Gelöst Fritzbox mit Strongswan client (Split Tunnel)

Dieses Thema im Forum "AVM (Fritz)" wurde erstellt von thica, 13. Januar 2019.

  1. thica

    thica Starter

    Registriert seit:
    13. Januar 2019
    Beiträge:
    3
    Punkte für Erfolge:
    1
    #1 thica, 13. Januar 2019
    Zuletzt bearbeitet: 13. Januar 2019
    Hallo, ich habe folgende Herausforderung.

    Ich möchte einen Ubuntu Client (Cloud Server) mittel VPN in das lokale Netzwerk hinter der Fritz Box bringen (Klassischer Remote Access) . Dabei dürfen werden die Applikation auf dem Ubuntu Client "nicht merken" , das sie nicht im lokalen Fritzbox Netz hängen, als auch die Geräte im Fritzbox LAN dürfen nicht "merken" , das der Zugriff auf Sie nicht aus dem lokalen Frizbox Netzwerk kommt. Was auf der Cloud-Seite vor dem Cloud Server hängt ist nicht bekannt , aber NAT scheint im Spiel zu sein

    Was funktioniert ist das Routing in das Fritzbox LAN unter beibehalten der lokalen IP auf dem Cloud Server

    Fritzbox.Lan - Fritzbox INet <-> CloudServer Lan:
    192.168.1.x - Public IP (176.xxx.xxx.xxx) Local IP (116.xxx.xxx.xxx)

    Ich kann also vom Cloud Server zb 192.168.1.150 anpingen. Eingerichtet auf dem Ubuntu Client habe ich StrongSwan und auf der Fritzbox eine VPN Config Datei.

    Ich brauche aber was anderes:

    Fritzbox.Lan - Fritzbox INet <-> CloudServer Lan:
    Fritzbox.Lan - Fritzbox INet <-> CloudServer Lan:
    192.168.1.x - Public IP (176.xxx.xxx.xxx) Local IP (192.168.1.242)

    Wobei die 192.168.1.242 vom VPN vergeben (Dynamisch oder statisch) werden muss, da ich die 116.xxx.xxx.xxx nicht statisch ändern möchte. (Dann kann ich ggf den Client nicht mehr erreichen)

    Jede Hilfe ist willkommen.

    Anbei die Fritzbox VPN CFG Datei

    vpncfg {
    connections {
    enabled = yes;
    conn_type = conntype_lan;
    name = "CONNECTIONNAME";
    always_renew = no;
    reject_not_encrypted = no;
    dont_filter_netbios = yes;
    localip = 0.0.0.0;
    local_virtualip = 0.0.0.0;
    remoteip = 116.203.56.62;

    remote_virtualip = 0.0.0.0;
    localid {
    fqdn = "x.dnshome.de";
    }
    remoteid {
    ipaddr = 116.x.x.x;
    }
    mode = phase1_mode_idp;
    phase1ss = "all/all/all";
    keytype = connkeytype_pre_shared;
    key = "GetNiemandenwasan";
    cert_do_server_auth = no;
    use_nat_t = yes;
    use_xauth = no;
    use_cfgmode = no;
    phase2localid {
    ipnet {
    ipaddr = 192.168.1.0;
    mask = 255.255.255.0;
    }
    }
    phase2remoteid {
    ipnet {
    ipaddr = 116.0.0.0;
    mask = 255.0.0.0;
    }
    }
    phase2ss = "esp-all-all/ah-none/comp-all/pfs";
    accesslist = "permit ip any 116.0.0.0 255.0.0.0";
    }
    ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
    "udp 0.0.0.0:4500 0.0.0.0:4500";
    }


    // EOF


    ipsec-conf

    version 2.0
    #
    config setup
    #

    conn myname
    # PSK Authentifizierung
    authby=secret
    # nur Responder
    auto=start
    # our endpoint
    left=xxxxxxx.clients.your-server.de
    leftsubnet=116.xxx.xxx.0/24
    # remote endpoint
    right=xxxxxxxx.dnshome.de
    rightid=@xxxxxxxx.dnshome.de
    rightsubnet=192.168.1.0/24
    # IKE parameters for FRITZ!Box
    ike=aes256-sha-modp1024
    esp=aes256-sha1-modp1024
     
  2. shirocco88

    shirocco88 Routinier

    Registriert seit:
    28. Dezember 2017
    Beiträge:
    102
    Punkte für Erfolge:
    18
    Vorschlag: "road-warrior"/"User Dial-In" VPN-Configuration bei Strongswan bzw. Fritzbox konfigurieren;
    Details siehe hier
     
  3. thica

    thica Starter

    Registriert seit:
    13. Januar 2019
    Beiträge:
    3
    Punkte für Erfolge:
    1
    Hallo, vielen Dank für die Antwort. Habe inzwischen weiter recherchiert. Für meine Anforderung benötige ich eine Layer2 Bridge, das beherrscht die FritzBox nicht. GGf muss ich OpenVpn arbeiten
     
  4. shirocco88

    shirocco88 Routinier

    Registriert seit:
    28. Dezember 2017
    Beiträge:
    102
    Punkte für Erfolge:
    18
    nur der Vollständigkeit bzw. Nachvollziehbarkeit, welche Applikation erfordert Layer2-Bridging ?
    welches Netzwerk (public ?, private ?) willst Du über 2 Standorte spannen ?
    abhängig von diesen Antworten ergibt sich, ob ein Wechsel von IPsec-VPN nach OpenVPN plausibel ist.
     
  5. thica

    thica Starter

    Registriert seit:
    13. Januar 2019
    Beiträge:
    3
    Punkte für Erfolge:
    1
    Hallo, der Remote client muss broadcasts in das LAN hinter der Fritzbox senden lönnen (UDP Discovery auf '239.255.255.250' Multicast). Geht mit IPSEC afaik nicht.
     
  6. shirocco88

    shirocco88 Routinier

    Registriert seit:
    28. Dezember 2017
    Beiträge:
    102
    Punkte für Erfolge:
    18
    #6 shirocco88, 17. Januar 2019
    Zuletzt bearbeitet: 17. Januar 2019
    das ist ein "heißes" Design, am Besten noch Multicasts to 239.255.255.250:1900 und bei der Fritzbox das UPnP Protocoll freischalten; d.h. UPnP SSDP discovery ;)
    das öffnet neue Einsatzbereiche von Fernsteuerung des Portforwardings bis hin zu Reverse-Proxy-Applikationen, inkl. Reduzierung des Netzwerk-Securitylevels.:)