VPN zur Fritzbox "hinter" der Fritzbox

johannsternberg

Neuer User
Mitglied seit
27 Okt 2010
Beiträge
10
Punkte für Reaktionen
0
Punkte
1
Hallo,

vielleicht könnt ihr mir helfen. Ich bekomme keine VPN Verbindung hin, so wie ich es will.

Hier die Konstellation:

Standort A:
Fritzbox 7590
192.168.2.XXX
Myfritz adresse vorhanden

Standort B:
Fritzbox 6591 ("erste Fritzbox")
192.168.177.XXX
Myfritz Adresse vorhanden

Ein dauerhaftes VPN bekomme ich prima zustande. Funktioniert einwandfrei.
Jetzt befindet sich aber an Standort B eine "zweite Fritzbox" (7490).
Diese arbeitet im "Internet über LAN" Modus und ist mit dem LAN1 an der ersten FritzBox
angeschlossen.
Diese zweite Fritzbox baut das 192.168.178.xxx Netzwerk auf und alle Netzwerkgeräte darin können problemlos ins Internet.

Jetzt klappt es zwar, dass ich vom Netzwerk der zweiten Fritzbox an Standort B auf Standort A zugreifen kann
(192.168.178.xxx ----> 192.168.2.xxx klappt).
Aber leider nicht umgekeht.
Ich wil vom Standort A auf das Netzerk der zweiten Fritzbox an Standort B zugreifen.
Wie krieg ich das hin, dass meine Anfragen von
192.168.2.xxx ----> zu 192.168.178.xxx durchgehen?
Sie müssen ja quasi durch das 192.168.177.xxx hindurch.....

Ich habe probiert das VPN direkt zwischen Standort A und der zweiten Fritzbox an Standort B herzustellen aber
Das scheitert daran dass die zweite Fritzbox an Standort B keine Myfritz Adresse zugewiesen bekommt.
Vermutlich weil sie die Fritzbox hinter der Fritzbox ist.


Wie kann ich das lösen? Sorry für den umständlichen Text, ich hoffe ich habe mich verständlich ausgedrückt.
Danke fürs Lesen :)

Liebe Grüße
Jojo
 

PeterPawn

IPPF-Urgestein
Mitglied seit
10 Mai 2006
Beiträge
13,099
Punkte für Reaktionen
1,000
Punkte
113
VPN zur (WAN-)IP-Adresse der zweiten FRITZ!Box im LAN von FRITZ!Box B aufbauen (also irgendwas in 192.168.177.0/24) und auf "handgemachte Konfigurationen" mit nicht-existierenden IDs für P1 setzen (in FRITZ!Box A und FRITZ!Box C (B2). Dabei nicht vergessen, daß "xxx" keine gültigen Tupel innerhalb einer IPv4-Adresse sind.

EDIT: Ob die FRITZ!Box A dann mit der Notwendigkeit der doppelten Verschlüsselung und der daraus ggf. auch resultierenden verringerten MTU-Size klar kommt, weiß ich aber auch nicht - das Szenario
ist ja an sich schon "recht wild". Vielleicht ist es sogar besser, hier die FRITZ!Box B als "relay" zu verwenden - wie man von einer FRITZ!Box auf ein Netz hinter einer anderen FRITZ!Box zugreift, das von der zweiten aus ebenfalls per VPN angebunden ist (also "A <-> B <-> C"), ist mittlerweile auch irgendwo bei AVM in der "VPN-Abteilung" beschrieben.
 
Zuletzt bearbeitet:

AraldoL

Neuer User
Mitglied seit
8 Jan 2016
Beiträge
74
Punkte für Reaktionen
13
Punkte
8

Micha0815

IPPF-Promi
Mitglied seit
25 Feb 2008
Beiträge
3,935
Punkte für Reaktionen
220
Punkte
63
Jetzt klappt es zwar, dass ich vom Netzwerk der zweiten Fritzbox an Standort B auf Standort A zugreifen kann
(192.168.178.xxx ----> 192.168.2.xxx klappt).
Aber leider nicht umgekeht.
Hast Du denn in der accesslist 192.168.178.xxx entsprechend manuell hinzugefügt, damit Clients von FB-A auch nichtnur auf das 192.168.177.xxx-Netz zugreifen dürfen? Haben Clients von der 192.168.2.xxx Zugriff auf das 192.168.178.er Netz?
Im Prinzip ist dasimho vergleichbar der Config von 3 VPN-Standorten und der Anpassung der accesslist.
LG
 

KunterBunter

IPPF-Urgestein
Mitglied seit
12 Okt 2005
Beiträge
24,432
Punkte für Reaktionen
312
Punkte
83

johannsternberg

Neuer User
Mitglied seit
27 Okt 2010
Beiträge
10
Punkte für Reaktionen
0
Punkte
1
Hallo und danke für die Antworten.
Ich werde mal eure Ratschläge überprüfen.
Momentan ist es so, dass ich von Standort A (192.168.2.xxx) zwar auf die erste Fritzbox an Standort B (192.168.177.xxx)
zugreifen kann und auch umgekehrt aber nicht auf die zweite Fritzbox an Standort B (192.168.178.xxx).
Umgekehrt klappt das aber! Ich kann vom 192.168.178.xxx Netzwerk durch die erste Fritzbox hindurch, rüber zum anderen Standort (A) auf des 192.168.2.xxx Netzerk Problemlos zugreifen. Einbahnstraße sozusagen.

Eigentlich will ich diese Konstellation ja garnicht.
Dazu gekommen ist es, da ich bei uns in der Arbeit (Praxis) schnelleres Internet wollte.
Vodafone hat mir dann eine neue Cable Fritzbox geschickt (6591). Diese hab ich dann in der Praxis aktiviert.
Mit dem Ergebnis, dass unsere Praxissoftware mega langsam ist (Fritzbox ist quasi der Router für Server + ca 10-12 Clients). Ich habe alles mögliche an Einstellungen ausprobiert. Ich krieg es nicht schneller hin.
Es liegt eindeutig an der Fritzbox. Hab dann wieder meine alte Cable Fritzbox ins Netzwerk gehängt (6490 glaube ich)
und alles ist schön schnell. Problem ist nur: Wenn man bei Vodafone einmal die neue Fritzbox aktiviert, geht die alte nicht mehr ins Internet.
Jetzt musste ich also entscheiden:
Schnelles Internet und lahme Praxissoftware oder
schnelle Praxissoftware und kein Internet (geht ja nicht, weil das ja auch das Telefon betrifft).

Habe mir dann testweise eine zweite baugleiche Cable Fritzbox 6591 besorgt, weil ich dachte, das Vodafoneteil ist einfach ein Montagsgerät. Mit der ist es aber wieder genau das selbe: Praxisprogramme mega langsam.

Deswegen habe ich mir eben damit beholfen, dass ich eine alte 7490 für das Praxisnetzwerk benutze (geht schön schnell) und Internet geht halt nur über die Vodafone Cable Fritzbox 6591.
Mit dem Nachteil dass der VPN Kram leider nicht geht.

Nächste woche bekomme ich noch eine FB 6660 zum testen. Vielleicht geht es ja mit der und ich kann die Geschichte mit den zwei Fritzboxen hintereinander dann lassen.

Liebe Grüße
Jojo
 

Micha0815

IPPF-Promi
Mitglied seit
25 Feb 2008
Beiträge
3,935
Punkte für Reaktionen
220
Punkte
63
Deswegen habe ich mir eben damit beholfen, dass ich eine alte 7490 für das Praxisnetzwerk benutze (geht schön schnell) und Internet geht halt nur über die Vodafone Cable Fritzbox 6591.
Das"riecht" eher nach dem Modem-Mode via WAN für die 7490? Wie diese die vertragliche Speedrate (UP+DOWN) wirklich nutzen kann/darf hinter einem erlaubtem CMTS wäre zu prüfen. Dass Kabelprovider da soo schnell jedwede eigene Hardware (am Anschluss) akzeptirenen ... eher Wunschdenken als gelebte Realität
LG
 

PeterPawn

IPPF-Urgestein
Mitglied seit
10 Mai 2006
Beiträge
13,099
Punkte für Reaktionen
1,000
Punkte
113
Die ausführlichere Beschreibung in #6 klingt jetzt eher wieder danach, daß man da auf der 7490 und am Standort A eine direkte VPN-Verbindung konfigurieren sollte.

Wenn man das so macht, daß die 7490 nur als Initiator arbeitet (wie das geht, steht hier mehrfach in diversen Threads, speziell bei "einseitiger Erreichbarkeit", wie sie auch bei DS-Lite oder Mobilfunk gegeben ist) und die FRITZ!Box A nur als Responder arbeitet und gar nicht selbst an Standort B "rein will" (jedenfalls nicht zur FRITZ!Box C), stört es auch nicht weiter, wenn die 6591 an Standort B ihrerseits VPN-Verbindungen (wohin auch immer) nutzt und damit die VPN-Ports selbst verwendet.

Bei so einer Konstellation baut ausschließlich die 7490 dann die VPN-Verbindung auf und wird dabei von der 6591 (FRITZ!Box B) per NAT auf irgendeinen (vollkommen uninteressanten) UDP-Port umgemappt für diese "ausgehende" Verbindung - solange dieses Mapping existiert, können FRITZ!Box A und FRITZ!Box C auch direkt miteinander kommunizieren über diesen Kanal.

Ob das dann nach dem Erscheinen von 07.20 für die beiden Modelle immer noch gilt, muß man erst testen - gerade die Frage der "asymmetrischen Aktivierung" könnte unter der Neuimplementierung durch AVM gelitten haben.
 

johannsternberg

Neuer User
Mitglied seit
27 Okt 2010
Beiträge
10
Punkte für Reaktionen
0
Punkte
1
Die ausführlichere Beschreibung in #6 klingt jetzt eher wieder danach, daß man da auf der 7490 und am Standort A eine direkte VPN-Verbindung konfigurieren sollte.
Das hab ich auch schon überlegt und auch probiert. Das man quasi die "erste FB" am Standort B komplett übergeht.
Das scheiterte aber daran, dass ich ja an der zweiten Fritzbox im Standort B keine My-Fritz Adresse zustande bekomme.
Es wird zwar eine generiert aber der Punkt leuchtet nicht grün. Myfritz funktioniert hier also nicht.
Ist für mich aber auch irgendwie logisch, weil ich ja von "aussen" gesehen, also vom Internet aus am Standort B immer nur eine IP-Adresse habe.
Und MyFritz macht ja nichts anderes als dass er die myfritz Adresse an diese IP weiterleitet.
Aber wenn man aus dem Internet diese Internet-IP anfunkt, dann landet man ja immer auf der ersten Fritzbox an Standort B.


Jedenfalls bin ich durch eure Kommentare auf diese Anleitung gestoßen: https://avm.de/service/vpn/praxis-tipps/ueber-vpn-verbindung-zwischen-zwei-fritzboxen-auf-mehrere-ip-netzwerke-hinter-einer-fritzbox-zugreifen/

Und das beschreibt ja exakt mein Szenario. Habe jetzt jetzt alle VPN Verbindungen gelöscht und bin nach dieser Anleitung vorgegangen:
Mit dem FritzVPN-Einrichten Tool zwei neue CFG Dateien erzeugt. Dann die eine für Standort A mit dieser "permit any ip" Zeile erweitert.
Dann die beiden CFG Dateien in die jeweiligen Fritzboxen importierte und damit eine neue VPN Verbindung geschaffen.

VPN funktioniert wieder wie vorher. Hab dann auch an Standort B noch die IPv4 Route gebastelt aber das Endresultat ist das gleiche.
Funkioniert nicht. Kann nicht auf das "zweite Netzwerk" zugreifen.

Falls ihr noch Ideen hab wo ich den Fehler suchen kann dann gerne her damit.

DANKE EUCH!
 

PeterPawn

IPPF-Urgestein
Mitglied seit
10 Mai 2006
Beiträge
13,099
Punkte für Reaktionen
1,000
Punkte
113
Man braucht keine MyFRITZ!-Adresse, um VPN benutzen zu können. Wie/daß man hier die Konfigurationen von Hand erstellt, habe ich schon in #2 geschrieben - das gilt auch (bzw. erst recht) für das Initiator-/Responder-Szenario.

Das alles ist vielfach erprobt und funkioniert bei vielen anderen hier schon seit langem ... der Artikel bei AVM paßt hier eben gerade nicht, wie man eigentlich leicht erkennen kann. Denn er beschreibt ja nicht die Situation, daß da ein zweiter Router mit NAT hinter der ersten FRITZ!Box vorhanden ist, sondern daß die anderen IP-Netze dahinter direkt erreichbar sind.

Wie soll denn in Deinem Fall der Zugriff vom Netz 192.168.2.0/24 auf ein Gerät im Netz 192.168.178.0/24 erfolgen? Die sind alle hinter dem NAT in der 7490 verborgen, sowohl vom Netz 192.168.2.0/24 als auch von 192.168.177.0/24 aus. Das KANN nach dieser Anleitung also nicht klappen ... die Tatsache, daß da nur von zwei FRITZ!Boxen die Rede ist, sollte Dir zu denken geben.

Ich rate Dir einfach noch einmal, die 7490 als Initiator und die FRITZ!Box an Standort A als Responder zu konfigurieren und gut ist's (vielleicht versuchst Du es ja einfach mal, nachdem Du hier die entsprechenden Threads (oder zumindest einen davon, der am Ende gut ausging - davon gibt es durchaus mehrere, man muß sie nur suchen) gelesen hast) ... für eine VPN-Verbindung braucht man nur auf einer Seite eine (bekannte) IPv4-Adresse, die über einen DynDNS-Service aufgelöst wird. Das KANN/DARF auch eine MyFRITZ!-Adresse sein, die ja für die FRITZ!Box A problemlos erhältlich sein sollte.

Wenn man die FRITZ!Box B nicht noch aus anderen Gründen von A aus erreichen will, braucht nicht einmal diese eine DynDNS-Adresse und die FRITZ!Box C (oder meinetwegen B2) erst recht nicht. Nur muß man eben die IDs für P1 dann passend von Hand konfigurieren und kann sich dabei aussuchen, was man nimmt (solange es halbwegs nach einem Domain-Namen aussieht - so weit sollte die Vorsicht dann doch gehen, wenn man FQDN als Format/Key verwenden will) und das KANN (auf einer Seite) auch mal eine MyFRITZ!-Adresse sein, muß es aber nicht.

Entscheidend für die "Suche" der 7490 nach FRITZ!Box A ist dann der dort eingetragene "remotehostname" und der muß dann tatsächlich auf einen passenden DynDNS-Eintrag verweisen, weil das FRITZ!OS diesen Namen in schöner Regelmäßigkeit abfragt, um einen Wechsel bei einer dynamischen IP-Adresse zu erkennen. Da FRITZ!Box A als reiner Responder auch keine Idee braucht, wo FRITZ!Box C zu finden wäre (und nein, das ist nicht derselbe Endpoint wie das VPN der FRITZ!Box B), interessiert es in deren Konfiguration auch nicht, wenn/daß die FRITZ!Box C keinen DynDNS-Eintrag hat.

Das ist ja nun schon fast die komplette Anleitung, wie man vorzugehen hat ... das Einzige, was ggf. noch fehlt, sind die "Templates" für die handgemachte Konfiguration - aber wenn Du schon mit "FRITZ!Fernzugang konfigurieren" welche erstellt hast (so klingt #9 ja), mußt Du nicht mal zwingend nach passenden Threads hier suchen (womit die sich befassen, hatte ich ja schon geschrieben).

Wobei es sicherlich auch nichts schaden kann - vielleicht verstehst Du ja anhand einer der dort gezeigten Konfiguration besser, worauf das am Ende hinausläuft und welche Änderungen Du an Deinen "Templates" vornehmen mußt.

Machbar ist das jedenfalls definitiv ... und wenn Du verstanden hast, daß Du gar nicht auf der Suche nach einem Fehler in Deiner Konfiguration bist:
wo ich den Fehler suchen kann
, sondern in Deiner Herangehensweise bzw. im "Ziel" Deiner Versuche, dann klappt das auch mit der VPN-Verbindung von der 7490 (egal, ob die nun B2 oder C heißt) zur FRITZ!Box A.

Sollte das dann wider Erwarten bei der 7590 doch nicht funktionieren mit dem "Responder-only"-Modus, weil AVM das bei den Änderungen am VPN der 07.20 zerschossen hat und Du diese FRITZ!Box bereits auf 07.20 aktualisiert hast, mußt Du eben wieder zurück auf die letzte 07.1x für die 7590 ... da funktioniert es auch noch.

Dieses Verhalten (das "Stillhalten", wenn keine Gegenstelle definiert ist, weder über "remotehostname", noch über "remoteip") war/ist ja nirgendwo offiziell beschrieben und irgendwann wollte AVM ja auch dieses Szenario "Nur ein Peer ist öffentlich per IPv4 erreichbar" "reparieren" - m.E. hat das auch nach diesen Reparaturversuchen nicht immer funktioniert und das Arbeiten mit passenden Konfigurationen für Initiator/Responder war deutlich zuverlässiger. Ich hoffe inständig, daß AVM das nicht bei der neuen Implementierung unter den Tisch fallen ließ - andererseits hätten dann sicherlich einige der Leute, die bisher mit solchen VPN-Konfigurationen arbeiten, sich auch dazu im Rahmen der Labor-Reihe geäußert.
 

johannsternberg

Neuer User
Mitglied seit
27 Okt 2010
Beiträge
10
Punkte für Reaktionen
0
Punkte
1
besten dank für diesen ausführlichen Beitrag
allerdings reicht mein Fachwissen gerade noch nicht aus um das im Detail zu verstehen.
da muss ich mich erst nochmal schlaulesen .
bislang erstellte ich VPNs immer so
dass ich an beiden Standorten
an beiden FB die Daten der jeweils anderen eintrug.
also an beiden Standorten macht man ja das gleiche.
Wie dann eine Seite Sender und die andere Empfänger sein soll erschließt sich mir nicht da ja beide irgendwie das Selbe machen. das werd ich aber schon noch rausfinden.
 

jha4711

Neuer User
Mitglied seit
1 Feb 2020
Beiträge
46
Punkte für Reaktionen
17
Punkte
8
also an beiden Standorten macht man ja das gleiche.
Wie dann eine Seite Sender und die andere Empfänger sein soll erschließt sich mir nicht da ja beide irgendwie das Selbe machen. das werd ich aber schon noch rausfinden.
Vielleicht hilft das noch ....

Beide Seiten müssen in einem möglichen Szenario aber nicht das selbe machen! Wenn eine FritzBox (Sender) die VPN Verbindung aufgebaut hat, steht ja der Tunnel. Dann muss die andere Box (Empfänger) diesen Tunnel nicht/nie mehr herstellen.

Rein aus der Erinnerung: Und dafür gibt es irgendwo die Einstellungen „VPN dauerhaft aufrechterhalten“ vs. „VPN nur bei Bedarf herstellen“ (oder so ähnlich).
Wenn also die eine Box (Sender) den Tunnel dauerhaft aufrechterhält (über den DynDNS-Eintrag der anderen Box (Empfänger)), braucht diese Box (Sender) selbst gar keinen DynDNS-Eintrag, weil die andere Box (Empfänger) selbst ja NIE einen Tunnel zu ihr aufbauen müsste. Verständlich?
 

johannsternberg

Neuer User
Mitglied seit
27 Okt 2010
Beiträge
10
Punkte für Reaktionen
0
Punkte
1
Ja ich verstehe schon.
Habe gestern lange gebastelt aber leider ohne Erfolg.
Diese zweite Fritzbox (welche ja über LAN1 an der ersten hängt bekommt von der ersten Fritzbox
die IP 192.168.177.2 zugeteilt.
Die zweite Fritzbox wiederum vergibt den Geräten, die an LAN2-4 und im WLAN sind die IPs 192.168.178.xxx
Selbst hat diese Box in diesem Netz die IP 192.168.178.1
Also hat diese Fritzbox schon mal zwei IPs. Finde ich schon mal verwirrend.

Auf dieser zweiten Fritzbox einen DYNDNS Dienst oder MyFritz zu aktivieren ist sinnlos, weil die
Fritzbox ja denkt, sie habe die IP 192.168.177.2 und diese teilt sie dem DynDNS Provider mit.
Ist ja schön und gut aber diese IP ist ja vom Internet aus nicht erreichbar. Also klappt das nicht.

Dann habe ich es mit der Sender/Responder Methode probiert.
Auf der FB am Standort A habe ich einen Benutzer angelegt und diesem VPN erlaubt.
Dann bekomme ich ja Zugangsdaten, die ich zb auch mit dem iPhone nutzen kann. Das habe ich probiert und die Zugangsdaten funktionieren.

Wenn ich jezt von der zweiten Fritzbox am Standort B ein VPN aufbauen will und die Option
"VPN zu einem Firmennetzwerk aufbauen" probiere, dann geht es leider nicht.
Hätte gedacht dass ich dann einfach die Zugangsdaten eingeben muss die ich sonst auf dem iPhone nehme aber
es klappt nicht.
Hatte gedacht, dass wäre dann die Sender/Responder Variante aber scheinbar bin ich da nicht auf dem richtigen Weg.
 

jha4711

Neuer User
Mitglied seit
1 Feb 2020
Beiträge
46
Punkte für Reaktionen
17
Punkte
8
Also hat diese Fritzbox schon mal zwei IPs. Finde ich schon mal verwirrend.
Das scheint mir gar nicht verwirrend! Vermutlich hast du diese 2. FritzBox als normalen Router konfiguriert, der allerdings per LAN-1 (über die 1.FritzBox) am Internet hängt. Daher hat diese 2.Box "natürlich" eine IP-Adresse für das WAN (= LAN-1 Port) - was sonst eben der DSL- oder Kabel-Provider vergibt) UND eine andere IP-Adresse für den (internen) LAN Bereich. Das ist also bei so einem Setup ganz normal. Die FritzBox ist also Router und Firewall zwischen LAN-Port-1 und den übrigen 3 Lan-Ports 2,3 und 4.
Wenn Du das ändern möchtest muss die 2. Box im sog. IP-Client Modus laufen, dann haben ALLE LAN-Ports der 2.Box auch tatsächlich den selben IP-Adressbereich und diese 2.FritzBox läuft nicht mehr als Internet-Router sondern als Hub/Repeater für ALLE 4 LAN-Ports - deaktiviert also auch Ihre interne Firewall.Dann würden ALLE Adressen für Clients hinter der 2.Box auch vom DHCP-Server der 1.FritzBox kommen - also aus dem IP-Adressbereich 192.168.177.0/24
 

johannsternberg

Neuer User
Mitglied seit
27 Okt 2010
Beiträge
10
Punkte für Reaktionen
0
Punkte
1
OK verstehe.
Wenn ich das so mache, dann wäre das Problem mit dem VPN ja gelöst.
Stellt sich nur die frage, was dann mit meinen Praxisprogrammen ist.
Die werden dann wahrscheinlich wieder mega langsam sein weil das LAN wieder von der "ersten" FB gemanaged wird. Also würde ich die zweite FB ja dann garnicht mehr benötigen.
 

jha4711

Neuer User
Mitglied seit
1 Feb 2020
Beiträge
46
Punkte für Reaktionen
17
Punkte
8
Sorry - aber das zu beurteilen maße ich mir nicht an. Warum auch immer Du auf so eine "komplexe" 2 stufige Topologie setzt, wird ja irgendwelche Gründe haben - dazu will und kann ich nichts sagen. Ich wollte nur versuchen Erklärungen für die von Dir formulierten Unklarheiten zu finden.
Ich würde mir aber an Deiner Stelle schon ernsthafte Gedanken machen, wenn die Clients mit nur 1 FritzBox "mega langsam" sind und beim Einsatz einer 2. dann auf einmal nicht mehr. Dafür hätte ich nämlich aus der Ferne keine Erklärung, außer dass irgendetwas im gesamten Netzwerk Setup überhaupt nicht stimmt. Wahrscheinlich in der DNS-Auflösung verbunden mit ggf. falsch gesetzten festen IP-Adressen oder so etwas in dieser Richtung. Wie gesagt - hier zu urteilen oder zu beraten - aus der Ferne - das will und kann ich nicht.
 

PeterPawn

IPPF-Urgestein
Mitglied seit
10 Mai 2006
Beiträge
13,099
Punkte für Reaktionen
1,000
Punkte
113
Dann habe ich es mit der Sender/Responder Methode probiert.
Auf der FB am Standort A habe ich einen Benutzer angelegt und diesem VPN erlaubt.
Das ist aber nicht das, was ich weiter oben beschrieben habe - nur damit es nicht heißt, das würde nicht so wie beschrieben funktionieren.

Ich schlage vor, Du zeigst uns einfach mal ein paar Links auf die Threads, die Du in dem Bestreben, das irgendwo hier nachzulesen, gefunden hast - dann wissen wir auch, wo in etwa Dein Kenntnisstand anzusiedeln ist.

Die Stichworte für eine solche Suche, hast Du schon weiter oben erhalten ... wenn Du etwas länger nachdenkst, wirst Du ja feststellen, daß die Situation bei Deiner FRITZ!Box 7490 (schön wäre es, wenn die auch mal (von Dir) einen "Namen" kriegt, damit man weiß, ob das nun C oder B2 oder irgendetwas vollkommen anderes ist - das spart dann das Niederschreiben alternativer Namen (damit da mind. einer dabei ist, den Du passend zuordnen kannst) und macht die Erklärung (wenn auch nur wenig) kürzer) exakt dieselbe ist, als wenn sie an einem Internetanschluß bei irgendeinem Provider hinge, an dem sie ebenfalls keine öffentliche IPv4-Adresse kriegt, aber schon "irgendwie" ins Internet kommt.

Wenn Du weiterhin die Clients in LAN B und 192.168.178.0/24 voneinander isolieren willst, dann ist "IP-Client" eine furchtbare Idee - wenn "Praxis" sich am Ende als medizinische Einrichtung herausstellt, die schon per DSGVO mit besonders schutzbedürftigen Daten hantiert (zumindest ist es ja wohl "beruflich" und selbst wenn das eine Fahrschule oder eine "Praxis" eines Anwalts wäre, ist entsprechende Sorgfalt/Vorsicht angebracht), dann wäre das eigentlich ein "no-go" ... in so einem Netz hat kein Smartphone, kein Tablet und keine Settop-Box etwas zu suchen.

Solltest Du bei VPN-Ansätzen bleiben und tatsächlich nicht weiterkommen, kannst Du natürlich auch Deine Konfigurationsansätze hier mal "vorzeigen" (zusammen mit den o.a. Links), dann wird Dir vermutlich auch geholfen werden, was ggf. falsche Einstellungen darin anbelangt.
 
  • Like
Reaktionen: jha4711

johannsternberg

Neuer User
Mitglied seit
27 Okt 2010
Beiträge
10
Punkte für Reaktionen
0
Punkte
1
danke.
ja ich habe dafür auch keine erklärung.
die firma der praxissoftware hat per fernwartung alles gecheckt und stets ein optimales setup festgestellt.

ich tippe auf irgendwelche unterschiede
in den fritzboxen der verschiedenen baureihen. irgendwas, was ich als endbenutzer vielleicht garnicht in der
benutzeroberfläche sehen/einstellen kann.
irgendwelche protokollstandarts oder weiß der kuckkuck was.
oder vielleicht irgendwas mit der firmware.

aktueller stand ist:
6591 (vodafone branded): mies
6591 (original): mies
7490 (original): super
6490 (vodafone): super

werde heute abend noch eine originale
6660 testen.
mal sehen was damit ist.
 

johannsternberg

Neuer User
Mitglied seit
27 Okt 2010
Beiträge
10
Punkte für Reaktionen
0
Punkte
1
ja, ich gebe zu, es mag echt verwirrend aussehen.
ich versuche später mal eine skizze anzufertigen.
 

PeterPawn

IPPF-Urgestein
Mitglied seit
10 Mai 2006
Beiträge
13,099
Punkte für Reaktionen
1,000
Punkte
113
Eine Skizze braucht es wohl eher nicht - ich bin eigentlich sicher, daß man aufgrund Deiner Beschreibung das Szenario schon versteht (oder zumindest verstehen kann).

Wenn man das dann am Ende auf das tatsächlich Relevante zusammenstreicht, wird das auch wieder ein ganz simpler Aufbau ... hier soll eine FRITZ!Box mit öffentlicher IP-Adresse (die 7590) per VPN mit einer zweiten FRITZ!Box (7490) verbunden werden (die 6591 beim Anschluß B interessiert hier erst einmal gar nicht - das könnte auch irgendein anderer Router sein oder sogar ein CGN beim Provider), die ihrerseits keine öffentliche IPv4-Adresse erhält und wo man auch keine Portweiterleitungen einrichten kann, damit die 7490 unter einer öffentlichen IP-Adresse erreichbar wird.

Das mit den Portweiterleitungen ginge zwar in diesem konkreten Fall tatsächlich, wenn man in der 6591 das VPN abstellt, aber das ist (a) nicht Sinn und Zweck der Sache und (b) auch nur eine "Ausnahme" im Vergleich zu einem Anschluß, wo man auf den ersten NAT-Router gar keinen Einfluß hat.

Wenn danach dann von Netz A auch noch eine VPN-Verbindung zu Netz B genutzt werden soll, ist das eine vollkommen andere Angelegenheit und funktioniert auch parallel zu der VPN-Verbindung zwischen der 7490 und der 7590 - so eine Verbindung darf dann natürlich auch schon vor der hier gesuchten eingerichtet sein oder werden.