FritzBox als VPN Server hinter Router

skagway

Neuer User
Mitglied seit
20 Jan 2009
Beiträge
24
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen,

ich habe einen Router A (192.168.1.1, 255.255.255.0, DHCP Server, alle Geräte im Netzwerk benützen dieses Subnetz) mit Glasfaseranschluss vom Anbieter und auf diesem keine einfache Möglichkeit einen VPN Server einzurichten. Jetzt habe ich gedacht, ich könnte eine alte übrige FritzBox dafür verwenden. Zuerst habe ich das im Modus als IP-Client probiert, dann aber gegoogelt und gesehen dass das nicht möglich ist.

Jetzt hängt also die FritzBox auf LAN_1 hinter Router A, hat dort die IP 192.168.1.2 und macht ein eigenes Subnetz 192.168.199.x mit eigenem DHCP auf. Die UDP Ports 500 und 4500 habe ich von Router A auf die FritzBox weitergeleitet und bekomme mit der öffentlichen IP von Router A dann auch eine VPN Verbindung auf die FritzBox zu Stande. Aber wegen dem doppelten NAT und DHCP Server kann ich natürlich nicht auf die Geräte aus dem Netzwerk von Router A, als 192.168.1.x, zugreifen.

Gibt es hierfür eine Möglichkeit oder muss ich mir einen anderen VPN Server konfigurieren?

Danke & Gruss
MG
 
Ich habe wegen Nutzung des Hybridrouters vor der Fritzbox ein ähnliches Problem, weil der Hybridrouter keine IPv6 an die Fritzbox übergeben würde läuft diese im Client-Modus und ermöglicht in diesem Modus kein VPN (eigentlich eine Aufgabe für AVM das in der Konfiguration zu ermöglichen, technisch wäre es kein Problem). Deshalb übernimmt ein kleiner Raspberry die Funktion des VPN-Servers, mit PiVPN ist das auch ganz leicht einzurichten.
 
Wieso wäre es technisch kein Problem, im Client-Modus einen VPN-Router einzurichten?
 
VPN-Server. Nicht VPN-Router, das ist sowas wie eine Wlan-Modem-Router-DECT-Sip-VPN-Wollmilchsau.

Jede andere Hardware, Raspberry, NAS, oder ein PC arbeitet korrekt eingerichtet als VPN-Server und ist Client, auch ein Router mit openWRT oder DD-WRT kann das ohne selber zu routen. Wenn man die Konfigurationsoberfläche einer Fritzbox erweitert um VPN zu aktivieren und das interne Routing anzupassen, welchen Grund sollte es geben dass der in der Firmware enthaltene VPN-Server plötzlich nicht mehr laufen würde? Der einzige Grund für den derzeitigen Zustand ist, die Konfiguration übersichtlich zu halten. Außerdem soll man ja aus AVM-Sicht eine (andere) Fritzbox als Router einsetzen, nur bei bestimmten Anschlüssen geht das nicht weil AVM keine passende im Programm hat.
 
Also ist das Fazit es geht nicht, auch nicht mit irgendwelchen Spielereien mit dem FritzBox Editor o.ä.?
 
Eine Fritzbox (im Client-Modus "Anschluss an externes Modem oder Router" per IPv4) hinter einem Telekom Hybrid Router (IPv4) läuft einwandfrei als VPN-Server (IPSEC) und auch als VPN-Client (IPSEC) zu anderen Fritzboxen, wenn man auf dem Hybrid Router entsprechend die UDP-Ports 500 und 4500 an die Fritzbox weiter leitet.
 
Genau, es gibt aber in der FritzBox unabhängig von dem "Anschluss an externes Modem oder Router" noch ein Menü ob die FritzBox selber ein IP Subnetz aufbauen soll (inkl. DHCP Server, Firewall etc.) oder ausschliesslich als IP Client im Netzwerk fungieren soll. Bei zweiterem ist - zumindest bei mir - kein VPN Server auf der FritzBox aktiv. Das Submenu wird auch ausgeblendet.

Und generell die VPN Verbindung auf die FritzBox von aussen, bekomme ich auch hin. Aber ich habe logischerweise vom FritzBox Subnetz dann keinen Zugriff auf das Subnetz des Hauptrouters. Kann also keine IPs 192.168.1.x anfingen, nur 192.168.199.x.
 
Und generell die VPN Verbindung auf die FritzBox von aussen, bekomme ich auch hin. Aber ich habe logischerweise vom FritzBox Subnetz dann keinen Zugriff auf das Subnetz des Hauptrouters. Kann also keine IPs 192.168.1.x anfingen, nur 192.168.199.x.

Wie soll das auch gehen? Standardmäßig soll dein VPN-Client woher wissen, dass das Netz 192.168.1.x über 192.168.199.x zu erreichen ist? Müsstest deinem Client schon die entsprechende Route mitteilen.
 
Welche Route soll ich denn einrichten? Eigentlich auf der FritzBox, also um aus dem 192.168.199.x in das 192.168.1.x Netzwerk zu kommen, richtig? Das funktioniert leider nicht: (wahrscheinlich weil die FritzBox selber die 192.168.1.2 im Subnetz des Hauptrouters hat, also am Interface LAN_1). Man kann ja nicht über das "WAN-Interface" hinaus routen so wie ich das verstehe. Siehe auch den oben verlinkten Artikel...
Screenshot 2019-09-19 at 10.26.18.png
Bild geschrumpft by stoney
 
Zuletzt bearbeitet von einem Moderator:
Meine Erachtens braucht nicht die 2. Fritzbox eine Route, sondern dein Router A.
Der muss wissen, das es noch einen weiteren Ausgang aus deinem LAN A gibt, nämlich die Fritzbox für alle Ziele im 192.168.199er Netz.
Wenn ein Client im LAN B einen Client im LAN A anpingt, geht das über das Default-Gateway ins LAN A und erreicht vermutlich auch sein Ziel. Der Client im LAN A weiß aber nicht wohin er die Antwort schicken soll, da aus seiner Sicht das Ziel ja eine externe Adresse ist, Also schickt er die Antwort an sein Default-Gateway, das ist Router A, und der schickt es nach draussen, weil er halt auch nicht weiß, wo's hin muss.
Also braucht entweder jeder Client in LAN A eine Route ins LAN B oder zumindest halt der Router A.

Daher versuch einfach mal auf Router A eine Route anzulegen:
Ziel: 192.168.199.0/255.255.255.0, Gateway 192.168.1.2
 
Zuletzt bearbeitet:
Komischerweise funktioniert es jetzt komplett irgendwelche statische IP Routen. Ich habe bei den Internetzugangseinstellungen der FritzBox die Option per DHCP deaktiviert, und fix die 192.168.1.2 als Adresse für das LAN_1 Interface eingetragen. Und die 192.168.1.1 als Standardgateway. Danke!
 
Wenn wäre im Hauptrouter eine Route einzutragen damit bekannt ist, dass VPN über die FB zu routen ist, wie Benares schon schreibt.

In der FB ist keine Route notwendig, die kennt die Route automatisch über WAN Port.

Man könnte auch einfach nen RasPi oder ähnliches an Hauptrouter packen und dort VPN einrichten, hat man auch mehr Optionen wie openVPN usw. und nicht nur veraltete IPsec mit IKE v1 was Windows und co nicht ohne weiteres akzeptiert.
 

Zurzeit aktive Besucher

Neueste Beiträge

Statistik des Forums

Themen
244,640
Beiträge
2,215,722
Mitglieder
371,219
Neuestes Mitglied
csgaming
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.