.titleBar { margin-bottom: 5px!important; }

VPN zu einem kaskadiertierten Router (auf Box hinter der Modem-Box)

Dieses Thema im Forum "AVM" wurde erstellt von starbright, 23 Jan. 2019.

Schlagworte:
  1. starbright

    starbright Mitglied

    Registriert seit:
    9 Sep. 2007
    Beiträge:
    367
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Bei mir gibt es zwei Fritzboxen hintereinander, die erste ist das normale Modem im 192.168.178er Netz, eine zweite kaskadiert mit eigenem Subnetz 192.168.20
    (https://avm.de/service/fritzbox/fri...FRITZ-Box-als-kaskadierten-Router-einrichten/)

    Gerne würde ich eine VPN Verbindung in diese 20er Subnetz aufbauen können. Wenn das so nicht geht, reicht auch eine VPN Verbindung auf genau eine IP in dem 20er Subnetz. Die 1. Modembox muss das entsprechend weiterleiten an die 2. Box. Wie geht das? Das MyFritz nicht funktioniert steht schon in der oben verlinkten Anleitung, aber es sollte doch machbar sein, oder?

    Also in der Modembox muss sicher erst mal ein DynDNS laufen, damit ich die im Internet finde.
    Der zweiten Box habe ich angewiesen das 20er Subnetz aufzumachen.
    Aber wie dann weiter? Eine Portweiterleitung, Route, xxx ? So gut kenne ich mich da nicht aus.
     
  2. Micha0815

    Micha0815 Aktives Mitglied

    Registriert seit:
    25 Feb. 2008
    Beiträge:
    2,921
    Zustimmungen:
    106
    Punkte für Erfolge:
    63
    Beruf:
    Stauberater
    Du musst dies in der accesslist der vpn.cfg zusätzlich eintragen. Dabei die Syntax mit Komma und Semikolon beachten.
    LG
     
  3. starbright

    starbright Mitglied

    Registriert seit:
    9 Sep. 2007
    Beiträge:
    367
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Das versteh ich nicht. Erst mal die Frage: Wo läuft der VPN Service (Server, oder?)? Auf der Modem Box und die setzt das dann in "normalen" Traffic zur zweiten durch? Man bedenke, dass durch die Kaskadierung die beiden Netze von Box1 und 2 ja getrennt sind.
    Oder muss man irgendeine Art Weiterleitung in der Box1 einrichtung und die Box2 arbeitet als VPN Gegenstelle.
    Sorry, ich brauch da noch etwas mehr Hilfe.
     
  4. Micha0815

    Micha0815 Aktives Mitglied

    Registriert seit:
    25 Feb. 2008
    Beiträge:
    2,921
    Zustimmungen:
    106
    Punkte für Erfolge:
    63
    Beruf:
    Stauberater
    #4 Micha0815, 23 Jan. 2019
    Zuletzt bearbeitet: 24 Jan. 2019
    Du betrachtest z.Zt. das eine Ende des Tunnels (mit Deinen 2 Boxen). Was stellt das andere Ende dar? Einen Client, ein Firmennetzwerk/-server, eine andere FB.
    Im Falle einer LAN2LAN-Verbindung zwischen 2 Boxen muss nur die accesslist angepasst/erweitert werden um das Netz der kaskadierten FB.
    Als Client von .178.x wirst Du ja auch auf .168.x kommen bzw. dürfen.
    LG
     
  5. starbright

    starbright Mitglied

    Registriert seit:
    9 Sep. 2007
    Beiträge:
    367
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Naja, das andere Ende ist mein Laptop in irgendeinem WLAN dieser Welt. Das wäre dann der Client, richtig?
    Und ganz so einfach ist das bei kaskadierten Routern nicht - normalerweise gibt es (imho) zunächst keinen Weg von der Box1 (ModemBox) in das Netz der Box2 (Subnetz).
    Regeln:
    - Box2 beziegt ihren Internet-Zugang von Box1.
    - aus dem Netz der Box1 soll man nicht auf das der Box2 zugreifen können
    - Box1 ist eine VPN Gegenstelle (Server ?) für einen Laptop im Internet, der z.B. auf ein Web-IF im Netz der Box2 zugreifen können soll.

    Also dann richte ich einen VPN Tunnel zur Box1, die direkt ans Internet angeschlossen ist ein.
    Und dann kann ich eine Regel einrichten, die den Ausgang des Tunnels direkt in das Subnetz der Box2 leitet?

    Mit dem Stichwort "access list" bin auch auf diese Hilfe gestoßen:
    https://avm.de/service/fritzbox/fri...-IP-Netzwerke-hinter-der-FRITZ-Box-zugreifen/

    Das klingt ja gut, aber bei der Zusammenschaltung von zwei Fritzboxen unterscheidet AVM zwischen den Modi "IP-Client" und "Kaskadieren".
    https://avm.de/service/fritzbox/fri...x-fuer-Betrieb-mit-anderem-Router-einrichten/

    Ich fürchte die Beschreibung oben funktioniert nur, wenn die 2.Box IP-Client ist.
    Mir macht der Satz für den Kaskadierten Mode Sorgen:
    "der Zugriff aus dem Internet oder dem Netzwerk des vorhandenen Routers auf Geräte, die an der FRITZ!Box angeschlossen sind, ist nicht möglich"

    Mh, ganz und gar nicht oder mit "Tricks" vielleicht doch?
     
  6. Benares

    Benares Aktives Mitglied

    Registriert seit:
    15 Jan. 2006
    Beiträge:
    2,178
    Zustimmungen:
    27
    Punkte für Erfolge:
    48
    Ort:
    Pfalz
    Nein, nein, die Beschreibung passt schon zu deiner Konstellation. IP-Client wäre es, wenn die 2. Box eine IP im LAN der ersten hätte. Bei dir sind es einfach zwei kaskadierte Router mit jeweils unterschiedlichen IP-Ranges im LAN dahinter. Der VPN-Tunnel endet in der 1. Box, von da aus geht’s weiter über die statische Route ins 2. LAN.
    Denk aber dran, du hast mit 2 Firewalls zu tun. In der der 1. Box musst du nichts tun. Aber in der der 2. Box musst du regeln, wer von LAN1 in LAN2 durch darf.
     
  7. Shirocco88

    Shirocco88 Aktives Mitglied

    Registriert seit:
    4 Jan. 2016
    Beiträge:
    805
    Zustimmungen:
    56
    Punkte für Erfolge:
    28
    was soll eine "statische Routing-Eintrag" in Fritzbox1 bringen, wenn Fritzbox2 im NAT-Router-Modus (IP-Masquerading) betrieben wird ?

    da geht nur die Einstellung "Portforwarding" oder "Exposed Host" in Fritzbox2;
    aus Sicht von Fritzbox1 ist die Fritzbox2 ein "Non-Routing-Device", da bringt es nichts irgendwelche Routen dort hin zu "setzen".
     
  8. Benares

    Benares Aktives Mitglied

    Registriert seit:
    15 Jan. 2006
    Beiträge:
    2,178
    Zustimmungen:
    27
    Punkte für Erfolge:
    48
    Ort:
    Pfalz
    #8 Benares, 25 Jan. 2019
    Zuletzt bearbeitet: 25 Jan. 2019
    Gerade dann ist sie notwendig. Woher soll Box1 denn sonst wissen, dass Box2 mit ihrer LAN1-IP der Router ins LAN2 ist?
    Die Rechner in LAN1 haben ja Box1 als Default-Gateway und könnten somit nicht mit Rechnern im LAN2 sprechen (wenn man nicht auf jedem einzelnen PC ein Route dorthin einträgt). Ob sie dabei durchkommen, bestimmt natürlich die Firewall von Box2. Das hat jetzt nichts direkt mit dem per VPN eingewählten externen PC zu tun, der ist aus Sicht von Box2 auch nur ein ganz normaler PC in LAN1.

    Deshalb denke ich, das da eine statische Route in Box1 notwendig ist. Das steht so ja auch im erwähnten Beitrag aus der AVM-Wissensdatenbank.
     
  9. Shirocco88

    Shirocco88 Aktives Mitglied

    Registriert seit:
    4 Jan. 2016
    Beiträge:
    805
    Zustimmungen:
    56
    Punkte für Erfolge:
    28
    das ist "frommes" Wunschdenken;
    eine Route (Host- oder Netzwerk-Route) auf einen Host im LAN (und die Fritzbox2 ist aus Sicht von Fritzbox1 nur ein Host) macht nur dann Sinn, wenn dieser IP-Forwarding (d.h. IP-Frames für fremde Netze annehmen und weiterleiten) kann und will
    und dies macht die Fritzbox2 im NAT-Router-Mode nicht;
    da bräuchtest Du z.B. einen DD-WRT Router anstelle der Fritzbox2.
     
  10. Benares

    Benares Aktives Mitglied

    Registriert seit:
    15 Jan. 2006
    Beiträge:
    2,178
    Zustimmungen:
    27
    Punkte für Erfolge:
    48
    Ort:
    Pfalz
  11. Shirocco88

    Shirocco88 Aktives Mitglied

    Registriert seit:
    4 Jan. 2016
    Beiträge:
    805
    Zustimmungen:
    56
    Punkte für Erfolge:
    28
    Bitte den KB-Artikel nicht selektiv lesen:
    Da steht doch:
    wenn man einen normalen Layer3 Switch oder Router verwendet, dann funktioniert dies auch; das habe ich auch in #9 geschrieben:
    Die Fritzbox ist jedoch kein transparenter Layer3-Switch oder Router, sondern ein NAT-Router, d.h. KEIN "bidirektionaler" Router.
    in Richtung WAN-to-LAN gibt es bei FB im NAT-Router-Mode keine Layer3-Routing-Funktion, sondern wie in #7 geschrieben nur die Möglichkeit "Portforwarding" oder "Exposed Host".
    das Problem ist, dass die NAT-Funktion bei der Fritzbox nicht abschaltbar ist.


    diese Aussage ist falsch.
     
  12. Benares

    Benares Aktives Mitglied

    Registriert seit:
    15 Jan. 2006
    Beiträge:
    2,178
    Zustimmungen:
    27
    Punkte für Erfolge:
    48
    Ort:
    Pfalz
    #12 Benares, 25 Jan. 2019
    Zuletzt bearbeitet: 25 Jan. 2019
    Damit ist die wohl die accesslist gemeint. Ich bleib bei meiner Meinung.
    Warum beharrst du so darauf, das eine Fritzbox als 2. Router ungeeignet sei? Hast wohl einen DD-WRT und kennst es nicht anders.
    Mag sein, dass damit einiges anders/besser geht. Aber der Artikel aus der AVM-Wissensdatenbank ist für mich schlüssig und plausibel, wenn um kaskadierte Fritzboxen geht, wie beim TS.
     
  13. Shirocco88

    Shirocco88 Aktives Mitglied

    Registriert seit:
    4 Jan. 2016
    Beiträge:
    805
    Zustimmungen:
    56
    Punkte für Erfolge:
    28
    Leider kann man bei Fritzbox die NAT-Router-Funktion nicht abschalten und dadurch auf "normalen" Layer3-Router umstellen, dadurch ergeben sich Einschränkungen hinsichtlich Nutzung; das sind Tatsachen.
    gene kann man bei AVM-Produktmanager auch einen Enhancement-Request hierzu stellen.

    Wo steht das ? der Artikel bezieht sich doch nicht auf kaskadierte Fritzboxen, sondern auf "ein weiterer Netzwerk-Router"!
    und bei CISCO-Router wie 2960 usw. funktioniert dies auch problemlos; nur nicht bei kaskadierten Fritzboxen, wenn der VPN-Endpunkt sich auf der vorgelagerten Fritzbox befindet.

    wenn Du selbst 2 Fritzboxen hast, dann kannst Du dies gerne selbst im Praxistest nachvollziehen.
     
  14. Benares

    Benares Aktives Mitglied

    Registriert seit:
    15 Jan. 2006
    Beiträge:
    2,178
    Zustimmungen:
    27
    Punkte für Erfolge:
    48
    Ort:
    Pfalz
    Was ist für dich ein "normaler Layer3-Router"? Sorry, ich kann dir nicht ganz folgen.
    Ich hab zwar mehrere Fritzboxen (s. Signatur), aber als IP-Clients - also nur ein LAN. Aber ich lerne gerne dazu.
     
  15. Micha0815

    Micha0815 Aktives Mitglied

    Registriert seit:
    25 Feb. 2008
    Beiträge:
    2,921
    Zustimmungen:
    106
    Punkte für Erfolge:
    63
    Beruf:
    Stauberater
    Dies @Shirocco88
    betrifft wohl nur einen Client im nachgelagerten FB-Netz und mutmasslich mit einer festen/fixen IP.
    Auch wenn man den Tunnel in der 1ten FB enden lässt und das Netz der 2ten FB abschottet, müsste nach meiner einfältigen Vorstellung -die falsch sein mag- ein Zugriff von z.B. "VPN-User" 192.168.178.201 auf 192.168.168.22 (als feste IP/Client) einstellbar sein mit "Bordmitteln".

    Ansonsten habe ich im Hinterkopf abgespeichert, dass Freetz und ein OpenVPN-Paket dieses Problem stemmen könnten.
    LG
     
  16. Shirocco88

    Shirocco88 Aktives Mitglied

    Registriert seit:
    4 Jan. 2016
    Beiträge:
    805
    Zustimmungen:
    56
    Punkte für Erfolge:
    28
    #16 Shirocco88, 25 Jan. 2019
    Zuletzt bearbeitet: 25 Jan. 2019
    Switche, die um Routing-Funktion erweitert wurden, z.B. Netgear-GS108, CISCO-C2960, ... werden als Layer3-Switche bezeichnet;
    diese werden hautsächlich in LAN-Umgebungen eingesetzt, in denen Routing benötigt wird.

    normale Router (ohne Zusatzfunktionen wie Zwangs-NAT in eine Richtung wie bei Fritzboxen) verfälschen keine Absender-IPs, d.h. sie arbeiten "transparent" oder "netz-neutral".

    mir geht es hier primär um Technik und deren Einsatzmöglichkeiten
    und da ist es nun mal so, dass bei einem Konsumer-Router mit Zwangs-NATing, die Einrichtung von "statische Routen" auf Devices auf der WAN-Seite auf die WAN-IP dieses Konsumer-Router nichts bringt;
    Diskussionen um Begrifflichkeiten, um eine gemeinsame Sicht zu entwickeln, können hier auch helfen.


    solange dieser "Zugriff" sich mit "Portforwarding" oder "exposed Host" auf Fritzbox2 realisieren lässt, wird dies funktionieren;

    eine Anpassung der accesslist, wie in dem KB-Artikel beschrieben, ist für den Use-Case #1 Unfug, da das LAN2 von Fritzbox2 (aufgrund der nicht abschaltbaren Zwangs-NAT-Funktion der Fritzbox2) im LAN1 der Fritzbox nicht sichtbar (Source-/Destination-IPs) ist.

    da reicht schon modfs und ein OpenVPN-Binary auf Fritzbox2 mit Portforwardings auf den vorgelagerten Fritzboxen, um den in #15
    genannten User-Dial-In zu realisieren;
    da braucht man keine Firmware "freetzen".
     
    Micha0815 gefällt das.
  17. Benares

    Benares Aktives Mitglied

    Registriert seit:
    15 Jan. 2006
    Beiträge:
    2,178
    Zustimmungen:
    27
    Punkte für Erfolge:
    48
    Ort:
    Pfalz
    Jetzt fang dich mal und lies dir #1 nochmal in Ruhe durch. Es geht nur um die Kaskadierung zweier Fritzboxen.
     
  18. Shirocco88

    Shirocco88 Aktives Mitglied

    Registriert seit:
    4 Jan. 2016
    Beiträge:
    805
    Zustimmungen:
    56
    Punkte für Erfolge:
    28
    #18 Shirocco88, 25 Jan. 2019
    Zuletzt bearbeitet: 27 Jan. 2019
    Nachtrag:
    diese Konstellation (AVM IPsec VPN in der Fritzbox2) funktioniert, wenn man die erforderlichen Protokolle (ESP) und Ports (UDP/500, UDP4500) in der Fritzbox1 an die Fritzbox2 weiterleitet/vorwardet; alternativ kann "Exposed Hosts" von FB1 nach FB2 eingerichtet werden.
    sonstige Rahmenbedingung: es muss eine öffentliche IP-Adresse bei Fritzbox1 vorhanden sein, d.h. kein DS-Lite-Anschluß
    EDIT (27.01.2019): sinnvollerweise sollte in Fritzbox1 dann DynDNS eingerichtet werden, idealerweise wird ein Provider mit Public-IPv4 oder Dualstack und ohne täglicher DSL-Zwangstrennung ausgewählt.
     
  19. starbright

    starbright Mitglied

    Registriert seit:
    9 Sep. 2007
    Beiträge:
    367
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Wie das so immer ist wenn sich zwei Experten nicht einig sind - der Laie steht da und versteht nix mehr. ;)
    Könnt ihr mir beim Einrichten helfen? Da sieht man dann was geht und was nicht.
    Ausgehend von VPN geht bis zur Box1.
     
  20. Benares

    Benares Aktives Mitglied

    Registriert seit:
    15 Jan. 2006
    Beiträge:
    2,178
    Zustimmungen:
    27
    Punkte für Erfolge:
    48
    Ort:
    Pfalz
    Ja dann sag doch mal, wie weit du bist. Tipps gab's ja schon einige.
    Du hast die Wahl zwischen:
    1.) VPN-Tunnel bis zur Box1 mit angepasster accesslist (Wissendatenbank-Artikel). Dann über Route/Portforwarding weiter in LAN2 oder
    2.) VPN-Tunnel bis zur Box2 mittels Portforwarding auf Box1 wie von Shirocco88 beschrieben

    Warum willst du die beiden überhaupt kaskadieren? Das macht vieles komplizierter. Ein einfacher IP-Client-Betrieb tut's ja oft auch. Mal dir mal ein Bildchen, dann wird vieles klarer.
     
    starbright gefällt das.