Fritzbox VPN IP Routing mehrerer Subnetze

[HabNeFritzbox]

Ich möchte 3 Fritzboxen verbinden für ein gemeinsames Windowsnetzwerk.

Jede Fritbox steht an einem anderen Standort, und hat je einen eigenen Internetzugang. Jede Fritzbox baut zu der anderen eine direkte VPN Verbindung auf.

Es kann von jedem PC auf den anderen direkt per IP zugegriffen werden, jedoch finden sich die Rechner nicht selbst automatisch, auch eine Heimnetzgruppe ist so nicht möglich.

Nun wollte ich Fritzbox 2 und 3 auf die 1 routen mit einer Statischen Route. Die Fritzbox meldet nur "Die IP-Adresse liegt nicht innerhalb des IP-Netzwerkes der FRITZ!Box."

Derzeit ist es so aufgebaut:
Fritzbox 1: 192.168.1.1 / 255.255.255.0
Fritzbox 2: 192.168.2.1 / 255.255.255.0
Fritzbox 3: 192.168.3.1 / 255.255.255.0

Müßte ich einfach nur Subnetmaske auf 255.255.0.0 ändern und dann die Route auf die Fritzbox 1?

Da ich kein Windows Server habe fällt Domäne/WINS wohl eher weg. An sämtlichen Rechner 2-3 Gateways und DNS Server manuell einpflegen wäre auch etwas "doof".

Sehe gerade in der AVM VPN Config steht ganz unten

ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";

Durch anpassung bei der Config für FB 2 und 3 auf

ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
"udp 0.0.0.0:4500 0.0.0.0:4500"
"udp 192.168.(2/3).1:137 192.168.1.1:137"
"udp 192.168.(2/3).1:138 192.168.1.1:138"
"tcp 192.168.(2/3).1:139 192.168.1.1:139"
"tcp 192.168.(2/3).1:450 192.168.1.1:450";

sollte doch das Windowsnetzwerk zentral über die FB 1 laufen, und sich somit Netzwerk übergreifend finden/arbeiten lassen, oder?

 

[andilao]

Mit dem (bereits per VPN stattfindenden!) Routing änderst Du nicht, dass Windows keinen subnetzübergreifenden Browsingdienst hat. Der einzige für mich praktikable "Ersatz" für Domänenmaster-Suchserver und (Subnetz-)Master-Suchserver wäre die zentrale Pflege einer HOSTS-Datei z.B. auf einem Stick in einer der Boxen, die dann von jedem PC beim Login und evtl. noch zeitgesteuert kopiert wird.

 

[HabNeFritzbox]

Wenn ich subnet änder auf 255.255.0.0 änder baut Fritzbox keine verbindung mehr auf.

Mit son anmelde scripten und so wollt ich nicht arbeiten. Soll ja auch mit iphone und co klappen.

 

[HabNeFritzbox]

Selbst wenn ich ein WINS Server hätte, würden alles FB's diesen ja nicht per DHCP mitteilen.

 

[andilao]

Evtl. kann man mit freetz was basteln ... mit einem replikationsfähigem DNS-Server pro Subnetz wäre sicher das Problem Namensauflösung zu knacken. Mit dem Windows-OpenSource-DNS/DHCP-Server "DualServer" geht so was schon, außer das Browsing natürlich.

 

[HabNeFritzbox]

Wie meinst Browsing?
Möchte ja das PC's sich finden in Netzwerkumgebung und auch eine Heimnetzgruppe möglich ist.

 

[andilao]

Mit Browsing meint ich das (automatische) Durchsuchen des Netzwerks etc. pp.
Für eine Heimnetzgruppe über mehrere Subnetze per VPN sieht es schlecht aus, einzig die Namensauflösung, d.h. das Ansprechen mit sog. NetBIOS-Namen statt IP-Adresse wäre machbar.

 

[HabNeFritzbox]

Daher wollt ich ja Subnetz von /24 auf /16 ändern. Nur dann baut die FB kein VPN mehr auf. Dann wäre alles in einem Subnetz.

 

[andilao]

Interessanter Vorschlag!
Das Routing über VPN + Fritzbox findet aber erst statt, wenn man eine IP außerhalb des eigenen Subnetzes (oder mehrerer eigenen Subnetze) anspricht. So werden aber alle Adressen lokal angesprochen.

 

[HabNeFritzbox]

Leider alles bischen doof :-/

Statische Route geht auch nur wenn Netzwerk /16 aber dann geht VPN nicht.

Mit ipv6 in jeder fritzbox festen bereich mit fd: zuweisen bringt wohl auch nicht viel.

Und jedem Rechner eine zweite ip zuweisen die in einem bereich ist wohl auch schlecht.

 

[andilao]

Leider alles ... doof :-/

Ja!

Mit ipv6 in jeder fritzbox festen bereich mit fd: zuweisen ...

Ja, VPN macht nur IPv4.

Und jedem Rechner eine zweite ip zuweisen die in einem bereich ist

Ja, dann wird nicht mehr geroutet.

 

[HabNeFritzbox]

Also eine Möglichkeit wäre evt. noch alle 3 Standort in das selbe Subnetz zu stecken und dann doppeltes NAT zu nutzten. Cisco router sollen dies wohl können...

Dann wäre ganze etwa so FB1 192.168.1.1/16 = 10.0.1.1/24 (NAT) -> FB2 10.0.2.1/24 (NAT) = 192.168.2.1/16

Frage ist halt ob man der FB doppeltes NAT beibringen kann?

Problem wäre wohl aber noch, das Broadcast wohl nicht an den Gatway geht und somit garnicht durch VPN geroutet wird und somit trotz selbes Subnetzes Rechner nicht finden oder?

 

[andilao]

Ohne "zusätzliche Hardware" wird das nichts. Lies mal hier: http://www.oreilly.de/german/freebooks/samba2ger/ch01.html, Absatz "Kann eine Windows-Arbeitsgruppe mehrere Subnetze umfassen?"

Ansonsten hätte ich wenigstens für Windows-Systeme noch eine "Erleichterung" auf Lager:
In der "Netzwerkumgebung" könnte man pro Subnetz auf einen Ordner verlinken, in dem man Links (mit IP-Adresse!) auf jede gewünschte Freigabe in diesem Netz anlegt. Die Ordner könnten auf je einem USB-Stick der zuständigen Fritz!Box oder auch ganz zentral liegen und gepflegt werden. So würde das Ganze wenigstens pseudo-durchsuchbar.

 

[HabNeFritzbox]

Naja arbeite ohne Windowsserver also nicht mit Domänenanmeldung, Domänensuchdienst oder ähnliches. Für WINS gibts ja ggf noch Freeware, aber ist ja auch nur zur DNS.
Teil wird halt auch eher Privat genutzt, und so klappt keine Heimnetzgruppe oder die nutzung eines NAS per UPNP/AV am anderen Standort.
Daher sind Cisco Router die es könnten wohl eher zu teuer. Bleibt wohl wenn nur die direkte eingeschränkte IP Nutzung oder ebend auf jedem PC kostenfreie Tool Hamachi.

 

[andilao]

Statt Hamachi kannst Du ja auch das Box2Box-VPN weglassen und gleich alle Clients per Fernzugang oder Shrewsoft anbinden. Über Server von "Dritten" zu gehen, hat immer so ein Geschmäckle.