Fritzbox: Von Wlan aufs interne Netz zugreifen

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
xkky
Beiträge: 9
Registriert: Mo 13.08.2018, 12:58

Fritzbox: Von Wlan aufs interne Netz zugreifen

Beitrag von xkky »

Guten Tag,

in unserem Büro haben wir folgende Konstellation:

Fritzbox (192.168.178.1) -> UTM (192.168.0.1) -> Netzwerk mit WTS

Diverse Geräte sollen nun über das Fritzbox-Wlan auf das WTS zugreifen. Was muss ich wo einstellen, damit die Verbindungen der Rechner im Wlan durchgelassen werden?

Vielen Dank für die Hilfe!

Svenja
Beiträge: 85
Registriert: Mo 16.04.2018, 12:00

Beitrag von Svenja »

Hallo xkky,

zunächst einmal muss in der Fritzbox eine Route eingetragen werden, damit diese weiß, wo sich das WTS Netz befindet (also auf die IP der UTM im Fritzbox-Netz).
Dann solltest du ein Netzwerkobjekt erstellen, dass das Fritzbox-Netz abbildet (z.B. Name: fritz-net -> Typ: Netzwerk (Adresse) -> Adresse: 192.168.178.0/24 -> Zone: external).
Ggf. auch noch ein Netzwerkobjekt für den WTS, wenn noch nicht vorhanden.
Zuletzt brauchst du eine Portfilterregel, die den Zugriff aus dem Fritzbox-Netz auf den WTS mit den benötigten Diensten erlaubt.

ACHTUNG: Bitte nicht statt dem Netzwerkobjekt fritz-net das Netzwerkobjekt internet verwenden. Dann haben ALLE IP-Adressen, die irgendwie in das Fritzbox Netz gelangen auch Zugriff auf deinen WTS!

Antwortet der WTS aus dem WLAN dann nicht, könnte das an den Sicherheitsrichtlinien liegen. Windows antwortet nicht immer gerne auf "unbekannte" Netzwerke ;-)

Grüße
Svenja

xkky
Beiträge: 9
Registriert: Mo 13.08.2018, 12:58

Beitrag von xkky »

Guten Tag,

vielen Dank für die ausführliche Antwort!
Ich habe nun auf der Fritzbox folgende Route erstellt:
Netzwerk: 192.168.0.0 (Netz der UTM am eth1)
Subnet: 255.255.255.0
Gateway: 192.168.178.20 (Adresse der UTM)

Ich habe das Netzwerkobjekt fritz-netz erstellt, mit der Adresse 192.168.178.0 und der Zone external.
Als Portregel fritz-netz als Quelle, als Ziel internal-network (eth0; zone: internal) habe ich auch gesetzt.

Wenn ich nun bspw. 192.168.0.3 von einem im wlan befindlichen Rechner anpinge, gibt es einen Timeout. Im Log der UTM steht folgendes: DROP: (DEFAULT DROP)192.168.178.22 -> eth0 -> eth1 -> 192.168.0.3 ICMP TYPE=8 CODE=0

Es kommt also was an, wird nur nicht durchgelassen. Wieso? Traceroute zeigt, dass es über die Fritzbox zur UTM geht und dort hängen bleibt. 

Was ist falsch eingestellt?

Svenja
Beiträge: 85
Registriert: Mo 16.04.2018, 12:00

Beitrag von Svenja »

Hallo xkky,

ist die 192.168.0.3 ein Gerät im internen Netzwerk? Oder ist das die Schnittstelle der UTM im internen Netz? Letzteres kann mit deiner Regel nicht funktionieren.

Bei einem Default Drop stimmt die Regel nicht mit der gewollten Kommunikation überein.
Ist icmp-echo-req als Dienst freigegeben? Stimmen Quelle und Ziel?

Grüße
Svenja

xkky
Beiträge: 9
Registriert: Mo 13.08.2018, 12:58

Beitrag von xkky »

Hallo,

als Dienst ist zunächst "any" freigegeben. 192.168.0.3 ist der WTS. Die Schnittstelle der UTM an eth0 hat 192.168.178.20 und an eth1 192.168.0.1

xkky
Beiträge: 9
Registriert: Mo 13.08.2018, 12:58

Beitrag von xkky »

Verrückt!

jetzt geht es! Geändert habe ich nichts. die Konfiguration ist wie Post oben beschrieben. Ich kann pingen und habe Zugriff per RDP. Ich werde nun noch die Regel abändern, sodass nur MSRDP erlaubt wird. 


Vielen Dank für die Hilfestellungen!

Svenja
Beiträge: 85
Registriert: Mo 16.04.2018, 12:00

Beitrag von Svenja »

Vielleicht die Regeln nicht aktualisiert? Oder vorher einen Dauerping gesendet? ;-)

Schön, dass es jetzt funktioniert

xkky
Beiträge: 9
Registriert: Mo 13.08.2018, 12:58

Beitrag von xkky »

Hallo zusammen,

ich muss dieses Thema leider noch einmal aufwärmen. Das oben besprochene klappt alles wunderbar. Nun aber folgendes Szenario:

Eine Niederlassung soll auf das Hauptbüro zugreifen. Dazu ist in der Niederlassung ein BlackDwarf, der die VPN-Verbindung herstellt. Funktioniert.
Vor dem Dwarf ist eine Fritzbox. Laptops, die mit der FB und dem Plan verbunden sind, sollen per VPN nun aber auch eine Verbindung zum Hauptbüro herstellen können. 

Dazu habe ich die Route in der FB angelegt. Im Dwarf ein Neztobjekt "Fritz-netz" und folgende Regel angelegt:
Fritz-netz -> internal-network -> any.

Wenn ein Gerät im WLAN nun auf einen WTS im Hauptbüro zugreifen möchte, kommt folgender Eintrag im Log: 

192.163.103.73:49770 -> eth0 ->tun0 -> 192.168.0.1:3389 TCP SYN

Ersteres ist die IP des Laptops im WLAN, letztere die des WTS. 

Der Dwarf blockiert also die Verbindung zum WTS. Warum? Ich habe auch schon probiert, die Regel so zu ändern, dass Zugriff auf ssl-vpn möglich ist - dann passiert aber gar nichts. 

Danke nochmals für die Hilfe!

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

laut dem Eintrag geht er aber nicht nach eth1 sondern in die tun0. Gibt es auf der Securepoint irgendwelche Routingeinträge die es bewirken?


Gruß Björn

Antworten