vpn Fragen

Started by oekomat, March 02, 2020, 04:53:30 PM

Previous topic - Next topic
Hallo zusammen,
wahrscheinlich sehe ich den Wald vor lauter Bäumen nicht. Mein Setup:

Fritzbox IP: 192.168.178.1 vergibt statisch die 192.168.178.101 an die Firewall
per VPN von außen erreichbar mit dyndns / myfritz-Dienst und vergibt dem externen client 192.168.10.201 aufwärts

Firewall LAN IP: 192.168.10.1, Gateway 192.168.178.1, DHCP 192.168.10.102-192.168.10.200, Clients haben alle Internetzugriff

Natürlich will ich jetzt von außen auch an die clients im LAN 192.168.10.0 und habe die Anleitung https://znil.net/index.php?title=FritzBox_-_Site_to_Site_VPN_zu_pfSense_2.2 gefunden.

Was mich verwirrt ist die externe IP der Fritzbox?! Da stehe ich jetzt so ein bissl auf dem Schlauch. Die externe IP der Box wechselt doch täglich bei Zwangstrennung.
Könnte mir bitte jmd helfen?

Gruß oekomat

March 02, 2020, 08:39:55 PM #1 Last Edit: March 03, 2020, 06:51:48 AM by micneu
Ich gebe dir nur ein paar Stichworte:
- exposte host
Mache doch lieber das VPN auf der Sense
Dann hast du es einfacher


Gesendet von iPhone mit Tapatalk Pro
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100


Die externe IP-Adresse der FritzBox ist dynamisch, der (myfritz)-DNS-Name ist statisch. Der Name zeigt auf die jeweils aktuelle Adresse.


Die FritzBox braucht eine statische Route zu 192.168.10.0/255.255.255.0 mit Gateway 192.168.178.101 damit man aus dem FritzBox-Netz ins opnsense-LAN kommt.


VPN mit der opnsense ist eher besser. Statt die firewall komplett ins Netz zu stellen, kann man auch die benötigten Ports von der FritzBox auf die opnsense leiten (Portfreigabe).

Quote from: johnsmi on March 03, 2020, 06:00:10 AM

Die externe IP-Adresse der FritzBox ist dynamisch, der (myfritz)-DNS-Name ist statisch. Der Name zeigt auf die jeweils aktuelle Adresse.


Die FritzBox braucht eine statische Route zu 192.168.10.0/255.255.255.0 mit Gateway 192.168.178.101 damit man aus dem FritzBox-Netz ins opnsense-LAN kommt.


VPN mit der opnsense ist eher besser. Statt die firewall komplett ins Netz zu stellen, kann man auch die benötigten Ports von der FritzBox auf die opnsense leiten (Portfreigabe).
Ich hatte es schon geahnt. Das heisst ich spreche mit meinem dyndns Dienst den Port auf der Fritzbox an, den ich auf die opnsense weitergeleitet habe?

Quote from: oekomat on March 03, 2020, 02:40:44 PM
Quote from: johnsmi on March 03, 2020, 06:00:10 AM

Die externe IP-Adresse der FritzBox ist dynamisch, der (myfritz)-DNS-Name ist statisch. Der Name zeigt auf die jeweils aktuelle Adresse.


Die FritzBox braucht eine statische Route zu 192.168.10.0/255.255.255.0 mit Gateway 192.168.178.101 damit man aus dem FritzBox-Netz ins opnsense-LAN kommt.


VPN mit der opnsense ist eher besser. Statt die firewall komplett ins Netz zu stellen, kann man auch die benötigten Ports von der FritzBox auf die opnsense leiten (Portfreigabe).
Ich hatte es schon geahnt. Das heisst ich spreche mit meinem dyndns Dienst den Port auf der Fritzbox an, den ich auf die opnsense weitergeleitet habe?

Genau! Der Dyndns Dienst gibt aber nur die aktuelle IP an. Den Port gibst  du ja selbst an, diese hat mit Dyndns nicht zutun.
Ist aber der bessere Weg die VPN über die OPNsense laufen zu lassen.
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support

Quote from: lfirewall1243 on March 03, 2020, 03:18:00 PM
Genau! Der Dyndns Dienst gibt aber nur die aktuelle IP an. Den Port gibst  du ja selbst an, diese hat mit Dyndns nicht zutun.
Ist aber der bessere Weg die VPN über die OPNsense laufen zu lassen.

Da muss ich nochmal nachfragen. Laut der oben verlinken Anleitung ist die Angabe der öffentlichen IP der Firewall (im Beispiel 198...) notwendig. Der WAN meiner Firewall geht doch aufs LAN der Fritzbox und ist nicht öffentlich oder ist das Gateway der Fritzbox gemeint, was aber irgendwie keinen Sinn ergibt.
Meine Box ist im Netz 192.168.178.0
Meine FW hat das WAN gateway 192.168.178.1 und bekommt die IP 192.168.178.101 auf der Fritzbox.

Quote from: oekomat on March 06, 2020, 04:59:12 PM
Quote from: lfirewall1243 on March 03, 2020, 03:18:00 PM
Genau! Der Dyndns Dienst gibt aber nur die aktuelle IP an. Den Port gibst  du ja selbst an, diese hat mit Dyndns nicht zutun.
Ist aber der bessere Weg die VPN über die OPNsense laufen zu lassen.

Da muss ich nochmal nachfragen. Laut der oben verlinken Anleitung ist die Angabe der öffentlichen IP der Firewall (im Beispiel 198...) notwendig. Der WAN meiner Firewall geht doch aufs LAN der Fritzbox und ist nicht öffentlich oder ist das Gateway der Fritzbox gemeint, was aber irgendwie keinen Sinn ergibt.
Meine Box ist im Netz 192.168.178.0
Meine FW hat das WAN gateway 192.168.178.1 und bekommt die IP 192.168.178.101 auf der Fritzbox.
Du machst dann eine Portweiterleitung von z.B. Port 1194 auf Port 1194 der Firewall (WAN).
Und gibst beim Export deine öffentlichen Dyndns Namen an
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support

Quote from: lfirewall1243 on March 06, 2020, 05:40:21 PM
Quote from: oekomat on March 06, 2020, 04:59:12 PM
Quote from: lfirewall1243 on March 03, 2020, 03:18:00 PM
Genau! Der Dyndns Dienst gibt aber nur die aktuelle IP an. Den Port gibst  du ja selbst an, diese hat mit Dyndns nicht zutun.
Ist aber der bessere Weg die VPN über die OPNsense laufen zu lassen.

Da muss ich nochmal nachfragen. Laut der oben verlinken Anleitung ist die Angabe der öffentlichen IP der Firewall (im Beispiel 198...) notwendig. Der WAN meiner Firewall geht doch aufs LAN der Fritzbox und ist nicht öffentlich oder ist das Gateway der Fritzbox gemeint, was aber irgendwie keinen Sinn ergibt.
Meine Box ist im Netz 192.168.178.0
Meine FW hat das WAN gateway 192.168.178.1 und bekommt die IP 192.168.178.101 auf der Fritzbox.
Du machst dann eine Portweiterleitung von z.B. Port 1194 auf Port 1194 der Firewall (WAN).
Und gibst beim Export deine öffentlichen Dyndns Namen an
Auf der Fritzbox die Portweiterleitung?

Quote from: oekomat on March 06, 2020, 10:29:06 PM
Quote from: lfirewall1243 on March 06, 2020, 05:40:21 PM
Quote from: oekomat on March 06, 2020, 04:59:12 PM
Quote from: lfirewall1243 on March 03, 2020, 03:18:00 PM
Genau! Der Dyndns Dienst gibt aber nur die aktuelle IP an. Den Port gibst  du ja selbst an, diese hat mit Dyndns nicht zutun.
Ist aber der bessere Weg die VPN über die OPNsense laufen zu lassen.

Da muss ich nochmal nachfragen. Laut der oben verlinken Anleitung ist die Angabe der öffentlichen IP der Firewall (im Beispiel 198...) notwendig. Der WAN meiner Firewall geht doch aufs LAN der Fritzbox und ist nicht öffentlich oder ist das Gateway der Fritzbox gemeint, was aber irgendwie keinen Sinn ergibt.
Meine Box ist im Netz 192.168.178.0
Meine FW hat das WAN gateway 192.168.178.1 und bekommt die IP 192.168.178.101 auf der Fritzbox.
Du machst dann eine Portweiterleitung von z.B. Port 1194 auf Port 1194 der Firewall (WAN).
Und gibst beim Export deine öffentlichen Dyndns Namen an
Auf der Fritzbox die Portweiterleitung?
Jo! Nennt sich bei der Fritzbox allerdings "Freigabe"
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support

Quote from: lfirewall1243 on March 07, 2020, 06:48:06 AM
Jo! Nennt sich bei der Fritzbox allerdings "Freigabe"

Ich habe auf der direkten Zugang auf die Fritzbox per myfritz VPN und dyndns-Dienst. Was empfiehlst du als Freigabe?




Quote from: oekomat on March 07, 2020, 10:30:55 AM
Quote from: lfirewall1243 on March 07, 2020, 06:48:06 AM
Jo! Nennt sich bei der Fritzbox allerdings "Freigabe"

Ich habe auf der direkten Zugang auf die Fritzbox per myfritz VPN und dyndns-Dienst. Was empfiehlst du als Freigabe?


Würde eine Portfreigabe machen
Wie sich das mit Myfritz und so verhält keine ahnung.
Nutze die OPNsense nicht wirklich mit ner Fritzbox davor und wenn nur im Bridge Modus
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support

Ich schließe mich Ifirewall1243 an, auf der Fritzbox eine Portfreigabe auf die IP der OPNSense konfigurieren z.B. Port 1194 bei ovpn oder 51820 bei wireguard. Achtung wenn es sich um einen IPSec Tunnel handelt musst Du auch die Protokolle ESP, Port 500, Port 4500 weiterleiten. Somit kannst Du den Tunnel direkt auf der OPNSense terminieren.
Auf der Sense musst Du dann die entsprechenden Ports auf der WAN Adresse zulassen.

Quote from: stumpjumper on March 07, 2020, 11:14:10 AM
Ich schließe mich Ifirewall1243 an, auf der Fritzbox eine Portfreigabe auf die IP der OPNSense konfigurieren z.B. Port 1194 bei ovpn oder 51820 bei wireguard. Achtung wenn es sich um einen IPSec Tunnel handelt musst Du auch die Protokolle ESP, Port 500, Port 4500 weiterleiten. Somit kannst Du den Tunnel direkt auf der OPNSense terminieren.
Auf der Sense musst Du dann die entsprechenden Ports auf der WAN Adresse zulassen.

Die Ports auf der Fritzbox freizugeben, ist nicht das Problem. Wenn ich mit meiner VPNcilla App auf dem Mobil-Client aber auf das LAN der Opensense zugreifen will, bekomme ich keine Verbindung. Gibts denn aktuelles Howto für die Einrichtung von openvpn hinter einer Fritzbox?

Mit Deiner VPNCilla Software greifst Du auf die Fritzbox zu. Hier musst Du die myfritz Adresse angeben.
Wenn die FritzBox eine  neue IP bekommt trägt sie diese normalerweise bei myfritz ein , oder ein ander dynDNS Dienst . Somit kannst Du die IP Deiner Box jederzeit auflösen.
Zum Ablauf:
Du greift (per myfritz Auflösung) auf die externe IP Deiner Box zu.
Dort greift jetzt die Portweiterleitung und schiebt die Datenpakete auf die OPNsense.

Nachtrag zum letzten Post.
Ich habe gerade mal flüchtig nachgesehen was VPNcilla überhaupt kann.
So wie es scheint ist das ein IPsec Client. IPsec ist für einen Anfänger relativ schwierig zu konfigurieren. Sorry, ich unterstelle hier einfach daß es sich bei Dir um einen Anfänger in Punkto vpn handelt.
Da wäre wireguard wesentlich einfacher zu konfigurieren.