[Frage] FritzBox Box-to-Box VPN: Wie auf das Netz "vor" der einen FritzBox zugreifen?

[c.wuensch]

Hallo zusammen,

ich habe mal eine Frage, die wahrscheinlich nur die FritzBox-Experten in diesem Forum beantworten können...

Meine Konfiguration sieht so aus:

Haus A:
Internet-Zugang -> FritzBox 7412 (FB1) -> geteiltes Netz (192.168.100.x) -> FritzBox 7560 (FB2) -> privates Netz (192.168.1.x)

Haus B:
Internet-Zugang -> FritzBox 7362 (FB3) -> privates Netz (192.168.178.x)

Das private Netz in Haus A kann auch ins geteilte Netz kommunizieren. (Jedoch andersrum keine Kommunikation vom geteilten Netz aus ins private Netz!)

Ich habe nun ein Box-to-Box VPN zwischen FB2 und FB3 eingerichtet. Damit kann ich zwischen den beiden privaten Netzen kommunizieren.

Was ich erreichen will ist nun, dass auch von dem privaten Netz in Haus B aus auf das geteilte Netz in Haus A zugegriffen werden kann.
Eigentlich kann das mit der bestehenden VPN-Verbindung zwischen FB2 und FB3 doch nicht so schwer sein, oder?
Ich nehme an, ich müsste bloß etwas an den VPN-Settings verändern, oder eine statische Route einrichten, oder so.

Kann mir da jemand einen Tipp geben, was genau ich tun müsste, um dies einzurichten?
Bin für jede Hilfe dankbar!!

 

[eisbaerin]

Ich denke es ist am einfachsten, wenn du noch eine VPN Verbindung zwischen FB1 und FB3 einrichtest.
Kostet doch nichts.

 

[c.wuensch]

Vielen Dank, das ist ein sehr guter Tipp!
Ich habe das allerdings bereits den ganzen Abend über probiert - es klappt leider nicht!
(Ich vermute es liegt daran, dass FB1 entweder die Ports 500 und 4500 durchleiten oder selbst benutzen kann - nicht aber beides gleichzeitig?)

Die Vermutung mag falsch sein - aber es ist leider mit allen Mitteln der Welt nicht möglich, diese zwei VPN-Verbindungen gleichzeitig hinzubekommen.

 

[eisbaerin]

Ansonsten mindestens in FB3 bei VPN in der accesslist das 100er Netz bekannt geben.

die Ports 500 und 4500

Hast du die in FB1 weitergeleitet?

 

[c.wuensch]

Ja, das klingt ziemlich genau nach dem, was ich tun möchte ;-)

(Leider bin ich mit den Konfigurationsdateien nicht so sehr bewandert. Ich kann dort Einstellungen vornehmen, wenn man mir sagt, was ich wo eintragen muss. Aber ich fürchte, zu deinem Tipp bräuchte ich eine etwas genauere Anweisung...)

Soll ich in der vpn.cfg von FB3 diese Zeile verändern?
accesslist = "permit ip any 192.168.1.0 255.255.255.0";

Und soll sie nachher so aussehen?
accesslist = "permit ip any 192.168.1.0 255.255.255.0",
"permit ip any 192.168.100.0 255.255.255.0";

Oder meintest du etwas ganz anderes?

Achja, und was genau meinst du mit "mindestens"? Soll ich das gleiche noch in einer anderen FB machen? Oder muss ich noch andere Einstellungen vornehmen?

 

[eisbaerin]

Genau so! Ganz richtig!

Aber ob das ausreicht? Da bin ich mir noch nicht ganz sicher.
Aber probieren geht über studieren.

 

[c.wuensch]

Bingo!! Scheint, als ob es geklappt hätte ;-)
Die 192.168.100.1 ist jetzt pingbar!

(Damit muss es jetzt für heute erstmal gut sein... )
Für den Fall, dass es noch Probleme gibt: An welche weiteren Einstellungen hattest du denn gedacht?
Sollte ich noch etwas Spezielles testen, was auf ein Problem hindeuten könnte?

 

[eisbaerin]

Nö, eigentlich sollte es so gehen.

Kannst du mir bitte noch meine Frage aus #4 beantworten.

 

[c.wuensch]

Sorry, die Frage muss ich übersehen haben!
Wenn man die Ports 500, 4500 und ESP in der FB1 an die FB2 weiterleitet, dann kann die FB3 eine VPN-Verbindung zu FB2 selbst aufbauen.
Leitet man die Ports nicht weiter, dann muss immer die FB2 die VPN-Verbindung aufbauen.

Aktuell habe ich die Ports aus Sicherheitsgründen nicht weitergeleitet. Aber ich denke, ich sollte das probieren, da sonst ein IP-Wechsel der FB3 wahrscheinlich das VPN zerstören würde, oder...?

 

[eisbaerin]

Und, geht jetzt alles wie gewünscht?

da sonst ein IP-Wechsel der FB3 wahrscheinlich das VPN zerstören würde

IMO eher ein IP-Wechsel der FB1, weil dann die FB3 den VPN zu der neuen IP nicht mehr aufbauen kann.
Aber da bin ich mir nicht sicher.
Ja, entweder einen Dienst starten, der ständig den VPN von FB2 nach FB3 aufbaut und hält,
oder die Ports weiterleiten. Ist IMO die sichere Variante.

 

[c.wuensch]

Ja, ich denke auch, ich sollte die Ports weiterleiten... Warum war dir das eigentlich wichtig?

IP-Wechsel von FB1 stellt tatsächlich kein Problem dar! FB2 ist auf "VPN-Verbindung dauerhaft halten" eingestellt, und meldet sich daher regelmäßig bei FB3. - Erstaunlich, aber funktioniert tatsächlich!

 

[eisbaerin]

Warum war dir das eigentlich wichtig?

Ich wollte wissen, ob und wann das nötig ist, da ich so eine Anordnung noch nicht hatte.
Bei mir bauen immer die FB am DSL oder FTTH den VPN auf.

IP-Wechsel von FB1 stellt tatsächlich kein Problem dar!

Komisch.
Ein IP-Wechsel von FB3 sollte aber eigentlich kein Problem für FB2 darstellen, da sie ja die neue IP bekommt und den VPN aufbauen kann.

Wozu nimmst du das geteilte Netz? Ginge da nicht auch das Gastnetz?

Nochmal:

Und, geht jetzt alles wie gewünscht?

 

[c.wuensch]

Da bin ich mir (noch) nicht ganz sicher, da FB3 die Verbindung ja nicht selbst aufbauen soll (und das auch nicht kann, wenn die Ports nicht weitergeleitet sind).
Ja, bis auf die IP-Wechsel-Tests und die Tatsache, dass FB1 jetzt keinerlei VPN (auch keine einzelnen Benutzer) mehr anbieten kann, funktioniert alles wie es soll!
Danke dir nochmal!

 

[stoney]

Einen SIP Acc in der vorgelagerten Box erstellen und von der dahinter als SIP-Client einrichten, sollte das Ganze doch bewerkstelligen (ohne Portweiterlweitung ect)

 

[eisbaerin]

Bitte, gerne geschehen!
Ich muß dir mal ein Lob aussprechen:
Das Problem war sehr gut in #1 erklärt, so daß man es beim 1. mal durchlesen verstanden hat.
Bei anderen schaffe ich das noch nicht mal nach dem 3. mal.
Auch eine sehr gute Rechtschreibung und Grammatik, so daß das lesen auch Spaß macht.
So wünsche ich mir alle User hier.

Wozu nimmst du das geteilte Netz? Ginge da nicht auch das Gastnetz?

 

[eisbaerin]

Nö Stoney, völlig falsch, kannst du löschen.
Wenn dann schon von FB2 nach FB3.

 

[c.wuensch]

Vielen Dank, das geb ich gerne zurück! Deine Hilfe war zielgerichtet und auf den Punkt. Und löste das Problem!

Wozu das geteilte Netz? Ja, eigentlich könnte man das mit dem Gastnetz lösen. Dagegen spricht (a) dass die FB7412 nur einen einzigen LAN-Port besitzt, und somit effektiv kein Gastnetz aufbauen kann, und (b) dass das Netz mit den IPs usw. nunmal bereits so besteht, und ich keine Lust auf größere Umbauten hatte...

 

[c.wuensch]

Ich wollte wissen, ob und wann das nötig ist, da ich so eine Anordnung noch nicht hatte.
Bei mir bauen immer die FB am DSL oder FTTH den VPN auf.


Komisch.
Ein IP-Wechsel von FB3 sollte aber eigentlich kein Problem für FB2 darstellen, da sie ja die neue IP bekommt und den VPN aufbauen kann.

Nein, ich denke nicht!
Wenn FB3 eine neue IP bekommt, und dann versuchen würde, eine VPN-Verbindung zu FB2 aufzubauen, dann kommt sie an diese doch gar nicht heran! (Es sei denn, die Ports wären weitergeleitet)
Ohne weitergeleitete Ports kann - nach meinem Verständnis - die Verbindung nur in die eine Richtung, nämlich von FB2 -> FB3 aufgebaut werden.

(Das ist wie gesagt, bisher nur Theorie und nicht getestet, da die IP an FB3 relativ "statisch" ist, und sich nur sehr selten ändert.)

 

[stoney]

Ich schrieb nichts von F!B"n" sondern von dere davor und danach...

Danke für's Vormachen von Doppelposts welche dann gleich wiederholt wurden. (Diese sind selbst zusammenzuführen!)
Und warum löschen? Ohne wirklich plausiblen Grund?

 

[eisbaerin]

Wozu das geteilte Netz?

Ja, aber wozu? Gäste, Kinder, Büro, Untermieter, Ferienwohnung?

bisher nur Theorie

In der Praxis habe ich da schon das Unmöglich erlebt.
DynDNS war ausgefallen und einige IPs hatten sich geändert.
Ein VPN ging so als wäre nichts geschehen.
Ein anderer VPN, da kamen noch Nachrichten von der FB. Ich konnte sie anpingen, aber HTTP oder SSH ging nicht.