VPN local LAN <-> remote LAN met een specialleke

[freakske_b]

Hoi

Ik zou graag 2 sites remote verbinden d.m.v. een VPN verbinding tussen 2 AVM Fritz 7360 toestellen. De standaard werkwijze lijkt me straight forward, zie
http://en.avm.de/service/vpn/guides-che ... o-networks/ maar ik wil een specialleke.

Bij ISP1 local site is verkeer naar bepaalde adressen NIET toegestaan, en bij ISP2 remote site is dat WEL toegestaan. Standaard wordt alle verkeer dat niet voor de ip range van de remote VPN site bedoelt is, gewoon via ISP1 afgehandeld.

Wat ik wil bekomen is dat de adressen/ip ranges die via ISP1 local site niet bereikbaar zijn, wel bereikbaar worden via ISP2 remote site.

Hoe bekom ik dat?

Ik wil dit oplossen zonder op elk toestel in het local netwerk een vpn-client te moeten installeren.

Tips?

[Fatsie]

Geen enkele ervaring met Fritz!Box, maar het lijkt me dat je 'gewoon' de nodige ranges naar je router op locatie 2 moet verwijzen, zodat ze in de tunnel duiken en dan op locatie 2 naar het internet kunnen geNAT worden.

[fryelectro]

Volgens mij niet mogelijk met de beperkte mogelijkheden van de fritz box firmware. Ik heb hier een site2site tunnel lopen en dat werkt perfect maar dient dus enkel om verkeer mogelijk te maken tussen beide sites. Je kan geen routering instellen om bepaalde public IP's/ranges of whatever via die tunnel naar de andere site te routeren.

Je kan wel statische routes instellen (Home Network -> Network -> Network Settings -> Static Routing Table -> IPv4 Routes -> New IPv4 Route) maar dan heb je een gateway nodig. In geavanceerdere firewalls kan je als gateway ook een vpn tunnel meegeven (tunnel interface etc) maar in dit geval moet je een IP meegeven als gateway.

Hopelijk maakt dit je iets wijzer

[Fatsie]

En als je als GW IP voor die ranges de interne interface v/d fritz op lokatie 2 opgeeft, gaat het verkeer dan niet in de tunnel duiken (wederom geen ervaring met Fritz) ? De return route zou wel eens lastiger kunnen worden, ...

[fryelectro]

Wel daar had ik ook aan gedacht, worth to try... echter een gateway ligt in hetzelfde subnet als de client en gezien de fritz.box aan de andere zijde in een ander subnet gaat liggen vrees ik dat dit niet kan werken...

de return route is geen probleem want destination addr is gewoon het ip van de client in de andere site en dat wordt dus gecovered via de site2site tunnel.

[Fatsie]

Ahja, juist, ik dacht even dat NAT (op lokatie 2) het source adres ging aanpassen naar het interne adres van Fritz2 omdat deze optreed als GW .... massive brainfart !

Ik zou het toch eens proberen, de GW ligt dan inderdaad buiten het eigen subnet wat zeker 'raar' is maar afhankelijk van de code in die Fritz'en zou het kunnen werken.

[philippe_d]

Je kan wel statische routes instellen (Home Network -> Network -> Network Settings -> Static Routing Table -> IPv4 Routes -> New IPv4 Route) maar dan heb je een gateway nodig. In geavanceerdere firewalls kan je als gateway ook een vpn tunnel meegeven (tunnel interface etc) maar in dit geval moet je een IP meegeven als gateway.

Ik denk dat die static routes bedoeld zijn om verschillende subnets te gebruiken op je LAN, die internet via de FritzBox moeten krijgen. Niet om traffiek te routeren naar 2 verschillende gateways?

Maar je zou het eens kunnen proberen:
Gewoon als gateway het IP adres van de remote FritzBox. Dan zou het verkeer automatisch door de tunnel moeten?

Ik wil dit oplossen zonder op elk toestel in het local netwerk een vpn-client te moeten installeren.

Maar misschien wel door op elk toestel in het local netwerk een routing tabel te maken, die deze sites via gateway 2 sturen ...

[EDIT]
Net getest, maar de FritzBix aanvaardt geen IPv4 adres voor de gateway buiten het eigen subnet (ook niet het IP uit de range van de vpn tunnel)

[Fatsie]

Kan je met Fritz een VPN op basis van 'LAN Extention' opzetten ? Dan zou je eventueel een 3de subnet kunnen opzetten waar beide Fritz'en met een interface inhangen ? Zal prolly iets te advanced zijn voor een prosumer CPE, ...

Fritz1.internal: 10.0.1.1/24
Fritz1.routing: 10.0.255.1/24
|
<VPN - LAN Extention op Layer2>
|
Fritz2.routing: 10.0.255.2/24
Fritz2.internal: 10.0.2.1/24

Op Fritz1 een route maken voor subnet 10.0.2.0/24 -> GW: 10.0.255.2
Op Fritz1 een route maken voor subnet 80.81.82.0/24 -> GW: 10.0.255.2

Op Fritz2 een route maken voor subnet 10.0.1.0/24 -> GW: 10.0.255.1

[freakske_b]

[EDIT]
Net getest, maar de FritzBix aanvaardt geen IPv4 adres voor de gateway buiten het eigen subnet (ook niet het IP uit de range van de vpn tunnel)

Bedankt voor het testen.

Misschien moet ik eens spelen met instellingen in de host file:

de ip ranges die bij ISP1 niet bereikbaar zijn via de hostfile laten doorsturen naar de DG van de Fritzbox Remote site?

Mocht dat werken, moet ik dat natuurlijk wel op alle toestellen hier aanpassen. Maar da's toch beter dan overal een VPN client op zetten.

Zou dat een plan kunnen zijn?

[fryelectro]

Een hosts file dient voor name resolving, jij hebt routing nodig;-)

[ Post made via mobile device ]

[freakske_b]

Een hosts file dient voor name resolving, jij hebt routing nodig;-)

Akkoord, maar als ik de domeinnamen die ik via isp1 niet kan bereiken laat verwijzen naar de gateway van de remote site?

Wellicht lost dat ook niets op, maar t was maar een idee. Hmm, zou het toch willen oplossen zonder grote investeringen en zonder vpn clients op alle toestellen.

[freakske_b]

En ivm met de gewone VPN tussen twee FritBoxen, blijkbaar mag géén van beide netwerken de standaard ip range hebben, zijnde 192.168.178.0 ?
Ik zou veronderstellen dat er geen probleem zou zijn zolang ze maar 2 verschillende ranges hebben.

[philippe_d]

Toch wel. Ik heb hier een vpn tussen 192.168.178.1 en 192.168.180.1
Het gastnetwerk op beide locaties zit op 192.168.179.1

[ Post made via mobile device ]

[freakske_b]

Toch wel. Ik heb hier een vpn tussen 192.168.178.1 en 192.168.180.1
Het gastnetwerk op beide locaties zit op 192.168.179.1
]

En heb je die VPN geconfigureerd met de Configure Fritzbox VPN connection-tool van AVM ? Ik krijg dan een melding dat de het netwerk 192.168.178.0 niet is toegestaan.

Er zijn nog mensen die dit probleem ervaren: http://www.ip-phone-forum.de/showthread.php?t=247637

[philippe_d]

Sedert de recente Firmware is het instellen van een LAN-LAN VPN mogelijk via de webinterface. Je hebt dus het tool niet nodig.
Daar kan je gewoon de domeinnaam ingeven van de remote site, en zijn IP range (anders dan 192.168.178.0)
Op de remote site dan het omgekeerde. Hier geeft je 192.168.178.0 in.

Via de Configure Fritzbox VPN connection-tool van AVM mag je inderdaad 192.168.178.0 niet gebruiken.
Geen paniek, gebruik iets anders en wijzig dan deze IP's in de betreffende config files.

[philippe_d]

Wellicht lost dat ook niets op, maar t was maar een idee. Hmm, zou het toch willen oplossen zonder grote investeringen en zonder vpn clients op alle toestellen.

Het is een goed idee, maar zoals fryelectro zei, kan je dit niet doen via de HOSTS file
Maar wel via de IPv4 routing tabel, waar je deze router moet toevoegen

Open een DOS venster als administrator, en typ iets als dit:

Code: Selecteer alles

route ADD 81.247.175.0 MASK 255.255.255.0 192.168.180.1 METRIC 1 IF 192.168.178.45

Hiermee ga je op deze PC mijn IP (81.247.175.xx) bereiken via de FritzBox 2 (192.168.180.1) gebruik makende van de netwerkkaart interface 192.168.178.45
Zowel METRIC (hoe lager nummer hoe hoger prioriteit) als IF (interface) kan je weglaten.

Als je de parameter -p toevoegt, dan wordt dit permanent (in register) opgeslagen. Dan wordt het:

Code: Selecteer alles

route -p ADD 81.247.175.0 MASK 255.255.255.0 192.168.180.1

Proberen waard?

[freakske_b]

Zeker het proberen waard Philippe! Bedankt voor de tip in elk geval. Ik laat hier iets weten wanneer ik de tijd heb gehad om eens te testen.