Hallo Forumsuser,
ich bin neu in diesem Forum und wende mich an euch, weil ich ein Problem habe an dem ich mir schon mehrere Tage die Zähne ausbeiße.
Zur Ausgangssituation:
Ich betreibe einen virtuellen Webserver auf dem unter anderem strongswan installiert ist.
Zwischen diesem Server und meiner Fritzbox zu Hause besteht ein permanenter VPN-Tunnel, der auch nach dem Reconnect erfolgreich wieder aufgebaut wird.
Zusätzlich können sich Roadwarrior-Clients mit Zertifikat(ikev2) auf dem Webserver einwählen. Dies ist mir wichtig, weil ich ein Tablet (und demnächst auch ein Handy) habe auf dem ich keine weiteren VPN-Clients installieren kann.
Die Kommunikation zwischen Heimnetz (192.168.111.0/24) und VPN-Netz (192.168.123.0/24) klappt wunderbar. Sowohl der Roadwarrior (z.B. 192.168.123.1) ist aus dem Heimnetz erreichbar als auch die Fritzbox (192.168.111.1) vom Roadwarrior aus.
VPN-Clients (Roadwarrior) senden per Default den kompletten Traffic über VPN-Tunnel & IPV4-Routing ist aktiviert.
Das folgende Bild soll den Aufbau veranschaulichen:
Dieses Makro ist nicht verfügbar
Die Zielsetzung:
Roadwarrior-Clients sollen über die Fritzbox ins Internet gehen.
Das Problem:
Der Webserver hat eine feste IP im Internet und routet per default alles über diese IP. Wenn ich z.B. Masquerading auf dem Webserver aktiviere, taucht diese IP bzw. der zugehörige FQDN als Absender meiner Webanfragen auf und das möchte ich nicht.
Das händische Ändern der Default-Route auf einem Roadwarrior (Fritzbox als Standard-Gateway) funktioniert nicht. DNS-Anfragen der VPN-Clients werden von der Fritzbox beantwortet (DNS-Eintrag wird vom VPN gesetzt) aber das Routing will nicht funktionieren.
Der Webserver behandelt die eingehenden Roadwarrior-Internet-Anfragen einfach nicht richtig. Optimal wäre eine zweite routing-Tabelle auf dem Webserver, die per default alle eingehenden Verbindungen der Roadwarrior an die Fritzbox weiter leitet.
Ich habe auf Basis des Artikels Multiple Uplink Routing schon ein wenig mit mit einer weiteren routing-Tabelle getestet. Es hat aber bisher nicht funktioniert und ich möchte auch nicht aus Versehen meinen Webserver kaputt spielen.
Könnt ihr mir Tipps geben, wie ich das Problem lösen kann? Ich würde mich über jeglichen Input sehr freuen.
Grüße Dynomuc