Routing - Internet eines entfernten Routers nutzen (VPN per HW-Firewall)
Routing - Internet eines entfernten Routers nutzen (VPN per HW-Firewall)
Hallo Zusammen,
ich habe eine Hardware-Firewall, an dieser Firewall kommen ca. 15-20 IPsec VPNs von Außenstandorten an.
An einem Client (Debian 12) hinter der HW-FW möchte ich nun das Internet eines dieser Außenstandorte verwenden - damit ich eine anderen externe IP bekomme. So viel zu Theorie.
In meiner Naivität heute Nacht dachte ich mir, ich muss einfach nur per "ip route add" oder "route add" das Default-Gateway setzen und schon geht es. Leider lässt er das Kommando natürlich nicht zu, da der Client natürlich nicht weiß, wie er in das Netz kommt.
In der Standardkonfiguration kann ich natürlich die Geräte und den Router im entfernten Standort erreichen.
Ist das technisch überhaupt möglich? Welche Routen muss ich setzen? Wäre über Hilfe dankbar.
ich habe eine Hardware-Firewall, an dieser Firewall kommen ca. 15-20 IPsec VPNs von Außenstandorten an.
An einem Client (Debian 12) hinter der HW-FW möchte ich nun das Internet eines dieser Außenstandorte verwenden - damit ich eine anderen externe IP bekomme. So viel zu Theorie.
In meiner Naivität heute Nacht dachte ich mir, ich muss einfach nur per "ip route add" oder "route add" das Default-Gateway setzen und schon geht es. Leider lässt er das Kommando natürlich nicht zu, da der Client natürlich nicht weiß, wie er in das Netz kommt.
In der Standardkonfiguration kann ich natürlich die Geräte und den Router im entfernten Standort erreichen.
Ist das technisch überhaupt möglich? Welche Routen muss ich setzen? Wäre über Hilfe dankbar.
Re: Routing - Internet eines entfernten Routers nutzen (VPN per HW-Firewall)
Wie sind die Ausgaben von:xyznico hat geschrieben:16.07.2023 08:17:56In der Standardkonfiguration kann ich natürlich die Geräte und den Router im entfernten Standort erreichen.
Code: Alles auswählen
ip r g <IP-ferner-Router>
ip a
ip r
Du brauchst das gateway (+ definierte Route zum gateway) und das zuständige device für die "neue/zusätzliche" default route und die metric der neuen default route sollte besser sein, als bei der z.Zt. benutzten default route.xyznico hat geschrieben:16.07.2023 08:17:56Ist das technisch überhaupt möglich? Welche Routen muss ich setzen? Wäre über Hilfe dankbar.
Re: Routing - Internet eines entfernten Routers nutzen (VPN per HW-Firewall)
Hi Mat, danke für deine Unterstützung. Das ist nicht selbstverständlich.
Was muss ich nun tun? Ein zusätzliches Device? Netzwerkkarte?
Ich bin mMn. zwar ein echt guter IT'ler - aber beim Routing hört es bei mir auf.
DANKE
Code: Alles auswählen
root@test-dev-phk:~# ip r g 172.26.4.254
172.26.4.254 via 172.20.1.1 dev ens192 src 172.20.1.151 uid 0
cache
Code: Alles auswählen
root@test-dev-phk:~# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: ens192: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether 00:50:56:95:ba:ea brd ff:ff:ff:ff:ff:ff
altname enp11s0
inet 172.20.1.151/24 brd 172.20.1.255 scope global noprefixroute ens192
valid_lft forever preferred_lft forever
inet6 fe80::fb61:9bb:6238:813d/64 scope link noprefixroute
valid_lft forever preferred_lft forever
Code: Alles auswählen
root@test-dev-phk:~# ip r
default via 172.20.1.1 dev ens192 proto static metric 100
172.20.1.0/24 dev ens192 proto kernel scope link src 172.20.1.151 metric 100
Code: Alles auswählen
root@test-dev-phk:~# traceroute 172.26.4.254
traceroute to 172.26.4.254 (172.26.4.254), 30 hops max, 60 byte packets
1 172.20.1.1 (172.20.1.1) 0.858 ms 0.836 ms 0.830 ms
2 172.22.162.178 (172.22.162.178) 0.152 ms 0.122 ms 0.161 ms
3 172.26.4.254 (172.26.4.254) 31.969 ms 32.666 ms 32.609 ms
Ich bin mMn. zwar ein echt guter IT'ler - aber beim Routing hört es bei mir auf.
DANKE
Re: Routing - Internet eines entfernten Routers nutzen (VPN per HW-Firewall)
Das "neue" gateway (172.26.4.254 der HW-FW) für die neue default route, wird ja via ens192 erreicht und die metric der jetzigen default route ist 100.xyznico hat geschrieben:16.07.2023 09:34:21Code: Alles auswählen
root@test-dev-phk:~# ip r g 172.26.4.254 172.26.4.254 via 172.20.1.1 dev ens192 src 172.20.1.151 uid 0 cache
Was muss ich nun tun? Ein zusätzliches Device? Netzwerkkarte?Code: Alles auswählen
root@test-dev-phk:~# ip r default via 172.20.1.1 dev ens192 proto static metric 100 172.20.1.0/24 dev ens192 proto kernel scope link src 172.20.1.151 metric 100
Probier mal mit einer neuen default route mit der metric 10:
Code: Alles auswählen
ip route add default via 172.26.4.254 dev ens192 proto static metric 10
Code: Alles auswählen
ip r
ip r g 1.1.1.1
mtr -4nr -c 1 1.1.1.1
host -t a myip.opendns.com 208.67.222.222
Evtl. noch eine source-NAT-Regel für das ens192-Interface:
Code: Alles auswählen
iptables -t nat -I POSTROUTING 1 -o ens192 -j MASQUERADE
Re: Routing - Internet eines entfernten Routers nutzen (VPN per HW-Firewall)
Du bist klasse!
Leider kommt bei ...
... ein ...
Gruß Nico
Leider kommt bei ...
Code: Alles auswählen
ip route add default via 172.26.4.254 dev ens192 proto static metric 10
Code: Alles auswählen
Error: Nexthop has invalid gateway.
Re: Routing - Internet eines entfernten Routers nutzen (VPN per HW-Firewall)
Hast Du evtl. die IP-Adresse vom VPN-Interface in der HW-Firewall, die als gateway für die default route benutzt werden könnte? Es ist auch so, dass die fernen Standorte, wenn sie als gateway für eine default route fungieren sollen, das "erlauben/ermöglichen" müssen. Gibt es schon Beispiele bzw. Konstellationen die so schon funktionieren? Evtl. auch den admin fragen.xyznico hat geschrieben:16.07.2023 10:28:42Code: Alles auswählen
Error: Nexthop has invalid gateway.
Re: Routing - Internet eines entfernten Routers nutzen (VPN per HW-Firewall)
Hmm. Keine Ahnung. Ist halt eine FortiGate Firewall. Das VPN-Interface ist die externe IP-Adresse - so wie sich die FritzBoxen auch connecten.mat6937 hat geschrieben:16.07.2023 10:40:30Hast Du evtl. die IP-Adresse vom VPN-Interface in der HW-Firewall, die als gateway für die default route benutzt werden könnte?
Denke ich nicht, das entfernte Gateway ist eine FritzBox. Glaube da muss man nichts erlauben.mat6937 hat geschrieben:16.07.2023 10:40:30Es ist auch so, dass die fernen Standorte, wenn sie als gateway für eine default route fungieren sollen, das "erlauben/ermöglichen" müssen.
Nein, ist ein Test ob technisch machbar.mat6937 hat geschrieben:16.07.2023 10:40:30Gibt es schon Beispiele bzw. Konstellationen die so schon funktionieren?
----
UPDATE
Zauberwort: onlink?
Code: Alles auswählen
ip route add 172.26.4.0/24 via 172.20.1.1 dev ens192 proto static
ip route add default via 172.26.4.254 dev ens192 proto static metric 10 onlink
ping 8.8.8.8 bringt:
Code: Alles auswählen
From 172.20.1.151 icmp_seq=1 Destination Host Unreachable
Re: Routing - Internet eines entfernten Routers nutzen (VPN per HW-Firewall)
Wie sind jetzt die Ausgaben von:xyznico hat geschrieben:16.07.2023 11:10:37Aber es geht kein Internet mehr.
ping 8.8.8.8 bringt:172.20.1.151 ist dabei die lokale IP.Code: Alles auswählen
From 172.20.1.151 icmp_seq=1 Destination Host Unreachable
Code: Alles auswählen
ip a
ip r
ip r g 1.1.1.1
ping -c 3 172.26.4.254
iptables -nvx -L -t nat
Re: Routing - Internet eines entfernten Routers nutzen (VPN per HW-Firewall)
Hier und Danke!mat6937 hat geschrieben:16.07.2023 15:18:26Wie sind jetzt die Ausgaben von:?Code: Alles auswählen
ip a ip r ip r g 1.1.1.1 ping -c 3 172.26.4.254 iptables -nvx -L -t nat
Code: Alles auswählen
root@test-dev-phk:~#
root@test-dev-phk:~# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: ens192: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether 00:50:56:95:ba:ea brd ff:ff:ff:ff:ff:ff
altname enp11s0
inet 172.20.1.151/24 brd 172.20.1.255 scope global noprefixroute ens192
valid_lft forever preferred_lft forever
inet6 fe80::fb61:9bb:6238:813d/64 scope link noprefixroute
valid_lft forever preferred_lft forever
root@test-dev-phk:~#
root@test-dev-phk:~#
root@test-dev-phk:~#
root@test-dev-phk:~# ip r
default via 172.26.4.254 dev ens192 proto static metric 10 onlink
172.20.1.0/24 dev ens192 proto kernel scope link src 172.20.1.151 metric 100
172.22.162.178 via 172.20.1.1 dev ens192 proto static
172.26.4.0/24 via 172.20.1.1 dev ens192 proto static
root@test-dev-phk:~#
root@test-dev-phk:~#
root@test-dev-phk:~# ip r g 1.1.1.1
1.1.1.1 via 172.26.4.254 dev ens192 src 172.20.1.151 uid 0
cache
root@test-dev-phk:~#
root@test-dev-phk:~#
root@test-dev-phk:~#
root@test-dev-phk:~# ping -c 3 172.26.4.254
PING 172.26.4.254 (172.26.4.254) 56(84) bytes of data.
64 bytes from 172.26.4.254: icmp_seq=1 ttl=62 time=29.5 ms
64 bytes from 172.26.4.254: icmp_seq=2 ttl=62 time=29.3 ms
64 bytes from 172.26.4.254: icmp_seq=3 ttl=62 time=29.4 ms
--- 172.26.4.254 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 29.329/29.413/29.526/0.082 ms
root@test-dev-phk:~#
root@test-dev-phk:~#
root@test-dev-phk:~#
root@test-dev-phk:~# iptables -nvx -L -t nat
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
7493 466719 MASQUERADE 0 -- * ens192 0.0.0.0/0 0.0.0.0/0
3 171 MASQUERADE 0 -- * ens192 0.0.0.0/0 0.0.0.0/0
0 0 MASQUERADE 0 -- * ens182 0.0.0.0/0 0.0.0.0/0
root@test-dev-phk:~#
root@test-dev-phk:~#
Re: Routing - Internet eines entfernten Routers nutzen (VPN per HW-Firewall)
Das wäre ok. Hast Du damit Zugang ins Internet?xyznico hat geschrieben:16.07.2023 15:38:11Code: Alles auswählen
root@test-dev-phk:~# ip r default via 172.26.4.254 dev ens192 proto static metric 10 onlink 172.20.1.0/24 dev ens192 proto kernel scope link src 172.20.1.151 metric 100 172.22.162.178 via 172.20.1.1 dev ens192 proto static 172.26.4.0/24 via 172.20.1.1 dev ens192 proto static
Code: Alles auswählen
root@test-dev-phk:~# ip r g 1.1.1.1 1.1.1.1 via 172.26.4.254 dev ens192 src 172.20.1.151 uid 0 cache
Code: Alles auswählen
root@test-dev-phk:~# ping -c 3 172.26.4.254 PING 172.26.4.254 (172.26.4.254) 56(84) bytes of data. 64 bytes from 172.26.4.254: icmp_seq=1 ttl=62 time=29.5 ms 64 bytes from 172.26.4.254: icmp_seq=2 ttl=62 time=29.3 ms 64 bytes from 172.26.4.254: icmp_seq=3 ttl=62 time=29.4 ms --- 172.26.4.254 ping statistics --- 3 packets transmitted, 3 received, 0% packet loss, time 2002ms rtt min/avg/max/mdev = 29.329/29.413/29.526/0.082 ms
Code: Alles auswählen
mtr -4nr -c 1 1.1.1.1
nc -zv 1.1.1.1 53
host -t a heise.de 1.1.1.1
Re: Routing - Internet eines entfernten Routers nutzen (VPN per HW-Firewall)
Leider nein. Da ist ja das Problem.
Code: Alles auswählen
root@test-dev-phk:~# mtr -4nr -c 1 1.1.1.1
Start: 2023-07-16T15:46:59+0200
HOST: test-dev-phk Loss% Snt Last Avg Best Wrst StDev
1.|-- 172.20.1.151 0.0% 1 2293. 2293. 2293. 2293. 0.0
root@test-dev-phk:~# nc -zv 1.1.1.1 53
one.one.one.one [1.1.1.1] 53 (domain) : No route to host
root@test-dev-phk:~#
root@test-dev-phk:~#
root@test-dev-phk:~# host -t a heise.de 1.1.1.1
;; communications error to 1.1.1.1#53: timed out
;; communications error to 1.1.1.1#53: timed out
;; no servers could be reached
root@test-dev-phk:~#
root@test-dev-phk:~#
root@test-dev-phk:~#
root@test-dev-phk:~# ping -c 3 1.1.1.1
PING 1.1.1.1 (1.1.1.1) 56(84) bytes of data.
From 172.20.1.151 icmp_seq=1 Destination Host Unreachable
From 172.20.1.151 icmp_seq=2 Destination Host Unreachable
From 172.20.1.151 icmp_seq=3 Destination Host Unreachable
--- 1.1.1.1 ping statistics ---
3 packets transmitted, 0 received, +3 errors, 100% packet loss, time 2003ms
pipe 2
root@test-dev-phk:~#
root@test-dev-phk:~#
Re: Routing - Internet eines entfernten Routers nutzen (VPN per HW-Firewall)
Gibt es evtl. Regeln die das verhindern?xyznico hat geschrieben:16.07.2023 15:49:11Code: Alles auswählen
root@test-dev-phk:~# mtr -4nr -c 1 1.1.1.1 Start: 2023-07-16T15:46:59+0200 HOST: test-dev-phk Loss% Snt Last Avg Best Wrst StDev 1.|-- 172.20.1.151 0.0% 1 2293. 2293. 2293. 2293. 0.0
Code: Alles auswählen
iptables -nvx -L
Re: Routing - Internet eines entfernten Routers nutzen (VPN per HW-Firewall)
Nope, leider nicht.
Code: Alles auswählen
root@test-dev-phk:~# iptables -nvx -L
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Re: Routing - Internet eines entfernten Routers nutzen (VPN per HW-Firewall)
Kommst Du via Hardware-Firewall und den IPsec-VPNs, in die Subnetze dieser Außenstandorte?xyznico hat geschrieben:16.07.2023 19:43:06Nope, leider nicht.ich habe eine Hardware-Firewall, an dieser Firewall kommen ca. 15-20 IPsec VPNs von Außenstandorten an.
Re: Routing - Internet eines entfernten Routers nutzen (VPN per HW-Firewall)
Jep.mat6937 hat geschrieben:16.07.2023 21:35:58Kommst Du via Hardware-Firewall und den IPsec-VPNs, in die Subnetze dieser Außenstandorte?
Re: Routing - Internet eines entfernten Routers nutzen (VPN per HW-Firewall)
Damit ein Gerät, das Du per VPN erreichen kannst auch als gateway für eine default route fungieren kann, müsste auf diesem Gerät:
Code: Alles auswählen
net.ipv4.ip_forward = 1 # für IPv4
Re: Routing - Internet eines entfernten Routers nutzen (VPN per HW-Firewall)
Sowas kann man leider nicht auf einer FRITZ!Box setzen.mat6937 hat geschrieben:16.07.2023 22:48:46Code: Alles auswählen
net.ipv4.ip_forward = 1 # für IPv4
Die interne IP-Adresse der FRITZ!Box ist die gleiche IP-Adresse die die FRITZ!Box auch im VPN-Netzwerk hat.mat6937 hat geschrieben:16.07.2023 22:48:46Kannst Du den Router in einem Außenstandort per VPN-IP-Adresse und über seine interne IP-Adresse erreichen?
----------------------
Lassen wir es gut sein. Es wird aus irgendwelchen Gründen nicht funktionieren. Es war nur eine private Bastelei und Interesse.
Ich habe aber einen anderen Weg gefunden, die externe IP-Adresse zu nutzen: Ich baue aus einem anderen Netzwerk, nicht Firmennetzwerk, mit einem Debian 12 Client, per IPsec-VPN eine Verbindung zur FRITZ!Box auf und surfe dann mit der IP-Adresse vom Standort.
Gruß Nico
Re: Routing - Internet eines entfernten Routers nutzen (VPN per HW-Firewall)
Könnte man schon (... z. B. wenn die FW der FB modifiziert ist), ist aber bei der FB nicht erforderlich, weil schon gesetzt (als Router).xyznico hat geschrieben:16.07.2023 22:57:53Sowas kann man leider nicht auf einer FRITZ!Box setzen.
Ja, kann ich verstehen, denn ich benutze auch FritzBoxen aber _ohne_ IPsec-VPN und ohne WireGuard-VPN, weil ich mit der VPN-Konfiguration der FritzBox (IPsec_VPN oder WireGuard) nicht klar komme bzw. diese nicht verstehe. D. h. aber nicht, dass es nicht möglich ist, die ferne FritzBox via AVM-VPN (IPsec oder WG) als gateway für eine default route zu benutzen.xyznico hat geschrieben:16.07.2023 22:57:53Lassen wir es gut sein. Es wird aus irgendwelchen Gründen nicht funktionieren. Es war nur eine private Bastelei und Interesse.
Re: Routing - Internet eines entfernten Routers nutzen (VPN per HW-Firewall)
Offensichtlich ja schon irgendwie.mat6937 hat geschrieben:16.07.2023 23:08:04D. h. aber nicht, dass es nicht möglich ist, die ferne FritzBox via AVM-VPN (IPsec oder WG) als gateway für eine default route zu benutzen.
Re: Routing - Internet eines entfernten Routers nutzen (VPN per HW-Firewall)
Moin,
Verstehe ich es richtig , dass es ein VPN zwischen einer Fritzbox und einer FortiGate ist?
Wenn der Internet Traffic in den VPN soll muss das auch in die Encryption Domain des Tunnels, sprich welcher Traffic wird über den VPN geschickt wird. Ich habe zwar noch nie mit einer Fritzbox eine VPN erstellt, aber wenn ich in die Anleitung schaue, dann müsste das der Punkt "Entferntes Netzwerk" sein. Es könnte schon schwierig werden 'Internet' abzubilden, wenn man keine Möglichkeit hat ein Objekt zu erstellen ala "Alles außer A-, B- und C-Netze". Außerdem kommt das Problem hinzu, dass alle Geräte hinter der Fritzbox, die den VPN nutzen, dann auch den Internet Zugang über die Remote FW nutzen. Weiß nicht ob das relevant ist.
Es kann sein, dass auch auf der Gegenseite Einstellungen zur Encryption Domain gemacht werden müssen. Außerdem kommt noch die Frage hinzu, ob die FW Regeln dem Traffic aus dem VPN überhaupt zugriff auf das Internet gewähren. Normalerweise sollte die so funktionieren, dass alles, was nicht explizit erlaubt ist, verworfen wird. Wenn bisher kein Internet Traffic über die VPNs gekommen ist, ist es eher unwahrscheinlich, dass es erlaubt ist.
Hast du Zugriff auf die Logs der Fortigate? Dann könntest du da nachschauen, ob der Traffic überhaupt bis dahin kommt.
Gruß
Rainer
Verstehe ich es richtig , dass es ein VPN zwischen einer Fritzbox und einer FortiGate ist?
Wenn der Internet Traffic in den VPN soll muss das auch in die Encryption Domain des Tunnels, sprich welcher Traffic wird über den VPN geschickt wird. Ich habe zwar noch nie mit einer Fritzbox eine VPN erstellt, aber wenn ich in die Anleitung schaue, dann müsste das der Punkt "Entferntes Netzwerk" sein. Es könnte schon schwierig werden 'Internet' abzubilden, wenn man keine Möglichkeit hat ein Objekt zu erstellen ala "Alles außer A-, B- und C-Netze". Außerdem kommt das Problem hinzu, dass alle Geräte hinter der Fritzbox, die den VPN nutzen, dann auch den Internet Zugang über die Remote FW nutzen. Weiß nicht ob das relevant ist.
Es kann sein, dass auch auf der Gegenseite Einstellungen zur Encryption Domain gemacht werden müssen. Außerdem kommt noch die Frage hinzu, ob die FW Regeln dem Traffic aus dem VPN überhaupt zugriff auf das Internet gewähren. Normalerweise sollte die so funktionieren, dass alles, was nicht explizit erlaubt ist, verworfen wird. Wenn bisher kein Internet Traffic über die VPNs gekommen ist, ist es eher unwahrscheinlich, dass es erlaubt ist.
Hast du Zugriff auf die Logs der Fortigate? Dann könntest du da nachschauen, ob der Traffic überhaupt bis dahin kommt.
Gruß
Rainer