Zwei 7390 miteinander verbunden (LAN), Zugriff von außen (VPN) auf jeweils andere Box

[LarsIP]

Hallo,

ich habe zwei FB 7390...

• beide mit eigenem Internet-Zugang über LAN1 (also mit unterschiedlichen öffentlichen IPs)
• beide im gleichen Netz, z.B. 192.168.0.0/24, aber natürlich mit unterschiedlichen IPs
• eine Box mit DHCP, eine ohne DHCP
• die beiden LAN2-Buchsen sind miteinander verbunden (unter System/Energiemonitor beide LAN2 "Gigabit immer aktiv")

Mein Problem:

Wenn z.B. ein Notebook mit einer der beiden Boxen verbunden ist, kann ich alle Geräte - auch die jeweils andere Box und die an die andere Box angeschlossenen Geräte - erreichen. Aber wenn ich über VPN mit einer der beiden Boxen verbunden bin, dann kann ich nur auf diese eine Box und daran angeschlossene Geräte zugreifen, nicht aber auf das Webinterface der anderen Fritzbox.

Ich habe schon alles resettet und komplett neu konfiguriert, aber ich komme einfach nicht über VPN auf die direkt angeschlossene zweite Fritzbox. Was mache ich falsch?

[RalfFriedl]

Welche IP-Adresse hat denn der VPN-Client?
Gibt es eine Route, die von der zweiten Box zu diesem VPN-Client führt?

[LarsIP]

Ich benutze keinen VPN-Client, sondern das AVM-Tool FRITZ!Box-Fernzugang einrichten, immer nur Box-zu-Box (die per VPN verbundenen Boxen sind nicht 192.168.0.0/24). Bislang habe ich nirgendwo Routen manuell hinzugefügt.

Was mich wurmt ist, dass das Ganze nach obigem Schema mit zwei beliebigen Fritzboxen reproduzierbar ist und ich keine Erklärung dafür habe.

[RalfFriedl]

Du hast also zwei Boxen, die beiden LAN2-Buchsen sind miteinander verbunden. Offensichtlich sind diese beiden Boxen nicht über VPN, sondern direkt über ein Netzwerkkabel verbunden.
Jetzt gibt es plötzlich noch eine VPN Verbindung Box-zu-Box.

Bevor wir jetzt eine großes Ratespiel veranstalten, erklärst Du mal, was wie zusammen hängt, und nennst auch die IP-Adresse des PCs, der auf die Box zugreifen will.

[LarsIP]

Du hast also zwei Boxen, die beiden LAN2-Buchsen sind miteinander verbunden. Offensichtlich sind diese beiden Boxen nicht über VPN, sondern direkt über ein Netzwerkkabel verbunden.

Ja, genau so ist es. Eine Box mit DHCP, eine ohne, und beide im selben Netz, meinetwegen Box 1 mit 192.168.0.1 und Box mit 192.168.0.2. So weit so einfach.

Jetzt gibt es plötzlich noch eine VPN Verbindung Box-zu-Box.

...na von Box 1 aus zu anderen (entfernten) Fritzboxen. Also mehrere Verbindungen von Box 1 aus etwa in die entfernten Netze 192.168.1.0, 192.168.2.0, 192.168.3.0, 192.168.4.0, 192.168.5.0, 192.168.6.0, 192.168.7.0, 192.168.8.0, etc.

Das funktioniert auch - allerdings kann ich über diese VPN-Verbindung(en) die über LAN2 angeschlossene Box 2 (192.168.0.2) nicht erreichen und weiß nicht woran es liegt. Lokal funktioniert der Zugriff ja.

Der Zugriff von Remote (per VPN) erfolgt bspw. von einem PC im Netz einer der entfernten Fritzboxen, z.B. mit der IP 192.168.4.20. In dem Beispiel wird daraufhin die VPN-Verbindung von der entfernten Box mit der IP 192.168.4.1 zur Box mit der 192.168.0.1 aufgebaut. Hier ist dann aber nur die Box 192.168.0.1 (+angeschlossene Geräte ebenfalls) über den Tunnel erreichbar, nicht aber die Box 192.168.0.2.

[powermac]

Ich frag mich wie das mit den lokalen Fritzboxen überhaupt funktioniert?
Jede der beiden ist ja gleichzeit Router und Client.

Meiner Meinung nach dürfte das garnicht funktionieren.
Und bei dem VPN merkt man das es auch eigenlich nicht funktionieren sollte.

[LarsIP]

Wenn von einem Rechner (mit DHCP aktiviert) auf das Internet zugegriffen wird, dann ist Box 1 (die verteilt ja per DHCP die IP-Adressen) das Gateway ins Internet. Die Internetverbindung von Box 2 bleibt sozusagen unbenutzt (außer man stellt sie an einem Rechner als Gateway manuell ein).

Die Kommunikation zwischen den beiden lokalen Boxen 1 und 2 läuft über die IP-Adressen - da gibt es nach meinem Verständnis keinen "Router und Client".

[RalfFriedl]

Eine Box mit DHCP, eine ohne

Aber nicht irgend eine mit und irgendeine ohne, sondern Box 1 mit DHCP und Box 2 ohne DHCP. Ist es so schwer, das gleich zu schreiben? Wenn Du so genau wüsstest, was an Informationen wichtig ist und was, nicht, dann bräuchtest Du vermutlich erst gar nicht die Frage zu stellen. Da Du es doch tust, willst Du vermutlich Hilfe haben. Warum machst Du es dann unnötig schwer?

Der Zugriff von Remote (per VPN) erfolgt bspw. von einem PC im Netz einer der entfernten Fritzboxen, z.B. mit der IP 192.168.4.20. In dem Beispiel wird daraufhin die VPN-Verbindung von der entfernten Box mit der IP 192.168.4.1 zur Box mit der 192.168.0.1 aufgebaut. Hier ist dann aber nur die Box 192.168.0.1 (+angeschlossene Geräte ebenfalls) über den Tunnel erreichbar, nicht aber die Box 192.168.0.2.

Der Zugriff auf die angeschlossenen Geräte geht nur deswegen, weil Box 1 DHCP aktiv hat. Wäre es umgekehrt, wären die an Box 1 angeschlossenen Geräte auch nicht erreichbar, sofern sie DHCP nutzen.

Ich will dann nochmal Beitrag #2 etwas angepasst wiederholen:
Gibt es eine Route, die von der zweiten Box zu der Box mit der Adresse 192.168.4.1 führt?
Gibt es eine Route, die von der zweiten Box zu dem PC mit der Adresse 192.168.4.20 führt?

@powermac
Außer dem fehlenden Routing-Einträgen ist an der Konfiguration nichts schlimmes.

[andilao]

... wenn ich über VPN mit einer der beiden Boxen verbunden bin, dann kann ich nur auf diese eine Box und daran angeschlossene Geräte zugreifen, nicht aber auf das Webinterface der anderen Fritzbox.

Das ist ein äußerst seltsames Verhalten, denn es besteht durch die LAN-Switches kein Unterschied zwischen den an den beiden Geräten angeschlossenen Geräten, einschließlich der anderen Box. Bei mir läuft ein Netz mit 1x VDSL und 2x ADSL mit ingesamt 4 Fritz!Boxen und es gab zu keiner Zeit Probleme beim Zugriff auf das gesamt Subnetz. Der Unterschied zu Dir ist nur, dass alle Boxen (bis auf eine) direkt am V/ADSL angeschlossen sind und das VPN nur über die VDSL-Box läuft.

[LarsIP]

Aber nicht irgend eine mit und irgendeine ohne, sondern Box 1 mit DHCP und Box 2 ohne DHCP. Ist es so schwer, das gleich zu schreiben?

Das ist richtig, Box 1 mit DHCP, Box 2 ohne. Ich habe versucht mein Posting möglichst nicht mit Infos zu überfrachten und war in dem Punkt leider unpräzise, sorry.

Der Zugriff auf die angeschlossenen Geräte geht nur deswegen, weil Box 1 DHCP aktiv hat. (...)

"Damit der Client einen DHCP-Server nutzen kann, muss sich dieser im selben Netzwerksegment befinden, da DHCP Broadcasts verwendet und Router keine Broadcasts weiterleiten (Router bilden Broadcast-Domänen)." (Quelle: Wikipedia)

Ich dachte die Broadcast-Domäne umfasst Box 1 und Box 2 gemeinsam, weil Box 2 nur als "Switch" und nicht als Gateway genutzt wird?

(...) Wäre es umgekehrt, wären die an Box 1 angeschlossenen Geräte auch nicht erreichbar, sofern sie DHCP nutzen.

Nun sind aber ja die IPs der beiden Boxen jeweils fest eingestellt und Du fragst nach den Routen zu Zielen hinter einem VPN-Tunnel der Box 1.

Gibt es eine Route, die von der zweiten Box zu der Box mit der Adresse 192.168.4.1 führt?

Ich fürchte die gibt es nicht. Aber muss es die geben, wenn 192.168.4.1 nicht als Gateway arbeitet? Ich hatte die Kommunikation nur aus dieser Richtung betrachtet: 192.168.4.20 --> 192.168.4.1 --> 192.168.0.1 --> 192.168.0.2. Fehlt hier der Rückweg und die Pakete laufen nicht einfach von alleine so zurück wie sie gekommen sind.

Statische Routing-Tabelle
Geben Sie statische Routen in Ihrem lokalen Netzwerk an. Diese Einstellung ist nur erforderlich, wenn Ihr lokales Netzwerk aus mehreren Subnetzen besteht und diese Subnetze nicht direkt mit der FRITZ!Box verbunden sind.

Also lege ich auf Box 2 (192.168.0.2) für jedes IP-Netzwerk, zu dem in Box 1 eine VPN-Verbindung besteht, eine statische Route an?
Nach Netz 192.168.1.0/24 bitte über 192.168.0.1
Nach Netz 192.168.2.0/24 bitte über 192.168.0.1
Nach Netz 192.168.3.0/24 bitte über 192.168.0.1
Nach Netz 192.168.4.0/24 bitte über 192.168.0.1
etc.

Aber in Box 2 wohl nicht die folgende Route, weil dann alle direkt an Box 2 angeschlossenen Geräte vermutlich nicht mehr erreichbar wären.
Nach Netz 192.168.0.0/24 bitte über 192.168.0.1

Ich dachte ich müsste nur zwischen verschiedenen IP-(Sub)Netzen routen, dabei muss ich dies ja bereits zwischen verschiedenen Netzwerksegmenten? Ich denke gerade darüber nach was da eigentlich der Unterschied ist...

[LarsIP]

Der Unterschied zu Dir ist nur, dass alle Boxen (bis auf eine) direkt am V/ADSL angeschlossen sind und das VPN nur über die VDSL-Box läuft.

Du hast ebenfalls bei den anderen (ADSL-)Boxen NICHT die IP-Adresse der VDSL-Box als Gateway eingetragen? (Ich meine warum auch... die Boxen haben ja eine eigene WAN-Verbindung). Außer bei der einen Box ohne eigene WAN-Verbindung.

[RalfFriedl]

Ich dachte die Broadcast-Domäne umfasst Box 1 und Box 2 gemeinsam, weil Box 2 nur als "Switch" und nicht als Gateway genutzt wird?

Das tut sie auch. Die Geräte würden auch über DHCP eine Konfiguration zugewiesen bekommen, wenn der DHCP_Server auf der anderen Box laufen würde. Der Unterschied ist aber das Default-Gateway, die Box 2 würde sich selbst als Default-Gateway angeben, daher wäre die Rück-Route zu den VPN Gegenstellen nicht mehr korrekt.

Nun sind aber ja die IPs der beiden Boxen jeweils fest eingestellt und Du fragst nach den Routen zu Zielen hinter einem VPN-Tunnel der Box 1.

Die IP-Adressen der Boxen haben nichts mit den Routen zu tun.

Ich fürchte die gibt es nicht. Aber muss es die geben, wenn 192.168.4.1 nicht als Gateway arbeitet?

Die Rück-Route muss es auf jeden Fall geben, außerdem arbeitet 192.168.4.1 als Gateway.

Ich hatte die Kommunikation nur aus dieser Richtung betrachtet: 192.168.4.20 --> 192.168.4.1 --> 192.168.0.1 --> 192.168.0.2. Fehlt hier der Rückweg und die Pakete laufen nicht einfach von alleine so zurück wie sie gekommen sind.

Nein, die Pakete laufen nicht von alleine so zurück wie sie gekommen sind. Genau genommen laufen die Pakete gar nicht zurück, es werden neue Pakete generiert als Antwort auf die empfangenen Pakete. Und in den empfangenen Paketen steht nur der ursprüngliche Absender und nicht der komplette Weg drin, den die Pakete genommen haben.

Also lege ich auf Box 2 (192.168.0.2) für jedes IP-Netzwerk, zu dem in Box 1 eine VPN-Verbindung besteht, eine statische Route an?
Nach Netz 192.168.1.0/24 bitte über 192.168.0.1
Nach Netz 192.168.2.0/24 bitte über 192.168.0.1
Nach Netz 192.168.3.0/24 bitte über 192.168.0.1
Nach Netz 192.168.4.0/24 bitte über 192.168.0.1
etc.

Genau.

Aber in Box 2 wohl nicht die folgende Route, weil dann alle direkt an Box 2 angeschlossenen Geräte vermutlich nicht mehr erreichbar wären.
Nach Netz 192.168.0.0/24 bitte über 192.168.0.1

Die Geräte in 192.168.0.0/24 sind bereits direkt erreichbar, eine solche Route ist daher unnötig. Ob es trotzdem noch funktionieren würde, hängt von verschiedenen Details ab, es gibt aber keinen Grund, das auszuprobieren.

Ich dachte ich müsste nur zwischen verschiedenen IP-(Sub)Netzen routen, dabei muss ich dies ja bereits zwischen verschiedenen Netzwerksegmenten? Ich denke gerade darüber nach was da eigentlich der Unterschied ist...

Genau, was soll der Unterschied sein?

Konkret brauchst Du
192.168.4.20 --> 192.168.4.1 --> 192.168.0.1 --> 192.168.0.2
und
192.168.0.2 --> 192.168.0.1 --> 192.168.4.1 --> 192.168.4.20
Auf jedem der beteiligten Router muss die Routing-Tabelle dafür sorgen, dass die Pakete in die richtige Richtung weiter geleitet werden.
Vermutlich ist schon alles da, bis auf die Box 2, die den Eintrag 192.168.4.0/24 über 192.168.0.1 benötigt. Anderenfalls würde die Default Route genutzt, und die zeigt auf den Internet Anschluss.

@andilao
Der Unterschied zwischen Box 2 und den anderen Geräten im LAN ist der, dass die anderen Geräte vom DHCP Server der Box 1 eine Default Route auf die Box 1 bekommen haben, während die Default Route der Box 2 auf ihren eigenen Internet Anschluss zeigt.

[LarsIP]

Danke nochmal für die treffenden Antworten - ich konnte es am WE testen und mit statischen Routen funktioniert es genau so wie es soll