SSL-VPN steht, jedoch kein Zugriff auf interne Freigaben

RE: SSL-VPN steht, jedoch kein Zugriff auf interne Freigaben

Tabaluga73 — Wed, 08 Mar 2023 15:13:49 GMT

Ich geb ja noch nicht so ganz auf... Wenngleich ich glaube, dass es eventuell an der Fritzbox liegt?

Was ich noch festgestellt habe: Wenn ich mit dem VPN eingeloggt bin und mein Handy eine virtuelle IP zugewiesen bekommen hat, so kann ich diese IP von meinem Fritzboxnetz per PING erreichen.

Ebenso wie die 192.168.2.1 resp. 192.168.2.254.

Warum geht es dann nicht in die andere Richtung, wenn ich von meinem Handy die 192.168.3.1 aufrufen möchte? Wo doch extra eine stat. Route eingerichtet wurde?

RE: SSL-VPN steht, jedoch kein Zugriff auf interne Freigaben

Tabaluga73 — Sat, 04 Mar 2023 22:30:38 GMT

Hm, und genau da macht die Fritzbox nicht mit. Es kommt die Fehlermeldung:

“Es ist ein Fehler aufgetreten. Fehlerbeschreibung: Die Route ist nicht zulässig.“

Als Erklärung finde ich hierzu: „Die IP-Adresse, die Sie für "Gateway" angegeben haben, liegt außerhalb des IP-Adressbereichs des Heimnetzes.“ 😔

Liegt das daran, dass die Fritzbox die UTM als externes Modem zum Verbindungsaufbau nutzt? Ich verzweifle so langsam…

RE: SSL-VPN steht, jedoch kein Zugriff auf interne Freigaben

PhilippRusch — Sat, 04 Mar 2023 21:43:03 GMT

Nein, falsch gedacht. Der Trick ist, jeder Router hat normalerweise zwei „Beine“. Ein Bein, mit dem er in dem einen Netz steht und eines in dem anderen. Das Gateway ist also die 192.168.2.1.

RE: SSL-VPN steht, jedoch kein Zugriff auf interne Freigaben

Tabaluga73 — Sat, 04 Mar 2023 21:18:54 GMT

Gute Frage 🤔 Ich hätte jetzt eine statische Route in der Fritzbox eingerichtet. Der Logik oben folgend, müsste diese dann ja umgekehrt gerichtet sein:

Die Frage ist, welches Gateway nutze ich hier? Ich hätte gedacht, 192.168.3.1 ginge (quasi IP der Fritzbox und der DNS), aber das produziert einen Fehler. Die 192.168.2.254 kann er (logischerweise) nicht nehmen, da es sich in einem anderen Netz befindet.

Aber welche IP nutze ich dann in dem 192.168.3.0?

RE: SSL-VPN steht, jedoch kein Zugriff auf interne Freigaben

PhilippRusch — Sat, 04 Mar 2023 20:03:06 GMT

Fast am Ziel! Die Route rückwärts muss auch bekannt sein. Also wie kommen die Pakete von 192.168.3.x nach 10.242.2.x ?

RE: SSL-VPN steht, jedoch kein Zugriff auf interne Freigaben

Tabaluga73 — Sat, 04 Mar 2023 18:00:19 GMT

Klasse, Herr Rusch, genau wie von Ihnen skizziert stellt sich meine Konfiguration dar! Vielen Dank für Ihre Mühen hier!

Leider... bedingt das keine Änderung im Verhalten. Ich verzweifle so langsam. Die Zugriffe im Firefox vom Handy funktionieren nach wie vor ins Internet und auf die 192.168.2.x, aber sobald ich die 192.168.3.1 aufrufe (Webseite der Fritzbox), bekomme ich "The request timed out. NSURL ErrorDomain". Auch meine NAS auf einer anderen IP wird nicht angesteuert.

Mal laut gedacht, weiß nicht, ob ich da einen Denkfehler mache...

Für die Fritzbox ist die Adresse 192.168.2.254 ja quasi die "public IP", da sie die UTM ja als Modem nutzt. Wenn nun aus diesem "Internet" Pakete kommen, die an eine IP-Adresse ins Heimnetz gehen, kann sie diese dann korrekt zuordnen?

Das hier steht als letztes im SSL-Protokoll:

PUSH_REPLY,route-gateway 10.242.2.1,route-gateway 10.242.2.1,topology subnet,ping 10,ping-restart 120,route 192.168.3.0 255.255.255.0,route 192.168.2.0 255.255.255.0,ifconfig 10.242.2.2 255.255.255.0' (status=1)

RE: SSL-VPN steht, jedoch kein Zugriff auf interne Freigaben

PhilippRusch — Sat, 04 Mar 2023 15:57:15 GMT

Ein Netzwerkdiagramm hilft in so einem Fall immer:

Dann sollte das SSL-VPN Profil so aussehen:

Dann erhält man "ALLOW"-Regeln auf die beiden internen Netze.

RE: SSL-VPN steht, jedoch kein Zugriff auf interne Freigaben

Tabaluga73 — Sat, 04 Mar 2023 13:29:36 GMT

Hallo,

ja, m.E. habe ich das doch schon, indem ich die UTM als externes Modem in der Fritzbox konfiguriert habe, die auf die UTM über die 192.168.2.254 zugreift (die normalen Verbindungen funktionieren so ja...):

oder muss ich das für den VPN noch einmal erneut machen, also so:

Der VPN kennt das 192.168.2.0-Netzwerk, da ich hier z.B. auf den Webserver der UTM zugreifen kann. Was also, wenn ich es richtig verstanden habe, gebraucht wird, ist, dass dem VPN auch die 192.168.3.0 bekannt gemacht wird, richtig?

Das mache ich dann so?

Fritzbox_intern wäre 192.168.3.0; Internal wäre 192.168.2.0...

oder so?

Sorry für die intesive Beatmung und danke für die Unterstützung!

RE: SSL-VPN steht, jedoch kein Zugriff auf interne Freigaben

PhilippRusch — Sat, 04 Mar 2023 12:56:13 GMT

Hallo,

wir haben hier drei Netze: internes LAN: 192.168.3.0 /24, dann ein Transfernetz von der Fritzbox zur UTM: 192.168.2.0 /24 und dann das VPN-Client Netzwerk. Jetzt kommt es darauf an, wer mit wem direkt verbunden ist. Dann wird keine statische Route benötigt, weil direkt verbunden = Route ist bekannt. Wenn dagegen ein Netzwerk erst durch ein anderes Gateway erreicht werden kann, dann muss ich eine statische Route legen. Das geht aber nur über ein direkt verbundenes Gateway, also ist die 192.168.3.1 oben falsch. Das muss eine 192.168.2.x Adresse sein, über die die Fritzbox die UTM erreicht.

Bei Fragen: einfach fragen!

RE: SSL-VPN steht, jedoch kein Zugriff auf interne Freigaben

Tabaluga73 — Sat, 04 Mar 2023 12:35:16 GMT

Hallo Herr Rusch,

vielen Dank für Ihr Feedback. Ich bin leider noch nicht so firm mit den Netzwerken, wie ich es gerne wäre. Daher, damit ich nichts falsch mache, noch einmal ein paar Verständnisfragen und eine Info noch zum Netzwerk:

Die UTM ist quasi als externes Modem in der Fritzbox integriert. Ihre Anbindung erfolgt dabei über 192.168.2.254 an das UTM.

Das statische Routing in der UTM wäre dann ein Gateway-Routing, aber von wem auf wen?

Nehme ich den VPN Pool (SSL)=10.242.2.0 oder INTERNAL (Network)=192.168.2.0?

Als Ziel wäre dann die IP-Adresse der Fritzbox zu nehmen (192.168.3.1)?

Innerhalb der Fritzbox kann ich ein zusätzliches Routing aufbauen. Wäre dann das hier richtig?

Ein "Allow" bedeutet dann eine Firewallregel? INTERNAL->FRITZBOX?

Besten Dank,

Tabaluga73

RE: SSL-VPN steht, jedoch kein Zugriff auf interne Freigaben

PhilippRusch — Sat, 04 Mar 2023 11:55:21 GMT

Zusätzlich zum Routing müssen dazu natürlich auch "Allow" Regeln definiert werden.

RE: SSL-VPN steht, jedoch kein Zugriff auf interne Freigaben

PhilippRusch — Sat, 04 Mar 2023 11:54:39 GMT

Hallo,

du hast ein Routing-Problem. Deine internen Geräte sind hinter der Fritzbox mit der 192.168.3.1 als Gateway. Daher muss des Netzwerk 192.168.3.0/24 den VPN Clients erstaml beaknnt sein und sie müssen das Gateway dorthin kennen. Umgekehrt gilt das natürlich auch.

Du must also in der Fritzbox eine zusätzliche Route anlegen und in der UTM den VPN-Clients mitteilen, dass es ein weiteres netzwerk gibt (statische Route).

RE: SSL-VPN steht, jedoch kein Zugriff auf interne Freigaben

Tabaluga73 — Sat, 04 Mar 2023 09:32:33 GMT

Hallo noch einmal,

ich habe folgendes herausfinden können: Ich komme mit dem VPN sowohl in das Internet, als auch auf die IP-Range der UTM, sprich, ich kann über 192.168.2.1 die Webkonfiguration der UTM aufrufen. Ein Sprung weiter auf die 192.168.3.1 gelingt aber nicht.

Der vituelle VPN-Pool, den ich unter Remote Access->SSL-> Settings definiere, scheint dabei irrelevant zu sein. Weder der Standard-Pool 10.242.2.0 oder ein eigener Pool auf 192.168.3.248/29 ändert am Verhalten nichts. OpenVPN zeigt mir entsprechend als IP-Adresse 10.242.2.2 bzw. 192.168.3.250 an.

Demnach scheint die IP-Adresse, die dem VPN zugewiesen wird, irrelevant für das interne Handling zu sein? Oder wie kann ich mir es sonst erklären, dass, obwohl ich mich im IP-Bereich der Fritzbox befinde, ich diese nicht erreichen kann?

In der Firewall habe ich beide Pools auf die internen Schnittstellen freigegeben:

Welcher Schritt fehlt, damit der VPN auch auf das interne Netzwerk der Fritzbox zugreifen kann?