KNightRida
Anmeldungsdatum: 30. August 2018
Beiträge: Zähle...
|
Hallo! Gleich für meinen ersten Post habe ich ein etwas komplexeres Problem. Aktuell habe ich 2 Netzwerke über 2 FritzBoxen verbunden (sogenannte LAN-LAN Kopplung). Der genaue Mechanismus, welchen AVM hier verwendet ist mir nicht bekannt außer dass es 2 statische Routen gibt und das ganze über reines IPSec (keine IKEv2) läuft. Eine FritzBox muss wohl als Server fungieren, die andere als Client. Parallel dazu habe ich auf einem Rechner (natürlich Ubuntu) einen OpenVPN-Server laufen. Ich hatte mal ein Setup via StrongSwan (IKEv2) versucht, komme mit der Konfiguration jedoch nicht klar, sodass ich bei OpenVPN blieb. Der OpenVPN-Server soll auch weiterhin für mobile Geräte bestehen bleiben. Was ich nun tun möchte ist die FritzBox aus dem Netzwerk zu nehmen. Stattdessen soll der Ubuntu-Rechner um einen IPSec-Service erweitert werden, welcher die LAN-LAN Kopplung übernimmt. Hat von euch jemand eine Idee, wie dies zu realisieren ist? Natürlich wäre es nicht schlecht zu wissen, wie die VPN-Konfiguration in den FritzBoxen hierzu aussieht. Leider gibt es den telnet-Zugang zur FritzBox aber nicht mehr. Gruß
|
raptor2101
Anmeldungsdatum: 8. Juni 2009
Beiträge: 1249
Wohnort: Stuttgart, Deutschland
|
was ist denn nun deine Frage? Kann man mit Ubuntu eine IPSec Verbindung aufmachen? Ja (StrongSWAN und OpenSWAN sind in den Repos) Brauchst du Hilfe bei der Konfiguration? Bei der Anbindung der Fritzbox einfach mal bei AVM nachfragen (vorher mal bei dehnen lesen) die sind bei solchen Fragen immer sehr hilfsbereit. (welche konfig die intern wie setzten)
|
KNightRida
(Themenstarter)
Anmeldungsdatum: 30. August 2018
Beiträge: 7
|
Nunja ob AVM bei solch einer technischen Frage weiterhelfen möchte, noch dazu wo es ja darum geht eine FritzBox aus dem System zu nehmen? Die Frage ist ganz einfach: Welche Konfigurationen muss ich auf meinem Ubuntu-Server vornehmen, damit eine LAN-LAN Kopplung mit einer FritzBox als Gegenstelle möglich wird?
Eine Idee wäre den Ubuntu-Rechner als vpnc-client mit der FritzBox zu verbinden und mit iptables MASQUERADE, ipv4-forwarding und statischen Routen zu arbeiten. Ich glaube aber nicht, dass die LAN-LAN Kopplung so funktioniert. Irgendwelche Ideen? Hat Strongswan vielleicht neben der typischen client-server Topologie einen Mechanismus zur direkten Koppelung?
|
raptor2101
Anmeldungsdatum: 8. Juni 2009
Beiträge: 1249
Wohnort: Stuttgart, Deutschland
|
Wenn du eine echte LAN LAN Komplung machen willst, brauchst du Masquarade eigentlich nicht. StrongSWAN oder OpenSWAN sollten reichen. Warum sollte AVM nicht helfen. Verkauft haben sie die Büchsen ja und die sind um ihren guten Ruf bemüht... Ganze ohne deren Hilfe wird es nicht gehen. Eine VPN Brücke habe ich mit StrongSWAN und OpenSWAN schon gemacht (IPSEC/L2TP). Wie man zu einer FritzBox koppelt hab ich noch nicht ergründet. Ich nutzt die Büchsen nur als "Modem/TK Anlage"
|
KNightRida
(Themenstarter)
Anmeldungsdatum: 30. August 2018
Beiträge: 7
|
Danke dir!
Ich habe mal eine Anfrage an AVM geschickt, mal sehen ob und was zurück kommt. Weshalb eine Maskierung in diesem Falle nicht erforderlich sein sollte erschließt sich mir aber noch nicht so ganz, denn der Ubuntu-Server ist kein Router, sondern Client im lokalen IP-Netzwerk.
|
raptor2101
Anmeldungsdatum: 8. Juni 2009
Beiträge: 1249
Wohnort: Stuttgart, Deutschland
|
KNightRida schrieb: Danke dir!
Ich habe mal eine Anfrage an AVM geschickt, mal sehen ob und was zurück kommt. Weshalb eine Maskierung in diesem Falle nicht erforderlich sein sollte erschließt sich mir aber noch nicht so ganz, denn der Ubuntu-Server ist kein Router, sondern Client im lokalen IP-Netzwerk.
Das ist aber eine Sache die man in 5min ändern kann. In deinem default Router einfach eine statische Route hinterlegen und diese wird "indirekt" an jeden Client announced. So sparst du dir das NAT Traversal und kannst in allen Netzen alle Clients identifizieren.
|
KNightRida
(Themenstarter)
Anmeldungsdatum: 30. August 2018
Beiträge: 7
|
Die statische Route sowie ipv4 forwarding braucht man doch immer?!
Iptables natürlich nur dann, wenn installiert?
|
raptor2101
Anmeldungsdatum: 8. Juni 2009
Beiträge: 1249
Wohnort: Stuttgart, Deutschland
|
KNightRida schrieb: Die statische Route sowie ipv4 forwarding braucht man doch immer?!
Iptables natürlich nur dann, wenn installiert?
du bringst hier Sachen durcheinander. Du hast in deinem Netz ein "Default Router" und du wirst jetzt dein Ubuntu Server nutzen, dass der den IP Sec Tunnel aufbaut?
Falls dem so ist, musst du dem "Default Router" eine Statische Router verpassen und ihm mitteilen wie er das entfernte Netz erreicht. Ein Client fragt nun erst mal den "Default Router" an, dieser Teilt dem Client "höfflich" mit, dass er das Netz über den Ubuntu Server erreichen kann, und er sich das nächste mal doch bitte dort meldet. wenn du einen Einfachen Tunnel ohne NAT/Maskierung macht, braucht du imho nicht zwingend IPTables (achtung das dürfte bei ubuntu 18.04 nftables sein)
|
KNightRida
(Themenstarter)
Anmeldungsdatum: 30. August 2018
Beiträge: 7
|
Hmmm muss ich mal ausprobieren auf Ubuntu ip/nftables zu deinstallieren. In Grunde brauche ich das auf einem Netzwerk-Client nicht. Aktuell ist das so eingerichtet, damit die VPN-Clients auch ins lokale Netz können und umgekehrt. Wegen der LAN-LAN-Kopplung melde ich mich sobald AVM reagiert hat. Danke übrigens für dein Engagement!
|
raptor2101
Anmeldungsdatum: 8. Juni 2009
Beiträge: 1249
Wohnort: Stuttgart, Deutschland
|
KNightRida schrieb: Hmmm muss ich mal ausprobieren auf Ubuntu ip/nftables zu deinstallieren. In Grunde brauche ich das auf einem Netzwerk-Client nicht. Aktuell ist das so eingerichtet, damit die VPN-Clients auch ins lokale Netz können und umgekehrt. Wegen der LAN-LAN-Kopplung melde ich mich sobald AVM reagiert hat. Danke übrigens für dein Engagement!
Ähm nf/iptables sind nur das userspace Programm mit dem du den Kernel konfigurieren kannst. Die Funktion selber liegt im Kernel. Anders formuliert: du willst das nicht deinstallieren... 😉
|
KNightRida
(Themenstarter)
Anmeldungsdatum: 30. August 2018
Beiträge: 7
|
Die Antwort vom AVM Support kam gerade. Man könne auch keine andere Anleitung zur Verfügung stellen als diese hier:
https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publication/show/3331_FRITZ-Box-mit-einem-Firmen-VPN-verbinden Problem ist eben nur, dass es ein one-way-game ist! Es ist eine client-server topologie.
|
raptor2101
Anmeldungsdatum: 8. Juni 2009
Beiträge: 1249
Wohnort: Stuttgart, Deutschland
|
Ich versteh nicht was du mit ClientServer meinst. Das schaut zu mindestens so aus, als ob das funktionieren könnte. Sobald die Verbindung hergestellt ist, kann man darüber beliebigen Traffic leiten. Ich kann nur nicht rauslesen ob die Fritzbox den VPN Host oder Client macht
|
KNightRida
(Themenstarter)
Anmeldungsdatum: 30. August 2018
Beiträge: 7
|
Hallo nochmals, nach einigem Hängen und würgen habe ich es hinbekommen die config aus einer der beiden FritzBoxen auszulesen (die Config ist bei beiden Boxen identisch). Jede der beiden Boxen ist in der Lage zur jeweils anderen die Verbindung aufzubauen, ist wohl so gedacht für den Fall dass eine davon keine öffentlich IPv4-Adresse hat. Es gilt jetzt sozusagen dasselbe auf einem RaspberryPi zu implementieren mit dem kleinen aber feinen Unterschied, dass der Raspberry kein Router ist: vpncfg {
vpncfg_version = 1;
connections {
enabled = yes;
editable = yes;
conn_type = conntype_lan;
name = "DynDNS-Hostname der entfernten Box";
boxuser_id = 0;
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "DynDNS-Hostname der entfernten Box";
keepalive_ip = 192.168.0.1; #<- IP-Netz der entfernten Box
remoteid {
fqdn = "DNS-Hostname der entfernten Box";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "Shared-Secret";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.178.0; # <- IP-Netz der lokalen Box
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.0.0; # <- IP-Netz der entfernten Box
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.0.0 255.255.255.0"; <- IP-Netz der entfernten Box
app_id = 0;
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
} Kann man damit etwas anfangen?
|
raptor2101
Anmeldungsdatum: 8. Juni 2009
Beiträge: 1249
Wohnort: Stuttgart, Deutschland
|
Wenn ich richtig informiert bin, baut AVM die implementioerung ja nichjt selbst. Das wird (hoffentlich) eine offene Implementierung sein. Die Config sieht nach racoon aus... das gibt es auch unter Ubuntu. einfach mal ausprobieren
|