8
Probleme beim Netzwerkaufbau
Hallo zusammen,
ich baue derzeit mein Netzwerk auf. Es gibt verschiedene VLANs, die über einen Cisco 3560 geroutet werden. Der Internetzugang ist über eine FritzBox 7490 realisiert, die auch die Telefonie bereitstellt. DHCP und DNS macht ein Windows Server 2016 via ip-helper auf dem Cisco für alle VLANs. Auf der FritzBox sind Routen eingetragen, sodass alle Netze bedient werden.
Im Anhang befindet sich ein Netzplan.
Das alles funktioniert bisher einwandfrei.
Nun habe ich jedoch noch einige Wünsche und Probleme:
1. Ich kann auf der FritzBox keine Portfreigaben für andere Netze als das der FritzBox erstellen. Gibt es eine Möglichkeit, Portfreigaben einzurichten, die auf ein anderes VLAN als das der FritzBox, weisen? Der Cisco ist nicht NAT-fähig ("ip nat"). Ansonsten hätte ich den Cisco als Exposed Host eingerichtet und darüber die Portfreigaben realisiert.
2. Ist es möglich, einen VPN-Tunnel zu erstellen, durch den mehrere VLANs gehen? Im Grunde genommen vergleichbar mit einem Trunk. Hintergrund: Ich würde gerne an einem zweiten Standort die VLANs des Hauptstandortes nutzen. Wünschenswert wäre es, am Zweitstandort einen Router zu konfigurieren, der sich als Tunnelendpunkt mit dem Hauptstandort verbindet, sodass am Zweitstandort ein L2-Switch eingesetzt werden kann.
Ich habe testweise einen RAS-Server im VLAN der FritzBox betrieben. Als DHCP-Relay habe ich den Windows Server im Server-VLAN angegeben. VPN Clients haben jedoch eine IP Adresse aus dem VLAN des RAS-Servers bekommen.
Gibt es technische Möglichkeiten, meine Wünsche zu realisieren?
ich baue derzeit mein Netzwerk auf. Es gibt verschiedene VLANs, die über einen Cisco 3560 geroutet werden. Der Internetzugang ist über eine FritzBox 7490 realisiert, die auch die Telefonie bereitstellt. DHCP und DNS macht ein Windows Server 2016 via ip-helper auf dem Cisco für alle VLANs. Auf der FritzBox sind Routen eingetragen, sodass alle Netze bedient werden.
Im Anhang befindet sich ein Netzplan.
Das alles funktioniert bisher einwandfrei.
Nun habe ich jedoch noch einige Wünsche und Probleme:
1. Ich kann auf der FritzBox keine Portfreigaben für andere Netze als das der FritzBox erstellen. Gibt es eine Möglichkeit, Portfreigaben einzurichten, die auf ein anderes VLAN als das der FritzBox, weisen? Der Cisco ist nicht NAT-fähig ("ip nat"). Ansonsten hätte ich den Cisco als Exposed Host eingerichtet und darüber die Portfreigaben realisiert.
2. Ist es möglich, einen VPN-Tunnel zu erstellen, durch den mehrere VLANs gehen? Im Grunde genommen vergleichbar mit einem Trunk. Hintergrund: Ich würde gerne an einem zweiten Standort die VLANs des Hauptstandortes nutzen. Wünschenswert wäre es, am Zweitstandort einen Router zu konfigurieren, der sich als Tunnelendpunkt mit dem Hauptstandort verbindet, sodass am Zweitstandort ein L2-Switch eingesetzt werden kann.
Ich habe testweise einen RAS-Server im VLAN der FritzBox betrieben. Als DHCP-Relay habe ich den Windows Server im Server-VLAN angegeben. VPN Clients haben jedoch eine IP Adresse aus dem VLAN des RAS-Servers bekommen.
Gibt es technische Möglichkeiten, meine Wünsche zu realisieren?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 431545
Url: https://administrator.de/contentid/431545
Printed on: April 19, 2024 at 04:04 o'clock
8 Comments
Latest comment
Zu 1.
Nein.
Zu 2.
Ja, siehe unten.
Hier steht wie man das VPN Profil der Fritte anpassen muss um andere Subnetze über den Tunnel erreichen zu können
https://avm.de/service/vpn/praxis-tipps/mit-fritzfernzugang-auf-mehrere- ...
Besser wäre es natürlich vernünftige Hardware für den Business Einsatz anzuschaffen.
Nein.
Zu 2.
Ja, siehe unten.
Gibt es technische Möglichkeiten, meine Wünsche zu realisieren?
Ja, ganz einfach. Bau einen IPSEC Site2Site Tunnel von der Zweigstelle zur Fritte auf und gebe in den Phase 2 die Subnetze der Gegenstelle an, genauso richtest du den Tunnelendpunkt auf der Fritte ein, nur das du dort die Subnetze der Zweigstelle hinterlegt sind. Die Router kennen dann die Subnetze der Gegenstelle und Routen den Traffic passend über den VPN-Tunnel.Hier steht wie man das VPN Profil der Fritte anpassen muss um andere Subnetze über den Tunnel erreichen zu können
https://avm.de/service/vpn/praxis-tipps/mit-fritzfernzugang-auf-mehrere- ...
Besser wäre es natürlich vernünftige Hardware für den Business Einsatz anzuschaffen.
Hallo,
ergänze die FB durch einen Profi Router und du kannst alles problemlos realisieren. Mit der box geht das so nicht.
VG
ergänze die FB durch einen Profi Router und du kannst alles problemlos realisieren. Mit der box geht das so nicht.
VG
Zu Frage 1:
Das Problem ist hier in erster Linie die FritzBox selber. Normal ist es kein Problem in einem NAT Router das Port Forwarding mit IP Adressen aus anderen Netzen anzulegen. Der darauf folgende Router, hier dein 3550, routet das dann problemlos ans Ziel. Generell also kein Thema...
Der Showstopper hier ist die billige FritzBox, ein einfacher Consumer Router ohne viel Features der das schlicht und einfach nicht supportet. Letztlich auch verständlich, denn Zielmarkt von AVM ist der Massen Konsumer Markt der so ein Feature schlicht nicht braucht als die 1% an spezielleren Kunden mit etwas höheren Anforderungen.
Hier gilt dann die einfache Lösung die der Kollege @certifiedit.net oben schon vorgeschlagen hat: " einen Profi Router und du kannst alles problemlos realisieren...". Wie z.B. pfSense etc. geht natürlich auch. Die üblichen Verdächtigen...
Zu Frage 2:
Ja, das ist problemlos möglich. Kollege @138810 hat die Lösung ja freundlicherweise schon vorweggenommen.
Allerdings geht das NICHT im Layer 2, sprich also Bridging in einer Broadcast Domain. Das ginge zwar auch, ist aber so mit deiner Hardware Ausstattung nicht möglich da es andere Features benötigt.
Was du aber immer machen kannst ist ein Routing dieser Netze über einen VPN /GRE Tunnel, entweder mit IPsec oder OpenVPN z.B. Siehe dazu auch hier:
Cisco, Mikrotik, pfSense VPN Standort Vernetzung mit dynamischem Routing
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Eine klassische VPN Lösung also.
Das Problem ist hier in erster Linie die FritzBox selber. Normal ist es kein Problem in einem NAT Router das Port Forwarding mit IP Adressen aus anderen Netzen anzulegen. Der darauf folgende Router, hier dein 3550, routet das dann problemlos ans Ziel. Generell also kein Thema...
Der Showstopper hier ist die billige FritzBox, ein einfacher Consumer Router ohne viel Features der das schlicht und einfach nicht supportet. Letztlich auch verständlich, denn Zielmarkt von AVM ist der Massen Konsumer Markt der so ein Feature schlicht nicht braucht als die 1% an spezielleren Kunden mit etwas höheren Anforderungen.
Hier gilt dann die einfache Lösung die der Kollege @certifiedit.net oben schon vorgeschlagen hat: " einen Profi Router und du kannst alles problemlos realisieren...". Wie z.B. pfSense etc. geht natürlich auch. Die üblichen Verdächtigen...
Zu Frage 2:
Ja, das ist problemlos möglich. Kollege @138810 hat die Lösung ja freundlicherweise schon vorweggenommen.
Allerdings geht das NICHT im Layer 2, sprich also Bridging in einer Broadcast Domain. Das ginge zwar auch, ist aber so mit deiner Hardware Ausstattung nicht möglich da es andere Features benötigt.
Was du aber immer machen kannst ist ein Routing dieser Netze über einen VPN /GRE Tunnel, entweder mit IPsec oder OpenVPN z.B. Siehe dazu auch hier:
Cisco, Mikrotik, pfSense VPN Standort Vernetzung mit dynamischem Routing
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Eine klassische VPN Lösung also.
Vielen Dank euch dreien für die schnellen Antworten!
Beim 1. Punkt habe ich mir schon fast gedacht, dass ich eine andere Lösung wählen muss. Kann ich die FritzBox weiterhin nutzen (Telefonie, Smarthome etc.) und einen Mikrotik-Router dahinter betreiben? Oder gibt das Probleme, besonders beim VPN?
Hier auch noch einmal einen besonderen Dank an aqui für die gut verständlichen Anleitungen.
Der 2. Punkt ist mir noch nicht ganz klar. Ich würde gerne die am Hauptstandort vorhandenen Netze auch am Zweitstandort nutzen. Vergleichbar mit einem EthernetConnect. Nur halt per VPN übers Internet.
In den genannten Anleitungen werden immer separate Subnetze an den Zweitstandorten erstellt.
Vielen Dank und Grüße
Gatekeeper17
P.S.: Welchen MikroTik-Router würdet ihr für meine Zwecke empfehlen?
Beim 1. Punkt habe ich mir schon fast gedacht, dass ich eine andere Lösung wählen muss. Kann ich die FritzBox weiterhin nutzen (Telefonie, Smarthome etc.) und einen Mikrotik-Router dahinter betreiben? Oder gibt das Probleme, besonders beim VPN?
Hier auch noch einmal einen besonderen Dank an aqui für die gut verständlichen Anleitungen.
Der 2. Punkt ist mir noch nicht ganz klar. Ich würde gerne die am Hauptstandort vorhandenen Netze auch am Zweitstandort nutzen. Vergleichbar mit einem EthernetConnect. Nur halt per VPN übers Internet.
In den genannten Anleitungen werden immer separate Subnetze an den Zweitstandorten erstellt.
Vielen Dank und Grüße
Gatekeeper17
P.S.: Welchen MikroTik-Router würdet ihr für meine Zwecke empfehlen?
Moin,
nun - es ist nicht möglich übers VPN deine VLAN-TAGs zu nutzen, das willst du aber ja auch nicht. Du musst halt nur beiden VPN-Endpunkten sagen welche Netze die haben. Wenn du jetzt 192.168.1.0/24, 192.168.2.0/24, 192.168.3.0/24 usw. hast (je VLAN 1,2,3) dann sagst du halt deinem VPN-Endpunkt das er genau für diese Netze zuständig ist. Auf deiner Seite vom VPN sagst du das er die Netze eben durchs VPN packt. Dem ist das eh egal ob der jetzt 1 oder 100 Netze macht.
Auf der Zielseite musst du jetzt nur dafür sorgen das dein VPN-Server die Pakete auch weitergibt - der Router oder wer auch immer packt die dann wieder ins richtige VLAN (so die Firewall das OK gibt) und fertig...
nun - es ist nicht möglich übers VPN deine VLAN-TAGs zu nutzen, das willst du aber ja auch nicht. Du musst halt nur beiden VPN-Endpunkten sagen welche Netze die haben. Wenn du jetzt 192.168.1.0/24, 192.168.2.0/24, 192.168.3.0/24 usw. hast (je VLAN 1,2,3) dann sagst du halt deinem VPN-Endpunkt das er genau für diese Netze zuständig ist. Auf deiner Seite vom VPN sagst du das er die Netze eben durchs VPN packt. Dem ist das eh egal ob der jetzt 1 oder 100 Netze macht.
Auf der Zielseite musst du jetzt nur dafür sorgen das dein VPN-Server die Pakete auch weitergibt - der Router oder wer auch immer packt die dann wieder ins richtige VLAN (so die Firewall das OK gibt) und fertig...
Kann ich die FritzBox weiterhin nutzen (Telefonie, Smarthome etc.) und einen Mikrotik-Router dahinter betreiben?
Ja, natürlich !Aber intelligenterweise solltest du es andersrum machen und die FB dann nur im internen LAN betreiben wenn sie lediglich VoIP Telefonanlage ist.
Eine 3fach Router Kaskade wäre ja nun ziemlicher Unsinn ! Weisst du auch selber !
Ich würde gerne die am Hauptstandort vorhandenen Netze auch am Zweitstandort nutzen.
Wenn du die gleiche IP Adressierung meinst, dann müsstest du über den VPN Tunnel Bridging machen. Sowas ist immer ziemlich kontraproduktiv, denn damit belastest du den VPN Tunnel mit der gesamten Broad- und Multicast Last von beiden Segmenten. Da die WAN Verbindung und der darin liegende VPN Tunnel in der Regel eine weitaus geringere Bandbreite hast schwächst du so massiv die Performance im Tunnel.Deshalb ist Bridging immer eine ganz schlechte Wahl. Es gilt da der goldene Netzwerk Grundsatz: "Route whenever you can, bridge where you must !".
Wenn du es also zwingend willst und musst kannst du das auch machen. Die bessere Wahl ist aber immer Routing.
Letztlich genau so wie der Kollege @maretz es oben beschrieben hat und du in den oben zitierten Tutorials ja nachlesen kannst.
P.S.: Welchen MikroTik-Router würdet ihr für meine Zwecke empfehlen?
Das ist schwer zu urteilen, da du keinerlei Angaben über deine Anforderungen machst. Die Frage ist letztlich so sinnvoll wie "Welches Auto würdet ihr empfehlen" ? Da könntest du auch keine qualifizierte Antwort drauf geben ohne das Umfeld und die Anforderungen zu kennen.Machen wir mal einen Schrotschuss....
Wenn du mit Bandbreiten bis 100Mbit auskommst ist es der hEX lite:
https://varia-store.com/de/produkt/31133-mikrotik-routerboard-rb750r2-he ...
mit WLAN die Wireless Variante:
https://varia-store.com/de/produkt/33635-mikrotik-routerboard-rb941-2nd- ...
Bis 1Gig nimmst du den hEX
https://varia-store.com/de/produkt/31532-mikrotik-routerboard-hex-mit-88 ...
Und wenn du mehr Ports und Performance benötigst einen 2011
https://varia-store.com/de/produkt/4319-mikrotik-routerboard-rb2011il-rm ...
Zitat von @aqui:
Und wenn du mehr Ports und Performance benötigst einen 2011
https://varia-store.com/de/produkt/4319-mikrotik-routerboard-rb2011il-rm ...
Mehr Ports hat der, aber die Performance liegt unter dem des hEX ...da nur SingleCore 600MHz. Da wäre dann die nächste Stufe die RB3011er Serie.Und wenn du mehr Ports und Performance benötigst einen 2011
https://varia-store.com/de/produkt/4319-mikrotik-routerboard-rb2011il-rm ...
Gerade bei IPSec VPNs hat hier der hEX gegenüber dem 2011 erhebliche Vorteile dank Unterstützung von Hardwareverschlüsselung.
Vielen Dank Euch allen für die Hilfe.
Ich habe mich für den hEX entschieden, da ich zwar gerne eine 19 Zoll Variante gehabt hätte, aber das dreifache zu bezahlen war es mir nicht wert.
Aktuell bin ich dabei, ihn nach @aqui s Anleitung zu konfigurieren, was bisher gut funktioniert. Ist auch alles nur eine Gewöhnungssache, wenn man vorher nur mit Cisco IOS gearbeitet hat.
So weit so gut, VPN teste ich, wenn das LAN und Routing steht.
Der hEX wird vorerst hinter der FritzBox betrieben und ist dort als Exposed Host eingetragen.
Ich habe mich für den hEX entschieden, da ich zwar gerne eine 19 Zoll Variante gehabt hätte, aber das dreifache zu bezahlen war es mir nicht wert.
Aktuell bin ich dabei, ihn nach @aqui s Anleitung zu konfigurieren, was bisher gut funktioniert. Ist auch alles nur eine Gewöhnungssache, wenn man vorher nur mit Cisco IOS gearbeitet hat.
So weit so gut, VPN teste ich, wenn das LAN und Routing steht.
Der hEX wird vorerst hinter der FritzBox betrieben und ist dort als Exposed Host eingetragen.
