Client über VPN routen

[Diana]

Hallo zusammen,

ich habe einen Lancom Router und nutze darauf ein IKEv1/IPSec VPN. Gerne möchte ich einen Client im Netzwerk über den VPN Tunnel routen.
Leider gelingt mir das nicht. Der Router ist im Subnetz 192.168.178.0/24 und der VPN Client im Subnetz 192.168.43.0/24

Meine Standardroute ist 255.255.255.255 0.0.0.0 mit dem Tag 0
Der VPN Client hat Tag 1

Momentan sieht es so aus:

IP-Adresse        IP-Netzmaske      Rtg-Tag  Next-Hop          Zielinterface               Typ(Distanz)             Maskierung
=============================================---------------------------------------------------------------------------------
0.0.0.0           0.0.0.0           1        100.xxx.xxx.142   INET_WWAN                   Static (5)               ein
100.xxx.xxx.140   255.255.255.252   1        0.0.0.0           INET_WWAN                   Connected WAN (2)        ein
100.xxx.xxx.141   255.255.255.255   1        0.0.0.0           #Loopback                   Local WAN (0)            nein
100.xxx.xxx.142   255.255.255.255   1        0.0.0.0           INET_WWAN                   DHCP (15)                ein
127.0.0.0         255.0.0.0         1        0.0.0.0           #Loopback                   Loopback (0)             nein
192.168.43.0      255.255.255.0     1        0.0.0.0           VPN-SCHWEIZ                 Static (5)               ein
192.168.43.10     255.255.255.255   1        0.0.0.0           #Loopback                   Local WAN (0)            nein
192.168.178.26    255.255.255.255   1        0.0.0.0           VPN-SCHWEIZ                 Static (5)               ein
0.0.0.0           0.0.0.0           0        100.xxx.xxx.142   INET_WWAN                   Static (5)               ein
100.xxx.xxx.140   255.255.255.252   0        0.0.0.0           INET_WWAN                   Connected WAN (2)        ein
100.xxx.xxx.141   255.255.255.255   0        0.0.0.0           #Loopback                   Local WAN (0)            nein
100.xxx.xxx.142   255.255.255.255   0        0.0.0.0           INET_WWAN                   DHCP (15)                ein
127.0.0.0         255.0.0.0         0        0.0.0.0           #Loopback                   Loopback (0)             nein
192.168.43.10     255.255.255.255   0        0.0.0.0           #Loopback                   Local WAN (0)            nein
192.168.178.0     255.255.255.0     0        0.0.0.0           INTRANET                    Connected LAN (2)        nein
192.168.178.1     255.255.255.255   0        0.0.0.0           #Loopback                   Local LAN (0)            nein

Man sieht, dass 192.168.178.26 über VPN-Schweiz geroutet werden soll, allerdings erhalte ich bei einer IP Abfrage die öffentliche IP des Routers, statt des VPNs. Kann mir einer auf die Sprünge helfen? Da wäre ich sehr dankbar.

Viele Grüße und ein schönes Wochenende

 

[blurrrr]

Hi,

schau mal hier rein: draytek - policy-based routing.

 

[Diana]

Hi,

danke für den Link, aber das ist alles zu unübersichtlich. Wie erwähnt verwende ich Lancom und nicht Draytek. Lancom ist eine eigene Liga. Wer Lancom hat, der weiss das auch.

 

[blurrrr]

Upsi, sorry, mein Fehler und nix von wegen "eigene Liga", da tickt jeder Hersteller auf seine Weise und mit Lancom hatte ich auch schon in grösserem Maßstab zu tun, so ist es nicht (nur nicht "ständig") und ist auch echt kein Favorit meinerseits...

Also... guckste vielleicht einfach mal hier rein (jetzt in "richtig" )...:

https://knowledgebase.lancom-systems.de/display/KB/Policy+Based+Routing
https://www.lancom-systems.de/docs/LCOS/Refmanual/DE/topics/aa1224494.html

 

[Diana]

Da gebe ich Dir vollkommen Recht. Mein Favorit ist es auch nicht und bereue den Besitz seit Tag 1. Noch nie sowas unnötig kompliziertes gesehen. Na ja, ich versuche es weiter.

 

[Diana]

Upsi, sorry, mein Fehler und nix von wegen "eigene Liga", da tickt jeder Hersteller auf seine Weise und mit Lancom hatte ich auch schon in grösserem Maßstab zu tun, so ist es nicht (nur nicht "ständig") und ist auch echt kein Favorit meinerseits...

Also... guckste vielleicht einfach mal hier rein (jetzt in "richtig" )...:

https://knowledgebase.lancom-systems.de/display/KB/Policy+Based+Routing
https://www.lancom-systems.de/docs/LCOS/Refmanual/DE/topics/aa1224494.html

Du beziehst das wohl auf das Routing-Tag der Gegenstellen. Ist schon alles so eingerichtet. Sogar die Firewall taggt den Client 192.168.178.26 auf Route 1 (VPN ebenfalls Tag 1) und trotzdem sehe ich in der Verbindungs-Liste die Default Route, statt die VPN Route.

Ich meine noch richtiger wie richtig kann es nicht sein oder sehe ich das falsch?



auch 192.168.178.26 255.255.255.255 bringts nicht. In der Verbindungs Liste sehe ich, dass als Ziel Route INET_WWAN statt VPN-SCHWEIZ verwendet wird. Ich weiss nicht, ob ich einmal mit dem Hammer auf den Lancom schlagen soll, damit die Route richtig einrückt, vielleicht hört dann auch das Pfeiffen vom Modem auf und hätte 3 Probleme auf einmal geschlagen. Das 3. Problem ist der Lancom an sich! Total crazy, dass ein Traceroute auf dem Client eine Ewigkeit durchläuft, währendessen über eine VPN Verbindung, die nichts mit dem IPSec-VPN zu tun hat, sondern ein anderer Wireguard Server 3-5 Sekunden dauert.

 

[blurrrr]

Sicher, dass "255.255.255.0" korrekt ist? Meiner Meinung nach müsste es eher 255.255.255.255 bzw. /32 sein (bei der Definition einer einzelnen Quell-IP).



Die beiden Regeln besagen für mich von der Quelle irgendwo das gleiche, denn:

192.168.178.26 mit Netzmaske 255.255.255.0 = 192.168.178.0/24
192.168.178.100 mit Netzmaske 255.255.255.0 = 192.168.178.0/24

Hingegen:
192.168.178.26 mit Netzmaske 255.255.255.255 = 192.168.178.26/32
192.168.178.100 mit Netzmaske 255.255.255.255 = 192.168.178.100/32

Bei "Netzen" wäre das kleinste nutzbare ein /30er (ID+BC + 2 nutzbare IPs, meist GW+Host), Standard ist halt /24, aber wenn es gezielt "eine" Adresse sein soll, dann ist es normalerweise /32 (oder eben 255.255.255.255).

Dreh die Regeln (erste + zweite) doch einfach mal "um", vielleicht läuft dann einfach der gesamte Traffic über das VPN-Schweiz

 

[Diana]

Gesagt, getan. Das wäre mein Ergebnis mit ohne Erfolg:



Verbindungsliste:

Quell-Adresse	Ziel-Adresse	Prot.	Quell-Port	Ziel-Port	Rtg-Tag	Timeout	Flags	Filterregel	Quell-Route	Ziel-Route

192.168.178.26

172.xxx.xx.x

17

50747

443

1

29

80020008

MACVPN

INET_WWAN

Hier sollte eigentlich VPN-SCHWEIZ und nicht INET_WWAN stehen und genau das ist ja das Problem.

 

[blurrrr]

Hm, also wie gesagt, ich steck da jetzt nicht so im Lancom-Thema, aber unter https://knowledgebase.lancom-systems.de/display/KB/Policy+Based+Routing ist das ganze mit 2 DSL-Anschlüssen erklärt.

Im "groben" ist es das gleiche, wenn Du eine 2. Default-Route (0.0.0.0) auf das "VPN-Schweiz"-Interface legst. Das darf halt nur nicht die primär genutzte Default-Route sein (daher ja wohl auch die Sache mit den "Tags"). Ich würde sagen, schau Dir einfach nochmal o.g. Link an speziell ab dem Punkt "3.2 Konfiguration der Internet-Routen".

Wenn die Tags grundsätzlich die Routing-Tabellen unterscheiden und für Deinen Client z.B. Tag "1" gelten soll, dann taugt die initial genannte Routing-Tabelle auch nicht, denn dort ist ebenfalls als Default-Route (0.0.0.0) das Interface "INET_WWAN" angegeben, aber das soll so - wenn ich Dich richtig verstanden habe - ja so nicht sein.

Also:
Routing-Tabelle Tag "0" -> Default-Gateway INET_WWAN
Routing-Tabelle Tag "1" -> Default-Gateway VPN-SCHWEIZ

Dabei ist Tag1 dann halt nur gültig für die gewünschte Quell-IP (.26). Wie das zu konfigurieren ist, steht oben im Link ab Punkt 3.2

 

[Diana]

Danke, aber funktioniert so nicht wie in der Anleitung. Die Anleitung sorgt dafür, dass mein AP aus LAN1 verbannt wird und ich einmal auf LAN2 umstecken muss, damit ich überhaupt wieder Zugrif über das AP Netzwerk auf den Lancom bekomme.

Bin ich aber von dem Router gewohnt, dass man sich mal aussperrt und dann nur wieder über einen Reset auf den Router kommt. Schon mehr als 10 Mal mitgemacht, irgendwann muss schluss sein.

Kann ich taggen wie ich will - am liebsten einmal fest mit dem Hammer! Na ja, das hat sich wohl alles erledigt. Der Router muss weg. Nun verstehe ich, warum ich nach Baujahr 4 der dritte Besitzer bin. Keiner will ihn und kann ich gut verstehen. Kannst du mir was gescheites empfehlen, dass sich ohne Behinderung wie Lancom einrichten lässt? Wichtig ist VPN und QoS. Und mit Qos meine ich nicht so eine Missbildung wie AVM zu Stande gebracht hat^^

 

[blurrrr]

Wenn es nicht wie in der Anleitung funktioniert, ist entweder schon auf dem Weg etwas schief gelaufen, oder die Anleitung taugt nicht. So oder so würde ich aber mal einfach den Lancom-Support deswegen kontaktieren. Ansonsten... hatte bisher nie das Szenario für einen einzelnen Client, bzw. würde ich bei einem einzelnen Client vermutlich auch eher hingehen und sich den Client einfach beim Remote-Standort einwählen lassen.

Kannst ja mal hier reinschauen: https://learn.microsoft.com/de-de/w...network-security/vpn/vpn-auto-trigger-profile. Somit kannste halt direkt das VPN starten, sobald sich der Benutzer anmeldet. Ist jetzt nur für Windows, aber für andere Systeme gibt es auch ähnliche Möglichkeiten.

 

[Diana]

Es sind Clients, die nicht über Windows & Co. laufen, sondern mit einem OS, auf dem es gar keine VPN-Apps gibt > AppleTV. Auch wenn, wäre mir zu unzuverlässig. Ich kenne noch Zeiten, in denen ExpressVPN oder Cyberghost auf meinem iPhone mit einer App liefen. Die VPN Verbindung funktionierte nur mit der App und sowas will ich nicht, deshalb betreibe ich seitdem an Wireguard auf dem iPhone. Gibt's aber für AppleTV nicht.

Zum Test mache ich das erst mit meinem PC und dem Lancom.

Wie gesagt, auf der Fritzbox einmal Wireguard rauf, AppleTV oder Macbook auswählen, fertig. Kein VPN auf dem Client direkt einrichten, weil die Fritzbox das macht. Die wurde aber nun als AP missbraucht und kann deshalb kein VPN mehr.

 

[blurrrr]

Der Lancom kann doch mit VLANs umgehen, regel das doch einfach darüber. Dann werden die entsprechenden Geräte in ein eigenes Netz verfrachtet, auf dieses Netz wird dann ein regelbasiertes Routing angewendet. Ich würde aber initial erstmal den Lancom zurücksetzen und nochmal komplett von vorne anfangen. Im schlimmsten Fall "hätte" es mit der Anleitung funktioniert, aber vielleicht war vorher schon etwas verbastelt (schliesse ich bei mir auch nie aus ).

Btw weisst nicht, ob das hilft, aber ich bin grade noch über diesen Thread in Lancom-Forum gestolpert:
https://www.lancom-forum.de/fragen-...tp-tunnel-fuer-bestimmte-lokale-ip-t8039.html
Das ist so ziemlich genau das, was Du auch willst (nur halt via IPSec statt PPTP).

EDIT: So alternativ - um das lokale Netz noch etwas aufzubohren - der Lancom kann doch mit VLANs umgehen. Machste Dir einfach 2 Netze, Netz1 bekommt die normale Default-Route und Netz2 wird komplett via regelbasiertem Routing durch den Tunnel geschickt. Damit entfällt dann auch die ständige Nacharbeit, falls ein neues Gerät dazu kommt - einfach ins passende Netz setzen, fertig.

 

[Diana]

Nee hab ja IPSec mit XAUTH.
Ich mache da gar nix mehr^^
Aber danke dir für die Hilfe. Kein Mensch versteht, warum ETH1-4 auf LAN1 laufen und warum es überhaupt LAN1-4 gibt, wenn es schon ETH1-4 gibt. Standardmäßig ist das aber so eingestellt. Ich habe mal vor ner Woche VLAN aktiviert und hatte keinen Zugriff mehr auf den Router. Das reichte mir. Ich will den Router nicht zum 50. Mal innerhalb von 2 Wochen zurückgesetzen. Das so ne scheisse vor 4 Jahren neu 1700 Euro gekostet haben soll kann ich nicht nachvollziehen. Die Hardware ist geil, aber das OS ist eine Vollkatastrophe! Ich gebe das Thema auf. Tag 4 ist genug.

 

[blurrrr]

Das so ne scheisse vor 4 Jahren neu 1700 Euro gekostet haben soll kann ich nicht nachvollziehen.

Naja, soviel Geld gibt man eigentlich auch nur aus, wenn man a) weiss was man tut (nicht falsch verstehen!) und b) sich sowieso schon mit dem Produkt (oder dem OS darauf) entsprechend auskennt. Ich mein, der Sprung von einer Fritzbox zu einem Lancom (und da wirst Du mir sicherlich zustimmen) ist ja jetzt nicht grade ohne... Allerdings ist das LCOS - und das finde ich nach wie vor - schon echt extrem gewöhnungsbedürftig und meinen Geschmack trifft es mal so garnicht, aber jut, ich muss die Produkte ja auch nicht nutzen

Wenn es Dich nach alternativen dürstet... Zieh evtl. mal die Überlegung "Modem + Firewall" in Erwägung. Das man alles in "einem" Gerät hat, ist halt doch eher noch recht SOHO-lastig. Bei mir läuft z.B. zwar an vordester Front eine Fritzbox, aber direkt danach kommt eine Firewall und die ist eher der Dreh- und Angelpunkt in meinem Netzwerk. Die Fritzbox selbst macht eigentlich nur, was sie auch machen soll: 1) Internetzugang bereitstellen, 2) NAT-Maskierung für ausgehenden Traffic vornehmen.

Vielleicht schaust Du Dir einfach mal ein paar Alternativen an (im Hinblick auf Modem+Firewall oder Router+Firewall). Man muss bei weitem auch keine 1700€ ausgeben. Irgendwas einfaches an die Front (Modem, Fritzbox, was auch immer) zwecks Internetzugang, dahinter dann die Firewall und die regelt den Rest.

Mal grob in den Raum geworfen: pfSense, OPNsense, Mikrotik, Sophos (Home-Edition) + all die unzähligen anderen. Ich würde mir die Sachen erstmal von der Handhabung und Interface anschauen (muss Dir ja auch zusagen). Wenn das einigermaßen passt, musste halt noch schauen, dass Deine restlichen Anforderungen damit auch abgedeckt werden können. Also im besten Fall erstmal 2-3 raussuchen, Prio setzen und dann der Prio nach mal nach den persönlichen Anforderungen schauen (ggf. direkt nach Tutorials o.ä. Ausschau halten).

 

[Diana]

Crazy, ich habe deinen Rat befolgt und habe es geschafft. Ich bin dir total dankbar für diesen Tipp! Ob es nun am VLAN Tag liegt weiss ich nicht, jedenfalls lasse ich es genau so wie es nicht. Das versteht am Ende des Tages kein Mensch mehr. Zu Anfang habe ich mich mehrmals ausgesperrt und musste die ETH und LAN Ports in den Configs mit mehreren Resets hin und her switchen. Das ist nun folgendes Konstrukt:

AP hängt an ETH1 (LAN1) mit VLAN ID 1

Jeder ETH Port stand auf LAN1, weshalb ich die unten stehenden wie folgt angepasst habe:
ETH2 (LAN2)
ETH3 (LAN3)
ETH4 (LAN4)

So, jetzt hat ETH1 (LAN1) Routing Tag 1 unter DHCPv4 "IP Netzwerke" und nennt sich INTRANET.
Mein VPN hat in den Einstellungen Routing Tag 1 (sonst wird die VPN Verbindung erst nicht aufgebaut << ohne Internet >> )
Das IPv4-Routing sieht nun wie folgt aus:



Nun erhalte ich in der Verbindungsliste folgende Ergebnisse:

Auf dem Client 192.168.178.26 nutze ich Apple iCloud Private Relay. Wenn ich nun über Safari auf wieistmeineip.de nachsehe, sehe ich die IP des Private Relays, statt des VPNs, aber in anderen Browsern oder über "curl ifconfig.me" sehe ich die VPN IP. Ist das nun ein Bug oder ein Feauture? Ich kenne es so: Die IP Adresse des verbundenen VPNs wird angezeigt. Für mich wirkt es so, als würde irgendwo Datenverkehr "durchtröpfeln" obwohl ich als Netmask 255.255.255.255 verwende??

Naja, soviel Geld gibt man eigentlich auch nur aus, wenn man a) weiss was man tut (nicht falsch verstehen!) und b) sich sowieso schon mit dem Produkt (oder dem OS ) entsprechend auskennt. Ich mein, der Sprung von einer Fritzbox zu einem Lancom (und da wirst Du mir sicherlich zustimmen) ist ja jetzt nicht grade ohne... Allerdings ist das LCOS - und das finde ich nach wie vor - schon echt extrem gewöhnungsbedürftig und meinen Geschmack trifft es mal so garnicht, aber jut, ich muss die Produkte ja auch nicht nutzen

Gekauft habe ich den nur wegen QoS, was über LTE dann doch nicht richtig, bzw. gar nicht funktioniert und habe mir nun einen Glasfaseranschluss zugelegt, der nun die nächste Woche kommt. Ich find die Hardware eben geil, weil das Model SPF, ADSL/VDSL, LTE und sogar noch ISDN kann, also quasi ein High End Gerät, zumindest in meinen Augen. Schade finde ich einfach das LCOS, das wie erwähnt eine Vollkatastrophe ist und die Anleitungen mehr als bescheiden/ beschissen sind. Was da auf mich zukommt hätte ich nicht gedacht und wie du sagst - es ist nicht ohne. Ich habe auch kein Bock, dass der VPS, den ich leider nicht mal beim Anbieter verschlüsseln kann, Zugriff auf meinen Router bekommt. Professionell wirken die jedenfalls nicht auf mich und sitzen irgendwo in Rumänien mit IP Adressen im entsprechenden Land, was nicht heisst, dass dort auch die Server stehen. Ich kann auch GEO IPs anpassen lassen, sodass ein "vertrauenswürdiges" Land angezeigt wird, aber steht in Russland (Beispiel). Da muss ich mich nochmal dahinter klemmen, was die VPN Verbindung alles darf und was nicht. Die AppleTVs sollen eigentlich nur wegen dem Geo Blocking darüber laufen. Auf das INTRANET hat das hoffentlich keinen Zugriff. Jedenfalls funktionieren Pings vom VPN Server auf den Client nicht.

Da die NAT-Maskierung ansprichst, da muss ich mich echt noch reinarbeiten, was das bedeutet, was es genau macht und in welchen Szenario ich das einzusetzen habe. Bin ich wohl oder übel mit einem Lancom gezwungen. In der Fritzbox tauchen solche Begriffe gar nicht auf, da macht man eine Portweiterleitung oder eben nicht. Meist kann man das ja eh nicht nutzen, wenn du einen CGN zwischen dir und dem Ziel hast, so zumindest in meinem Fall.

 

[blurrrr]

jedenfalls lasse ich es genau so wie es nicht. Das versteht am Ende des Tages kein Mensch mehr.

Das ist schon ganz ok, schlussendlich musst ja "Du" damit klar kommen und niemand sonst Was die VLAN-Thematik angeht, könntest Du mal hier und hier reinschnuppern. Einfach nur, damit Du mal eine grobe Vorstellung davon bekommst. Ich habe bei mir privat derzeit 17 Interfaces auf der Firewall, davon das meiste halt als VLAN.

Auf dem Client 192.168.178.26 nutze ich Apple iCloud Private Relay. Wenn ich nun über Safari auf wieistmeineip.de nachsehe, sehe ich die IP des Private Relays, statt des VPNs, aber in anderen Browsern oder über "curl ifconfig.me" sehe ich die VPN IP. Ist das nun ein Bug oder ein Feauture?

Das ist dann ein Layer8-Problem (Laut OSI-Schichtenmodell gibt es nur 7 Layer, Du bist dann Layer 8 (nicht persönlich nehmen!)). Schau mal hier rein: https://support.apple.com/de-de/102602. Dort wird auch beschrieben, wie Deine iCloud-Relay-Geschichte funktioniert. Grundsätzlich heisst es erstmal, dass im Hinblick auf DNS-Anfragen schon ein anderweitiger DNS-Server genutzt wird (ggf. auch nur innerhalb von Safari) und die Webseiten-Aufrufe von Safari nochmal über einen Proxy gehen. Ob das nun via VPN oder nicht passiert, ist nochmal ein ganz anderes Thema (irgendwie müssen die Pakete ja auch die Wege zum Apple-DNS/-Proxy finden - wenn der "normale" Traffic aber durch das VPN läuft, wird es beim Relay auch so sein, nur halt mit dem Ergebnis, dass am Ende des Weges wieder zusätzliche Systeme stehen, welche dann dazu benutzt werden, den Grad an Anonymität zu erhöhen).

Gekauft habe ich den nur wegen QoS

QoS gilt dann aber auch nur innerhalb Deiner Infrastruktur und nirgendwo sonst. Sobald der Router die Pakete ins "Internet" schickt, ist direkt wieder Schicht im Schacht mit QoS (ausser der ISP hat noch entsprechendes für bestimmte Dinge laufen).

Da die NAT-Maskierung ansprichst, da muss ich mich echt noch reinarbeiten, was das bedeutet, was es genau macht und in welchen Szenario ich das einzusetzen habe.

Naja, wenn Du erstmal die Begriffe "IP-Adresse" und "IP-Netzwerk" hast, geht es ganz schnell weiter. Da kommen dann NAT (Quell-NAT/Source-NAT aka SNAT und Ziel-NAT/Destination-NAT aka DNAT) ins Spiel. Klar, auf der Fritzbox siehst Du davon nichts, ABER... Du benutzt es schon. Dabei ist es recht einfach erklärt (auch wenn es noch andere Varianten gibt), hier mal die 2 mit denen Du sowieso schon zu tun hast:

NAT = Network Address Translaten -> Netzwerk-Address-Übersetzung

1) Quell-NAT: Die Quell-IP von Paketen wird umgeschrieben. Wer macht sowas schon? Dein Router (egal ob Lancom oder Fritzbox). Die Pakete von internen IPs (z.B. 192.168.178.100) werden im Quell-Feld des IP-Header auf z.B. die öffentliche IP des Routers umgeschrieben. Würdest Du mir ein Paket von der 192.168.178.100 schicken, ich wüsste doch garnicht, wohin ich die Antwort schicken soll. Kommt dieses Paket aber von Deiner öffentlichen IP, kann ich von meiner Seite aus die Antwort an Deine öffentliche IP schicken. Dein Router merkt sich das dann auch und schickt die eingehende Antwort dann wieder an den entsprechenden Client.

2) Ziel-NAT: Wer hätte es gedacht... Die Ziel-IP wird umgeschrieben. Kennst Du auch schon und hast Du vermutlich auch schon mal benutzt: Die Portweiterleitung. Du hast bei Dir einen Service laufen und erstellst auf dem Router eine Portweiterleitung. Warum die Weiterleitung? Weil ich Deine interne IP nicht direkt von aussen ansprechen kann. Also ist mein Ansprechpunkt die öffentliche IP Deines Routers und dieser kriegt - via Portweiterleitung - die Anweisung, dass Pakete auf Port z.B. 443 an die interne IP 192.168.178.x in Deinem LAN weitergeleitet werden.

Das ist allerdings alles recht IPv4-lastig, mit IPv6 bekommst Du intern i.d.R. auch direkt öffentliche IPs, womit es eigentlich keine Port"weiterleitung" mehr gibt, sondern nur noch den Firewall-Teil in Form einer Port"freigabe". Die Portweiterleitung auf der Fritzbox erledigt somit eigentlich 2 Dinge (die auf z.B. Lancom-Geräten einzeln zu behandeln wären, weiss ich grade nicht genau, aber bei vielen Firewall-Systemen wäre es so)...:

1) NAT-Konfiguration (z.B. DNAT im Sinne einer Portweiterleitung)
2) Anlage einer Firewall-Regel, die den Zugriff überhaupt erst möglich macht

Also NAT alleine reicht i.d.R. nicht, es muss dazu auch schon eine passende Firewall-Regel existieren. Aber das alles nur mal so am Rande.

Da muss ich mich nochmal dahinter klemmen, was die VPN Verbindung alles darf und was nicht.

Wenn Du irgendwelche public-Geschichten nutzt, ist es eigentlich ganz einfach (und rein Firewall-basiert)...:

1) Deine Netze dürfen raus
2) Nichts darf via VPN rein (bzw. auf Deine internen Netze und auch nicht auf Deinen Router zugreifen)

Weiss grade nicht genau wie es sich beim Lancom verhält, aber normalerweise ist es so, dass nur Pakete wieder rein dürfen, welche vorher von innen angefordert wurden. Normalerweise sind dann die "Antwort"-Pakete auch zugelassen, wenn Du erlaubt hast, dass "intern" via VPN nach draussen darf. Wichtig ist halt nur, dass die von extern nicht zu Dir ins Netz dürfen (mit einer initialen/aufbauenden Verbindung). Fachlich wäre es ein "SYN" im Header, aber das führt an dieser Stelle auch etwas zu weit. Cloudflare hat dazu rechgt kurz etwas geschrieben (falls es Dich interessiert), kannste mal hier reinschauen.

 

[Diana]

Vielen Dank, jetzt verstehe ich wofür das nötig ist. Also ist das Maskierung, wenn ich das richtig verstehe.

Beispielsweise ich maskiere den Client 192.168.178.26, dann wird er hinter der öffentlichen IP versteckt und könnte mit einer zusätzlichen Firewall Regel, bzw. Portweiterleitung von außen angesprochen werden. Bitte korrigiere mich, wenn ich das von dir neu erlernte durcheinander geworfen haben sollte.

Na ja ich finde es schon seltsam, dass Private Relay da noch eine Möglichkeit hat. Direkt auf dem Mac mit Cisco IPsec oder Wireguard tritt das nicht auf, nur wenn der Lancom das VPN bereitstellt.

Jedenfalls schon mal sehr cool, dass das mit dem VPN Routing schon mal geklappt hat. Beide AppleTVs laufen schon darüber ohne Probleme. Jetzt kann der Glasfaseranschluss kommen. In 2 Tagen ist es nun soweit. Falls es immer noch Unterbrechungen in der Telefonie auf Grund der beiden AppleTVs geben soll, werde ich mal beim neuen ISP anfragen, ob die VoIP priorisieren. Ich portiere dann sowieso meine Rufnummern von Easybell dorthin.

 

[blurrrr]

Das mit der Maskierung hast Du schon richtig verstanden, bei einer Fritzbox sieht es halt so aus:

SNAT = 192.168.178.0/24 -> SNAT -> WAN-IP der Fritzbox (z.B. 12.34.56.78). Schickt nun ein Client (z.B. 192.168.178.100) aus dem Fritzbox-Netz ein Paket in Richtung Internet wird am Router die Quell-IP des Paketes umgeschrieben (statt 192.168.178.100 wird es dann zu 12.34.56.78). Bei der Portweiterleitung in der Fritzbox wäre es dann eben das DNAT und die Ziel-IP im Paket wird umgeschrieben.

Na ja ich finde es schon seltsam, dass Private Relay da noch eine Möglichkeit hat. Direkt auf dem Mac mit Cisco IPsec oder Wireguard tritt das nicht auf, nur wenn der Lancom das VPN bereitstellt.

Ich denke, Du bringst da ein paar Dinge durcheinander. Wir hatten das Thema hier letztens erst noch bzgl. Chrome (Browser) und dessen Eigenart einfach selbst irgendwelche DNS-Server zu bestimmen (also nicht die zu nutzen, welche das System als solches nutzt). Das wird dann vermutlich beim Safari ganz ähnlich sein. Grundsätzlich bekommt das System halt DNS-Server und Gateway zugewiesen (i.d.R. via DHCP vom Router). Ist soweit klar. Damit sollte "eigentlich" der DNS-Server genutzt werden, welchen das System nun zugewiesen bekommen hat. Chrome aber z.B. (und vermutlich Safari mit Relay-Gedöns ebenso) greifen aber mitunter auf "eigene" DNS-Server zurück (interessieren sich also nicht dafür, welche DNS-Server das System selbst vorgibt).

Das ist das eine, das andere wäre dann noch ein Proxy. Das kannst Du Dir "ganz grob" (aber wirklich nur GANZ grob ) wie Deine VPN-Schweiz-Geschichte vorstellen. Das gilt dann aber vermutlich auch "nur" für den Safari. Anstatt jetzt bei "google.de" den lokalen DNS-Server zu befragen und die Pakete direkt zum Server (google.de) zu schicken, wird erstmal die IP über einen eigenen DNS-Server aufgelöst (Punkt 1) und zum anderen werden die Pakete eben "nicht" direkt zum Zielserver geschickt, sondern zu einen Proxy. Du redest nur mit dem Proxy und der Proxy redet mit Deinem Zielserver (und reicht die Dinge eben durch). Somit sieht auch niemand Deine eigentliche IP, sondern der Zielserver sieht nur die öffentliche IP vom Proxy (Punkt 2).

Deswegen ist dann mit der Relay-Geschichte auch nicht die IP aus der Schweiz (oder sonst eine unter Deinen Fittichen) zu sehen, sondern vermutlich die vom Proxy.

Direkt auf dem Mac mit Cisco IPsec oder Wireguard tritt das nicht auf, nur wenn der Lancom das VPN bereitstellt.

Das finde ich jetzt allerdings etwas merkwürdig und kann dazu auch nichts sagen, da ich a) diese Dinge allesamt nicht nutze (die Grundlagen aber bekannt sind) und b) das genaue Setup jetzt auch nicht kenne. Wenn aber diese Dinge z.B. direkt auf dem Mac laufen, dann sollte es überhaupt keine Rolle spielen, denn der Proxy ist - so oder so - involviert, was bedeutet: egal ob die Pakete über Deutschland oder die Schweiz laufen, sie laufen erstmal zum Proxy (halt vermutlich nur, wenn der Safari genutzt wird). VPN oder nicht - es ist nur die "Strecke", beim Einsatz eines Proxy ist der Proxy das "Ziel".

Falls es immer noch Unterbrechungen in der Telefonie auf Grund der beiden AppleTVs geben soll

Das sollte eigentlich keine Rolle spielen bzw. halt je nachdem wo wie was läuft. Die Telefonie läuft ja i.d.R. auf dem Router, welcher auf dem WAN-Interface die Telefonie laufen hat. Sollte das nicht der Fall sein, kannst Du mit CoS und QoS halt noch nachjustieren. Wobei Sprache klassentechnisch sowieso vor Video ist. Ist aber auch immer die Frage, was genau vor Ort ist und welche Möglichkeiten hat. Kannst ja mal hier reinschauen, da gibt es noch ein paar weiterführende Infos dazu.

Ich portiere dann sowieso meine Rufnummern von Easybell dorthin.

Achso, Deine Rufnummern bzw. der SIP-Trunk liegt noch woanders und garnicht bei Deinem ISP? Dann ist es ja quasi wie bei mir... Keine Ahnung, ob dem so ist, aber evtl. hat der Lancom etwas in Richtung "SIP-Support/-Unterstützung", sowas habe ich eigentlich immer aus, da sowas auch immer mal wieder Probleme bereiten kann. Wenn der Traffic dann noch durch ein VPN geht, kann das auch eher semi-nett sein (nur falls es bei Dir so sein "sollte"). Ansonsten sind die Doppel-NAT-Geschichten auch immer gern ein Showstopper. Also jetzt einfach mal grob ein paar Dinge in den Raum geworfen...

 

[Diana]

Mein Cisco läuft über einen SBC, der den RTP-Datenstrom direkt zur PBX tunnelt. Die Telekom ist ein Kandidat, die das im Company Flex sehr gut umsetzen können soll, was Sprachpriorisierung angeht. Bei der Fritte ist das so eine Geschichte. Da kommt QoS erst zum Einsatz, wenn die Bandbreite komplett ausgelastet ist, ABER wenn ich einen Speedtest starte und gleichzeitig telefoniere, interessiert das die Fritzbox nicht im geringsten und lässt den Ping für VoIP in die Höhe springen. Das Jitter liegt dann schon mal gerne bei über 30ms, aber eben alles über LTE. War aber die richtige Entscheidung, denn ich wohne an der Grenze und zahle beim Schweizer ISP nur 20 FR für unlimitierte Daten die über 4G+ wohl bis zu 750 Mbit/s laufen sollten. Habe ich nur an keinem Standort per Speedtest messen können. Ich komme auf maximal 80 Mbit/s im Download u d das auch nur bei minimaler Auslastung der Funkzelle oder sonstige Faktoren. Tagsüber sind es zwischen 30-40 Mbit/s. Dann kannst du dir ja den Ping vorstellen, bei 2 AppleTVs, von denen einer 1080p und der andere 4K ist. Wie der zweite mit 4K streamt weiß ich nicht, kommt auf den Streamingdienst an, denn man kann nur automatische oder beste Bildqualität auswählen. Was dahinter steckt ist mir nicht bekannt. Fakt ist, wenn die TVs pausiert sind, reicht die Bandbreite logischerweise für VoIP Gespräche. Ich bin mit dem neuen Anschluss gespannt. Ich will den Lancom dann so priorisieren, dass für Telefonie und die AppleTVs eine Bandbreite reserviert wird, sodass meine Machenschaften am PC nicht zu Unterbrechungen führen!

Danke nochmals für die Links. Da werde ich mich im Laufe des Tages bei einem Kaffee einmal genauer einlesen.