[Problem] Netzwerk/Fritzbox Routing Problem

[duffy6]

Halo zusammen,

Folgende Situation:
Erste Fritzbox (192.168.133.1/24)
Zweite Entfernte FritzBOX (192.168.178.1/24): per FritzboxVPN dauerhaft verbunden (Client2LAN; erste FB kann auf zweite FB zugreifen, aber nicht umgekehrt)
OpenVPN-Server (192.168.133.100): an erste FB angeschlossen.

Die Clients aus dem Netz der ersten FB können nun also auf das Netz der zweiten FB zugreifen.

Das OpenVPN System wird zur Anbindung von clients aus dem Internet benutzt.
OpenVPN deswegen, da es nur über einen Port laufen kann und aus fast allen Hotel/public WLANs über Port 993 (IMAP Port) aufgebaut werden kann.

Diese aus dem Internet angebunden Clients (via OpenVPN) können jedoch nicht auf das Netz der entfernten Fritzbox zugreifen (192.168.178.x).
Wie kann ich das lösen? Mit einer statischen Route?

Viele Grüße
Duffy6

 

[HabNeFritzbox]

Von extern sollte keiner auf zweite FB zugreifen können ohne Portweiterleitung.

Und ja, du brauchst eine statische Route, da die FB sonst Daten ans WAN sendet, also an deinen Internetanbieter. Mit TCP mag es noch gerade so klappen, mit UDP nicht.

[Frage] - Fritz!App Fon über OpenVPN nutzen

Hallo Ihr Lieben, ich verwende meine Fritzbox in meinem Netzwerk als "Eine bestehende Internetverbindung im Netzwerk wird mitbenutzt". Auf dieser Fritzbox sind meine Rufnummern aktiv. Die Box hängt im WLAN Netz. Wenn ich mich mit meinem Smartphone im WLAN Netz anmelde und die Fritz!App Fon öffne...

www.ip-phone-forum.de

IPv4-Netzwerk 192.168.178.0
Subnetzmaske 255.255.255.0
Gateway 192.168.133.100

Und dann halt noch zusätzlich in zweiten FB entsprechende Portweiterleitungen, sofern nicht nur FB selbst erreichen willst z.B. für Fernwartung.

 

[hitman]

Ich würde mal

push "route 192.168.178.0/24 255.255.255.0 192.168.133.100"

auf dem openVPN-Client verwenden/probieren.

Portweiterleitung auf der zweiten FB wird meiner Meinung nach nicht gebraucht.

 

[HabNeFritzbox]

Macht eher Sinn in der FB, da es so nicht auf VPN und korrekten Push angewiesen ist und so im Heimnetz bei Bedarf auch andere auf zweite FB zugreifen können.

Ohne Portweiterleitung wird zweite FB alles blocken eingehend, da erste Heimnetz eben WAN also Internet ist für die FB. Ausgenommen FB eigene Dienste.

 

[Theo Tintensich]

Diese aus dem Internet angebunden Clients (via OpenVPN) können jedoch nicht auf das Netz der entfernten Fritzbox zugreifen (192.168.178.x).
Wie kann ich das lösen? Mit einer statischen Route?

Ja.
Du kommst über den OpenVPN-Server mit einer IP an, der auf der "entfernten" Seite des Servers vom OpvenVPN-Client vergeben wird. (z.B. 10.8.5.2/28), und dieses Netz muss irgendwie wisse, wie es das Netz 192.168.178.0/24 erreicht. Auch muss auch die entfernte F!B natürlich den Rückweg in des OpenVPN-'Netz' kennen.

Wohl am einfachsten wäre es, diese Routen auf der F!B einzutragen. Auf der entfernten F!B wird als Gateway zum OpenVPN das VPN-Interface der entfernten F!B zur Haupt-F!B eingetragen.

Auf der Haupt-F!B wird für das OpenVPN-Netz die IP des OpenVPN-Servers in diesem Netz eingetragen.

Beispiel
entfernte F!B:
Ziel-Netz 192.168.133.0/24 Gateway 192.168.178.200
Ziel-Netz 10.8.5.0/28 Gateway 192.168.178.200

Haupt-F!B
Ziel-Netz 10.8.5.0/28 Gateway 10.192.133.2
Ziel-Netz 192.168.178.0/24 Gateway 192.168.133.200

 

[duffy6]

Beispiel
entfernte F!B:
Ziel-Netz 192.168.133.0/24 Gateway 192.168.178.200
Ziel-Netz 10.8.5.0/28 Gateway 192.168.178.200

Haupt-F!B
Ziel-Netz 10.8.5.0/28 Gateway 10.192.133.2
Ziel-Netz 192.168.178.0/24 Gateway 192.168.133.200

Danke für die ausführliche Antwort!
Drei Fragen dazu:
1) Aber wieso kann ich denn bisher überhauot aus meinem Heimnetz auf das entfernte Fritzbox-Netz zugreifen? So ganz ohne statische Routen?

2) wieso Gateway 192.168.133.200 ?
Das verstehe ich nicht?

3) würde es nicht eher Sinn machen die Routen nur via OpenVPN push zu konfigurieren, da das Problem ja eh nur bei den OpenVPN Clients auftritt? (Vgl. Frage 1).

Ich werde heute mal rumprobieren...

 

[HabNeFritzbox]

Die Route in zweiten FB ist unnötig, das Gateway (Ziel) befindet sich eh nicht im gleichen Netz, also passt hier default 0.0.0.0 also über WAN schon.

Reicht wenn erste FB es kennt. Wie erwähnt, kannst mit Route in FB dann auch von anderen Geräten bei Bedarf aus zugreifen, und nicht nur von openVPN aus.

Wieso du auf zweite FB zugreifen kannst, können wir mit den wenigen Infos nicht sagen, vermutlich hast da Portweiterleitung aktiv oder so.

 

[duffy6]

Unnötiges Vollzitat entfernt - HabNeFritzbox
Portweitwrleitungen habe ich nicht aktiv.
Nur die ganz „normale“ Client2LAN VPN Verbindung von meiner Fritzbox (192.168.133.0/24) zur entfernten Fritzbox (192.168.178.0/24).

Der OpenVPN Server (192.168.133.102) vergibt übrigens IPs aus dem 192.168.134.0/24 Netz

 

[HabNeFritzbox]

Was macht ganze für nen Sinn? Wieso nicht zweite FB als IP Client, macht unnötig Probleme.

Wenn VPN Verbindung besteht, kennt die FB ja die Route entsprechend ins 192.168.178.0 Netz.

Dann kennt die FB nur nicht das 192.168.134.0 und musst dafür ne Route machen auf 192.168.133.102, damit Daten den Weg zum VPN zurück finden.

 

[Theo Tintensich]

Wenn die F!B den VPN-Tunnel verwaltet kennt sie die verwendeten Netze und richtet bei den sich einwählenden Clients automatisch die passende Route ein.

Verwendet man Client-VPN, werden von der F!B, welche das VPN zur Verfügung stellt, für die Clients IP-Adressen ab 200 im Netz der F!B verteilt.
Diese IP-Adressen sind, wenn man das F!B-VPN verwendet, also freizuhalten.