ComputerBase Menü
Aktuelles

Untangle Firewall // VPN Port-Forwarding

A

AgentHawk

Lieutenant
Registriert
Mai 2012
Beiträge
911
Moin

ich habe gerade einen kleinen "Versuchsaufbau" und teste Untangle als Firewall.

Grundlegend komme ich mit klar und bin auch sehr zufrieden - nur bekomme ich aktuell es noch nicht hin, einen Host hinter einer VPN Verbindung zugänglich zu machen. Ohne VPN geht das mit 2 klicks über die Portweiterleitung mit leider nicht - und da fehlt mir dann das know-how.

Ich denke ich mache was bei der NAT-Rule falsch.

Aufbau sieht aktuell so aus:

Internet - Modem - Untangle - Switch - Hosts

Der Host wird über Tunnel VPN über AirVPN geroutet. In AirVPN sind die Ports frei.

In Untangle Portweiterleitung: TCP 31000 // New Destination 192.168.xxx.xxx auf Port 8050

Und unter NAT ist es eher try and error - Mein Verständnis aktuell ist, das über die NAT rules Weiterleitungen von einer IP range auf eine andere weitergereicht wird. Also müsste ich dort die IP von AirVPN auf die LAN Adresse des Host umleiten=?!
Getestet hatte ich als NAT Rule:
Source Adress => AirVPN exit IP // NAT type custom und dann auf die Host Adresse im LAN.

Auch getestet, hatte ich die AirVPN exit IP als alias WAN Adresse einzugeben - dann wurde die VPN Verbindung aber abgebrochen und konnte nicht mehr aufgebaut werden.


Falls ihr noch Infos braucht die ich vergessen habe - einfach kurz fragen :)
 
Ich kenne Untangle nicht wirklich und auch dein Versuchsaufbau ist mir noch nicht ganz klar. Normalerweise realisiert man den Fernzugriff über ein VPN aber so::

  • VPN-Server im lokalen Netzwerk
  • Portweiterleitung im Router, die den/die VPN-Port(s) an den VPN-Server durchreicht
---> Ggfs ist der Router selbst der VPN-Server, dann sind Portweiterleitungen für das VPN hinfällig
- Route im VPN-Client hinzufügen, die das heimische Subnetz über den VPN-Server als Gateway schickt

An diesem Punkt ist sichergestellt, dass der Client den Traffic, der für das heimische Subnetz gedacht ist, über das VPN sendet.

Nun kommen beim VPN-Server also Verbindungen über den VPN-Tunnel an: Quelle=VPN-IP des Clients und Ziel=IP im lokalen Subnetz des Servers. Der Server schickt diese Verbindungen bzw. die Pakete dann normalerweise einfach weiter an das Ziel, zB das NAS, welches über VPN verbunden werden sollte. Dort kommt die Verbindung dann auch an, aber der Absender der Verbindung ist der VPN-Client und hier kommt die Firewall des NAS ins Spiel, da selbige Verbindungen von fremden Subnetzen, wie zB dem VPN-Subnetz, abblocken kann.

Wenn dem so ist, muss man entweder die Firewall im NAS bzw. dem jeweiligen Gerät soweit öffnen, dass das VPN-Subnetz als Quelle erlaubt ist und das Gerät muss eine Route haben, die die Antwort ins VPN-Subnetz leitet. Dazu im Router bzw. dem Standard-Gateway des Netzwerks eine Route ins VPN-Subnetz über den VPN-Server einrichten, wenn der Router nicht selbst der VPN-Server ist. Dies ist der empfohlene Weg, da man so immer noch unterscheiden kann welcher Traffic von innerhalb und welcher von außerhalb des Heimnetzwerks kommt, also vom VPN.

Der "ich krieg obiges Routing nicht hin"-Dampfhammer wäre dann NAT. Stellt man den VPN-Server so ein, dass er alles was vom VPN ins Heimnetzwerk geht mittels SourceNAT maskiert (daher auch der Begriff "masquerade"), denkt das NAS bzw. das Ziel-Gerät, dass der VPN-Server die Quelle ist und antwortet ihm. Der Nachteil dieser Lösung ist, dass man am Ziel-Gerät nicht mehr zwischen lokalem und VPN-Traffic unterscheiden kann, weil augenscheinlich beides aus dem lokalen Netzwerk kommt. Deswegen ist dies die Notlösung.


Testen solltest du das ganze übrigens tatsächlich von außerhalb deines Netzwerks (zB über Handy-Hotspot), da du ansonsten in ganz andere Probleme rennst wie zB überlappende Subnetze lokal/remote und so. Apropos: Wenn man ein privates Netzwerk via VPN erreichbar machen will, sollte man für das Netzwerk explizit nicht eines der Standard-Subnetze von Fritzbox, Speedport und Co nutzen. 192.168.178.0/24 für das Heimnetzwerk ist also eine denkbar blöde Idee, wenn man via VPN da rein will, weil im worst case eben das Netzwerk des Kumpels/Hotels/Hotspots ebenfalls eine Fritzbox mit Standard-Subnetz hat und dann ist Schicht im Schacht mit VPN.
 
  • Gefällt mir
Reaktionen: snaxilian und AgentHawk
Wow - direkt was gelernt. Besten dank!

Aber mein Test ist noch ein wenig anders.

Ich möchte keinen eigenen VPN Tunnel aufbauen oder nutzen - sondern einen von AirVPN der mir A: eine feste IP gibt und B: die Möglichkeit hat den Standort leicht zu ändern.
Daher habe ich auf diesen teil leider keinen Zugriff - außer, das ich in der Benutzeroberfläche von AirVPN Ports freigeben kann die ich dann nutzen kann.
Mit der eigenen Software "Eddie" von Air klappt das auch alles - nur ist Untangle und Pfsense 10x schneller was Speed angeht.
 
Einer deiner Hosts baut also ausgehend einen VPN tunnel zu dem Anbeiter AirVPN auf, soweit korrekt?

Dieser Anbieter bietet als Endpunkt des Tunnels eine feste IP an und erlaubt die Freigabe von Ports damit du z.B. unter einer festen IP einen Webserver zuhause betreiben kannst, soweit korrekt oder wofür willst du irgendwelche Ports frei geben, korrekt?

Jetzt klick doch bitte auf den Link in der Signatur von @Raijin und lies dir das durch und dann erkläre uns was du erreichen möchtest und nicht was du dir ausgedacht hast wie du es lösen könntest denn so kommen wir nicht weiter.
 
  • Gefällt mir
Reaktionen: Paradox.13te und Raijin
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

D
Fritzbox: Port weiterleiten an externe IP
Antworten
3
Aufrufe
857
qiller
Q
H
FritzBox VPN Wireguard enrichten
Antworten
9
Aufrufe
1.270
Hilfesuchende99
H
M
Asus Router AC86U Abstürze
Antworten
7
Aufrufe
706
Bob.Dig
Bob.Dig
Roman1210
UDM Pro Wireguard VPN mit 2 ISP´s
Antworten
10
Aufrufe
768
Roman1210
Roman1210
koma
Wireguard Verbindung möglich? Fritzbox A (IPv4) Fritzbox B (IPv6)
2
Antworten
23
Aufrufe
2.130
koma
koma
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz