Via VPN den Zugriff auf Netzwerk vor der Box bekommen

schwafli

Neuer User
Mitglied seit
28 Apr 2006
Beiträge
68
Punkte für Reaktionen
0
Punkte
0
Hallo liebe IPPF-Gemeinde

Könntet Ihr mir bitte bei folgendem Problem helfen? Mein Netz ist wie folgt aufgebaut:

Code:
Ort 1:

Modem
  I
  I                 I---- Drucker 1 (192.168.1.20)
Hardware-Firewall---I---- Computer 1 (192.168.1.21)
 (192.168.1.1)      I---- Fritzbox (192.168.1.22>192.168.100.1)
                               I ---- Computer 2 (192.168.100.20)
                               I ---- Drucker 2 (192.168.100.21)

Ort 2:
Fritzbox (192.168.200.1) --- Computer A (192.168.200.20)

Von Computer 2 aus konnte ich problemlos Drucker 1 als Netzwerkdrucker ansprechen, indem ich ihn einfach als Netzwerkdrucker eingebunden habe.

Nun möchte ich mit einer entfernten Fritzbox (192.168.200.1) via VPN auf diese Box zugreifen, was mit den AVM-Werkzeugen und Portforwarding in der Hardware-Firewall gut klappt. In Computer A kann ich dadurch problemlos Drucker 2 als Netzwerkdrucker einbinden und darauf drucken (einfach Netzwerkdrucker auf seine IP-Adresse erstellen).

Wie kann ich nun aber in Computer A einen Zugriff auf Drucker 1 erstellen?

Vielen Dank für die Hilfe!
Schwafli
 
Hallo,

entweder du nutzest den VPN-Client der Firewall oder du versuchst es mit Routen in der FritzBox hinter der Firewall auf das Subnetz für Drucker1.
 
Mit dem FritzBox VPN kann man leider nicht auf die Firewall zugreifen, da müsste ich OpenVPN installieren.

Wie stellt man eine solche Route in der Fritzbox ein? Welche Werte müsste ich bei IP-Adresse und Gateway eintragen?
 
Hat die Firewall kein integriertes VPN? Das wäre seltsam...

Ansonsten in der Fritzbox die Route auf das Netz 192.168.1.0 mit Standardgateway 192.168.1.1 setzen. Voraussetzung ist allerdings, das sich beide Netze in der Firewall intern befinden und über die Firewall sehen können...
 
Vielen Dank für den Tipp. Natürlich hat die Firewall integriertes VPN. Ich habe aber eine Ankopplung meiner FritzBox 2 an diese Firewall mittels VPN nicht geschafft.

Auch das Anlegen einer statischen Route in der FritzBox 1 hat noch nicht den gewünschten Erfolg gebracht.

Was hingegen funktioniert hat: Modifikation der fritzbox.cfg für FritzBox 2 gemäss dieser Anleitung von AVM (Eintragung von 192.168.1.0 als zweite Zeile unter "accesslist"). Anschliessend konnte ich auf den Drucker zugreifen und problemlos drucken. In FritzBox 1 musste ich keine Änderungen durchführen, eine statische Route ist auch nicht notwendig. Interessanterweise gelange ich allerdings nicht auf die Oberfläche der Firewall (192.168.1.1) - das geht nur, wenn ich die statische Route aktiviere.
 
Lieber doc456

Kannst Du mir bitte noch einmal helfen, ich habe den Durchblick noch nicht ganz.

Mit dem Fritz-Fernzugang habe ich es geschafft, mich von einem Laptop, der sonstwo im Internet ist, in FritzBox 1 via VPN einzuklinken.

Nun möchte ich, dass man, wenn man nach dem Aufbau der VPN-Verbindung auf dem Laptop surft, der Datenverkehr über die Internetverbindung der FritzBox geleitet wird und nicht mehr über den lokalen Provider des Laptops. Dafür habe ich eine Anleitung gefunden, die ich angewendet habe.

Wenn ich nun die VPN-Verbindung aufbaue, kann ich mit dem Laptop leider nicht mehr surfen (ausser im internen Netz). Grund ist, dass die Firewall mich nicht nach aussen lässt: sie meldet "Attack" - dasselbe, wie wenn ich die von dir erwähnte statische Route nicht setze und versuche, auf die Firewall-Oberfläche zuzugreifen. Pings und tracert - Anfragen gehen bei dieser Konfiguration nach aussen durch.

Was für eine statische Route muss ich da setzen - und in welchem Gerät, dass der Netzwerkverkehr durchgelassen wird?

Vielen Dank und liebe Grüsse
Schwafli
 
Zuletzt bearbeitet:
Hallo,

uuuhhh, jetzt geht es durch die linke Brust ins rechte Auge... :mrgreen:

Nun als erstes würde ich in der fritzbox.cfg (VPN) den Parameter use_nat_t = no; auf yes setzen.
Dann bei accesslist "permit ip 0.0.0.0 0.0.0.0 192.168.100.201 255.255.255.255"; für deinen Client zusätzlich hinzufügen, damit du ins I-Net kommst und in deiner Firewall den Zugriff nach außen für diese VPN-Client-IP auf Port 80/445 zulassen.

Wie gesagt, Versuch macht Kluch! ;)
 
Funktioniert leider nicht.

Interessanterweise kann ich ungefähr 2 Minuten über diese Verbindung surfen (laut www.whatismyipaddress.com), anschliessend blockt die Firewall die Verbindung mit der folgenden Fehlermeldung: ATTACK: none ICMP (L to W, Redirect Datagram for the Network (or subnet)). Hinten sieht man als Ursprung-IP diejenige der FritzBox (192.168.1.22). Wenn ich dann die FritzBox neustarte, dann klappt es wieder für ca. 2 Minuten.

Gruss Schwafli
 
Hmmm, hast du IPV6 aktiviert? Wenn ja, teste ohne...

Der Weg zu deinem VPN-Client (Redirect) wird nicht gefunden.

EDIT:
ICMP-Route-Spoofing
Bei dieser Art des Angriffs wird ausgenutzt, über die Meldung ICMP redirect Routing-Informationen an den Absender eines IP-Pakets zu übermitteln. Ein Angreifer kann dies nutzen, das Routing auf seinem eigenen Rechner umzuleiten. Verwendet ein Rechner eine solche Nachricht als neue Routing-Information, so führt dies dazu, daß seine Informationen über den Rechner des Angreifers geroutet werden.
 
Zuletzt bearbeitet:
Nein, IPV6 ist deaktiviert.

Könnte es sein, dass ich irgendwo eine statische Route anlegen müsste, z.B. in der Firewall? Wenn ja: wohin und mit welchem Gateway und welcher Metric?

Denselben Fehler bekomme ich nämlich bei einem Zugriff auf 192.168.1.1 (Firewall-Konfiguration) über ein via VPN angeschlossenes Fritzbox-Netzwerk, wenn ich die von Dir oben vorgeschlagene statische Route nicht setze.
 
Nee, versuch es mal mit Portforwarding auf die VPN-Client-IP in der Firewall, denn beide Subnetze sind ja schon auf Grün (intern)
 
Das habe ich gestern Abend bereits probiert (Port 80 und Port 445). Hat leider nicht geklappt.
 
Was ich jetzt noch probiert habe: Firewall L->W und W->L öffnen, Portforwarding einstellen und in der FritzBox die VPN-Client-IP als "Exposed Host einstellen. Geht auch nicht.
 
Firewall: Zyxel Zywall 2 plus
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.