VPN Weiterleitung ins Subnetz

[Mandarine]

Hallo,

ich benutze eine FritzBox 7270 für den Internetzugang und habe dahinter einen Router mit DD-WRT Firmware für das "Heimnetz".

Soweit so gut. Nun möchte ich mich von Extern über VPN in das Heimnetz einwählen. Der VPN Zugriff auf die FritzBox klappt einwandfrei.

Nun meine Frage: Wie richte ich es ein, dass ich über den VPN Zugang auch in das Heimnetz komme?

Die IP Adressen der FritzBox sind 192.168.1.x, die des Heimnetzes 192.168.2.x ...

Sascha

 

[eisbaerin]

Hallo Sascha !
Willkommen zu den aktiven Usern.

Für eine Antwort brauchen wir noch genauere Angaben
was du mit dem Router mit DD-WRT bezweckst und wie er konfiguriert ist.
(nur Router oder NAT und Firewall ...)

 

[Mandarine]

Hallo Eisbär,

der WRT dient als "Zentrale" für das Heimnetz und macht auch NAT, Firewall und DHCP Server für das Subnetz.

Sascha

 

[sf3978]

Die IP Adressen der FritzBox sind 192.168.1.x, die des Heimnetzes 192.168.2.x ...

Du kannst in der FritzBox ein statisches Routing, in das Netzwerk 192.168.2.0 über den WRT als gateway einrichten , das eine IP-Adresse aus dem Bereich der FritzBox haben muss (192.168.1.?).

 

[eisbaerin]

Also ist das Zwischen-Netz so eine Art DMZ ?

 

[sf3978]

Es gibt kein Zwischennetz.

 

[eisbaerin]

Was ist das Netz 192.168.1.x dann ???

 

[sf3978]

Das 1. Netz.

 

[eisbaerin]

Also doch ein Zwischennetz zwischen Internet und Heimnetz.
In Firmen benutzt man es als DMZ.

 

[Mandarine]

Korrekt, die FritzBox dient als DMZ. Der Hauptgrund ist, dass der Linksysrouter mit DD-WRT kein eigenes Modem hat, ich aber die Filtermöglichkeiten (z. B. P2P unterbinden) nutzen will ...

Sascha

 

[eisbaerin]

Hängen in diesem Zwischennetz (oder auch 1. Netz) auch noch Geräte
(PC's, Server ...) die du über VPN erreichen willst?

 

[Mandarine]

Nein, wie gesagt dient das "Zwischennetz" nur als Internetzugang. Keine weiteren Geräte.

Sascha

 

[eisbaerin]

OK

Dann gibt es 2 völlig unterschiedliche Varianten für dein VPN:

Variante A: So wie du begonnen hast, VPN zur FB. Dann müssen aber noch einige Änderungen in der FB, im WRT und im VPN-Client gemacht werden.

Variante B: Du baust den VPN direkt zum WRT auf, dann müssen nur in der FB die Ports für den VPN zum WRT geforwartet werden.

Welche Variante bevorzugst du ?

[EDIT]Sorry, habe mich durch sf3978 etwas durcheinander bringen lassen.
Dein WRT macht ja NAT, dann muß nur dein WRT geändert werden.[/EDIT]

 

[Mandarine]

Eigentlich Variante A, weil bei Variante B muss ich eine andere Firmware auf den Linksys aufspielen und die Version mit VPN kann kein Chilispot ...

Bei Variante B würde ich in der FritzBox auch einfach nur eine Portweiterleitung für OpenVPN an den Linksys machen ...

Also, kannst Du mir bitte erklären wie Variante A funktioniert?

Sascha

 

[eisbaerin]

Was willst Du über VPN erreichen?
(HTTP-Server, FTP-Server, ...)?

Du mußt im WRT die benötigten Ports forwarten und in der Firewall frei geben.
Mit dem VPN-Client mußt du dann die IP des WRT im Zwischennetz ansprechen (192.168.1.?)
die NAT des WRT transferiert das dann ins Heimnetz.

 

[Mandarine]

Ich will auf meinen NFS Server zugreifen. Nach den Ports muss ich dann erst mal suchen.

Sascha

 

[eisbaerin]

Ich hab' noch eine andere (bessere?) Idee:

Du kannst auch den NFS Server in das Zwischennetz hängen. Stecke Ihn einfach an die FB7270 an.
Gib ihm eine feste IP aus dem Netz 192.168.1.x und du kannst Ihn über diese IP aus deinem Heimnetz und über VPN erreichen und brauchst keine Änderungen im WRT machen.
Genau dafür ist eine DMZ ja da.

 

[sf3978]

[...]
Variante A: So wie du begonnen hast, VPN zur FB. Dann müssen aber noch einige Änderungen in der FB, im WRT und im VPN-Client gemacht werden.

[...]
Diese Konstellation habe ich auch zwischen meiner FritzBox und meinem WRT54GL mit DD-WRT. Die Änderung die ich in der FritzBox machen musste, war ein statisches Routing vom Netz der FB in das Netz des WRT einrichten (siehe Beitrag #4). Und dann noch etwas Portforwarding einrichten.
Mit DD-WRT kannst man auch das Port-Triggerung nutzen.

 

[Mandarine]

Ich hab' noch eine andere (bessere?) Idee:
Du kannst auch den NFS Server in das Zwischennetz hängen. Stecke Ihn einfach an die FB7270 an.
Gib ihm eine feste IP aus dem Netz 192.168.1.x und du kannst Ihn über diese IP aus deinem Heimnetz und über VPN erreichen und brauchst keine Änderungen im WRT machen.
Genau dafür ist eine DMZ ja da.

Mal schauen ob ich die Idee umsetzen kann ... momentan hängt der NFS Server an einem Gigabyte Switch und ich nutze diese Geschwindigkeit auch aus (ca. 800 MBit Datentransfer!). Wenn ich ihn in die DMZ hängen würde hätte ich nur die Geschwindigkeit der FritzBox.

Der Server hat aber noch eine zweite Netzwerkkarte, die könnte ich dafür nutzen! Über VPN ist die Geschwindigkeit ja eh nie so groß

Sascha

 

[eisbaerin]

@sf3978:
Wenn der WRT NAT macht brauchst du kein statisches Routing.
Die FB braucht das WRT-Netz (192.168.2.x) nicht zu kennen.
Das erledigt die NAT im WRT.

Zum Vergeich:
Es gibt bestimmt tausende PC's mit der IP 192.168.178.20 hinter einer FB mit NAT im Internet.
Aber in keinem der Router im Internet ist eine statische Route zu diesem Netz eingetragen
(zu welchem auch von den tausenden).
Aber trozdem erreicht jeder seinen PC über seine öffentliche IP und das NAT in der FB.

Deine Variante ist nur richtig, wenn der WRT kein NAT macht oder Du das NAT umgehst.