHCP von der Fritzbox eine IP und die GW (die FritzBox) diese leitet die Anfragen über den Tunnel weiter.
Bei mir sind die Endgeräte im Client LAN mit fester IP gepflegt, als Gateway wäre die FritzBox(Client) zu setzen diese leitet den Verkehr anhand ihrer Route ins VPN oder halt ins Inet.

Die 2. Idee von mir ist, der FritzBox noch eine weitere virtuelle IP zu verpassen in einem Netz was ich hinter keinem Router finde deshalb als Beispiel die 10.0.0.0 (FritzBox als Bsp 10.0.0.1) alle Geräte welche über die VPN sollen bekommen auch eine IP in diesem Subnetz. Diese stellen Anfragen an die IP 192.168.2.9 (den Server) anhand des Routings der FritzBox schickt sie die Pakete über die VPN.

Ich denke der 2. Ansatz sollte funktionieren. Jedoch habe ich noch nicht so oft mit virtuellen IPs gearbeitet und muß erst testen ob das so läuft.

Gruß Jan

 

[MaxMuster]

Ich denke, das sollte gehen, entspricht in etwa meinem "Overlay-Netz".
Habe ich das richtig verstanden, dass die Geräte im Clientnetz selbst eigentlich komplett "frei konfigurierbar" sind und nur das "Netz zum Internet" unbekannt ist?? Benutzen die Geräte im "Clientnetz" selbst auch das Internet?

Jörg

 

[jrehbein]

Hallo Jörg,

ja die Geräte im Client Netzwerk sind völlig frei konfigurierbar, welch ein Glück.
Es sind im Moment auch nur 2 Geräte hinter der VPN Verbindung geplant, aber ich lege es gleich für mehr aus weil ich meine Pappenheimer kenne. Morgen fällt ihnen was Neues ein.

Da das Gerät nicht viele Einstellmöglichkeiten in Bezug auf die Netzwerkanbindung bietet (keine Routen eintragbar nur eine Gateway) und ich das nur einmal konfigurieren will versuche ich es so allgemein wie möglich zu halten.

Es ist möglich daß die Clientseite, falls das einwandfrei funktioniert, zu Präsentationen bei Kunden mitgenommen wird um dort die Funktionen des Servers und des Gerätes welches hinter der FritzBox sitzt zu zeigen.

Das Internet an sich wird in diesem Step von den Clients nicht genutzt werden aber möglich wäre dies in Zukunft.

Grüße Jan

PS: Dann mach ich mich mal an die Arbeit. Heute Abend muß der Versuch stehen, daß ich falls es Probleme gibt noch andere Hardware ordern kann.

PPS: So, die ersten Schritte sind getan. Eigene Firmware gebacken mit OpenVPN (natürlich versucht alle Hinweise dazu im Forum mitzunehmen).
VPN Verbindung eingerichtet und siehe da die Verbindung funktioniert. Ich komme von der Client Fritz Box auf alle Rechner/Geräte im Server Netz.

Jetzt muß ich der Client FritzBox eine virtuelle IP (geben wie wir es oben als beispiel hatten 10.0.0.1) und den Geräten alle eine im gleichen Subnetz mit Gateway auf die Fritzbox und nicht zu vergessen die Route setzen. Dann sollte es laufen, juhuu.

Hat hierzu jemand noch einen Tip, die AR7.cfg ist doch ein wenig erschreckend...

 

[MaxMuster]

Die virtuelle IP würde ich per "debug.cfg" anlegen. So in der Art:

echo "ifconfig lan:5 10.0.0.1 netmask 255.255.255.0 broadcast 10.0.0.255" >> /var/flash/debug.cfg

Es gäbe aber auch noch eine andere Möglichkeit bei der 7050 mit ihren zwei LAN Ports: Internet über LAN. Das sähe dann bildlich wie dein erster Ansatz aus: Die Geräte aus dem Client-Netz hängen wirklich "hinter" der Fritzbox, die den Internetzugang (und OpenVPN) übernimmt.

Dann würde die Box nach "intern" (also zum Clientnetz) ganz regulär z.B. das 10.0.0.0-er Netz benutzen, zum "Internetrouter" hin per DHCP eine IP beziehen.

Ich versuche das nochmal zu "zeichnen":

 PC1            PC<n>
   |              |
   |    ...       |
   |              |
--------------------------
     Fritzbox LAN 
           |
           |
  |--------------------|
  |                    |                
  |     Fritzbox       |
  | Internet über LAN  |
  |   VPN-Client       |
  |                    |                
  |--------------------|
            |
            |
            |
 (XX?)      |        (YY?) 
   |        |         |
   |        |         |
--------------------------
  LAN A (Client Seite)
         |
         |
  irgend ein Router (1)
         |
         |
    |----------|
    |          |
    | Internet |
    |          |
    |----------|
         |
         |

Die "Problematik" wäre, wenn es noch andere Geräte auf der "Clientseite" (im Bild XX und YY) gäbe, die in dem "unbekannten" LAN vom Router sind...



Jörg