[Problem] Regel, um Drucker via VPN zu erreichen

[Dirk11]

Guten Morgen!

Ich habe einen Drucker hinter einer 7490, IP ist 192.168.49.39. Die 7490 ist via IPSec-VPN mit meiner 7590AX verbunden, mein Netz ist 192.168.7.XXX. Für den Drucker hinter der 7490 ist "keine Verbindung zum Internet" eingerichtet. Leider ist er damit auch nicht via VPN erreichbar. Kann ich das mit einer Regel umgehen, so dass ich den Drucker in 192.168.49.XXX dennoch aus meinem 192.168.7.XXX erreiche?

LG

 

[chrsto]

keine Verbindung zum Internet

Bedeutet das, dass dem Drucker die IP des Gateways (Fritz!Box 7490) vorenthalten wurden? Dann nein, die wird benötigt. Damit der Drucker weiß, wohin er die Datenpakete schicken muss.

 

[Dirk11]

Wie gesagt, ich habe in der Fritzbox in den Einstellungen für den Drucker (der dauerhaft eine feste IP bekommt) den Zugriff auf das WAN unterbunden, weil er nicht nach Hause telefonieren soll.
Was die Fritzbox da genau für macht, entzieht sich meiner Kenntnis.

 

[chrsto]

Jetzt habe ich verstanden, was du damit meinst.
Nein, das geht nicht. Entweder, oder. Vielleicht lässt sich über die Kindersicherung oder Filterlisten etwas machen. Aber das müssen andere beantworten, damit kenne ich mich nicht aus.

 

[Erforderlich]

Meine sämtlichen Tasmota-Zwischenstecker sind auf "Internetnutzung gesperrt" bzw. "Gerätesperre aktiv" gesetzt aber bestens über VPN erreichbar.
Ich kann mich erinnern, dass bei richtig alter Firmware VPN-Verbindiungen von der Kindersicherung früher mal wirksam verhindert wurden.

 

[chrsto]

Wenn dem so ist, dann ist meine Aussage nicht korrekt und es muss auch bei @Dirk11 funktionieren.

 

[Dirk11]

Tut es aber nicht, sonst würde ich hier nicht fragen. Firmware der Fritzboxen ist selbstverständlich aktuell.

 

[chrsto]

Dann zeig doch mal Screenshots der eingerichteten VPN Verbindungen, damit wir uns mal ein Bild machen können.

 

[Erforderlich]

Denn Begriff "keine Verbindung zum Internet" habe ich auch noch nie auf einer Fritzbox gesehen.

 

[Dirk11]

Das ist auch kein "Begriff", sondern meine Umschreibung (für irgendwas müssen Anführungsstriche ja gut sein). Ich sitze gerade nicht davor.


[Edit Novize: Beiträge zusammengefasst - siehe Forumsregeln]

Dann zeig doch mal Screenshots der eingerichteten VPN Verbindungen, damit wir uns mal ein Bild machen können.

Was genau willst du sehen? Die VPN-Verbinung via IPSec ist über den AVM-Account eingerichtet und funktioniert bis auf dieses Problem seit Jahren. Ich habe keine Sonder-Einstellungen getätigt oder irgendwas geändert, sondern einfach nur das durchgeführt, was auch auf den AVM-Seiten beschrieben ist.

 

[chrsto]

Ich möchte Screenshots der eingerichteten VPN Verbindungen sehen, d.h. Screenshots der entsprechenden Bereiche aus dem Webinterface der Fritz!Box.

Ich habe gesagt, es geht nicht. Jemand Drittes kommt dazu und sagt: doch. Der nächste Schritt ist daher sich deine Konfiguration anzugucken und zwar Schritt für Schritt und von vorne. Und da die Internet Verbindungen an sich funktionieren ist der erste Schritt halt dein VPN.

 

[Dirk11]

Kann ich später machen. Aus meiner Erinnerung heraus gibt es da aber nicht viel zu sehen, deshalb will ich ja wissen, ob Du etwas Spezielles im Sinn hast.

 

[chrsto]

Ich möchte mir ganz allgemein ein Bild von deinem Netzwerk machen, da ich dich bzw. dein Netzwerk nicht kenne, angefangen beim VPN. Von deiner Umschreibung

Für den Drucker hinter der 7490 ist "keine Verbindung zum Internet" eingerichtet.

kannst du auch direkt einen Screenshot dazu packen.

 

[Dirk11]

So. Dann hier mal die (meiner Meinung nach nichtssagenden) Screenshots, denn in den Screenshots steht nichts Relevantes drin. Man kann ja auch nicht bzgl. meinem Problem "verfrickeln". Es heißt übrigens "Gerätesperre aktiv" und an anderer Stelle "durch Kindersicherung gesperrt". Das meint beides das Gleiche, nämlich dass ich in den Einstellungen den Zugang zum WAN gesperrt habe, wie ich es schon erwähnt habe.
Bevor es jemand anmerkt: in den Screenshots drei und vier stehen oberhalb nur die Anmeldedaten. Da das VPN funktioniert, habe ich direkt runtergescrollt, dann muss ich die Anmeldedaten auch nicht raus-editieren.
Aus dem entfernten Netz kann ich den Drucker weder anpingen noch ist ein traceroute erfolgreich. Setze ich die Sperre, wie sie im letzten Screenshot aktiv ist, wieder aus, so funktioniert alles.

 

[stoney]

Folgendes Wissendokment wurde bereits berücksichtig?

Über VPN kein Zugriff auf Geräte im entfernten Netzwerk möglich | FRITZ!Box 7590

Über die VPN-Verbindung kann nicht auf Geräte, Datei- und Druckerfreigaben oder andere Dienste im entfernten FRITZ!Box-Netzwerk zugegriffen werden.

fritz.com

Kannst Du denn die IP des Druckers bzw. die der FRITZ!Box oder anderen Geräten aus dem entfernten Netz anpingen?

Dass der Internetzugang gesperrt ist, spielt keine Rolle, denn es handelt sich ja um LAN-Zugriffe auch wenn diese per VPN erfolgen.

Mein Drucker darf auch nicht nach Hause telefonieren, da sonst mit einem Update keine Nachbau-Patronen mehr verwendet werden können, kann jedoch trotzdem per IPsec und WireGuard als Client-Verbindung (das sollte jedoch keinen Unterschied machen, außer es ist natürlich überhaupt kein Gerät am Ende des VPN-Tunnels erreichbar) drucken.

 

[Dirk11]

Es gibt hier kein Windows, nur Debian. Davon abgesehen: ja, wie ich oben bereits hinzufügte, sobald ich von "Internetnutzung gesperrt" auf "Internetnutzung nach Zugangsprofil" wechsle, also vom dritten auf den ersten Punkt, was die Default-Einstellung ist, funktioniert es. Mit allen anderen im entfernten Netz befindlichen Geräten verhält es sich genauso.
Genau deshalb frage ich ja nach einer möglichen statischen Route, denn das Gerät ist zur Zeit das Einzige, was a) nicht in's WAN soll und b) gleichzeitig aus meinem VPN erreichbar sein soll.

EDIT zu Punkt 2 des von Dir verlinkten Text, @stoney:

2 IP-Kommunikation über VPN-Verbindung prüfen

Prüfen Sie mit einem Ping, ob die IP-Kommunikation mit Geräten im entfernten FRITZ!Box-Netzwerk über die VPN-Verbindung grundsätzlich möglich ist:

1   Starten Sie die Eingabeaufforderung bzw. das Terminal:
        Windows: Drücken Sie die Tastenkombination Windows-Taste + R. Tragen Sie im Eingabefeld cmd ein und klicken Sie auf "OK".
        macOS: Klicken Sie im Finder auf "Programme" und dann auf "Dienstprogramme" und starten Sie das Terminal.
        Linux: Drücken Sie die Tastenkombination STRG + ALT + T.
2.    Tragen Sie ping und dahinter die IP-Adresse eines gestarteten Gerätes im entfernten Netzwerk ein (z.B. ping 192.168.10.20) und drücken Sie die Eingabetaste.
3.    Prüfen Sie, ob der Ping erfolgreich ist. Dies ist der Fall, wenn Meldungen wie "Antwort von [IP-Adresse]: Bytes..." oder "64 bytes from..." angezeigt werden.
4.    Wenn der Ping nicht erfolgreich ist, ist die IP-Kommunikation mit dem entfernten Netzwerk nicht möglich. Führen Sie die Maßnahmen der entsprechenden Anleitung durch:
        IP-Kommunikation über Client-LAN-Verbindung (z.B. zwischen Computer und FRITZ!Box) nicht möglich
        IP-Kommunikation über LAN-LAN-Verbindung (z.B. zwischen zwei FRITZ!Boxen) nicht möglich

Ping und traceroute funktionieren weder auf die IP noch auf den Namen. Ich verweise wieder auf meinen Satz ab "Davon abgesehen:..."

Das Einzige, was es gibt, ist auf meiner Fritzbox 7950AX die folgenden Routen (siehe Screenshot), die haben aber keine Auswirkung.

 

[stoney]

Davon abgesehen: ja, wie ich oben bereits hinzufügte,

ja, das hast Du nach meinem Post in #14 ergänz (mit zwei Bearbeitungen des Ursprungsposts).

Es geht auch nicht zwingend um Windows, aber nachdem das mit der Erreichbarkeit und den jeweiligen Einstellungen nun geklärt ist.

Um was für eine Art IPsec Verbindung geht es da genau bzw. nach welcher AVM-Anleitung wurde diese hergestellt? (man könnte ja eine LAN-LAN-Kopplung machen oder einen VPN-User mit einem Firmen-VPN verbinden)

Es bedarf keiner statischen Routen, wenn alles korrekt eingerichtet ist.

PS: Doppelposts sind unerwünscht

 

[Dirk11]

ja, das hast Du nach meinem Post in #14 ergänz (mit zwei Bearbeitungen des Ursprungsposts).

Deshalb habe ich Dich in der folgenden Antwort nochmal direkt angesprochen, weil ich erst da gemerkt habe, dass Du das in der Zwischenzeit schon gelesen hast.

Um was für eine Art IPsec Verbindung geht es da genau bzw. nach welcher AVM-Anleitung wurde diese hergestellt? (man könnte ja eine LAN-LAN-Kopplung machen oder einen VPN-User mit einem Firmen-VPN verbinden)

LAN-LAN, nach einer AVM-Anleitung eingerichtet. Irgendwann auch mal komplett neu eingerichtet, einmal, nachdem eine 7590 kaputtgegangen ist, und dann nach Umstieg auf die AX.

Es bedarf keiner statischen Routen, wenn alles korrekt eingerichtet ist.

Da es IMHO kaum Stellen gibt, wo man etwas falsch machen kann, und eigentlich überhaupt keine, die so eine Auswirkung wie bei mir verursachen würde, bin ich ratlos - und nur deshalb habe ich diesen thread erstellt. Ich bin tatsächlich davon ausgegangen, dass das eine gewollte Nicht-Funktionalität von AVM ist (deren Sinn ich aber nicht verstehe, denn ein VPN ist kein WAN im Sinne einer Internet-Verbindung zu einer Firmen-Website).

PS: Doppelposts sind unerwünscht

Wo habe ich etwas doppelt gepostet? Falls ja, dann lag das vielleicht an einer hängenden Verbindung, aber ich habe kein posting bewusst doppelt eingestellt.

 

[stoney]

Deshalb habe ich Dich in der folgenden Antwort nochmal direkt angesprochen

Alles gut. Ging mehr lediglich darum, dass nachfolgende Leser dies auch wissen, da es eben durch die Überschneidung dazu kam

LAN-LAN, nach einer AVM-Anleitung eingerichtet

Dann wohl diese hier

IPSec-VPN zwischen zwei FRITZ!Box-Netzwerken einrichten | FRITZ!Box 7590

So verbindest du zwei FRITZ!Boxen per VPN | Frag FRITZ! 10 Mit IPSec können Sie zwei FRITZ!Box-Netzwerke an unterschiedlichen Standorten über eine sicher verschlüsselte VPN-Verbindung über das Internet miteinander verbinden (LAN-LAN-Kopplung). Dadurch können Sie auf alle Geräte im entfernten...

fritz.com

und damit sollte es auch funktionieren, wenn das Gerät selbst nicht auf das WAN zugreifen darf.

Wo habe ich etwas doppelt gepostet?

#16 + #17

Hast Du denn die beiden Boxen bereits (am besten durch kurzes stromlos machen) neu gestartet?

Funktioniert es denn statt IPsec mit WireGuard?

WireGuard-VPN zwischen zwei FRITZ!Box-Netzwerken einrichten | FRITZ!Box 7490

Unsere Schritt-für-Schritt-Anleitung, um zwei FRITZ!Box Netzwerke über VPN (WireGuard) einfach und sicher miteinander zu verbinden. ✓

fritz.com

 

[Dirk11]

Hast Du denn die beiden Boxen bereits (am besten durch kurzes stromlos machen) neu gestartet?

Ach. Die sind beide seit Besitz des Drucker schon mehr als einmal neu gestartet worden - was daran liegt, dass seitdem mindestens ein Firmware-Update kam.

Funktioniert es denn statt IPsec mit WireGuard?

Das ist ja genau der Aufwand, den ich mir sparen will.

#16 + #17

Das ist ja kein Doppel-posting, sondern eine Ergänzung. Und die habe ich dann ganz bewußt in einem einzelnen posting nachgeschoben, damit nicht wieder kommt "ja das hast Du ja erst später editiert"