Routing - Internet eines entfernten Routers nutzen (VPN per HW-Firewall)

[xyznico]

Hallo Zusammen,

ich habe eine Hardware-Firewall, an dieser Firewall kommen ca. 15-20 IPsec VPNs von Außenstandorten an.

An einem Client (Debian 12) hinter der HW-FW möchte ich nun das Internet eines dieser Außenstandorte verwenden - damit ich eine anderen externe IP bekomme. So viel zu Theorie.

In meiner Naivität heute Nacht dachte ich mir, ich muss einfach nur per "ip route add" oder "route add" das Default-Gateway setzen und schon geht es. Leider lässt er das Kommando natürlich nicht zu, da der Client natürlich nicht weiß, wie er in das Netz kommt.

In der Standardkonfiguration kann ich natürlich die Geräte und den Router im entfernten Standort erreichen.

Ist das technisch überhaupt möglich? Welche Routen muss ich setzen? Wäre über Hilfe dankbar.

[mat6937]

In der Standardkonfiguration kann ich natürlich die Geräte und den Router im entfernten Standort erreichen.

Wie sind die Ausgaben von:

Code: Alles auswählen

ip r g <IP-ferner-Router>
ip a
ip r

?

Ist das technisch überhaupt möglich? Welche Routen muss ich setzen? Wäre über Hilfe dankbar.

Du brauchst das gateway (+ definierte Route zum gateway) und das zuständige device für die "neue/zusätzliche" default route und die metric der neuen default route sollte besser sein, als bei der z.Zt. benutzten default route.

[xyznico]

Hi Mat, danke für deine Unterstützung. Das ist nicht selbstverständlich.

Code: Alles auswählen

root@test-dev-phk:~# ip r g 172.26.4.254
172.26.4.254 via 172.20.1.1 dev ens192 src 172.20.1.151 uid 0 
    cache

Code: Alles auswählen

root@test-dev-phk:~# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: ens192: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 00:50:56:95:ba:ea brd ff:ff:ff:ff:ff:ff
    altname enp11s0
    inet 172.20.1.151/24 brd 172.20.1.255 scope global noprefixroute ens192
       valid_lft forever preferred_lft forever
    inet6 fe80::fb61:9bb:6238:813d/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever

Code: Alles auswählen

root@test-dev-phk:~# ip r
default via 172.20.1.1 dev ens192 proto static metric 100 
172.20.1.0/24 dev ens192 proto kernel scope link src 172.20.1.151 metric 100

Code: Alles auswählen

root@test-dev-phk:~# traceroute 172.26.4.254
traceroute to 172.26.4.254 (172.26.4.254), 30 hops max, 60 byte packets
 1  172.20.1.1 (172.20.1.1)  0.858 ms  0.836 ms  0.830 ms
 2  172.22.162.178 (172.22.162.178)  0.152 ms  0.122 ms  0.161 ms
 3  172.26.4.254 (172.26.4.254)  31.969 ms  32.666 ms  32.609 ms

Was muss ich nun tun? Ein zusätzliches Device? Netzwerkkarte?
Ich bin mMn. zwar ein echt guter IT'ler - aber beim Routing hört es bei mir auf.

DANKE

[mat6937]

Code: Alles auswählen

root@test-dev-phk:~# ip r g 172.26.4.254
172.26.4.254 via 172.20.1.1 dev ens192 src 172.20.1.151 uid 0 
    cache

Code: Alles auswählen

root@test-dev-phk:~# ip r
default via 172.20.1.1 dev ens192 proto static metric 100 
172.20.1.0/24 dev ens192 proto kernel scope link src 172.20.1.151 metric 100

Was muss ich nun tun? Ein zusätzliches Device? Netzwerkkarte?

Das "neue" gateway (172.26.4.254 der HW-FW) für die neue default route, wird ja via ens192 erreicht und die metric der jetzigen default route ist 100.
Probier mal mit einer neuen default route mit der metric 10:

Code: Alles auswählen

ip route add default via 172.26.4.254 dev ens192 proto static metric 10

Danach testen mit:

Code: Alles auswählen

ip r
ip r g 1.1.1.1
mtr -4nr -c 1 1.1.1.1
host -t a myip.opendns.com 208.67.222.222

EDIT:

Evtl. noch eine source-NAT-Regel für das ens192-Interface:

Code: Alles auswählen

iptables -t nat -I POSTROUTING 1 -o ens192 -j MASQUERADE

konfigurieren.

[xyznico]

Du bist klasse!

Leider kommt bei ...

Code: Alles auswählen

ip route add default via 172.26.4.254 dev ens192 proto static metric 10

... ein ...

Code: Alles auswählen

Error: Nexthop has invalid gateway.

Gruß Nico

[mat6937]

Code: Alles auswählen

Error: Nexthop has invalid gateway.

Hast Du evtl. die IP-Adresse vom VPN-Interface in der HW-Firewall, die als gateway für die default route benutzt werden könnte? Es ist auch so, dass die fernen Standorte, wenn sie als gateway für eine default route fungieren sollen, das "erlauben/ermöglichen" müssen. Gibt es schon Beispiele bzw. Konstellationen die so schon funktionieren? Evtl. auch den admin fragen.

[xyznico]

Hast Du evtl. die IP-Adresse vom VPN-Interface in der HW-Firewall, die als gateway für die default route benutzt werden könnte?

Hmm. Keine Ahnung. Ist halt eine FortiGate Firewall. Das VPN-Interface ist die externe IP-Adresse - so wie sich die FritzBoxen auch connecten.

Es ist auch so, dass die fernen Standorte, wenn sie als gateway für eine default route fungieren sollen, das "erlauben/ermöglichen" müssen.

Denke ich nicht, das entfernte Gateway ist eine FritzBox. Glaube da muss man nichts erlauben.

Gibt es schon Beispiele bzw. Konstellationen die so schon funktionieren?

Nein, ist ein Test ob technisch machbar.


----

UPDATE

Zauberwort: onlink?

Code: Alles auswählen

ip route add 172.26.4.0/24 via 172.20.1.1 dev ens192 proto static
ip route add default via 172.26.4.254 dev ens192 proto static metric 10 onlink

Mit den oben genannten Befehlen, kann ich die Default-Route setzen. Aber es geht kein Internet mehr.

ping 8.8.8.8 bringt:

Code: Alles auswählen

From 172.20.1.151 icmp_seq=1 Destination Host Unreachable

172.20.1.151 ist dabei die lokale IP.

[mat6937]

Aber es geht kein Internet mehr.
ping 8.8.8.8 bringt:

Code: Alles auswählen

From 172.20.1.151 icmp_seq=1 Destination Host Unreachable

172.20.1.151 ist dabei die lokale IP.

Wie sind jetzt die Ausgaben von:

Code: Alles auswählen

ip a
ip r
ip r g 1.1.1.1
ping -c 3 172.26.4.254
iptables -nvx -L -t nat

?

[xyznico]

Wie sind jetzt die Ausgaben von:

Code: Alles auswählen

ip a
ip r
ip r g 1.1.1.1
ping -c 3 172.26.4.254
iptables -nvx -L -t nat

?

Hier und Danke!

Code: Alles auswählen

root@test-dev-phk:~# 
root@test-dev-phk:~# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: ens192: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 00:50:56:95:ba:ea brd ff:ff:ff:ff:ff:ff
    altname enp11s0
    inet 172.20.1.151/24 brd 172.20.1.255 scope global noprefixroute ens192
       valid_lft forever preferred_lft forever
    inet6 fe80::fb61:9bb:6238:813d/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever
root@test-dev-phk:~# 
root@test-dev-phk:~# 
root@test-dev-phk:~# 
root@test-dev-phk:~# ip r
default via 172.26.4.254 dev ens192 proto static metric 10 onlink 
172.20.1.0/24 dev ens192 proto kernel scope link src 172.20.1.151 metric 100 
172.22.162.178 via 172.20.1.1 dev ens192 proto static 
172.26.4.0/24 via 172.20.1.1 dev ens192 proto static 
root@test-dev-phk:~# 
root@test-dev-phk:~# 
root@test-dev-phk:~# ip r g 1.1.1.1
1.1.1.1 via 172.26.4.254 dev ens192 src 172.20.1.151 uid 0 
    cache 
root@test-dev-phk:~# 
root@test-dev-phk:~# 
root@test-dev-phk:~# 
root@test-dev-phk:~# ping -c 3 172.26.4.254
PING 172.26.4.254 (172.26.4.254) 56(84) bytes of data.
64 bytes from 172.26.4.254: icmp_seq=1 ttl=62 time=29.5 ms
64 bytes from 172.26.4.254: icmp_seq=2 ttl=62 time=29.3 ms
64 bytes from 172.26.4.254: icmp_seq=3 ttl=62 time=29.4 ms

--- 172.26.4.254 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 29.329/29.413/29.526/0.082 ms
root@test-dev-phk:~# 
root@test-dev-phk:~# 
root@test-dev-phk:~# 
root@test-dev-phk:~# iptables -nvx -L -t nat
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination         

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination         
    7493   466719 MASQUERADE  0    --  *      ens192  0.0.0.0/0            0.0.0.0/0           
       3      171 MASQUERADE  0    --  *      ens192  0.0.0.0/0            0.0.0.0/0           
       0        0 MASQUERADE  0    --  *      ens182  0.0.0.0/0            0.0.0.0/0           
root@test-dev-phk:~# 
root@test-dev-phk:~# 

[mat6937]

Code: Alles auswählen

root@test-dev-phk:~# ip r
default via 172.26.4.254 dev ens192 proto static metric 10 onlink 
172.20.1.0/24 dev ens192 proto kernel scope link src 172.20.1.151 metric 100 
172.22.162.178 via 172.20.1.1 dev ens192 proto static 
172.26.4.0/24 via 172.20.1.1 dev ens192 proto static 

Code: Alles auswählen

 
root@test-dev-phk:~# ip r g 1.1.1.1
1.1.1.1 via 172.26.4.254 dev ens192 src 172.20.1.151 uid 0 
    cache 

Code: Alles auswählen

root@test-dev-phk:~# ping -c 3 172.26.4.254
PING 172.26.4.254 (172.26.4.254) 56(84) bytes of data.
64 bytes from 172.26.4.254: icmp_seq=1 ttl=62 time=29.5 ms
64 bytes from 172.26.4.254: icmp_seq=2 ttl=62 time=29.3 ms
64 bytes from 172.26.4.254: icmp_seq=3 ttl=62 time=29.4 ms

--- 172.26.4.254 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 29.329/29.413/29.526/0.082 ms

Das wäre ok. Hast Du damit Zugang ins Internet?

Code: Alles auswählen

mtr -4nr -c 1 1.1.1.1
nc -zv 1.1.1.1 53
host -t a heise.de 1.1.1.1

?

[xyznico]

Leider nein. Da ist ja das Problem.

Code: Alles auswählen

root@test-dev-phk:~# mtr -4nr -c 1 1.1.1.1
Start: 2023-07-16T15:46:59+0200
HOST: test-dev-phk                Loss%   Snt   Last   Avg  Best  Wrst StDev
  1.|-- 172.20.1.151               0.0%     1  2293. 2293. 2293. 2293.   0.0
root@test-dev-phk:~# nc -zv 1.1.1.1 53
one.one.one.one [1.1.1.1] 53 (domain) : No route to host
root@test-dev-phk:~# 
root@test-dev-phk:~# 
root@test-dev-phk:~# host -t a heise.de 1.1.1.1
;; communications error to 1.1.1.1#53: timed out
;; communications error to 1.1.1.1#53: timed out
;; no servers could be reached

root@test-dev-phk:~# 
root@test-dev-phk:~# 
root@test-dev-phk:~# 
root@test-dev-phk:~# ping -c 3 1.1.1.1
PING 1.1.1.1 (1.1.1.1) 56(84) bytes of data.
From 172.20.1.151 icmp_seq=1 Destination Host Unreachable
From 172.20.1.151 icmp_seq=2 Destination Host Unreachable
From 172.20.1.151 icmp_seq=3 Destination Host Unreachable

--- 1.1.1.1 ping statistics ---
3 packets transmitted, 0 received, +3 errors, 100% packet loss, time 2003ms
pipe 2
root@test-dev-phk:~# 
root@test-dev-phk:~# 

[mat6937]

Code: Alles auswählen

root@test-dev-phk:~# mtr -4nr -c 1 1.1.1.1
Start: 2023-07-16T15:46:59+0200
HOST: test-dev-phk                Loss%   Snt   Last   Avg  Best  Wrst StDev
  1.|-- 172.20.1.151               0.0%     1  2293. 2293. 2293. 2293.   0.0

Gibt es evtl. Regeln die das verhindern?

Code: Alles auswählen

iptables -nvx -L

?

[xyznico]

Nope, leider nicht.

Code: Alles auswählen

root@test-dev-phk:~# iptables -nvx -L
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination  

[mat6937]

Nope, leider nicht.

ich habe eine Hardware-Firewall, an dieser Firewall kommen ca. 15-20 IPsec VPNs von Außenstandorten an.

Kommst Du via Hardware-Firewall und den IPsec-VPNs, in die Subnetze dieser Außenstandorte?

[xyznico]

Kommst Du via Hardware-Firewall und den IPsec-VPNs, in die Subnetze dieser Außenstandorte?

Jep.

[mat6937]

Kommst Du via Hardware-Firewall und den IPsec-VPNs, in die Subnetze dieser Außenstandorte?

Jep.

Damit ein Gerät, das Du per VPN erreichen kannst auch als gateway für eine default route fungieren kann, müsste auf diesem Gerät:

Code: Alles auswählen

net.ipv4.ip_forward = 1   # für IPv4

konfiguriert sein. Das sollte mindestens beim Router in den Außenstandorten der Fall sein. Kannst Du den Router in einem Außenstandort per VPN-IP-Adresse und über seine interne IP-Adresse erreichen?

[xyznico]

Code: Alles auswählen

net.ipv4.ip_forward = 1   # für IPv4

Sowas kann man leider nicht auf einer FRITZ!Box setzen.

Kannst Du den Router in einem Außenstandort per VPN-IP-Adresse und über seine interne IP-Adresse erreichen?

Die interne IP-Adresse der FRITZ!Box ist die gleiche IP-Adresse die die FRITZ!Box auch im VPN-Netzwerk hat.

----------------------

Lassen wir es gut sein. Es wird aus irgendwelchen Gründen nicht funktionieren. Es war nur eine private Bastelei und Interesse.

Ich habe aber einen anderen Weg gefunden, die externe IP-Adresse zu nutzen: Ich baue aus einem anderen Netzwerk, nicht Firmennetzwerk, mit einem Debian 12 Client, per IPsec-VPN eine Verbindung zur FRITZ!Box auf und surfe dann mit der IP-Adresse vom Standort.

Gruß Nico

[mat6937]

Sowas kann man leider nicht auf einer FRITZ!Box setzen.

Könnte man schon (... z. B. wenn die FW der FB modifiziert ist), ist aber bei der FB nicht erforderlich, weil schon gesetzt (als Router).

Lassen wir es gut sein. Es wird aus irgendwelchen Gründen nicht funktionieren. Es war nur eine private Bastelei und Interesse.

Ja, kann ich verstehen, denn ich benutze auch FritzBoxen aber _ohne_ IPsec-VPN und ohne WireGuard-VPN, weil ich mit der VPN-Konfiguration der FritzBox (IPsec_VPN oder WireGuard) nicht klar komme bzw. diese nicht verstehe. D. h. aber nicht, dass es nicht möglich ist, die ferne FritzBox via AVM-VPN (IPsec oder WG) als gateway für eine default route zu benutzen.

[xyznico]

D. h. aber nicht, dass es nicht möglich ist, die ferne FritzBox via AVM-VPN (IPsec oder WG) als gateway für eine default route zu benutzen.

Offensichtlich ja schon irgendwie.

[RainerT]

Moin,

Verstehe ich es richtig , dass es ein VPN zwischen einer Fritzbox und einer FortiGate ist?

Wenn der Internet Traffic in den VPN soll muss das auch in die Encryption Domain des Tunnels, sprich welcher Traffic wird über den VPN geschickt wird. Ich habe zwar noch nie mit einer Fritzbox eine VPN erstellt, aber wenn ich in die Anleitung schaue, dann müsste das der Punkt "Entferntes Netzwerk" sein. Es könnte schon schwierig werden 'Internet' abzubilden, wenn man keine Möglichkeit hat ein Objekt zu erstellen ala "Alles außer A-, B- und C-Netze". Außerdem kommt das Problem hinzu, dass alle Geräte hinter der Fritzbox, die den VPN nutzen, dann auch den Internet Zugang über die Remote FW nutzen. Weiß nicht ob das relevant ist.

Es kann sein, dass auch auf der Gegenseite Einstellungen zur Encryption Domain gemacht werden müssen. Außerdem kommt noch die Frage hinzu, ob die FW Regeln dem Traffic aus dem VPN überhaupt zugriff auf das Internet gewähren. Normalerweise sollte die so funktionieren, dass alles, was nicht explizit erlaubt ist, verworfen wird. Wenn bisher kein Internet Traffic über die VPNs gekommen ist, ist es eher unwahrscheinlich, dass es erlaubt ist.

Hast du Zugriff auf die Logs der Fortigate? Dann könntest du da nachschauen, ob der Traffic überhaupt bis dahin kommt.

Gruß
Rainer