LAN LAN Kopplung routet nur in einer Richtung

Vivat

Neuer User
Mitglied seit
22 Apr 2012
Beiträge
3
Punkte für Reaktionen
0
Punkte
1
Ich habe 2 Fritzboxen (alte Dinger, 7390 und 6842 LTE) über VPN gekoppelt. Trotz nicht-öffentlicher IP der FB 6842 LTE funktionierte das auf Anhieb, dh. die VPN Verbindung wird in beiden Boxen als aktiv (grüner Punkt) angezeigt. Aus dem Netz der FB 6842 LTE kann ich auch auf die Computer in dem Netz der gekoppelten FB 7390 zugreifen. Aus dem Netz der FB 7390 kann ich nur auf die FB 6842 LTE selbst zugreifen (z.B. Konfigurationsoberfläche, aber auch ping funktioniert), aber nicht auf Computer/Geräte, die in dem Netz der FB 6842 LTE per LAN oder WLAN verbunden sind. Untereinander sehen sich die Computer/Geräte in dem Netz der FB 6842 LTE. Ich habe alles nur über die Konfigurationsoberfläche der Boxen eingerichtet, dh. nicht irgendwelche Konfigurationsdateien verändert. Was könnte das Probelem sein?
 
Ohne die vpn.cfg's von beiden Seiten, wird Dir niemand helfen können.
 
Der ausschließlich mögliche Zugriff auf die entfernte Fritzbox ist ein relativ sicheres Indiz auf eine recht häufigen Fehler, und zwar unter "Entferntes Netzwerk" im letzten Oktett keine Null sondern die IP der entfernten Fritzbox einzutragen, also z.B. falsch 192.168.178.1 statt wie richtig 192.168.178.0.
 
  • Like
Reaktionen: Micha0815
Einspruch:
Aus dem Netz der FB 6842 LTE kann ich auch auf die Computer in dem Netz der gekoppelten FB 7390 zugreifen.
vs.
Der ausschließlich mögliche Zugriff auf die entfernte Fritzbox ist ein relativ sicheres Indiz auf eine recht häufigen Fehler
Letzteres könnte man unterschreiben, wenn es in beiden Richtungen so wäre.

Wenn hier aber aus einer Richtung Zugriffe funktionieren (von TCP mit 3-Way-Handshake bis zu Antworten auf ICMP-Pakete) und diese ganz offensichtlich nicht von der FRITZ!Box selbst stammen (hier von der 6842 - die ja wohl keine Shell bietet (zumindest wurde es nicht erwähnt) und aus dem zitierten Text würde ich eher auf Zugriffe von Clients aus dem 6842-Netz auf andere Clients im 7390-Netz schließen), dann kann es eigentlich nicht daran liegen, daß durch diese falschen Angaben am Ende auf einer Seite eine "accesslist" mit "permit ip any 192.168.178.1 255.255.255.0" generiert wurde - das wäre ja die (entscheidende) Auswirkung dieses häufigen Fehlers, neben falschen Keep-Alive-Adressen u.ä.

Wäre das so, sollten die Antworten an die anderen Clients hinter dieser 192.168.178.1 (nehmen wir das mal als IP-Adresse der 6842 an), die ja nach dem ersten Zitat ihren Weg finden, auch nicht über den Tunnel gehen und damit dürften diese Zugriffe nicht funktionieren. Ich wüßte jedenfalls nicht, wie das gehen sollte ... daher würde ich - in diesem konkreten Fall, wo es in der Gegenrichtung funktionieren soll - eigentlich nicht davon ausgehen, daß die Angabe eines Hosts anstelle des Netzwerks die Ursache des Problems ist.

Eher tippe ich hier auf Firewall-Probleme bei den - nicht näher beschriebenen - Zugriffsversuchen, die schiefgehen in der anderen Richtung. Da es sich (wenn es wirklich LAN-LAN ist) ja um zwei getrennte Subnetze handelt, vermute ich eher auf der einen Seite ein Problem mit der Erkennung, daß da "ein Freund" zugreifen will.

Aber wie @stoney schon richtig schrieb: Ohne Konfigurationsdateien zu sehen, kann man eigentlich nur raten (mal mehr, mal weniger erfolgreich) und es ist ja kein Problem, diese mal zu zeigen. Auch eine nähere Beschreibung, WELCHE Zugriffe in der einen Richtung funktionieren und in der anderen nicht, würde vermutlich nicht wirklich schaden.
 
Danke für die Antworten.
Es ist 192.168.178.0 und nicht 192.168.178.1 konfiguriert. An beiden FB hängen Windows-PCs. Von dem Windows-PC an der FB 6842 LTE kann ich einen PC an der FB 7390 erreichen (z.B. ping 192.168.1.100 aber auch ein Netz-Laufwerk mounten \\192.168.1.100\w). Von dem gerade angepingten PC an der FB 7390 kann ich den PC an der FB 6842 LTE nicht erreichen (ping 192.168.178.20 gibt ein timeout). ping 192.168.178.1 geht.
PeterPawn liegt wahrscheinlich richtig (Danke!), dass das irgendwas an dem Windows PC ist. Ein zum Test angestöpseltes IP-Telefon lässt sich anpingen (ping 192.168.178.23), per WLAN verbundene Android-Phones aber auch nicht.
Nur aus Neugierde: Wie kann ich die hier gewünschten Konfigurationsdateien aus der FB extrahieren?
 
Es war tatsächlich die Firewall auf dem PC. Abschaltet - geht.
 
Aber trotzdem nicht einfach abgeschaltet lassen, sondern besser korrekt einstellen ... die Geräte aus 192.168.1.0/24 sind dann halt "wie LAN" zu behandeln (im richtigen Profil - privat vs. öffentlich und u.U. auch noch vs. Domäne bei einigen Windows-Versionen) von dem betroffenen Windows-PC.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.