LAN LAN Kopplung routet nur in einer Richtung

Vivat

Neuer User
Mitglied seit
22 Apr 2012
Beiträge
3
Punkte für Reaktionen
0
Punkte
1
Ich habe 2 Fritzboxen (alte Dinger, 7390 und 6842 LTE) über VPN gekoppelt. Trotz nicht-öffentlicher IP der FB 6842 LTE funktionierte das auf Anhieb, dh. die VPN Verbindung wird in beiden Boxen als aktiv (grüner Punkt) angezeigt. Aus dem Netz der FB 6842 LTE kann ich auch auf die Computer in dem Netz der gekoppelten FB 7390 zugreifen. Aus dem Netz der FB 7390 kann ich nur auf die FB 6842 LTE selbst zugreifen (z.B. Konfigurationsoberfläche, aber auch ping funktioniert), aber nicht auf Computer/Geräte, die in dem Netz der FB 6842 LTE per LAN oder WLAN verbunden sind. Untereinander sehen sich die Computer/Geräte in dem Netz der FB 6842 LTE. Ich habe alles nur über die Konfigurationsoberfläche der Boxen eingerichtet, dh. nicht irgendwelche Konfigurationsdateien verändert. Was könnte das Probelem sein?
 

stoney

Moderator
Teammitglied
Mitglied seit
7 Okt 2015
Beiträge
5,335
Punkte für Reaktionen
403
Punkte
83
Ohne die vpn.cfg's von beiden Seiten, wird Dir niemand helfen können.
 

Olaf Ligor

Mitglied
Mitglied seit
21 Mai 2019
Beiträge
242
Punkte für Reaktionen
29
Punkte
28
Der ausschließlich mögliche Zugriff auf die entfernte Fritzbox ist ein relativ sicheres Indiz auf eine recht häufigen Fehler, und zwar unter "Entferntes Netzwerk" im letzten Oktett keine Null sondern die IP der entfernten Fritzbox einzutragen, also z.B. falsch 192.168.178.1 statt wie richtig 192.168.178.0.
 
  • Like
Reaktionen: Micha0815

PeterPawn

IPPF-Urgestein
Mitglied seit
10 Mai 2006
Beiträge
12,650
Punkte für Reaktionen
900
Punkte
113
Einspruch:
Aus dem Netz der FB 6842 LTE kann ich auch auf die Computer in dem Netz der gekoppelten FB 7390 zugreifen.
vs.
Der ausschließlich mögliche Zugriff auf die entfernte Fritzbox ist ein relativ sicheres Indiz auf eine recht häufigen Fehler
Letzteres könnte man unterschreiben, wenn es in beiden Richtungen so wäre.

Wenn hier aber aus einer Richtung Zugriffe funktionieren (von TCP mit 3-Way-Handshake bis zu Antworten auf ICMP-Pakete) und diese ganz offensichtlich nicht von der FRITZ!Box selbst stammen (hier von der 6842 - die ja wohl keine Shell bietet (zumindest wurde es nicht erwähnt) und aus dem zitierten Text würde ich eher auf Zugriffe von Clients aus dem 6842-Netz auf andere Clients im 7390-Netz schließen), dann kann es eigentlich nicht daran liegen, daß durch diese falschen Angaben am Ende auf einer Seite eine "accesslist" mit "permit ip any 192.168.178.1 255.255.255.0" generiert wurde - das wäre ja die (entscheidende) Auswirkung dieses häufigen Fehlers, neben falschen Keep-Alive-Adressen u.ä.

Wäre das so, sollten die Antworten an die anderen Clients hinter dieser 192.168.178.1 (nehmen wir das mal als IP-Adresse der 6842 an), die ja nach dem ersten Zitat ihren Weg finden, auch nicht über den Tunnel gehen und damit dürften diese Zugriffe nicht funktionieren. Ich wüßte jedenfalls nicht, wie das gehen sollte ... daher würde ich - in diesem konkreten Fall, wo es in der Gegenrichtung funktionieren soll - eigentlich nicht davon ausgehen, daß die Angabe eines Hosts anstelle des Netzwerks die Ursache des Problems ist.

Eher tippe ich hier auf Firewall-Probleme bei den - nicht näher beschriebenen - Zugriffsversuchen, die schiefgehen in der anderen Richtung. Da es sich (wenn es wirklich LAN-LAN ist) ja um zwei getrennte Subnetze handelt, vermute ich eher auf der einen Seite ein Problem mit der Erkennung, daß da "ein Freund" zugreifen will.

Aber wie @stoney schon richtig schrieb: Ohne Konfigurationsdateien zu sehen, kann man eigentlich nur raten (mal mehr, mal weniger erfolgreich) und es ist ja kein Problem, diese mal zu zeigen. Auch eine nähere Beschreibung, WELCHE Zugriffe in der einen Richtung funktionieren und in der anderen nicht, würde vermutlich nicht wirklich schaden.
 

Vivat

Neuer User
Mitglied seit
22 Apr 2012
Beiträge
3
Punkte für Reaktionen
0
Punkte
1
Danke für die Antworten.
Es ist 192.168.178.0 und nicht 192.168.178.1 konfiguriert. An beiden FB hängen Windows-PCs. Von dem Windows-PC an der FB 6842 LTE kann ich einen PC an der FB 7390 erreichen (z.B. ping 192.168.1.100 aber auch ein Netz-Laufwerk mounten \\192.168.1.100\w). Von dem gerade angepingten PC an der FB 7390 kann ich den PC an der FB 6842 LTE nicht erreichen (ping 192.168.178.20 gibt ein timeout). ping 192.168.178.1 geht.
PeterPawn liegt wahrscheinlich richtig (Danke!), dass das irgendwas an dem Windows PC ist. Ein zum Test angestöpseltes IP-Telefon lässt sich anpingen (ping 192.168.178.23), per WLAN verbundene Android-Phones aber auch nicht.
Nur aus Neugierde: Wie kann ich die hier gewünschten Konfigurationsdateien aus der FB extrahieren?
 

Vivat

Neuer User
Mitglied seit
22 Apr 2012
Beiträge
3
Punkte für Reaktionen
0
Punkte
1
Es war tatsächlich die Firewall auf dem PC. Abschaltet - geht.
 

PeterPawn

IPPF-Urgestein
Mitglied seit
10 Mai 2006
Beiträge
12,650
Punkte für Reaktionen
900
Punkte
113
Aber trotzdem nicht einfach abgeschaltet lassen, sondern besser korrekt einstellen ... die Geräte aus 192.168.1.0/24 sind dann halt "wie LAN" zu behandeln (im richtigen Profil - privat vs. öffentlich und u.U. auch noch vs. Domäne bei einigen Windows-Versionen) von dem betroffenen Windows-PC.
 

3CX PBX - GRATIS
Linux / Win / Cloud

Neueste Beiträge

Statistik des Forums

Themen
234,391
Beiträge
2,045,842
Mitglieder
354,075
Neuestes Mitglied
joyswap