VPN - lokaler Rechner in entferntem Netz?

[OlliVenöl]

Hi. Folgende VPN Konfiguration bereitet wir etwas Kummer:

Netzwerk A
192.168.178.1 Fritzbox A
192.168.178.2 SERVER X mit virtuellen Maschinen, mehrere Netzwerkkarten
192.168.1xx.9 SERVER X - virtuelle Maschine, die Dienst für das entfernte Netz anbieten soll.

Netzwerk B
192.168.101.1 Fritzbox B
192.168.101.0 Diverse Clients, die auf den virtuellen Server im Netzwerk A zugreifen sollen.

Beide Fritzboxen sind mit "VPN-Verbindungen zwischen der FRITZ!Box und anderen Netzwerken" Verbunden.
Das VPN heißt Quasi Netzwerk-AB mit den gegenüberliegenden Netzwerkadressen. Die Fritzboxen lassen sich mit ihren .1 Adressen aus dem jeweils anderen Netz 'lokal' erreichen. So weit, so gut.

Jetzt sollen die Clients aus Netzwerk B aber die virtuelle Maschine über eine IP aus Netzwerk B erreichen.
Die VM hat eine eigene Netzwerkkarte zugewiesen bekommen und soll im Idealfall als 192.168.101.9 in Netzwerk B erscheinen.
Fritzbox A soll also quasi die VM Netzwerkkarte in das B Netz 'exportieren'.

Wie konfiguriere ich das in Fritzbox A?
IPv4 Routen klappten nicht.
Festlegen einer festen IP für ein bestimmtes Gerät (MAC Adresse / Hostname) auch nicht.

Vielen Dank für alle konstruktiven Antworten!

 

[HabNeFritzbox]

Das klappt nicht, die Anfrage bleibt im Netz B, und wird nicht ins Netz A geroutet.

Musst wenn IP aus Netz A verwenden.

 

[kleinkariert]

Dafür ist eigentlich die Option "VPN-Tunnel ist nur an den ausgewählten LAN-Anschlüssen der FRITZ!Box verfügbar".

Hilfe FRITZ!Box 7590 - VPN-Verbindung zwischen zwei FRITZ!Box-Heimnetzen für einzelne LAN-Anschlüsse einrichten

service.avm.de

So wie ich die Option verstehe, ist dann nicht nur der ausgewählte LAN-Port vom lokalen Netz getrennt sondern auch der Tunnel ausschließlich nur dort verfügbar.

 

[HabNeFritzbox]

Brauchst Fremde Netz zum routen, daher kannst nicht lokale IP von A in B ansprechen.

 

[Micha0815]

Kann man das Problem nicht durch Erweiterung der accesslist erschlagen? Die teilanonymisierten configs der beteiligten FBs könnten Aufschluss geben. Ich kann über drei miteinander verbundene LAN2LAN-VPNs doch auch weitere IP-Bereiche erreichen durch angepasste accesslists? Wenn FB-Clients aus Netz A den Server-X bzw. sein Netzwerk lokal erreichen können, sollten die entfernten Clients aus Netz B durch Anpassung der VPN-cfg -hier accesslist- dies auch können.
LG and my2cent

 

[HabNeFritzbox]

Mit fremden IPs geht es ja, diese werden gemäß Routingtabellen behandelt.

Eigene IP (gleiche Subnet, Heimnetz,…) wird nicht geroutet da Geräte direkt miteinander kommunizieren.

 

[Micha0815]

Nur zum eigenen Verständnis? Der Server X mit 192.168.178.2 ist doch via VPN aus dem B-Netz erreichbar (die B-Netz-FB taucht ja im A-Netz als 192.168.178.2xx (wenn ich mal Standard-DHCP-Einstellung annehme/voraussetze) auf.
Wenn ein anderer Client im A-Netz nichtnur 192.168.178.2 (ServerX) sondern auch das dahinterliegende, vom Server X bereitgestellte Netz 192.168.1xx.0/24 lokal erreicht, sähe ich keinen Grund, das 192.168.178.2xx das nicht auch könnten/dürften.
LG und ich lass es mir gerne nochmals erläutern, wo mein Denkfehler liegt.

 

[HabNeFritzbox]

Der Server ist eben nicht via VPN erreichbar, da eigene Subnet nicht geroutet wird, wenn nur für A fremde Netz B.

Sonst würde AVM usw. ja nicht ständig in FAQ und so schreiben man bräuchte unterschiedliche Netze. So wie du es siehst könntest mehere FB mit gleichem Subnet betreiben und alle wären quasi gleiche Netzwerk.

 

[frank_m24]

Clients fragen für Adressen aus dem eigenen Subnetz nicht den Router, um das Paket weiterzuleiten. Bei Zugriffen auf das eigene Subnetz machen sie direkt einen ARP request und versuchen, das Paket lokal auf Schicht 2 zuzustellen. Der ARP Request würde scheitern, die 192.168.178.2xx Versuche laufen ins Leere.