FritzBox als VPN Server hinter Router

skagway

Neuer User
Mitglied seit
20 Jan 2009
Beiträge
18
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen,

ich habe einen Router A (192.168.1.1, 255.255.255.0, DHCP Server, alle Geräte im Netzwerk benützen dieses Subnetz) mit Glasfaseranschluss vom Anbieter und auf diesem keine einfache Möglichkeit einen VPN Server einzurichten. Jetzt habe ich gedacht, ich könnte eine alte übrige FritzBox dafür verwenden. Zuerst habe ich das im Modus als IP-Client probiert, dann aber gegoogelt und gesehen dass das nicht möglich ist.

Jetzt hängt also die FritzBox auf LAN_1 hinter Router A, hat dort die IP 192.168.1.2 und macht ein eigenes Subnetz 192.168.199.x mit eigenem DHCP auf. Die UDP Ports 500 und 4500 habe ich von Router A auf die FritzBox weitergeleitet und bekomme mit der öffentlichen IP von Router A dann auch eine VPN Verbindung auf die FritzBox zu Stande. Aber wegen dem doppelten NAT und DHCP Server kann ich natürlich nicht auf die Geräte aus dem Netzwerk von Router A, als 192.168.1.x, zugreifen.

Gibt es hierfür eine Möglichkeit oder muss ich mir einen anderen VPN Server konfigurieren?

Danke & Gruss
MG
 

erik

IPPF-Promi
Mitglied seit
30 Nov 2004
Beiträge
4,787
Punkte für Reaktionen
35
Punkte
48
Ich habe wegen Nutzung des Hybridrouters vor der Fritzbox ein ähnliches Problem, weil der Hybridrouter keine IPv6 an die Fritzbox übergeben würde läuft diese im Client-Modus und ermöglicht in diesem Modus kein VPN (eigentlich eine Aufgabe für AVM das in der Konfiguration zu ermöglichen, technisch wäre es kein Problem). Deshalb übernimmt ein kleiner Raspberry die Funktion des VPN-Servers, mit PiVPN ist das auch ganz leicht einzurichten.
 

KunterBunter

IPPF-Urgestein
Mitglied seit
12 Okt 2005
Beiträge
22,812
Punkte für Reaktionen
115
Punkte
63
Wieso wäre es technisch kein Problem, im Client-Modus einen VPN-Router einzurichten?
 

erik

IPPF-Promi
Mitglied seit
30 Nov 2004
Beiträge
4,787
Punkte für Reaktionen
35
Punkte
48
VPN-Server. Nicht VPN-Router, das ist sowas wie eine Wlan-Modem-Router-DECT-Sip-VPN-Wollmilchsau.

Jede andere Hardware, Raspberry, NAS, oder ein PC arbeitet korrekt eingerichtet als VPN-Server und ist Client, auch ein Router mit openWRT oder DD-WRT kann das ohne selber zu routen. Wenn man die Konfigurationsoberfläche einer Fritzbox erweitert um VPN zu aktivieren und das interne Routing anzupassen, welchen Grund sollte es geben dass der in der Firmware enthaltene VPN-Server plötzlich nicht mehr laufen würde? Der einzige Grund für den derzeitigen Zustand ist, die Konfiguration übersichtlich zu halten. Außerdem soll man ja aus AVM-Sicht eine (andere) Fritzbox als Router einsetzen, nur bei bestimmten Anschlüssen geht das nicht weil AVM keine passende im Programm hat.
 

skagway

Neuer User
Mitglied seit
20 Jan 2009
Beiträge
18
Punkte für Reaktionen
0
Punkte
1
Also ist das Fazit es geht nicht, auch nicht mit irgendwelchen Spielereien mit dem FritzBox Editor o.ä.?
 

hitman

Neuer User
Mitglied seit
11 Mai 2005
Beiträge
176
Punkte für Reaktionen
2
Punkte
18
Eine Fritzbox (im Client-Modus "Anschluss an externes Modem oder Router" per IPv4) hinter einem Telekom Hybrid Router (IPv4) läuft einwandfrei als VPN-Server (IPSEC) und auch als VPN-Client (IPSEC) zu anderen Fritzboxen, wenn man auf dem Hybrid Router entsprechend die UDP-Ports 500 und 4500 an die Fritzbox weiter leitet.
 

skagway

Neuer User
Mitglied seit
20 Jan 2009
Beiträge
18
Punkte für Reaktionen
0
Punkte
1
Genau, es gibt aber in der FritzBox unabhängig von dem "Anschluss an externes Modem oder Router" noch ein Menü ob die FritzBox selber ein IP Subnetz aufbauen soll (inkl. DHCP Server, Firewall etc.) oder ausschliesslich als IP Client im Netzwerk fungieren soll. Bei zweiterem ist - zumindest bei mir - kein VPN Server auf der FritzBox aktiv. Das Submenu wird auch ausgeblendet.

Und generell die VPN Verbindung auf die FritzBox von aussen, bekomme ich auch hin. Aber ich habe logischerweise vom FritzBox Subnetz dann keinen Zugriff auf das Subnetz des Hauptrouters. Kann also keine IPs 192.168.1.x anfingen, nur 192.168.199.x.
 

hitman

Neuer User
Mitglied seit
11 Mai 2005
Beiträge
176
Punkte für Reaktionen
2
Punkte
18
Und generell die VPN Verbindung auf die FritzBox von aussen, bekomme ich auch hin. Aber ich habe logischerweise vom FritzBox Subnetz dann keinen Zugriff auf das Subnetz des Hauptrouters. Kann also keine IPs 192.168.1.x anfingen, nur 192.168.199.x.
Wie soll das auch gehen? Standardmäßig soll dein VPN-Client woher wissen, dass das Netz 192.168.1.x über 192.168.199.x zu erreichen ist? Müsstest deinem Client schon die entsprechende Route mitteilen.
 

KunterBunter

IPPF-Urgestein
Mitglied seit
12 Okt 2005
Beiträge
22,812
Punkte für Reaktionen
115
Punkte
63

skagway

Neuer User
Mitglied seit
20 Jan 2009
Beiträge
18
Punkte für Reaktionen
0
Punkte
1
Welche Route soll ich denn einrichten? Eigentlich auf der FritzBox, also um aus dem 192.168.199.x in das 192.168.1.x Netzwerk zu kommen, richtig? Das funktioniert leider nicht: (wahrscheinlich weil die FritzBox selber die 192.168.1.2 im Subnetz des Hauptrouters hat, also am Interface LAN_1). Man kann ja nicht über das "WAN-Interface" hinaus routen so wie ich das verstehe. Siehe auch den oben verlinkten Artikel...
Screenshot 2019-09-19 at 10.26.18.png
Bild geschrumpft by stoney
 
Zuletzt bearbeitet von einem Moderator:

Benares

Aktives Mitglied
Mitglied seit
15 Jan 2006
Beiträge
2,257
Punkte für Reaktionen
31
Punkte
48
Meine Erachtens braucht nicht die 2. Fritzbox eine Route, sondern dein Router A.
Der muss wissen, das es noch einen weiteren Ausgang aus deinem LAN A gibt, nämlich die Fritzbox für alle Ziele im 192.168.199er Netz.
Wenn ein Client im LAN B einen Client im LAN A anpingt, geht das über das Default-Gateway ins LAN A und erreicht vermutlich auch sein Ziel. Der Client im LAN A weiß aber nicht wohin er die Antwort schicken soll, da aus seiner Sicht das Ziel ja eine externe Adresse ist, Also schickt er die Antwort an sein Default-Gateway, das ist Router A, und der schickt es nach draussen, weil er halt auch nicht weiß, wo's hin muss.
Also braucht entweder jeder Client in LAN A eine Route ins LAN B oder zumindest halt der Router A.

Daher versuch einfach mal auf Router A eine Route anzulegen:
Ziel: 192.168.199.0/255.255.255.0, Gateway 192.168.1.2
 
Zuletzt bearbeitet:

skagway

Neuer User
Mitglied seit
20 Jan 2009
Beiträge
18
Punkte für Reaktionen
0
Punkte
1
Komischerweise funktioniert es jetzt komplett irgendwelche statische IP Routen. Ich habe bei den Internetzugangseinstellungen der FritzBox die Option per DHCP deaktiviert, und fix die 192.168.1.2 als Adresse für das LAN_1 Interface eingetragen. Und die 192.168.1.1 als Standardgateway. Danke!
 

HabNeFritzbox

IPPF-Urgestein
Teammitglied
Mitglied seit
12 Dez 2017
Beiträge
15,224
Punkte für Reaktionen
205
Punkte
63
Wenn wäre im Hauptrouter eine Route einzutragen damit bekannt ist, dass VPN über die FB zu routen ist, wie Benares schon schreibt.

In der FB ist keine Route notwendig, die kennt die Route automatisch über WAN Port.

Man könnte auch einfach nen RasPi oder ähnliches an Hauptrouter packen und dort VPN einrichten, hat man auch mehr Optionen wie openVPN usw. und nicht nur veraltete IPsec mit IKE v1 was Windows und co nicht ohne weiteres akzeptiert.
 

3CX PBX - GRATIS
Linux / Win / Cloud

Neueste Beiträge

Statistik des Forums

Themen
232,847
Beiträge
2,027,355
Mitglieder
350,937
Neuestes Mitglied
Elperator