UNIFI USG mit VPN-Verbindung zu einem VLAN

[lazyland]

Hallo, ich habe über NOIP.com eine VPN-Verbindung zu meinem Heimnetz eingerichtet. Die Verbindung funktioniert und es können jetzt alle Geräte des Admin-VLAN (192.168.0.xx) erreicht werden.

Leider funktioniert aber nur der Zugriff auf die Geräte im 0.xx Netz. Da ich aber mehrere VLANs eingerichtet habe (z.B. 192.168.20.xx) möchte ich gerne auch die Geräte des VLAN 20 erreichen. Es werden aber auch hier immer nur die Geräteausdem 0-er Admin Netz angezeigt.

Beim Nutzer im Security Gateway habe ich beim User die VLAN ID 20 eingegeben. Das funktioniert aber nicht.

Ich würde mich über einen Tipp sehr freuen.

Gruß Lazyland

 

[Raijin]

Wenn du von außen eine VPN-Verbindung aufbaust, muss beim Client auch das Routing stimmen. Hat der Client keine Route in die anderen Subnetze, schickt er zB den Ping auf 192.168.20.123 eben nicht zum VPN-Gateway, sondern zu seinem Standard-Gateway, also zum dortigen Router.

Füge dem Profil des VPN-Clients die Routen für die anderen Subnetze hinzu und dann wird es vermutlich schon funktionieren.

 

[lazyland]

Danke Raijin, ich versuche das mal umzusetzen, bin aber nicht so professionell und es bleiben bestimmt noch fragen. Bin gerade nicht sicher ob ich diese Einstellungen über statisch Route oder über Firewall machen muss.
Mein VLAN hat doch die IP x.x.20.1
Mein Client (Iphone) bekommt aber die IP x.x.2.1 zugewiesen, weil es ja zuerst in meinem VPN Netz landet.

Müsste dem Iphone nicht die IP ...20.1 zugewiesen werden, damit es im 20er VLAN den Zugriff hätte?

 

[Raijin]

Ich drücke es mal so aus: Ohne umfassende Informationen über alle beteiligten Subnetze, die verwendete VPN-Technologie sowie deren Konfiguration kann man auch keine konkrete Hilfestellung leisten, sondern nur allgemeine Hinweise geben.

Und nein, man braucht keine IP aus dem jeweiligen (VLAN-)Subnetz, um dorthin eine Verbindung zu haben - oder hat dein Router auch eine IP aus dem öffentlichen Subnetz von google? Nein? Komisch, wieso kannst du dann buchstäblich googeln? Routing heißt das Zauberwort. Gib am PC mal "route print" in die Kommandozeile ein und du wirst die Routingtabelle finden. Dort müssen alle Ziel-IPs bzw. -Subnetze entweder über das Standardgateway erreichbar sein oder eben über eine separate Route.

Ich frage mich aber wie du überhaupt auf die Idee kommst, mit VLANs zu arbeiten, wenn du augenscheinlich nicht damit umzugehen weißt?

 

[flo222]

Ich bin bei @Raijin . Solange Du nichts über die verwendeten Clients und deren Konfiguration schreibst, wird es schwer, Hilfestellung zu geben. Ich selbst habe das USG mit vier VLANs ebenfalls bei mir im Einsatz. Außerdem nutze ich das VPN des USG unterwegs, und ich komme problemlos bei mir auf jedes Gerät in einem der anderen VLANs. Also was für Geräte hast Du denn im Einsatz, mit denen Du Dich von außen per VPN in dein Heimnetzwerk verbinden willst? Ich hab beispielsweise VPN bei mir auf diversen iPhones und iPads laufen, da kann ich Dir gerne Hilfestellung bei der entsprechenden Einrichtung geben. Stichwort hier ist bei der Konfiguration den Haken bei „gesamten Verkehr senden“ zu aktivieren. Eine ähnliche Einstellung wird es wohl auch bei anderen Endgeräten geben.

 

[lazyland]

Hallo Raijin, hallo Flo222, danke für die Rückmeldung und für den Rüffel. Ich würde aber gerne trotzdem weitermachen, um zu lernen.

Ich wollte den Einstieg nicht übarfrachten, werde jetzt aber mein System übersichtlich zusammenstellen und dann hier einfügen.

Bis in Kürze

 

[Raijin]

Wenn man keine Erfahrung mit VLANs, Routing und Firewalls hat, sind weniger VLANs besser als mehr. Nur weil man gerne die TVs in ein extra VLAN packen möchte, die Alexxas in ein anderes VLAN und die Gäste in Familie und Fremde/Freunde Teilen will, muss das keinesfalls sinnvoll sein.

Nimm also so wenig VLANs wie möglich, aber soviel wie nötig. Einem TV kann man im Router beispielsweise auch im Hauptnetzwerk den (Internet-)Saft abdrehen, sei es im 08/15 Router oder weil man dem TV gegebenenfalls gar kein Standardgateway einstellt.

 

[lazyland]

Hier ist also die
NETZWERKSTRUKTUR
Hinweis: Passworte und Namen sind sicherheitshalber verändert.
Fehlt noch etwas? Ich könnte noch Screenshots des USG posten.


FRITZ BOX 6590 CABLE
Internet, IPv4 - IP-Adresse: xxx.xxx.xxx.xxx (zum Kabel)
Portfreigaben: alle Ports an Computer USG (Firewall ist deaktiviert)
Fritzbox Dienste: keine
DynDNS: nicht aktiv
VPN: keine Verbindungen
Diese Fritzbox: aaa.bbb.5.1
Angeschlossen: SECURITYGATEWAY aaa.bbb.5.20
Myfritz Konto: keines

Problem: Ich kann per VPN mit dem IPhone problemlos alle Geräte auf dem Admin Lan erreichen.
Vom VLAN 20 sehe ich aber nur das Gerät mit der IP ...20.1 und das ist das USG. Weitere Geräte sind auf diesem VLAN nicht erreichbar.


UNIFI SECURITY GATEWAY PRO
Es existieren diese Netzwerke / VLANS:
aaa.bbb.0.x (Admin LAN)
aaa.bbb.10.x VLAN 10
aaa.bbb.20.x VLAN 20
usw.

/SETTINGS/SERVICES/RADIUS/USERS/
Name: peter
Passwort: $passiud$
VLAN: -
Tunnel Type: 3-Layer Two Tunneling Protocol(L2TP)
Tunnel Medium Type: 1-IPv4(IP version 4)

/SETTINGS/SERVICES/RADIUS/SERVER/
Secret: $PWsecret$
Auth. Port: 1812
Account Port: 1813
Acc Interval: 3600
Tunnelled Reply: ON

/SETTINGS/SERVICES/DYNAMIC DNS/
Interface: WAN1
Service: noip
Hostname: heimnetz.ddns.net
Username: Dnsuser
Password: $passd$
Server: heimnetz.ddns.net

/SETTINGS/NETWORKS/EDIT VPNNETZ/
Name: VPNNETZ
Purpose: Remote User VPN
VPN Type: L2TP Server
Pre-Shared Key: $pskxx$
Gateway/Subnet: aaa.bbb.2.1/24
RADIUS Profile: Default


NO-IP.COM ACCOUNT
Hostname: heimnetz.ddns.net
Type: A


IPHONE CLIENT (über externe Verbindung)
Beschreibung: VPNUNIFI
Server: heimnetz.ddns.net
Account: peter
RSA-Sec…: AUS
Passwort: $passiud$
Shared Secret: $pskxx$
Gesamten Verkehr senden: EIN


MACBOOK PRO CLIENT (über externe Verbindung)
/SYSTEMEINSTELLUNGEN/NETZWERK
/NEUEN DIENST ERSTELLEN/
Anschluss: VPN
VPN-TYP: L2TP ÜBER IPSEC
Dienstname: VPN UNIFI
Konfigurtion: Standard
Serveradresse: heimnetz.ddns.net
Benutzername: peter
BENUTZER-Authentifizierung:
Benutzer Passwort: $passiud$
RECHNER-Authentifizierung:
Schlüssel „SHARED SECRET“): $pskxx$

 

[Raijin]

Dein VPN-Subnetz ist x.y.2.0/24 (private IPs zu maskieren ist übrigens unnötig). Wenn du von einem VPN-Client nun etwas in einem anderen Subnetz anpingst, kommt der Ping dort mit der Absender-IP x.y.2.z an. Damit kann das Zielgerät aber nichts anfangen, wenn es dazu keine Route kennt und ggfs sogar die lokale Firewall des Geräts Zugriffe von jenseits des eigenen Subnetzes blockiert.

- der VPN-Client muss eine Route in die jeweiligen Subnetze über das VPN-Gateway haben
---> entweder explizit oder implizit über Standardgateway=VPN-Gateway

• die Firewall im USG muss den Traffic zwischen den Subnetzen zulassen
• das Zielgerät muss eine Route ins VPN-Subnetz für die Antwort haben

---> entweder explizit als Route ins x.y.2.0/24 oder implizit über das Standardgateway
- das Zielgerät muss Zugriffe von "fremden" Subnetzen zulassen
---> bei Windows-PCs zB bei den erweiterten FW-Einstellungen, eingehende Regeln, Dienst/Port suchen, Eigenschaften, Quell-IP

 

[lazyland]

OK, ich habe jetzt ein paar Tage lang gegoogelt und versucht, mehr zu verstehen - leider ohne Erfolg. Ich habe zu wenig Erfahrung und Wissen. Ich würde es aber sehr gerne doch hinbekommen. In solchen Fällen hat es mir meistens geholfen, zu Beginn einfach mal eine Schritt für Schritt Anleitung zu befolgen, um mich dann anschließend in die Theorie zu vertiefen. Es wäre toll, wenn das auch hier möglich wäre.
Ich bräuchte eine Vorlage, welche USG-Maske konkret auszufüllen ist. Im Prinzip habe ich die Möglichkeiten des Routings einigermaßen verstanden. Leider nicht genug, um die USG Masken korrekt ausfüllen zu können.

Ob dies per "heruntersprechen" überhaupt möglich ist, weiß ich nicht. Würde mich aber sehr über Unterstützung freuen.

Welche Informationen soll ich noch bereitstellen, damit dies möglich ist? Wären hier die Screenshots vom USG hilfreich?

Ergänzung (27. Dezember 2019)

Ich habe einfach mal einige Screenshots gemacht vom USG Bereich Routing und Firewall. Vielleicht hilft das...

 

[Raijin]

Das USG braucht keinerlei Routen, da es selbst in jedem Subnetz ein Beinchen stehen hat, in den VLANs und im VPN.

Die Firewall - hier LAN IN und LAN OUT - scheint bereits alle Subnetze zuzulassen. Allerdings ist hier gleich von 8 Subnetzen die Rede. Wenn du so ein komplexes Setup aufziehst, solltest du wenigstens ein Mindestmaß an KnowHow mitbringen. 8 Subnetze zusammenbasteln und dann nicht damit klarkommen, dafür aber im Forum nachfragen, hinterlässt einen faden Beigeschmack. Im privaten Umfeld kommen im einfachsten Fall nur ein Subnetz zum Einsatz, mit Gast-Netzwerk eben zwei und dann vielleicht noch ein drittes für das Büro oder so.


In #9 habe ich eigentlich bereits alle Voraussetzungen beschrieben. Du kannst gerne konkrete Fragen dazu stellen, aber ich werde hier jetzt keine seitenlange Schritt-für-Schritt-Anleitung schreiben.....

 

[lazyland]

Sorry, wenn ich hier zu viel Initiative erwartet habe. Wenn das zu viel Aufwand bedeutet, verstehe ich das natürlich. Ich werde dann anderweitig um Hilfe bitten, weil ich nicht um dies Lösung meines Problems herum komme. Ich wollte natürlich keinen "faden Beigeschmack" erzeugen, bin mir allerdings nicht sicher, wie ich das verstehen soll.
Sollte sich doch noch jemand bereit erklären, halte ich dieses Forum noch eine Weile im Blick.

 

[Raijin]

8 Subnetze sind nun mal nix was man einrichtet, wenn man nicht weiß wie. Darum geht es mir. Ich habe auch nicht gesagt, dass ich dir nicht helfe, aber du musst selbst Initiative zeigen und sie nicht von anderen erwarten. Das hier ist ein öffentliches Forum und die Leute, die sich hier tummeln und Fragen beantworten, tun dies in ihrer Freizeit.
Bisher wirkt das ganze so als wenn man sich ein altes Auto kauft, den Motor ausbauen will, keine Ahnung hat wie man das macht und nun in einem Forum fragt...

In #9 habe ich grundsätzlich beschrieben was zu tun ist. Konkrete Fragen beantwortet die CB-Community gerne, sei es nu ich selbst oder ein anderer, aber es sprengt jeden Thread, wenn man dir jetzt runterbetet was du wo anklicken sollst. Dazu müsste man auch die Funktion der Subnetze kennen, die verwendeten Geräte, die genutzten Dienste, etc.

Also was genau verstehst du an #9 nicht? Wenn du jetzt sagst "nix", dann solltest du dich erstmal mit den Grundlagen von Netzwerktechnik auseinandersetzen bevor du 8 Subnetze routen und firewallen willst.

 

[flo222]

Ich hab es mal mit meinen Settings abgeglichen, und ich hab eigentlich nur folgende Unterscheidungen gefunden:

/SETTINGS/SERVICES/RADIUS/USERS/
Name: peter
Passwort: $passiud$
VLAN: -
Tunnel Type: 3-Layer Two Tunneling Protocol(L2TP) Keine
Tunnel Medium Type: 1-IPv4(IP version 4) Keine

Probier es mal damit ob das was bewirkt. Den Rest hab ich identisch und es funktioniert bei mir problemlos.

 

[Raijin]

@flo222 : Gesetzt den Fall bei den Clients stimmt alles

 

[lazyland]

/SETTINGS/SERVICES/RADIUS/USERS/
Name: peter
Passwort: $passiud$
VLAN: -
Tunnel Type: 3-Layer Two Tunneling Protocol(L2TP) Keine
Tunnel Medium Type: 1-IPv4(IP version 4) Keine

Hallo Flo, das habe ich bereits probiert, aber ich mache es nochmal. Allerdings kann ich vermutlich erst wieder morgen weitermachen, weil ich mich aus dem Netzzugriff durch einen blöden Befehl rausgeschossen habe (ich arbeite am Netzwerk über die UNIFI Cloud, weil ich nicht vor Ort bin. Ich melde mich, sobald ich wieder Zugriff habe. Danke für Deine Rückmeldung.

Ergänzung (28. Dezember 2019)

Das USG braucht keinerlei Routen

Das dachte ich auch. Also brauche ich im Bereich "Static Routes" nichts einzutragen. Ist das korrekt? Dann kann ich diesen Part bei meinen Überlegungen ausschließen

Die Firewall - hier LAN IN und LAN OUT - scheint bereits alle Subnetze zuzulassen.

Auch hier trage ich demnach nichts zusätzlich ein. Korrekt? Dann kann ich auch diesen Part bei meinen Überlegungen ausschließen.

Konkrete Fragen beantwortet die CB-Community gerne

Ich dachte, ich hätte bereits Initiative gezeigt durch die ausführlichen Beschreibungen und Screenshots, aus welchen man, so hoffte ich, eventuell einen Fehler entdecken kann.

Selbstverständlich möchte ich in Deinem CBS-Forum (bist du der Admin dort?) Initiative zeigen. Ich komme mir allerdings angesichts Deiner Kritiken und Zurechtweisungen eher wie ein dummer Schuljunge vor.
Vielleicht zur Info: Seit über 15 Jahren haben "Profis" unser Netzwerk gewartet und seit so vielen Jahren haben wir Probleme, die uns sehr belastet haben. Vor ca. 2 Jahren hatte ich endgültig die Nase voll und habe es selbst in die Hand genommen. Das Netzwerk (komplett UNIFI) funktioniert seitdem anstandslos. Ausfälle waren bisher keine, außer bei Unitymedia.
Täglich sind bei uns ca. 150 bis 200 User in den verschiedenen VLANs unterwegs.
Das habe ich hinbekommen - auch dank einiger Mitglieder anderer Foren, die mir zu Beginn immer wieder mal weiter geholfen haben.

Also, wenn das hilft, kann ich temporär mal alle VLANs, die nichts mit diesem Problem zu tun haben, zu deaktivieren - sollte das wirklich notwendig sein - ich glaube eher nicht.

Wir könnten uns doch auf die drei LANs Admin.00.x TELEFON.20.x und VPN.02.x konzentrieren.

Du meintest, dass es an den Clients liegen könnte. Ich hatte für IPhone und MAC die Konfiguration gepostet. Mit dem IPhone klappt die VPN Verbindung leider nur ins Admin.0.x Netz. Hier kann ich sämtliche Geräte sehen (IP Scanner).
Bei dem TELEFON.20.x Netz sehe ich aber nur die ..2.1 Adresse, also das USG selbst. Andere 20.x-Geräte lassen sich auch nicht anpingen wie z.B. die Auerswald Telefonanlage Commander6000r (192.168.20.240).

Da ich zur Zeit nur mit dem IPhone (Client) den VPN Zugang teste (Einstellungen habe ich bereits gepostet) frage ich mich (und Dich), wo denn hier noch etwas bewegen kann? Es ist doch ziemlich übersichtlich?

Oder?

 

[flo222]

Also iPhone sollte mit diesen Einstellungen passen, was anderes habe ich bei mir auch nicht eingestellt, und das geht so problemlos.

 

[lazyland]

Jetzt habe ich wieder eine Verbindung. Leider funktioniert das...

Tunnel Type: 3-Layer Two Tunneling Protocol(L2TP) Keine​

Tunnel Medium Type: 1-IPv4(IP version 4) Keine​

... auch nicht.

 

[lazyland]

Ich versuche mal, die Punkte Deiner Liste Schritt für Schritt rückzumelden. Vielleicht verstehe ich etwas falsch. Dann siehst Du, wo bei mir der Knoten ist:

Dein VPN-Subnetz ist x.y.2.0/24 (private IPs zu maskieren ist übrigens unnötig).

===> Du meinst die 255.255.255.0 ? Die könnte ich weglassen, stört aber auch nicht.​

Wenn du von einem VPN-Client nun etwas in einem anderen Subnetz anpingst, kommt der Ping dort mit der Absender-IP x.y.2.z an.
Damit kann das Zielgerät aber nichts anfangen, wenn es dazu keine Route kennt und ggfs sogar die lokale Firewall des Geräts Zugriffe von jenseits des eigenen Subnetzes blockiert.

===> Wenn ich es richtig verstanden habe, sind doch im USG alle erforderlichen Routen und Regeln (siehe Screenshots) so eingestellt, dass ich hier nichts machen muss? Ist das korrekt?​

der VPN-Client muss eine Route in die jeweiligen Subnetze über das VPN-Gateway haben
---> entweder explizit oder implizit über Standardgateway=VPN-Gateway
die Firewall im USG muss den Traffic zwischen den Subnetzen zulassen
das Zielgerät muss eine Route ins VPN-Subnetz für die Antwort haben
---> entweder explizit als Route ins x.y.2.0/24 oder implizit über das Standardgateway

===> Hier verstehe ich einen WIderspruch: Hat das USG automatisch alle Routen und Regeln freigegeben? Ich verstehe aus späteren Antworten, dass hier nichts eingetragen werden muss??​

- das Zielgerät muss Zugriffe von "fremden" Subnetzen zulassen
---> … Dienst/Port suchen, Eigenschaften, Quell-IP

===> Das Zielgerät ist unsere Auerswald6000R Telefonanlage (192.168.20.240). Ob diese Einstellungen möglich sind, kann ich erst am 3.1. herausbekommen, da ich von hier aus (entfernter Standort) nicht zugreifen kann. Ich erreiche über VPN nur die Adresse 192.168.20.1 (das USG)​

Ich hoffe, dass dies einen Schritt weiter bringt. Danke für die Unterstützung und Geduld.

 

[Raijin]

Vielleicht zur Info: Seit über 15 Jahren haben "Profis" unser Netzwerk gewartet und seit so vielen Jahren haben wir Probleme, die uns sehr belastet haben. Vor ca. 2 Jahren hatte ich endgültig die Nase voll und habe es selbst in die Hand genommen. Das Netzwerk (komplett UNIFI) funktioniert seitdem anstandslos. Ausfälle waren bisher keine, außer bei Unitymedia.
Täglich sind bei uns ca. 150 bis 200 User in den verschiedenen VLANs unterwegs.
Das habe ich hinbekommen - auch dank einiger Mitglieder anderer Foren, die mir zu Beginn immer wieder mal weiter geholfen haben.

Genau das habe ich befürchtet. Es mag sein, dass eurer bisheriger IT-Dienstleister ebenfalls keine Ahnung hatte, aber dann sucht euch einen neuen. Ohne dir auf den Schlips treten zu wollen, fehlen dir offenbar ebenfalls essentielle Kenntnisse zur Verwaltung eines Netzwerks. Bei einem Unternehmen, welches offensichtlich 150 bis 200 User / Mitarbeiter hat, ist es grob fahrlässig, das Netzwerk ohne einen Administrator mit dem notwendigen Background zu betreiben. IP-Adressen, Subnetze, Routing, Firewall, das sind Themen, die im 1./2. Semester meines Studiums auf dem Plan standen, also absolutes Basiswissen.

Ich habe leider öfter als es mir lieb ist mit "IT-Administratoren" bei unserern Kunden zu tun, die vermutlich einen ähnlichen Background haben wie du. Bei dem was ich da teilweise erlebe stehen einem die Nackenhaare zu Berge.. IT-Administration hat nichts mit dem heimischen 08/15 Netzwerk mit Fritzbox und Co zu tun. Sowas bildet vielleicht 5% des Themas ab und wer die anderen 95% nicht kennt, kann ein Firmennetzwerk gar nicht verwalten. Ich kann dich nur davor warnen, was ihr da veranstaltet. Wenn in irgendeiner Form Kundendaten beteiligt sind, die nicht adäquat gesichert sind, spielt ihr mit dem Feuer.

Leider tauchen solche Threads hier aber immer häufiger auf, weil die IT das erste ist woran gespart wird. Wozu einen IT-Admin/Dienstleider, wenn man auch jemanden in der Firma hat, der Drucker einrichten kann? (überspitzt formuliert)


Abgesehen davon möchte ich nochmal explizit auf den Titel dieses Forums hinweisen:

Heimnetzwerke und Internethardware

Dein VPN-Subnetz ist x.y.2.0/24 (private IPs zu maskieren ist übrigens unnötig).

===> Du meinst die 255.255.255.0 ? Die könnte ich weglassen, stört aber auch nicht.​

Die Angabe x.y.2.0/24 beinhaltet bereits die Subnetzmaske, also konnte ich das ja wohl kaum meinen, oder? Ich und niemand sonst kann mit deinen privaten IP-Adressen etwas anfangen, wenn man deine öffentliche IP nicht kennt oder gar physischen Zugriff auf dein Netzwerk hat. Eine private IP ist so als wenn ich dir jetzt sage, dass in meiner Küche im Brotkasten 5000€ liegen - kannst du sie mir nu klauen? Eher nicht, weil du gar nicht weißt wo meine Küche ist

Wenn du von einem VPN-Client nun etwas in einem anderen Subnetz anpingst, kommt der Ping dort mit der Absender-IP x.y.2.z an.
Damit kann das Zielgerät aber nichts anfangen, wenn es dazu keine Route kennt und ggfs sogar die lokale Firewall des Geräts Zugriffe von jenseits des eigenen Subnetzes blockiert.

===> Wenn ich es richtig verstanden habe, sind doch im USG alle erforderlichen Routen und Regeln (siehe Screenshots) so eingestellt, dass ich hier nichts machen muss? Ist das korrekt?​

Nein, das hast du nicht richtig verstanden. Das USG ist als Router lediglich der Weichensteller. Dennoch muss das Ziel die eingehenden Pakete akzeptieren (=eingehende Firewallregeln), sie verarbeiten und eine Antwort formulieren (=der jeweilige Dienst, zB ICMP-Echo-Request), das Ziel der Antwort in der Routing-Tabelle suchen, die Firewall fragen ob die Antwort gesehendet werden darf und anschließend die Antwort senden oder eben nicht.

Die Windows-Firewall blockiert beispielsweise in der Standardeinstellung ALLE eingehenden Pakete, die nicht aus einem der eigenen lokalen Subnetze kommen, in der Regel ja nur das eine, mit dem Windows selbst verbunden ist. Man muss der Windows-Firewall explizit sagen, dass Pakete aus Subnetz xy ebenfalls erlaubt sind.

der VPN-Client muss eine Route in die jeweiligen Subnetze über das VPN-Gateway haben
---> entweder explizit oder implizit über Standardgateway=VPN-Gateway
die Firewall im USG muss den Traffic zwischen den Subnetzen zulassen
das Zielgerät muss eine Route ins VPN-Subnetz für die Antwort haben
---> entweder explizit als Route ins x.y.2.0/24 oder implizit über das Standardgateway

===> Hier verstehe ich einen WIderspruch: Hat das USG automatisch alle Routen und Regeln freigegeben? Ich verstehe aus späteren Antworten, dass hier nichts eingetragen werden muss??​

Schon wieder falsch. Routing ist, auch wenn es der Begriff des "Routers" impliziert, nichts was auschließlich im Router stattfindet. JEDES Gerät mit Netzwerkverbindungen routet, auch wenn es sich dabei in 99,9% aller Fälle stets nur um das Standardgateway handelt. Wenn das USG selbst das VPN-Gateway ist und alle beteiligten Geräte das USG in ihrem jeweiligen VLAN als Standard-Gateway haben, muss an den übrigen Netzwerkteilnehmern allerdings nichts gemacht werden, da wie im zitierten Teil die Route ins VPN-Subnetz über das Standardgateway abgewickelt wird.

- das Zielgerät muss Zugriffe von "fremden" Subnetzen zulassen
---> … Dienst/Port suchen, Eigenschaften, Quell-IP

===> Das Zielgerät ist unsere Auerswald6000R Telefonanlage (192.168.20.240). Ob diese Einstellungen möglich sind, kann ich erst am 3.1. herausbekommen, da ich von hier aus (entfernter Standort) nicht zugreifen kann. Ich erreiche über VPN nur die Adresse 192.168.20.1 (das USG)​

​

Das kann ich natürlich auch nicht beurteilen. "Dumme" Geräte haben oftmals keinerlei Sicherheitsmechanismen in Form einer Firewall, die "fremde" Absende-IPs blockt (wie oben beschrieben). Wie es bei der Telefonanlage aussieht, weiß ich nicht. Im worst case kann man im USG allerdings mit SNAT arbeiten und so den "fremden Absender" maskieren, ähnlich wie es in Richtung Internet gemacht wird.

Ich komme mir allerdings angesichts Deiner Kritiken und Zurechtweisungen eher wie ein dummer Schuljunge vor.

Es tut mir leid, wenn du dich angegriffen fühlst. Ich meine es nicht böse, aber alles was ich in diesem Beitrag beschrieben habe, ist absolutes Grundwissen. Das lernt jeder IT-Admin im ersten Jahr - sei es in der Ausbildung oder Studium. Außerdem steht das auch in jedem 10€-Buch über Netzwerke. Kannst du dir jetzt vielleicht vorstellen, was ich für Bauchschmerzen bekomme, wenn du ein Firmennetzwerk mit 150+ Nutzern betreust und diese Fragen stellst?

Du kommst dir vielleicht "wie ein dummer Schuljunge vor", weil dir eben genau dieses Basiswissen fehlt............