[Problem] vpn auf zweiter Fritzbox

sis71

Mitglied
Mitglied seit
16 Feb 2009
Beiträge
239
Punkte für Reaktionen
0
Punkte
16
Hallo,
ich habe 2 Fritzboxen am Start, ein 7272 (neueste Firmware, alles original) als Hauptbox, die via DSL mit dem Internet (1+1) verbunden ist, DHCP-Server aktiviert (xxx.xxx.xxx.10 bis xxx.xxx.xxx.100). Dahinter sitzt ein 7362Sl (Firmware: 131.06.83 rev43615) mit Freetz und openvpv drauf, feste IP.
Die 7362 hat über LAN1 von der 7272 Internet, und stelle dieses auch via WLAN an daran angeschlossene Geräte bereit. DHCP ist aus.
Mein Anliegen:
Die 7362 soll sich mit einem VPN verbinden (Daten vorhanden) und die Geräte die sich dann per WLAN mit der 7362 verbinden sollen dann über dieses VPN ins Internet und auf das lokale Netz keinen Zugriff mehr haben.
Kann man sowas bewerkstelligen, wenn ja wie?
 
Die Idee ist ja richtig gut. Wenn Du eine Lösung dafür finden kannst, solltest Du das unbedingt hier beschreiben (Deine Vorgehensweise und vielleicht sogar Links auf andere (legale) Quellen, die Dir dabei hilfreiche Informationen geliefert haben, wenn Du das nicht alles selbst austüftelst), damit denjenigen, die nach Dir noch auf diese Idee kommen, bei ihrer eigenen Suche nach bereits vorhandenen und beschriebenen Lösungen dann nicht dasselbe passiert, wie es bei Dir offenbar (oder doch nur "vermutlich"?) der Fall war.

Ein ganzes Netz per VPN an einen anderen Standort "umzuleiten", könnte ja viele Vorteile haben, von besserem Schutz der Privatsphäre bis zum Unterlaufen von Regionalsperren bei irgendwelchen Streaming-Angeboten - das könnte sicherlich auch anderen helfen und wenn Du Dir nun schon die Arbeit machen willst, das als (vermutlich) Erster umzusetzen, dann sollte man das m.E. nach Kräften unterstützen und so kann und will ich Dir zumindest den ersten Teil Deiner Frage:
Kann man sowas bewerkstelligen, [...] ?
beantworten und Dich damit zu weiteren (eigenen) Anstrengungen ermutigen:

"Ja, man kann sowas bewerkstelligen."

und ich hoffe, daß Du es mir nicht verübelst, wenn ich beim zweiten Teil dieser Frage dann passe.

Zwar ist damit die Antwort durchaus unvollständig und das ist mir auch bewußt, aber da die Fragestellung auch sehr unspezifisch ist (was verstehst Du denn unter "einem VPN" und hat das "openvpv" aus Deinem Freetz-Image damit irgendetwas zu tun?), wäre die (korrekte und umfassende) Antwort darauf eher ein Buch - und hier besteht ein Limit von 50.000 Zeichen pro Beitrag und es wird nicht gerne gesehen, wenn man mehrere Beiträge aneinanderreiht.
 
Ja, das geht. Vermute ich zumindest, da es mit anderen FritzBoxen geht.

So wie ich dich verstehe, benutzt du momentan die 7362 im Modus "Anschluss an externes Modem oder Router / Vorhandene Internetverbindung mitbenutzen (WLAN Mesh / IP-Client-Modus)" (Text von einer 7490).
Das bedeutet, die Box ist einfach nur ein Teilnehmer mit einer IP Adresse in einem großen, gebrückten Netzwerk. Ebenso das WLAN der 7362. Die Box arbeitet eher als Switch & Access Point.

Du müsstest die Box in den Modus "Anschluss an externes Modem oder Router / Internetverbindung selbst aufbauen / Werden Zugangsdaten benötigt = Nein" versetzen. Die Box holt sich dann eine IP-Adresse per DHCP von der 7272 als ihre externe IP Adresse (oder halt manuell konfiguriert) und spannt ein eigenes internes Netzwerk mit eigenem Subnetz auf. Zwischen dem eigenen internen Netz und dem Netz der 7362 findet Masquerading/NAT statt. Sicherstellen, dass man nicht die selben IP Adressbereiche für die Netze der beiden FritzBoxen wählt.

Jetzt kannst du auf der 7362 ein VPN einrichten, welches den internen Verkehr tunnelt.
 
@f666

jop so ungefähr solls sein.
zum ersten Teil, so ist es jetzt bei mir.
der zweite Teil, hab ich schon mal so hin bekommen ist mir auch klar,

aber mit dem 3. Teil komme ich noch nicht so richtig klar.
 
Du musst dich auf eine VPN Software festlegen, dann brauchst du auf der 7362 und auf einer Gegenstelle im Internet eben diese VPN Software.
Soll es eine private Gegenstelle sein? Ein kommerzieller Anbieter?
Falls du OpenVPN benutzt, ist es leicht, dieses in ein Freetz Image zu integrieren und zu benutzen.
Das Thema verengt sich dann nur noch auf die Frage, wie eben die Konfiguration der gewählten VPN Software gemacht werden muss.
 
ich hab einen komerzeillen VPN Anbieter der mir verschiedenen Konfigurationen breitstellt.
Auf dem Android Spartphone, unterwegs ist das alles kein Problem. Da kann ich das fein Konfigurieren, ohne zusätzliche App.
Für die 7362 hab ich mir ein Freetz zusammengelikt, das Openvpn beinhaltet, komme damit aber überhaupt nicht klar ....?
 
Es gibt für Freetz momentan zwei verschiedene GUIs für OpenVPN (unter Pakete/Web-interfaces).
Das V1 GUI bietet verschiedene Auswahlmöglichkeiten und generiert daraus eine Konfigurationsdatei für OpenVPN.
Das V2 GUI hat nur ein Textfeld, in das man eine beliebige, selbst erzeugte Konfigurationsdatei eingibt.

Mit den Angaben deines Anbieters solltest du die Konfiguration durchführen können.
Ein Problem mit diesem Aufbau ist, dass der Anbieter dir ein komplettes IP Subnetz anbieten muss.
Falls du nur eine einzige IP Adresse bekommst, muss auf der FritzBox Masquerading für das tun Interface durchgeführt werden. Auf einem normalen Linux System ist das nicht schwer (z.B. hier). Für die FritzBox muss man allerdings die entsprechenden Kernelmodule und iptables bauen, zusätzlich muss der AVM Packet Accelerator aus dem Weg geschafft werden. Wobei der beim IP Client Modus wahrscheinlich sowieso nicht aktiv ist.

Um hier helfen zu können bedarf es deutlich mehr Informationen.
 
ich hab einen komerzeillen VPN Anbieter der mir verschiedenen Konfigurationen breitstellt.
Auf dem Android Spartphone, unterwegs ist das alles kein Problem. Da kann ich das fein Konfigurieren, ohne zusätzliche App.

Die Konstellation habe ich auch (Anbieter ist Astrill) - inclusive Handy mit VPN unterwegs. Allerdngs habe ich das VPN-Netz nicht über eine FritzBox 2 mit openvpn, die über LAN an FB1 hängt, relaisiert, sondern benutze als VPN-Netz-Router einen mit dd-wrt geflashten TP-Link, der über eines der LANs einer 7390 ins Netz kommt - eine sehr lange Liste von Routern, die Du mit DD-WRT flashen kannst, gibt es auf der dd-wrt-Seite. Funktioniert stabil seit Jahren (benutze ich vor allem zum TV-Gucken aus anderen Ländern)
 
Hallo,
schon mal danke.
so mal noch ein paar Informationen.
der Anbieter ist vpn unlimited die bieten eigentlich recht viel: PPTP; L2PT/IPSEC; IKEv1; IKEv2; OpenVPN.
OpenVPN hab ich schon mal auf dem Handy am Start, die Config die VPPN unlimited anbietet funktioniert da schon mal super.

Mit der FritzBox ?

Mein Freetz:

sieht so aus
 

Anhänge

  • Screenshot_20180115_192307.png
    Screenshot_20180115_192307.png
    51 KB · Aufrufe: 9
  • Screenshot_20180115_192341.png
    Screenshot_20180115_192341.png
    10.4 KB · Aufrufe: 9
Bist Du sicher, daß IKEv1 unterstützt wird? Ich habe trotz langer, intensiver Suche nie einen VPN Anbieter mit diesem Protokoll gefunden. Auch suf der Seite Deines Anbieters wird IKEv1 nicht gelistet. Ist jetzt hier etwas OT, frage deshalb hier spontan nach.
 
sollte dabei sein ...
 

Anhänge

  • Screenshot_20180115_202134.png
    Screenshot_20180115_202134.png
    25.7 KB · Aufrufe: 14
Soweit ich, ohne dass ich Kunde bin, bei VPN unlimited sehen kann, gibt es unter Info / Manuals / How to manually create VPN configurations eine Anleitung um OpenVPN Konfigurationsdateien für Router zu erzeugen.

Diese Konfigurationsdatei würde ich gerne sehen, natürlich um die Passwörter bereinigt. Da sollte dann ersichtlich werden, ob ein komplettes Netzwerk durchgeleitet werden kann und was man im Freetz GUI einstellen muss.
 
es wird eine openvpn.ovpn erzeugt, auf dem Smartphone funktioniert die super

sieht so aus:

Code:
client
dev tun
reneg-sec 0
persist-tun
persist-key
ping 5
ping-exit 30
nobind
comp-lzo adaptive
remote-random
ns-cert-type server
route-metric 1
<ca>
-----BEGIN CERTIFICATE-----
xxxxxxxx
-----END CERTIFICATE-----
</ca>
<cert>

-----BEGIN CERTIFICATE-----
xxxxxxxx
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
xxxxxxxxxx
-----END PRIVATE KEY-----

</key>
remote xx.vpnunlimitedxxx.com
proto udp

//edit stoney: in [CODE] ... [/CODE] gepackt
 
Zuletzt bearbeitet von einem Moderator:
Es ist an der Stelle wichtig, die Datei nicht für die Verwendung auf einem Smartphone zu erzeugen, sondern für einen Router!
Der Unterschied, welchen ich mir erhoffe zu erkennen, sollte das Routing eines kompletten Subnetzes sein, und nicht nur einer einzelnen IP Adresse.
 
Bist Du sicher, daß IKEv1 unterstützt wird? Ich habe trotz langer, intensiver Suche nie einen VPN Anbieter mit diesem Protokoll gefunden.

die Frage wurde hier im IPPF schon mehrfach gestellt:
es gibt aber KEINEN kommerziellen VPN-Anbieter, der IKE v1 in seinen originären VPN-Protokollen anbietet - habe mich sehr intensiv damit beschäftigt.

Die Recherche ergab, dass neben dem in #11 erwähnten "vpn unlimited" noch weitere VPN-Provider gemäß Webseiten das IKEv1 Protokoll unterstützen:

vpn unlimited:
https://www.vpnunlimitedapp.com/

Cyberghost:
https://www.ip-phone-forum.de/threads/fritzbox-als-vpn-client-für-cyberghost.283246/#post-2137484

Hide.IO, Hide-Me:
hide.me (eine Firma aus Malaysia, aber welcher dieser VPN-Services sitzt schon in Schweden, GB, F, USA, usw.) bietet sehr wohl einen solchen Service auch mit IKE v1 an

HideMyAss!:
http://www.hidemyass.com/

Bisher konnte ich im IPPF noch kein Posting mit einer erfolgreichen VPN-Verbindung von einer FritzBox zu einem VPN-Service-Provider finden.

Update:
HMA als weiteren VPN-Provider für IKEv1 eingepflegt;
Korrektur gemäß #11 von Astrill-VPN nach "vpn unlimited"
 
Zuletzt bearbeitet:
@f666 #14
da gibt es leider keine Auswahl ...
 
Damit die Daten der angeschlossenen Systeme durch den VPN-Tunnel gehen, muss die 7362SI der Default-Gateway sein.

Damit die Geräte im lokalen Netz kein anderes System erreichen, müssten sie vom DHCP-Server mit der Subnetzmaste 255.255.255.255 und dem DG der 7362SI konfiguriert werden.

Ob die bei der 7272 konfigurierbaren Daten das möglich machen?
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.