[Frage] SNAT/Masquerading auf der Fritzbox

BlueEclipse

Neuer User
Mitglied seit
13 Jan 2025
Beiträge
4
Punkte für Reaktionen
0
Punkte
1
Guten Tag,

ich habe bei mir gerade folgende Situation:

Ich halte zu meiner FB 7580 eine dauerhafte Wireguard-Verbindung offen.

Die Clients der Wireguard-Verbindung haben IP-Adressen, die in einem anderen Netzwerkbereich sind als mein Heimnetz. Ich kann die Wireguard-Clients aber nicht in den IP-Adressbereich des Heimnetzes legen, weil sonst das Routing nicht klappt und ich zwar aus dem Heimnetzwerk meine Wireguard-Clients erreichen kann, aber nicht anders herum.

Ich habe aber ein Gerät im Heimnetzwerk, auf das ich von fernem zugreifen möchte, das aber nur Anfragen aus seinem eigenen IP-Subnetz akzeptiert, in dem meine WG-Clients nun mal nicht sind.

Ich müsste also theoretisch SNAT/Masquerading auf der Fritzbox nutzen, um alle Pakete, die von meinen Wireguard-Clients kommen, so umzuschreiben, dass sie eine IP-Adresse aus meinem Heimnetzwerk bekommen.

Freetz NG habe ich bereits auf der Box, aber es scheint nicht wirklich etwas zu geben, mit dem ich das umsetzen könnte. iptables/nftables gibt es weder als Paket, noch als Kernel-Modul, noch als BusyBox-Applet. Eventuell könnte man sich das Ganze irgendwie über tc zurechtbiegen, aber ich glaube, das wird zu kompliziert.

Hat AVM da eventuell eine eigene Lösung, sodass ich theoretisch gar keine zusätzlichen Binaries brauche?

Vielen Dank im Voraus für eure Hilfe!
 
Das letzte Mal, als ich eine WireGuard Verbindung in der Fritz!Box eingerichtet habe, hatte der "Client" eine IP Adresse aus dem Adressbereich der Fritz!Box, was genau deinen Anforderungen entsprechen würde. Wieso da was mit dem Routing nicht klappt, könntest du vielleicht näher erläutern.
 
Ich nehme an, du beziehst dich auf die WireGuard-Implementierung von AVM? Ich nutze das WireGuard-Paket von Freetz-NG.

Ich würde vermutlich sogar die AVM-Implementierung verwenden, wenn die Fritz!Box 7580 jemals Fritz!OS 7.50 erhalten hätte ...

Zum Fehler beim Routing: Manche Geräte sind erreichbar (anpingbar), andere nicht.
Ich habe einige Geräte getestet:

6 Geräte waren nicht anpingbar,
2 Geräte waren anpingbar (zusammen mit dem Router wären es dann drei).

Ich werde ich mir heute Abend
einmal den Schnittstellenmitschnitt aus dem lokalen LAN ansehen, um zu prüfen, ob die Pakete überhaupt bei den Geräten ankommen.

Interessanterweise waren alle 8 Geräte (mit dem Router 9) im Heimnetz zum selben Zeitpunkt anpingbar und wenn ich die WireGuard-Clients wieder außerhalb meines Heimnetz-Subnets lege ,funktioniert es bei allen Geräten auch per Wireguard.

o.k also anscheinend antworten die Geräte nicht:1736798567632.png
Ich habe auch mal auf dem PC der hinter der .23 steckt via Wireshark Vekehr aufgezeichnet und dass Packet kommt dort auch an aber es wird nie geantwortet.

Dass ist ja ein Layer 3 VPN , eventuell kommen die Geräte nicht damit klar, dass sie eine Anfrage von einem Gerät erhalten von dem sie nie die MAC Adresse erhalten? Aber wie funktioniert dann dass IPSEC VPN der Fritzbox? Läuft ja auch über Layer 3 und die Geräte haben demnach auch keine MAC.

Ich habs!
Die Fritzbox antwortet aufARp Anfragen an die Geräte die per IPSEC verbunden sind mit ihrer eigenen MAC , gut sichtbar an der MAC Tabelle des besagten PCS.
1736802602719.png

Ich muss also die Fritzbox dazu bringen, den Geräten auch im Falle einer Wireguard-Verbindung ihre MAC auf ARP-Anfragen zu antworten, natürlich nur, wenn die Geräte die MAC-Adressen von den VPN-Geräten haben wollen.

Ich habe einmal ein neues Thema dazu erstellt weil es sich jetzt in eine Richtung entwickelt, sie nicht mehr ganz der ursprünglichen Frage entspricht.
 

Anhänge

  • 1736801816515.png
    1736801816515.png
    11.3 KB · Aufrufe: 2
Zuletzt bearbeitet:
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.