[Frage] Denkfehler bei VPN Verbindung an entfernte Fritzbox 7390?

[Nomax2000]

Guten Abend,

ich habe folgendes Problem und wahrscheinlich sehe ich gerade nur den Wald vor lauter Bäumen nicht. Ich habe bei meiner Mutter eine FB 7390 installiert. Dort habe ich einen Benutzer für mich angelegt und VPN freigegeben. Nun habe ich zuhause in mein Macbook die VPN Zugangsdaten eingeben und verbinde mich mit der Fritzbox meiner Mutter. Laut meinem Macbook funktioniert das auch. Gebe ich im Browser jetzt jedoch fritz.box ein, dann lande ich auf meiner eigenen 7490. Da der Tunnel ja bereits auf meinem Macbook beginnt, war ich davon ausgegangen, dass ich dann die Oberfläche bei der FB meiner Mutter sehen müsste. Wo liegt mein Fehler?

Grüße und Dank

Christian

 

[PeterPawn]

Vermutlich in einer DNS-Abfrage für "fritz.box" im Resolver-Cache (es gibt mehrere potentielle Kandidaten) ...

Ansonsten etwas magere Informationen ... auch gibt es Probleme (selbst wenn es keine LAN-LAN-Kopplung zweier FRITZ!Boxen ist), wenn auf beiden Seiten dasselbe Subnetz verwendet wird, da dann das Routing der Pakete problematisch wird (wenn die Adresse für IPSec und LAN aus demselben Subnetz stammt).

 

[Nomax2000]

Ich muss gestehen, dass ich maximal die hälfte verstanden habe. Ich habe nach AVM Anleitung den VPN Zugang eingerichtet. Gewählt habe ich Cisco IPSec und dann halt nur noch die Daten die mir die Fritzbox vorgegeben hat eingetragen. Das selbe Subnetz wird es sein, da ich diese Einstellungen in den Boxen nicht geändert habe.

 

[PeterPawn]

Dann solltest Du Dein lokales Netz umstellen ... Dein MacBook erhält eine Adresse aus 192.168.178.0/24 von Deiner FRITZ!Box und ebenfalls eine Adresse aus 192.168.178.0/24 (vermutlich die 192.168.178.201, wenn Du wirklich nichts geändert hast und die VPN-Berechtigung nur für einen Benutzer eingerichtet wurde bei Deiner Mutter) für den VPN-Tunnel von der anderen FRITZ!Box.

Das kann (muß aber nicht) zu Problemen führen, die bei einem "mobilen Einsatz" (meinetwegen mit UMTS-/LTE-Stick oder irgendeinem Tethering) gar nicht auftreten - ob die auftreten und welche das sind, hängt von der IPSec-Implementierung des VPN-Client-OS ab ... wie das bei einem aktuellen MacOS X aussieht, weiß ich nicht sicher. Als mögliche Ursache würde ich das aber versuchen auszuschließen.

Ansonsten haben eben beide FRITZ!Boxen dieselbe IP-Adresse und welches Netzwerkinterface nun für die Kommunikation mit der 192.168.178.1 herangezogen wird, entscheidet unter Windows die Reihenfolge der Interfaces (im "Network- and Sharing-Center" zu ändern) und unter Linux die Routing-Table. Bei Darwin müßte das auch die Routing-Table entscheiden, wobei ich eben nicht weiß, wo da der IPSec-Traffic ausgeleitet wird.

Wenn Du Dein lokales Netz geändert hast und beim Aufruf der FRITZ!Box Deiner Mutter über die IP-Adresse 192.168.178.1 kommt immer noch Deine lokale FRITZ!Box zum Zuge, dann ist etwas faul ... bis dahin ist das für mich ein Konfigurationsproblem.

 

[Nomax2000]

Ok. Vielen Dank. Ich glaube ich habe es nun verstanden. Wenn ich nun die Fritzbox meiner Mutter auf 192.168.179.1 packe, dann sollte es funktionieren, wobei dann die Geräte in ihrem Netzwerk von 192.168.179.20 bis 192.168.179.200 IP Adressen vergeben bekommen.

 

[PeterPawn]

Theoretisch funktioniert das zwar auch, weil AVM inzwischen für das Gastnetz eine 172er-Adresse benutzt, aber die 192.168.179.0/24 ist auch keine richtig gute Wahl - nimm einfach ein anderes Subnetz.

 

[andiling]

Seit wann bzw unter welchen Umständen wird denn ein 172er Netz genutzt? Meine Beobachtung ist, dass das Gastnetz entweder 192.168.179.0 oder 192.168.189.0 ist.

 

[PeterPawn]

@andiling:
Der TE schrieb von einer 7490 (bei sich und das ist in diesem Falle ja entscheidend) und da ist bei mir mit der 06.30 folgendes Netz in Benutzung:
Anhang anzeigen 83518
EDIT: Das mit dem "+1" kann ich gar nicht feststellen ... das Gastnetz wird (bei meinen Boxen) wohl nicht dynamisch geändert - jedenfalls habe ich das noch nicht gesehen. Allerdings habe ich tatsächlich eine Route 192.168.0.0/16 auf ein Gerät im LAN der 7490 aktiviert - wenn AVM das inzwischen erkennt und dann ein 172.31.0.0/16-Netz wählt, wäre das ja richtig "sophisticated".

EDIT2: Ok, gerade mal an einer 7390 (06.23) getestet ... die LAN-Route für 192.168.0.0/16 ist tatsächlich der Trigger für die Benutzung des 172.31.189.1/24-Netzes nun auch bei der 7390 - wie die Box den Unterschied generiert (172.31.179.1 bei der 7490 vs. 172.31.189.1 bei der 7390), kann ich nicht sagen. Bei mir sind zwar beide Boxen physikalisch in einem gemeinsamen Netz, aber über VLANs getrennt und die Boxen sollten sich eigentlich nicht "sehen" können - daher tippe ich eher auf statische Vergabe bzw. die Abhängigkeit vom verwendeten Internet-Zugang. Die 7390 macht "LAN1"-Routing, da hat ja unter bestimmten Umständen auch das Netz der FRITZ!Box die 192.168.188.0/24 bzw. die 192.168.189.0/24 für das Gastnetz.,

 

[andiling]

Ich war/bin nur etwas darüber verwundert, weil ich bisher immer 192.168.179.0 oder 192.168.189.0 gesehen habe... (habe gerade mal bei drei Boxen nachgesehen, da ist überall 189)

 

[PeterPawn]

s.o., EDIT2 in #8.

EDIT:
Ok, das ist tatsächlich dynamisch bei AVM (muß aber - relativ - neu sein) ... wenn ich auch noch eine Route 172.31.0.0/12 auf das LAN-Gateway hinzufüge, kriegt das Gastnetz (ohne Neustart) eine Adresse 10.234.189.1/24. In welche Bedrängnis ist die Box bringe, wenn ich auch noch 10.0.0.0/8 als lokale Route hinzufüge, teste ich jetzt (mangels Zeit) nicht noch extra.