Zugriff über 2 LAN-LAN-Kopplungen ermöglichen (ohne dritte Kopplung)

[fibco]

** Geändert. Beschreibung warum und Origialtext am Ende dieses Postings im Spoiler**


Urlaubsbedingt (Haus einhüten im Sauerland) merke ich nun, dass ich übersah, dass in dieser Konstellation ...
(alle Boxen FW 07.27 und 7590, Ausnahme FritzBox X: 7490):

0. VPN-Tunnel wird vom Laptop aus zur FritzBox 'BetaP' aufgebaut (Fernzugang für einen Benutzer). Klappt.
1. VPN-Tunnel wird zwischen FritzBox 'BetaP' und FritzBox 'zu Hause' aufgebaut (LAN-LAN-Kopplung). Klappt.
2. VPN-Tunnel wird von per DSlite angebundener anderer FritzBox (X) aus zur FritzBox 'zu Hause' aufgebaut (einseitig initiierte LAN-LAN-Kopplung). Klappt.

... (anders als 'zu Hause') ich eben nicht vom Laptop in die FritzBox (X) bzw. dort angeschlossenes Gerät komme :-( So wie ich es sehe, ist dieses "bridging" (richtige Bezeichnung?) zwischen zwei VPN-Tunneln in der Weboberfläche der FritzBox nicht zu haben und auch nicht über eine statische Route (ggf. nur zu einem Gerät hinter dem Tunnel aus 2.) zu haben. Richtig? Ja, ich weiss, dass dafür ein eigenständiger vierter Tunnel empfohlen wird, doch den gibt es jetzt nun nicht (+wäre dieser ja ohnehin erschwert).

Ist das gewünscht mit Fritz gar nicht oder doch irgendwie zu haben, bitte?
(ich fürchte jedoch, dass nicht mehr aus dem Urlaub)

VG

Spoiler: ** Beschreibung "warum" und Origialtext **

Hatte mich geirrt. Meine ursprüngliche Beschreibung gilt nur bei Nutzung einer virtuelle Installation eines ganz alten Betriebssystems. Diese funktioniert zwar, lässt mich aber vom Softwarestand her nicht jenes erledigen, was gewünscht ist. Dies Hemmnis ist nun im Urlaub auch nicht zu ändern.

Origialtext (Betreff: "über VPN Fritz!Box am Ende von ganz anderem VPN erreichen"), auf den sich Posting #2 und #3 bezogen:

Urlaubsbedingt (Haus einhüten im Sauerland) merke ich nun, dass ich übersah, dass in dieser Konstellation ...
(alle Boxen FW 07.27; 'zu Hause': 7590, FritzBox X: 7490):

1. VPN-Tunnel wird vom Laptop aus zur FritzBox 'zu Hause' aufgebaut. Klappt.
2. VPN-Tunnel wird von per DSlite angebundener anderer FritzBox (X) aus zur FritzBox 'zu Hause' aufgebaut. Klappt.

... (anders als 'zu Hause') ich eben nicht vom Laptop in die FritzBox (X) komme :-( So wie ich es sehe, ist dieses "bridging" (richtige Bezeichnung?) zwischen zwei VPN-Tunneln in der Weboberfläche der FritzBox nicht zu haben und auch nicht über eine statische Route (ggf. nur zu einem Gerät hinter dem Tunnel aus 2.) zu haben. Richtig? Ja, ich weiss, dass dafür ein eigenständiger dritter Tunnel empfohlen wird, doch den gibt es jetzt nun nicht (+wäre dieser ja ohnehin erschwert).

Ist das gewünscht mit Fritz gar nicht oder doch irgendwie zu haben, bitte?
(ich fürchte jedoch, dass nicht mehr aus dem Urlaub)

VG

 

[PeterPawn]

Die Angaben sind für sinnvolle/gezielte Antworten zu unpräzise. Daß es sich bei den beiden Boxen um ein Site-to-Site-VPN handelt (conntype_lan), ist noch einigermaßen klar ... doch was ist das für eine Verbindung zwischen dem Laptop und der 7590?

Wenn das eine "Einwahlverbindung" sein sollte (conntype_user), dann wird das verwendete Gerät zum Bestandteil des entfernten LAN und erhält auch eine IP-Adresse aus dessen Netzwerk-Segment (die wird beim Erstellen der Verbindung schon reserviert). Damit sollte es kein Problem darstellen, auch weitere Netze zu erreichen, die mit dem entfernten LAN per VPN verbunden sind - für diese anderen Netze macht es keinen Unterschied, solange die Adresse aus ihrer eigenen Sicht "hinter" der VPN-Verbindung liegt. Da braucht es keinen "dritten Tunnel" - ja, es wäre nicht einmal klar, von wo nach wo der jetzt eigentlich führen sollte.

Man muß dann am Laptop nur dafür sorgen, daß die Pakete für das andere LAN an FRITZ!Box X auch in den Tunnel zur 7590 gesendet werden.

 

[stsoft]

Du hast vermutlich beim einrichten des VPN für den Laptop nicht den Haken "Alle Daten durch den Tunnel senden" aktiviert, somit werden die Pakete für die andere FritzBox auch nicht durch den Tunnel geschickt.

 

[fibco]

Danke an PeterPawn und stsoft!

Ich hatte bei der Beschreibung Mist gebaut und das Eingangsposting jetzt gerade angepasst. Was PeterPawn auf die Ursprungsfassunge hin schrieb (dass die Erreichbarkeit doch gegeben ist), stimmt natürlich.

Darf ich Euch für die nun richtige und hoffentlich einigermaßen hinreichende Beschreibung um Rat bitten?

 

[PeterPawn]

In dem jetzt beschriebenen Szenario muß an allen drei Boxen die VPN-Konfiguration für die LAN-LAN-Kopplung angepaßt werden (EDIT: geht auch nicht mit dem eingebauten Assistant im GUI). Wie genau, steht irgendwo bei AVM in der KB (auf mehrere Netzwerke hinter einer VPN-Verbindung zugreifen).

 

[fibco]

an allen drei Boxen die VPN-Konfiguration für die LAN-LAN-Kopplung angepaßt werden

Ja, nur leider nicht aus dem Urlaub heraus :-(

Aber grundsätzlich (für nach dem Urlaub):
Eine Datendurchreichung von einem Tunnel zum anderen Tunnel - an der FritzBox 'zu Hause' (die zwischen 1. und 2.) - ist nicht machbar, bitte?

 

[PeterPawn]

Verstehe ich nicht ... natürlich ist das machbar, man muß das halt nur IN ALLEN DREI Boxen auch entsprechend konfigurieren. Und das kann man theoretisch auch alles per Fernwartung machen - es GINGE also auch aus dem Urlaub, wenn man nur will.

Irgendeine Lösung, die nur an einer FRITZ!Box Änderungen erfordern soll (wo also die "mittlere" Box praktisch für beide Richtungen als NAT-Gateway auftreten müßte, damit die Daten in beiden Richtungen so aussehen, als kämen sie eigentlich von ihr und damit die Antworten auch in die passende Richtung gehen), ist nicht machbar - jedenfalls nicht "funktionierend" ... oder es müßte schwer was an mir vorbeigegangen sein.

EDIT: Wobei mir gerade auffällt, daß die "mittlere FRITZ!Box" eigentlich gar keine "handgemachte Konfiguration" bräuchte - die könnte also sogar die einzige sein, wo man das mit dem GUI-Assistant auch komplett konfigurieren kann (wenn man mal den Aspekt beiseite läßt, daß die 7590 besser keinen DNS-Namen für die Box am DS-Lite-Anschluß kennen sollte, was dann auch wieder nur "von Hand" geht).

 

[fibco]

Aus der Ferne mach' ich jetzt gerade mal - spez. nach dem hier geschilderten Abschuss unter FW 07.27 - nix an der VPN-Konfiguration.

Klar wäre es technisch am Besten, bei allen drei Boxen die entsprechenden Ergänungen durchzuführen. Und ja, insbesondere müsste die "mittlere FRITZ!Box" dann für diesen Zugriff nicht zwei VPN-Ströme mit Ver- und Entschlüsselung handhaben. Einerseits. Wenn jedoch im Jahre 1969 schon Menschen auf dem Mond gewesen sein sollen ;-) dann mag es doch im Jahr 2021 durchaus möglich sein, so ein Routing, Bridgeing (Du schriebst: NAT-Gateway) zu haben. Ggf. nicht bei Fritzens :-(

[...] oder es müßte schwer was an mir vorbeigegangen sein.

Nun meine ich mitbekommen zu haben, dass Du ziemlich was d'rauf hast. Daher Danke, dass Du das für möglich hältst. Warum sollte es denn grundlegend "nicht machbar" sein, bitte?

(meine mal bei Lancom oder Bintec-Elmeg gesehen zu haben, dass zugeordenet werden kann, wohin geroutet wird; meine vage Erinnerung mag mich trügen)

 

[PeterPawn]

Jetzt verläßt Du aber das Thema. Generelles Philosophieren, wie man drei Standorte per VPN am besten verbindet und ob/wie das andere Hersteller machen, paßt nicht in DIESES Unterforum.

Entweder man geht das Ganze so an, daß man vorgegebene Technik (mit eingeschränkten Fähigkeiten) hat und versucht, dem gesteckten Ziel so nahe wie möglich zu kommen oder man wählt die (erst noch zu beschaffende) Technik gleich so aus, daß mit ihr das genau bekannte Ziel auch definitiv erreichbar ist - und das DARF man dann eigentlich nicht mehr erweitern, erst recht nicht über die Fähigkeiten der mittlerweile beschafften Technik hinaus.

Um es mal ganz konkret zu machen: Aufgrund des Aufbaus des FRITZ!OS, kannst Du alle Überlegungen bzgl. Routing, Bridging, NAT, etc. beim VPN vergessen - das geht einfach nicht.

Um eine FRITZ!Box als (stark eingeschränkten) VPN-Server/-Konzentrator zu betreiben und über eine Box mehrere andere miteinander zu verbinden, braucht es sauber geplante LAN-Segmente an den zu verbindenden Standorten ... dann funktionirt das u.U. sogar mit dem AVM-GUI, wobei man das dann für eine konkrete FRITZ!OS-Version auch erst mal probieren müßte. Denn AVM ändert auch dort desöfteren und man weiß nie so genau, welche Gültigkeitsprüfungen noch ausgeführt werden, bevor irgendwelche XFRM-Regeln für den Kernel aus einer gestarteten Verbindung erstellt werden.

Aber auch wenn es funktionieren sollte, erfordert das dann noch eine geschickte Wahl der Reihenfolge bei den Einstellungen ... so ein Konzentrator müßte sich ja dann (damit man nicht jede Box gesondert mit den anderen "bekanntmachen" muß) mit einer anderen, weniger spezifischen Netzwerkmaske für P2 ausweisen, z.B. 255.255.240.0 (bzw. /20), wenn man 16 Subnetze haben wollte und da die P2-Angaben automatisch aus den LAN-Einstellungen gebildet werden, müßte man diese - zumindest für den Zeitraum des Erstellens ALLER VPN-Konfigurationen auf dem Konzentrator - passend ändern. Andererseits darf die auch nicht geändert bleiben, weil dann sämtlicher Traffic zu den anderen Netzen als "local" angesehen und über die (W)LAN-Schnittstelle weitergeleitet würde, anstatt über das dsl-Interface, an dem auch die VPN-Verschlüsselung hängt.

Man KANN tatsächlich eine einfache Konzentrator-Konfiguration bauen - ob das auch tatsächlich mit dem GUI-Assistenten gelingt, kann ich nicht sagen. Auch AVM verwendet da eigentlich immer etwas anderes (https://avm.de/service/vpn/praxis-t...ip-netzwerke-hinter-einer-fritzbox-zugreifen/) und tatsächlich finde ich persönlich dann "handgemachte" Konfigurationen immer noch am einfachsten. Vor allem kann man die dann - wenn sie beim Ändern anderer Einstellungen in Mitleidenschaft gezogen wurden - auch jederzeit einzeln erneut importieren.