Raspberry Pi als IP-Sec Gateway ins Fritz!Box-VPN

[Mr987]

Hallo Zusammen,
wenn es das Thema schon gibt sagt mit bitte wo. Ich habe nach meiner Recherche nichts gefunden was mich weiter bringt.
Ich versuch mal mein Problem aufzuzeigen:

Im Netzwerk A (192.168.115.0/24) steht eine Fritz!Box (Internetzugang und VPN-Server), ein Paar PCs, IP-Telefone und ein Asterisk.
Im Netzwerk B (192.168.2.0/24) steht ein Telekom SpeedPort Hybrid (Internetzugang), ein Paar PCs und künftig 1 oder 2 IP-Telefone.

Die Neuen IP-Telefone sollen sich nun per VPN auf dem Asterisk anmelden, leider beherschen diese von sich aus kein VPN.
Meine Idee war nun in Netzwerk B einen RPi zu installieren, der sich im Fritz!Box VPN von Netzwerk A anmeldet und dann im Netzwerk B als Gateway bereit steht.
Der Raspberry meldet sich per "vpnc" ohne Probleme im VPN an, soweit so gut. Dabei entsteht nun das "tun0" Device mit einer IP aus Netz A, vom Raspberry aus kann ich auch wunderbar auf Netz A zugreifen.

Die Frage ist nun, was muss ich noch tun damit die Telefone über den RPi ins Netz A kommen?
net.ipv4.ip_forward=1 habe ich gesetzt. Ich habe auch schon diverse einträge in die IP-Tables probiert, leider ohne erfolg. Vielleicht bin ich da auch einfach zu Blöd für. Ich bin kein Blutiger anfänger und habe auch schon einiges mit Linux gemacht aber hier brauche ich eure Hilfe, wäre schön wenn das jemand verständlich erklären könnte.

Liebe Grüße

[bluestar]

Die Frage ist nun, was muss ich noch tun damit die Telefone über den RPi ins Netz A kommen?

Am ordentlichsten ist es, wenn du auf dem Speedport Hybrid eine manuelle IPv4 Route für 192.168.115.0/24 auf die IP des Raspberry PI konfigurierst... Leider hab ich kein solches Gerät, daher kann ich dir nicht sagen, ob das Ding die Möglichkeit bietet. Anmerkung, ne Fritzbox bietet diese Option.

net.ipv4.ip_forward=1 habe ich gesetzt.

Das ist schonmal richtig.

[Mr987]

Also es sieht wohl so aus dass sich zwar (auf umwegen) eine Statische Route im SpeedPort setzen lässt, dieser aber auch nur bis zum nächsten Neustart besteht. Soweit ich das verstanden habe wäre diese Statische Route aber auch garnicht notwendig wenn ich in den Einstellungen der Telefone den Raspberry als Gateway angebe. (Somit würden sich die Telefone ja garnicht weiter für den Speedport interessieren)

Es scheint mir eher als wüsste der Raspberry was er mit den Paketen tun soll. Zumindest sieht es so aus als würden sie nicht im Netz der FritzBox ankommen

[delumax]

Der Raspberry meldet sich per "vpnc" ohne Probleme im VPN an, soweit so gut. Dabei entsteht nun das "tun0" Device mit einer IP aus Netz A, vom Raspberry aus kann ich auch wunderbar auf Netz A zugreifen.

Du musst hier noch entsprechendes NAT anwenden, damit die Pakete der Telefone auf die Adresse vom tun0 Interface umgesetzt werden. IMHO mögen das IP-Telefone nicht besonders. Sauberer wäre es du würdest die Netze koppeln.

PS: Ja, gib den Telefonen einfach den PI als Default Route.

[Mr987]

Du musst hier noch entsprechendes NAT anwenden, damit die Pakete der Telefone auf die Adresse vom tun0 Interface umgesetzt werden. IMHO mögen das IP-Telefone nicht besonders.

Wie würde das dann aussehen? Ich nehme an über die IP-Tables aber in dem Bereich bin ich leider recht ahnungslos.

Sauberer wäre es du würdest die Netze koppeln.

Zwischen 2 Fritz!Boxen kenne ich das. Aber mit dem Speedport wüsste ich nicht wie

[delumax]

Wie würde das dann aussehen? Ich nehme an über die IP-Tables aber in dem Bereich bin ich leider recht ahnungslos.

Hier reicht bereits ein

Code: Alles auswählen

iptables -t nat -A POSTROUTING -o tun0 -s 192.168.2.0/24 -d 192.168.115.0/24 -j MASQUERADE