2 Netze an VPN vorbei ins Lan

markus0815

New Member
Hi,

ich habe mir einen kleinen VPN Router gebastelt.

Das Netz meiner Fritzbox ist das 192.168.178.0/24

Mein kleiner VPN Router Eth0 192.168.178.2, Eth1 192.168.200.1

Rechner aus dem VPN Netz 192.168.200.0/24

Iptables:

Code:
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
iptables -A FORWARD -i tun0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth1 -o tun0 -j ACCEPT
Läuft super soweit.

Nun würde ich gerne von Rechner 192.168.200.100 auf ein NAS 192.168.178.100 zugreifen.

In der Fritzbox habe ich die Statische Route von 192.168.178.0 nach 192.168.200.0 eingerichtet.

Ping von 192.168.200.100 nach 192.168.178.100 funktioniert auch.

Nur was hab ich vergessen bzw. nicht beachtet, das ich auch auf das NAS per Netzwerkfreigabe oder Webinterface zugreifen kann?

Wäre super wenn mich da mal jemand aufklären könnte.

Danke und nen schönen Tag noch.
Grüße
 

marce

Active Member
wenn Ping hin und zurück geht sollte von Netztechnischen erst mal alles ok sein.

Da würde ich vermuten, daß dann in der Konfig des NAS eine Beschränkung auf IP-Ranges vorliegt.
 

danton

Debian User
Wenn mich mein angestaubtes iptables-Wissen nicht im Stich gelassen hat, dann verwendest du NAT von deinem VPN-Netz ins Netz der Fritzbox. Damit ist eine Route auf der Fritzbox für das VPN-Netz gar nicht notwendig, sondern evtl. sogar kontraproduktiv. Es sollte reichen, auf deinem VPN-Gateway das Routing zu konfigurieren und dann eine statische Route auf der Fritzbox für das Netz 192.168.200.0 mit dem Ziel 192.168.178.2!
Dann natürlich erst mal die einfachen Tests: Lässt sich die NAS aus dem VPN-Netz überhaupt anpingen?
 

markus0815

New Member
Hi,

erstmal Danke für eure Antworten.

wenn Ping hin und zurück geht sollte von Netztechnischen erst mal alles ok sein.

Da würde ich vermuten, daß dann in der Konfig des NAS eine Beschränkung auf IP-Ranges vorliegt.


Dies ist es leider nicht, da ich aus einem 3ten Netz drauf zugreifen kann.
Wenn mich mein angestaubtes iptables-Wissen nicht im Stich gelassen hat, dann verwendest du NAT von deinem VPN-Netz ins Netz der Fritzbox. Damit ist eine Route auf der Fritzbox für das VPN-Netz gar nicht notwendig, sondern evtl. sogar kontraproduktiv. Es sollte reichen, auf deinem VPN-Gateway das Routing zu konfigurieren und dann eine statische Route auf der Fritzbox für das Netz 192.168.200.0 mit dem Ziel 192.168.178.2!
Dann natürlich erst mal die einfachen Tests: Lässt sich die NAS aus dem VPN-Netz überhaupt anpingen?
Das hört sich interessant an ... muss ich mir mal anschauen.

Ich habe mir da auch was überlegt.
Und zwar hab ich beim NAS mit dem Befehl.

Code:
sudo ifconfig eth0:0 192.168.200.50 netmask 255.255.255.0
ein 2tes Interface erstellt und ein Kabel von Switch1 nach Switch2 verlegt. (Siehe Bild Anhang)

Gute Idee? Oder eher sehr beschissen?

Wenn ich jetzt an dem PC das SG weglasse dann kann ich wirklich auf das NAS zugreifen. Allerdings nicht mehr in Internet surfen.
Wenn ich das SG eintrage dann kann ich nicht mehr auf das NAS zugreifen aber dafür im Internet surfen.

Könnte es klappen wenn ich bei dem Eth0:0 noch ein SG 192.168.200.1 eintrage?

Was würdet ihr als Lösung am besten finden?

Grüße und einen schönen guten Morgen.:confused: :)
 

Attachments

markus0815

New Member
Hi,

erstmal Danke für eure Antworten.

wenn Ping hin und zurück geht sollte von Netztechnischen erst mal alles ok sein.

Da würde ich vermuten, daß dann in der Konfig des NAS eine Beschränkung auf IP-Ranges vorliegt.


Dies ist es leider nicht, da ich aus einem 3ten Netz drauf zugreifen kann.
Wenn mich mein angestaubtes iptables-Wissen nicht im Stich gelassen hat, dann verwendest du NAT von deinem VPN-Netz ins Netz der Fritzbox. Damit ist eine Route auf der Fritzbox für das VPN-Netz gar nicht notwendig, sondern evtl. sogar kontraproduktiv. Es sollte reichen, auf deinem VPN-Gateway das Routing zu konfigurieren und dann eine statische Route auf der Fritzbox für das Netz 192.168.200.0 mit dem Ziel 192.168.178.2!
Dann natürlich erst mal die einfachen Tests: Lässt sich die NAS aus dem VPN-Netz überhaupt anpingen?
Das hört sich interessant an ... muss ich mir mal anschauen.

Ich habe mir da auch was überlegt.
Und zwar hab ich beim NAS mit dem Befehl.

Code:
sudo ifconfig eth0:0 192.168.200.50 netmask 255.255.255.0
ein 2tes Interface erstellt und ein Kabel von Switch1 nach Switch2 verlegt. (Siehe Bild Anhang)

Gute Idee? Oder eher sehr beschissen?

Wenn ich jetzt an dem PC das SG weglasse dann kann ich wirklich auf das NAS zugreifen. Allerdings nicht mehr in Internet surfen.
Wenn ich das SG eintrage dann kann ich nicht mehr auf das NAS zugreifen aber dafür im Internet surfen.

Könnte es klappen wenn ich bei dem Eth0:0 noch ein SG 192.168.200.1 eintrage?

Was würdet ihr als Lösung am besten finden?

Grüße und einen schönen guten Morgen.:confused: :)
 

danton

Debian User
Wenn du die beiden Switche mit einem Kabel verbindest, ist dein VPN-Gateway übrig. Du musst die beiden Netze physikalisch getrennt lassen. Du musst also zwingend eine zweite echte Netzwerkkarte in deinem NAS haben, die du mit deinem 2. Switch verbinden könntest.
Was ich meinte: Kein NAT per iptables, sondern Routing auf dem VPN-Gateway aktivieren und normal ohne NAT routen - du kannst ja schließlich Routen zu anderen Netzen in der Fritzbox konfigurieren.
Und dann noch mal, einen Schritt nach dem anderen. Überprüfe als erstes, ob dein NAS aus dem VPN-Netz überhaupt IP-technisch erreichbar ist - das klappt ganz einfach mit einem Ping. Solange nicht mal das klappt, wirst du keinen Zugriff auf dein NAS aus dem VPN-Netz bekommen.
 

Top