App-Zugriff von WLAN (DTAG) über bintec VPN zu Server

Dieses Thema im Forum "Bintec" wurde erstellt von Proto2004, 8. Januar 2018.

  1. Proto2004

    Proto2004 Gelegenheits-User

    Registriert seit:
    17. Oktober 2016
    Beiträge:
    10
    Punkte für Erfolge:
    1
    Liebes Forum,

    da ich beim letzten Mal viel hilfreiche Unterstützung von Euch erhalten habe, komme ich pünktlich zum Jahresbeginn mit einer neuen technischen Herausforderung an :)

    Zum Sachverhalt:

    Ich habe eine Digitalisierungsbox Premium, welche das Internet im Home-Office bereitstellt. An dieser DigiBox hängt ein bintec R1202 welcher einen dauerhaften VPN zum Hauptrouter (bintec RXL12100) in der Zentrale aufbaut. Aktuell ist es so, dass ein Laptop per LAN (!) über diesen VPN und per Remotedesktop auf die entsprechende Rechner in der Zentrale zugreift. Das funktioniert alles perfekt. Das LAN, welches im hier im Office betrieben wird, ist also das lokale Netzwerk der Firma. Dort sind mehrere Laptops (für RDP- Anwendungen) und kabelgebundene Drucker aktiv. Alle Clients (auch die Drucker) besitzen auf beiden Seiten statische IPs, das muss natürlich so bleiben.

    Also das Szenario: (lokales LAN 101.101.20.XXX) --- bintec R1202 --- DigiBox Premium --- INTERNET --- Fritzbox --- bintec RXL12100 --- (entferntes LAN 101.101.21.XXX) läuft.

    Nun haben wir für die Mobilgeräte wie v.a. Smartphones und Tablets das WLAN der DigiBox aktiviert, so dass man per WLAN diese Geräte nutzen kann ohne teure Providergebühren für mobile Internetzugänge zu verursachen- geschäftliche Anwendungen waren bisher hier nicht geplant, daher reichte diese Lösung bisher auch aus.

    Und dieses Szenario: (lokales WLAN 192.168.22.XXX) --- DigiBox Premium --- INTERNET läuft auch.

    Auch innerhalb des WLANs sind ausschließlich statische IPs aktiv, DHCP gibt es nirgends bei uns.

    Nun soll sich hier etwas ändern. Es soll möglich sein dass über das vorhandene WLAN (von der DigiBox "kommend") bestimmte Endgeräte (Smartphones, Tablets) Zugriff auf einen Server in der Zentrale haben. Die Lösung ein zweites WLAN (SSID) einzurichten, wollen wir nicht, es soll also über das bereits bestehende WLAN möglich sein.

    An dieser Stelle haben leider viele Versuche versagt, so dass ich eure Unterstützung bräuchte. Insbesondere brauche ich die folgenden Infos:

    1) Welche Weiterleitungseinstellungen muss ich eventuell an der DigiBox vornehmen, dass Anfragen aus dem WLAN an eine bestimmte IP z.B. 101.101.21.200 überhaupt beim R1202 ankommen? :mad:
    2) Wie bekomme ich es hin, dass dies nur für bestimmte Quell-IPs der Fall ist? z.B. nur die Smartphones mit IP 192.168.22.201 und .208 sollen dort hin kommen? Für alle anderen muss der Server weiterhin unerreichbar bleiben!
    3) Welche Einstellungen muss ich am R1202 vornehmen, dass diese Anfragen über den VPN dann an die Adresse 101.101.21.200 weitergeleitet werden?

    Für eure Hilfe vielen Dank :up::up::up::up::up::up::up:
     
  2. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.536
    Punkte für Erfolge:
    160
    #2 CapFloor, 8. Januar 2018
    Zuletzt bearbeitet: 8. Januar 2018
    Hi,
    um das ordentlich zu lösen, muss ein Transfernetz zwischen dem R1202 und der Digibox eingerichtet werden. Da du nicht schreibst, ob du das vielleicht schon getan hast, gehe ich davon aus, dass du es noch nicht getan hast ;)...

    Einrichten Transfernetz:
    1. Der R1202 hat ein eigenes LAN-Subnetz, z.B. 192.168.1.0/24.
    2. Die Digibox hat ein eigenes LAN-Subnetz, z.B 192.168.2.0/24.
    3. Die Digibox stellt den Internetzugang.
    4. Auf der Verbindung zwischen R1202 und Digibox wird ein Transfernetz mit zwei Geräten definiert: R1202 mit IP 10.10.10.1/32 und Digibox mit IP 10.10.10.2/32.
    5. Die Default-Route im R1202 ist eine "Standardroute über Gateway" und der Gateway ist 10.10.10.2.
    6. In der Digibox wird eine Netzwerkroute eingerichtet mit Netzwerk: 192.168.1.0/24, Gateway: 10.10.10.1
    Damit ist der Internetzugang des R1202 auf das Transfernetz umgestellt. Die VPN-Verbindung sollte unverändert funktioniert, glaube ich:rolleyes::).

    Für den Zugriff von allen Clients aus dem LAN-Subnetz der Digibox auf das LAN-Subnetz des RXL12100 hinter dem Remote Peer:

    1. Der RXL12100 hat ein eigenes LAN-Subnetz, z.B. 192.168.3.0/24.
    2. Die Digibox bekommt eine Netzwerk-Route mit Netzwerk: 192.168.3.0/24, Gateway 10.10.10.2.
    3. Der Remote Peer im RXL12100 bekommt in der Peer-Konfiguration eine zusätzliche Route 192.168.1.0, Maske 255.255.255.0.
    Damit sollten alle Clients im LAN-Segment der Digibox auf das Remote LAN-Segment des RXL12100 zugreifen können, glaube ich:rolleyes::).

    Wenn du soweit bist, dann kann man in der Digibox die Netzwerkroute für das 192.168.3.0/24 Netz löschen und durch "erweiterte Netzwerkrouten" für das Netz 192.168.3.0/24 ersetzen, die nach den IP-Adressen der Client aus dem LAN-Segment der Digibox filtern. Das schränkt dann entsprechend die Verbindung zum Remoe LAN-Segment des RXL12100 auf bestimmte Clients ein.

    Noch ein grundsätzlicher Hinweis: Du solltest diese Konfiguration vollständig verstanden haben, bevor du versucht, sie umzusetzen. Stelle lieber vorher Fragen, falls was unklar ist, als nach einer misslungenen Umstellung nach dem Problem zu suchen...NAch meiner Erfahrung versteht man Netzwerk-Konfigurationen am besten dadurch, dass man ein (Ziel-)Bild mit allen relevanten Konfig-Informationen erstellt. Ich empfehle dir, genau das zu tun. Nicht nur, dass du dann eine ordentliche Dokumentation deiner Netzwerk-Topologie hast, es ist auch für uns leichter, etwaige Verständnisfehler (oder meine eigenen Denkfehler:eek:) im Vorfeld zu erkennen. Dadurch steigt die Chance einer erfolgreichen Umsetzung erheblich ;).

    VG

    PS: Keine Ahnung, warum du bisher öffentliche IP-Adressen für deine LAN-Segmente verwendest. Das kann zu erheblichen Problemen führen...