[Frage] Zwei FritzBoxen die per VPN verbunden sind: Internetzugang über eine FritzBox

[cyberdelic2]

Ich habe 2 Fritzboxen A + B mit VPN ständig verbunden. A hat Netzwerk 192.168.0.x und B hat Netzwerk 192.168.10.x
Nun möchte ich für bestimmte Geräte aus Netzwerk B dass sie die Internetverbindung von Netzwerk A verwenden und damit die externe IP-Adresse von Netzwerk A haben.
Die Geräte selbst lassen sich nur eingeschränkt konfigurieren, dort kann ich aber eine statische IP Adresse vergeben und einen DNS Server und Gateway angeben. Bisher erfolglos war das ändern dieser Parameter auf die Fritzbox von Netzwerk A (Gateway 192.168.0.1, DNS 192.168.0.1 und statische IP 192.168.0.2)
Jemand eine Idee wie und ob das mit Bordmitteln funktioniert?

 

[eisbaerin]

dort kann ich aber eine statische IP Adresse vergeben

Damit sollte es gehen. Einfach bei dieser IP in der accesslist im VPN in FB-B alles ins Netzwerk A umleiten.

 

[Micha0815]

Über den FB-Editor kommt man recht einfach an die access-list und kann nach Studium der Syntax dort recht einfach die eigenen Wünsche realisieren bzw. ergänzen.
LG

 

[eisbaerin]

Ich hatte noch einen Fehler in #2 ist jetzt geändert.

Beispiel in FB-B ergänzen für den PC mit der IP 192.168.10.123:
"permit ip 192.168.10.123 255.255.255.255 any"

 

[Insti]

dort kann ich aber eine statische IP Adresse vergeben und einen DNS Server und Gateway angeben.

Als Gateway der Geräte hinter A (192.168.0.x ) trägst du als Gateway die ip der Fritzbox B ein.

 

[eisbaerin]

Als Gateway der Geräte hinter A (192.168.0.x ) trägst du als Gateway die ip der Fritzbox B ein.

Völlig falsch! Das bringt überhaupt nichts!
Außer, daß diese Geräte dann gar nicht mehr ins Internet kommen.
Das Gateway muß immer im eigenen IP-LAN sein!

 

[eisbaerin]

Wie bekomme ich es hin dass das Gerät auch wirklich NUR noch über diesen Weg geht

Das Gerät kann dann gar nicht mehr anders, da von ihm alles in den VPN-Kanal geschickt wird.

Dann aber nicht wundern, wenn das VPN nicht steht kommt das Gerät nicht mehr ins Internet!
Eine Fallback Lösung gibt es da IMO nicht.

Gateway und DNS vom Netzwerk B beibehalten?

Gateway ja unbedingt, s.o., DNS ist fast egal.
Poste mal deine vpn.cfg von FB-B im Bereich der accesslist. Ich hoffe du hast dort alle Regeln eingehalten, sonst geht es nicht.

 

[Micha0815]

Für ein einzelnes Gerät lautet die Netzmaske 255 hinten und nicht 0. Zwecks Übersicht auch cfg FB A posten.
LG

 

[Benares]

Nicht alles gelesen - aber fehlt da nicht irgendwo noch ein "; am Ende?

 

[pw2812]

Sehe ich nicht. Wo denn?

vpncfg Fritzbox B --> vorletzte Textzeile (accesslist)

 

[PeterPawn]

Das hat ja sogar der Editor/Viewer erkannt, aus dem diese beiden Screenshots stammen - denn der abweichende Hintergrund dieser Zeile hat sicherlich seinen Grund.

Gibt es eigentlich einen bestimmten Grund, warum das "möglichst" aus dem Punkt 5.11 der Board-Regeln hier nicht anwendbar war für die beiden Bilder (auch wenn diesmal die Datenmenge dank überwiegendem Text in der Darstellung eher gering war)?

 

[PeterPawn]

Schon ein "permit ip any 192.168.10.250 255.255.255.255" ist (eigentlich kompletter) Blödsinn, wenn wenige Zeilen darüber steht, daß das lokale Netz 192.168.10.0/24 wäre und das entfernte Netz 192.168.0.0/24.

Welchen Sinn macht es dann, wenn Pakete von einer beliebigen lokalen Quelle (any) an die Adresse 192.168.10.250 durch den Tunnel zu schicken wären?

Solche Pakete kommen ja niemals bei der FRITZ!Box als Gateway an (bzw. die würde sie sogar wieder ins LAN zurückschicken, wenn die tatsächlich bis ins Routing kommen sollten), denn jeder Client vergleicht die Zieladresse mit der LAN-Konfiguration, stellt dann fest, daß das Ziel offensichtlich im lokalen Netz 192.168.10.0/24 liegt und sucht per ARP nach dem passenden Host mit der IP-Adresse 192.168.10.250.

Egal, ob er dafür eine (MAC-)Adresse erhält (dann sendet er es an diese MAC-Adresse) oder nicht (dann endet es in "no route to host") ... kein (vernünftiger) Client kommt dann auf die Idee, das Paket an das Gateway im LAN zu senden (als so eine Art "catch-all target") - denn offensichtlich ist es ja für das lokale Netz bestimmt.

 

[eisbaerin]

Bitte noch mal #5 genau lesen!

 

[eisbaerin]

Noch einmal #5 ganz genau lesen und mit deiner Config vergleichen!

 

[Micha0815]

Die Syntax und ihre Bedeutung ist schon wichtig, was wo hinter dem permit steht.

"permit ip any 192.168.10.250 255.255.255.255"

versus

"permit ip 192.168.10.250 255.255.255.255 any"

Darauf wollten die Vorredner etwas verblümt hinweisen
LG

 

[DM41]

Der Thread wurde bereinigt, OT entfernt und geschlossen, da der TO seine Folgebeiträge im Nachhinein gelöscht hat.