[Gelöst] Evaluierungsfrage zum Konzept von VPNs zwischen zwei FBs

CC

Neuer User
Mitglied seit
15 Feb 2005
Beiträge
16
Punkte für Reaktionen
0
Punkte
0
Ich habe gerade erfolgreich 3 Fritzboxen per VPN miteinander verbunden. Das klappt soweit auch ganz gut, allerdings bin ich dann bei ein paar Details der Umsetzung ins rätseln gekommen.

Kurz die Details:

3 Netzwerke im 192.168.x.y Bereich, wobei x immer unterschiedlich ist.

Verbunden sind Netzwerk 1 mit Netzwerk 2 und Netzwerk 2 mit Netzwerk 3. 1 und 3 haben keine direkte Verbindung.

Meine Idee war nun einfach auf Fritzbox 1 und 3 jeweils Routen für die nicht direkt erreichbaren Netzwerke zu FB 2 anzulegen.

Das jedoch lassen die FBs nicht zu, weil das Zielgateway nicht teil des eigenen IP Bereiches ist.

Das machte mich dann neugierig. Wenn man sich mit dem Client vom PC aus anmeldet, bekommt man ja explizit eine IP aus dem Bereich der Fritzbox zugewiesen, womit die normalen Mechanismen von IPv4 funktionieren. Bei der direkt Verbindung zweier Fritzboxen scheint das aber nicht der Fall sein, zumindest finde ich kein Indiz darauf, dass eine IP vergeben wird, zumal ja auch irgendwie definiert sein müsste, welche der beiden Boxen denn eine zusätzliche IP bekommt, denn wenn beide eine zusätzlich hätten, gäbe es zwei logische Wege.
Meine Erklärung: Die VPN Verbindung sorgt also nicht dafür, dass eine der Boxen eine weitere IP Adresse bekommt, um das andere Gateway erreichen zu können, sondern statt dessen wird das Routing anders behandelt. Wenn an der FB ein Paket ankommt, dass im IP-Scope der FB auf der anderen Seite passt, dann greift scheinbar keine Routing Regel, die das Paket an die Private IP der FB auf der anderen Seite weiterleitet sondern das Paket wird einfach in den Tunnel geschoben.
Und genau da kommt dann das Problem, dadurch das keine normalen Routingtables zum Einsatz kommen, kann man vermutlich diesen Mechanismus auch nicht anweisen, nicht nur die Pakete in den Tunnel zu stecken, die in das andere Netzwerk passen, sondern auch die die von dort aus ihr finales Ziel finden würden.

Sind meine Beobachtungen soweit korrekt oder habe ich etwas verpasst?

Eine Alternative Theorie hat mir gerade noch die Config gegeben, kann es sein dass die Boxen untereinander ein ganz eigenes Netz aufspannen, auf dass man mit den Parametern LocalIP/RemoteIp Einfluß nehmen kann?

Vermutlich könnte ich meine Fragen beantworten, wenn ich mit den Telnet Zugang zur FB freimache, aber ehrlich gesagt hoffe ich, dass ich einen einfacheren Weg finde.

Gruß

Christopher
 
Zuletzt bearbeitet:
Vielleicht ist das hin zu kriegen, aber:

Mach besser noch einen VPN zwischen FB1 und FB3 auf, kostet doch nichts.
Ist auch besser, da die Daten schneller sind und die FB2 entlastet wird und nicht 2 mal up/down up/down geladen wird und nicht 2 mal ver/ent-schlüsselt wird.

Ich habe 5 FB's im Verbund und da macht jede 4 VPN's.
 
Zuletzt bearbeitet:
Warum einfach wenns auch kompliziert geht :) Ne im ernst, klar kann ich das so machen, aber in mir wurde auch die Neugier geweckt, was denn da Fritzintern tatsächlich abläuft und wie das funktioniert.
 
Das habe ich auch mit telnet noch nicht geschafft. In den Routing Tabellen ist nichts zu sehen.
Das läuft irgendwie unsichtbar, aber läuft gut.

Du kannst schon Pakete an andere IP-Netze mit in den Tunnel schicken.
Dazu muß man in der .cfg die accesslist anpassen.
Du mußt also das IP-Netz der FB3 in die accesslist der FB1 eintragen und umgedreht.

Also für die FB1 so:
Code:
accesslist = "permit ip any 192.168.2.0 255.255.255.0",
             "permit ip any 192.168.3.0 255.255.255.0";
 
Zuletzt bearbeitet:
So, konnte leider erst heute weiter testen!

Nochmal ein großes Danke an dich!

Die Accesslist scheint tatsächlich auch zugleich ein Routing mit zu implizieren. Nach Einrichtung der Regeln auf beiden Seiten klappt das. Die Latenz ist zwar unter aller Sau, aber das war mir ja bewusst und wenn ich das anders will, dann muss ich das halt anders routen.

Man konnte die Änderung übrigens ganz gut im Tracert beobachten, vor dem eintragen in die Accesslist gingen die Requests ans Gateway vom Provider, nach dein einseitigen Eintragen gingen sie dann schonmal in die richtige Richtung, wenn auch ohne Ergebnis, nach beidseitigem Eintrag war dann alles gut.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.