ComputerBase Menü
Aktuelles

Frage, VPN Site-to-Site Netzwerk

D

Domi83

Rear Admiral
Registriert
Feb. 2010
Beiträge
5.316
Hallo Leute, ich habe da mal eine kleine Frage an die VPN Spezialisten :)
Bei einem neuen Kunden von mir (Kleinunternehmen) steht eine FritzBox die für die Internetverbindung zuständig ist. Dahinter ist ein Switch und an diesem klemmt dann der Rest vom Netzwerk. Nun steht dort in dem Büro auch ein kleiner Desktop PC mit einem Linux installiert, welches als VPN Gateway fungiert damit die Mitarbeiter mit ihrem CRM System arbeiten können, welches von einem externen Anbieter bereit gestellt wird.

Der IT Dienstleister vor mir hat die Netzwerkeinstellungen wie folgt vergeben,
- 10.31.0.0/24
- 10.31.0.101 (FritzBox)
- 10.31.0.100 (Windows Server)
- 10.31.0.254 (Linux VPN Gateway)

den Clients haben nach meiner Umstellung schon mal eine aufsteigende IP im gleichen Subnetz verpasst. Allerdings habe ich es aktuell noch auf Statische IP Vergabe stehen, denn als Standardgateway und primärer DNS ist die 10.31.0.254 (der VPN Gateway) hinterlegt. Sekundärer DNS ist der Windows Server.

Problem ist nun allerdings, wenn der VPN Gateway mal ausfällt (so wie gestern) geht gar nichts mehr. Die Leute kommen nicht in das CRM (was verständlich ist ohne VPN) und die Mitarbeiter kommen nicht mehr in das Internet, weil der VPN Gateway als Standardgateway eingetragen wurde. Der Server selbst kann noch Online gehen, da der als Gateway und primären DNS die FritzBox verwendet.

Kann man jetzt allen Clients sagen das die FritzBox der Standardgateway ist und der FritzBox erklären, wenn man die IP 192.168.1.115 (IP des CRM) aufruft, er diese bitte an den VPN Gateway mit der 10.31.0.254 weiter leiten möchte?! :) Ich habe bei mir Zuhause eingestellt, dass meine FritzBox die Rückantworten wieder zurück in das VPN Netz senden soll, wenn ich von außen in mein Netzwerk komme. Aber wie sage ich denn der FritzBox regulär, dass er Anfragen an eine bestimmte IP immer über den VPN Gateway jagen soll?! Geht das überhaupt, oder muss ich dafür an jedem Client eine Regel für die Windows Firewall erstellen, die sagt das er Anfragen zu dieser CRM IP immer an den Gateway senden muss?! :freak:

Gruß, Domi
 
Die fritzbox kann statische routen bei den meisten Modellen also ja ...

Was dann nicht mehr geht sind DNS Auflösungen von nicht öffentlichen Einträgen die vom vpn genutze werden wenn die Fritz das gw ist
 
Das wäre nicht so schlimm, da die Verbindung zu dem CRM über eine IP aufgebaut wird, von daher wäre die DNS Auflösung dann nicht so kritisch. Wenn ich mir jetzt die Routing Tabellen meiner FritzBox Zuhause so anschaue (siehe Anhang) und das für meinen Kunden umsetzen würde, müsste ich doch eigentlich folgendes einrichten...
- 192.168.1.0 (Netzwerk)
- 255.255.255.0 (Subnetz)
- 10.31.0.254 (VPN Gateway)

wobei ich da natürlich den externen Anbieter noch fragen müsste wie die IP und Subnetzmaske des CRM wirklich ist, oder irre ich mich?

Gruß, Domi
 

Anhänge

  • ip-routing.png
    ip-routing.png
    15,4 KB · Aufrufe: 301
Man routet keine IP's man routet Netze ...

Und die Netzwerkeinstellungen für dns sind auf dem VPN Server hinterlegt die musst du nur in die Fritz übertragen.
 
wurde schon mal über eine Rendundanz nachgedacht, spricht das mal zwei identische Rechner aufsetzt (nur von der Config her, die Geräte jeweils andere IP's) so würde wenn ein System ausfällt das andere einspringen und man hätte ein Notfallnetz. Ich habe das zum Beispiel so bei mir geregelt, zwar mit Switchen aber ich denke das sollte auch mit den CRM System klappen.
Oder man regelt es halt so wie du es meintes, das man sofort den Router als Std. Gateway annimmt.

MfG @petergate
 
@petergate schrieb:
wurde schon mal über eine Rendundanz nachgedacht, spricht das mal zwei identische Rechner aufsetzt (nur von der Config her, die Geräte jeweils andere IP's) so würde wenn ein System ausfällt das andere einspringen und man hätte ein Notfallnetz. Ich habe das zum Beispiel so bei mir geregelt, zwar mit Switchen aber ich denke das sollte auch mit den CRM System klappen.
Oder man regelt es halt so wie du es meintes, das man sofort den Router als Std. Gateway annimmt.

MfG @petergate
Zum Vergrößern anklicken....
Aber dann bitte auch eine redundante Internetanbindung.
 
Revolution schrieb:
Man routet keine IP's man routet Netze...
Zum Vergrößern anklicken....
Okay okay, gebe mich geschlagen. Meine Wortwahl war doof. Klar routet man ganze Netze, habe es nur blöde formuliert. Wäre denn meine Beispiel, so wie ich es in Post 3 beschrieben habe, korrekt?

Was die Redundanz angeht, da müsste ich mit meinem Kunden Rücksprache halten und den Dienstleister fragen, was so ein VPN Gateway + Einrichtung kostet. Aber wie poons schon sagte, wenn man auf das Thema geht, sollte man auch an einen zweiten Internetanschluss denken.

@petergate, welches der Geräte ist denn dann bei euch der Gateway? Müsste dann nicht dazwischen noch ein Gerät hängen (als Gateway) welches in der Lage ist, hin und her zu switchen wenn einer der VPN Verbindungen (oder Internet) nicht funktioniert?! Das wird dann natürlich eine Kostenfrage und da müsste ich abklären wie die Notwendigkeit bei meinem Kunden wäre. An sich aber kein schlechter Ansatz.

Könnte aber darauf hinaus laufen, dass denen das zu teuer ist. Denn, wenn das CRM mal nicht funktioniert können sie noch per Hand arbeiten (sagten sie mir zumindest gestern). Und weil auf dem VPN Gateway ein Squid läuft, würde ich diesen gerne für den permanenten Internetzugriff umgehen und das VPN nur in Anspruch nehmen, wenn die IP des CRM aufgerufen wird :)

Gruß, Domi
 
poons schrieb:
Aber dann bitte auch eine redundante Internetanbindung.
Zum Vergrößern anklicken....

das wäre der nächste schritt. Man sollte auch bedenken dass dies auch seinen Preis hat.
 
So, nachdem ich via Fernwartung erst einmal das Routing in der FritzBox hinterlegt habe, können die Clients ihre IP via DHCP (reservierte Adressen) beziehen. Gateway ist nun der Router (FritzBox) und primärer DNS der Windows Server. Wenn man Google öffnet, gehen die Signale über den Router und macht man einen PING zu der IP vom CRM, läuft es über den VPN Tunnel :)

Auf dem Server in der Firma ist ein OpenVPN installiert, so kann ich (auch ohne Teamviewer) von meinem Notebook oder PC via RDP den Server oder die FritzBox administrieren. Kann man jetzt auch ganz abstrakt, diesen OpenVPN Tunnel verwenden um z.B. dem Inhaber der Firma von Unterwegs, einen Zugriff auf das CRM zu ermöglichen wenn er unterwegs ist? Normalerweise müsste ja die Verbindung dann wie folgt aussehen...
- Notebook, Chef -> OpenVPN -> Windows Server -> VPN Tunnel -> CRM

Der Chef der Firma könnte sich auch von dem CRM Anbieter einen NCP Client einrichten lassen um eine End-To-Site Verbindung aufbauen zu können. Das würde aber Geld kosten. Vielleicht kann ich ihm so noch ein paar Euro ersparen :D

Gruß, Domi
 
Grundsätzlich geht das, ja.

Laptop @ Home --> Route zum CRM-Netz via OpenVPN-Server oder aber direkt Default-Gateway=OpenVPN-Server
OpenVPN-Server --> ip_forwarding aktiv --> routet CRM-Netz via VPN

Aber: Das CRM-Netz antwortet evtl. nicht, wenn der Server die OpenVPN-IP nicht mit NAT maskiert. Will heißen: Das CRM hat keine Ahnung wo eine OpenVPN-IP herkommt. Ergo muss der Server beim Transfer von OpenVPN-Netz zum CRM-Netz die IP maskieren/NATten.

Eventuell ist es einfacher, den VPN-Zugang in der Fritzbox zu aktivieren und dann per FritzVPN-Tool von außen reinzugehen. Zumindest würde das NAT-Problem dann nicht auftauchen, weil die Fritzbox das vermutlich automatisch macht.
 
Zuletzt bearbeitet:
Wieso machst du das nicht mit einer pfsense?

Dann könntest du auch 2 Internetanschlüße problemlos managen, VPN etc. wäre alles aus einer Hand. Die Fritzbox wäre dann quasi kompl. überflüssig. Alle Netze sofern man braucht wären der pfsense bekannt und das Routing wäre Problemlos.
Ein ITX PC mit Pfsense kostet einmalig vieleicht 200-300 Euro ist aber auch für die nächste Stuffe (2 Leitungen, UMTS etc. Firewall usw.) bestens geeignet.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Z
Fritzboxen Site to Site mit Unifi weiternutzen
Antworten
9
Aufrufe
620
Z!mTst3rN
Z
Don-DCH
UniFi Wireguard Site to Site ohne Site Magic - Erfahrungen Tipps und Tricks gesucht
Antworten
0
Aufrufe
607
Don-DCH
Don-DCH
K
site to site vpn blockiert auf einer seite
Antworten
1
Aufrufe
631
Mojo1987
M
C
Site to Site VPN mit TP Link Omada und Fritzboxen
Antworten
8
Aufrufe
2.183
Creddy
C
Don-DCH
Site-to-Site VPN sicher einrichten UniFi IP SEC
Antworten
7
Aufrufe
2.137
patrick888
patrick888
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz