Route von eingehender VPN Verbindung (L2TP) ins eigene Netz, zu ausgehender VPN Verbindung in entferntes Netz

Es gibt 5 Antworten in diesem Thema, welches 292 mal aufgerufen wurde. Der letzte Beitrag () ist von DKeppi.

    Mal ein wenig zur Ausgangssituation, damit ihr versteht was ich eigentlich will:

    Ich habe einen L2TP VPN Server mit Radius auf meinem UXG Lite laufen, zu dem ich mich einwandfrei verbinden kann und alle LAN Geräte erreiche.
    Damit ich auf bestimmte Geräte bei meinem Vater auch komme, habe ich einen Wireguard VPN Client am UXG-Lite angelegt, der sich dauerhaft mit seinem UDM verbindet.
    Dazu dann eine Policy Based Route damit ich nicht alles zu ihm weiterleite, sondern nur die bestimmten Aufrufe auf die IPs aus meinem HEIM Netz zu seinen Geräten (UDM, MacMini und ein Linux Server).

    (Site2Site ist keine Option, da er nicht zu mir soll, nur ich zu ihm. Abgesehen davon haben wir beide keine fixen IP's!)


    Um was geht es mir in diesem Thread nun:


    Ich würde gern, wenn ich mich von außerhalb auf meine UXG-Lite per L2TP VPN verbinde, nicht nur meine LAN Geräte erreichen können, sondern eben auch die 3 Geräte von ihm.

    Also ich komme per L2TP VPN rein und will neben meinem LAN Zugriff auch wieder per Wireguard VPN zu ihm raus können.
    Geht sowas überhaupt?


    Hoffe ich habs verständlich beschrieben :winking_face:

    Sinn dahinter:

    Wenn ich aus meinem Netz zu ihm komme, auch wenn ich per VPN verbunden bin,

    dann könnte ich seinen L2TP VPN Server abdrehen, da ich mich nie direkt verbinden muss,

    sondern alles von meinem HEIM LAN aus machen kann.

    2 Mal editiert, zuletzt von razor () aus folgendem Grund: Ein Beitrag von DKeppi mit diesem Beitrag zusammengefügt.

  • DKeppi

    Hat den Titel des Themas von „Route für VPN Verbindung (IN) zur bereits bestehenden Policy Based Route via Wireguard VPN (OUT)“ zu „Route von L2TP VPN Verbindung (IN) zu Wireguard VPN Verbindung (OUT)“ geändert.

    Wenn die Ressourcen Deines Vaters pauschal aus Deinem Netz erreichbar sind, sind sie prinzipiell auch für Dich als VPN-Roadwarrior erreichbar. Ggf. musst Du natürlich Firewall-Regeln dafür anpassen, kommt darauf an, wie Deine Netzwerke und Regeln konkret designt sind.

    Und der Client muss natürlich auch den Traffic für das Netz Deines Vaters in den Tunnel blasen. Das heißt aber auch dass Du über den Tunnel surfst. Der Windows Client kann nur Alles oder den Bereich des Remotenetzes ohne großes rumgefummel.


    Ist das eine Machbarkeitsstudie oder warum connectest Du nicht direkt zum Netzwerk Deines Vaters? Wäre doch eigentlich sinnvoller.

    Zitat von Networker

    Ich verstehe ihn so, dass er genau das aktuell tut, aber sich zukünftig sparen möchte, diesen separaten Tunnel von seinem Endgerät zum Netz des Vaters aufzubauen.

    Möglich. Der Zugriff direkt dürfte vermutlich aber fixer sein. Spannend ist bestimmt auch wo Ubiquiti die L2TP Clients angeflanscht hat, so rein firewalltechnisch. Die sind ja immer sehr kreativ ... warum der Wireguard Client von Unifi z.B. NAT macht weiß auch nur der liebe Gott und ein ubnt Mitarbeiter.

    Also....der Wireguard VPN Tunnel zu ihm mit der extra Route erzeugte Nebeneffekte und plötzlich hat seine UDM kein Internet mehr verteilt und auch der AP war nicht mehr erreichbar bzw. adoptable.

    Hab daher nun auf SitetoSite via IPSec umgestellt und brauch somit auch keine extra Route mehr.
    Ist tatsächlich auch schneller und er fummelt sowieso bei mir nicht rum bzw. weiß er ja gar nicht was er in meinem Netz machen sollte :winking_face:

    Es ist jedenfalls jetzt so, dass ich per IPSEC VPN nach Hause gehe und dann auch auf seine Geräte über das IPSEC SitetoSite komme, also die perfekte Lösung! Habe dazu in den Routen des SitetoSite VPNs die Subnetzmaske meines IPSEC VPNs eingetragen mit dem ich reinkomme. Mehr brauchte es nicht! :smiling_face:


    Vielleicht könnte man aber den Zugriff von ihm zu mir etwas einschränken per Firewall, oder widerspricht das dem Sinn einer SitetoSite Verbindung!?


    Egal...ich bin so mal zufrieden!

    5 Mal editiert, zuletzt von DKeppi ()

  • DKeppi

    Hat das Label von offen auf erledigt geändert.

  • DKeppi

    Hat den Titel des Themas von „Route von L2TP VPN Verbindung (IN) zu Wireguard VPN Verbindung (OUT)“ zu „Route von eingehender VPN Verbindung (L2TP) ins eigene Netz, zu ausgehender VPN Verbindung in entferntes Netz“ geändert.