FritzBox als VPN Server hinter Router

skagway

Neuer User
Mitglied seit
20 Jan 2009
Beiträge
24
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen,

ich habe einen Router A (192.168.1.1, 255.255.255.0, DHCP Server, alle Geräte im Netzwerk benützen dieses Subnetz) mit Glasfaseranschluss vom Anbieter und auf diesem keine einfache Möglichkeit einen VPN Server einzurichten. Jetzt habe ich gedacht, ich könnte eine alte übrige FritzBox dafür verwenden. Zuerst habe ich das im Modus als IP-Client probiert, dann aber gegoogelt und gesehen dass das nicht möglich ist.

Jetzt hängt also die FritzBox auf LAN_1 hinter Router A, hat dort die IP 192.168.1.2 und macht ein eigenes Subnetz 192.168.199.x mit eigenem DHCP auf. Die UDP Ports 500 und 4500 habe ich von Router A auf die FritzBox weitergeleitet und bekomme mit der öffentlichen IP von Router A dann auch eine VPN Verbindung auf die FritzBox zu Stande. Aber wegen dem doppelten NAT und DHCP Server kann ich natürlich nicht auf die Geräte aus dem Netzwerk von Router A, als 192.168.1.x, zugreifen.

Gibt es hierfür eine Möglichkeit oder muss ich mir einen anderen VPN Server konfigurieren?

Danke & Gruss
MG
 
Ich habe wegen Nutzung des Hybridrouters vor der Fritzbox ein ähnliches Problem, weil der Hybridrouter keine IPv6 an die Fritzbox übergeben würde läuft diese im Client-Modus und ermöglicht in diesem Modus kein VPN (eigentlich eine Aufgabe für AVM das in der Konfiguration zu ermöglichen, technisch wäre es kein Problem). Deshalb übernimmt ein kleiner Raspberry die Funktion des VPN-Servers, mit PiVPN ist das auch ganz leicht einzurichten.
 
Wieso wäre es technisch kein Problem, im Client-Modus einen VPN-Router einzurichten?
 
VPN-Server. Nicht VPN-Router, das ist sowas wie eine Wlan-Modem-Router-DECT-Sip-VPN-Wollmilchsau.

Jede andere Hardware, Raspberry, NAS, oder ein PC arbeitet korrekt eingerichtet als VPN-Server und ist Client, auch ein Router mit openWRT oder DD-WRT kann das ohne selber zu routen. Wenn man die Konfigurationsoberfläche einer Fritzbox erweitert um VPN zu aktivieren und das interne Routing anzupassen, welchen Grund sollte es geben dass der in der Firmware enthaltene VPN-Server plötzlich nicht mehr laufen würde? Der einzige Grund für den derzeitigen Zustand ist, die Konfiguration übersichtlich zu halten. Außerdem soll man ja aus AVM-Sicht eine (andere) Fritzbox als Router einsetzen, nur bei bestimmten Anschlüssen geht das nicht weil AVM keine passende im Programm hat.
 
Also ist das Fazit es geht nicht, auch nicht mit irgendwelchen Spielereien mit dem FritzBox Editor o.ä.?
 
Eine Fritzbox (im Client-Modus "Anschluss an externes Modem oder Router" per IPv4) hinter einem Telekom Hybrid Router (IPv4) läuft einwandfrei als VPN-Server (IPSEC) und auch als VPN-Client (IPSEC) zu anderen Fritzboxen, wenn man auf dem Hybrid Router entsprechend die UDP-Ports 500 und 4500 an die Fritzbox weiter leitet.
 
Genau, es gibt aber in der FritzBox unabhängig von dem "Anschluss an externes Modem oder Router" noch ein Menü ob die FritzBox selber ein IP Subnetz aufbauen soll (inkl. DHCP Server, Firewall etc.) oder ausschliesslich als IP Client im Netzwerk fungieren soll. Bei zweiterem ist - zumindest bei mir - kein VPN Server auf der FritzBox aktiv. Das Submenu wird auch ausgeblendet.

Und generell die VPN Verbindung auf die FritzBox von aussen, bekomme ich auch hin. Aber ich habe logischerweise vom FritzBox Subnetz dann keinen Zugriff auf das Subnetz des Hauptrouters. Kann also keine IPs 192.168.1.x anfingen, nur 192.168.199.x.
 
Und generell die VPN Verbindung auf die FritzBox von aussen, bekomme ich auch hin. Aber ich habe logischerweise vom FritzBox Subnetz dann keinen Zugriff auf das Subnetz des Hauptrouters. Kann also keine IPs 192.168.1.x anfingen, nur 192.168.199.x.

Wie soll das auch gehen? Standardmäßig soll dein VPN-Client woher wissen, dass das Netz 192.168.1.x über 192.168.199.x zu erreichen ist? Müsstest deinem Client schon die entsprechende Route mitteilen.
 
Welche Route soll ich denn einrichten? Eigentlich auf der FritzBox, also um aus dem 192.168.199.x in das 192.168.1.x Netzwerk zu kommen, richtig? Das funktioniert leider nicht: (wahrscheinlich weil die FritzBox selber die 192.168.1.2 im Subnetz des Hauptrouters hat, also am Interface LAN_1). Man kann ja nicht über das "WAN-Interface" hinaus routen so wie ich das verstehe. Siehe auch den oben verlinkten Artikel...
Screenshot 2019-09-19 at 10.26.18.png
Bild geschrumpft by stoney
 
Zuletzt bearbeitet von einem Moderator:
Meine Erachtens braucht nicht die 2. Fritzbox eine Route, sondern dein Router A.
Der muss wissen, das es noch einen weiteren Ausgang aus deinem LAN A gibt, nämlich die Fritzbox für alle Ziele im 192.168.199er Netz.
Wenn ein Client im LAN B einen Client im LAN A anpingt, geht das über das Default-Gateway ins LAN A und erreicht vermutlich auch sein Ziel. Der Client im LAN A weiß aber nicht wohin er die Antwort schicken soll, da aus seiner Sicht das Ziel ja eine externe Adresse ist, Also schickt er die Antwort an sein Default-Gateway, das ist Router A, und der schickt es nach draussen, weil er halt auch nicht weiß, wo's hin muss.
Also braucht entweder jeder Client in LAN A eine Route ins LAN B oder zumindest halt der Router A.

Daher versuch einfach mal auf Router A eine Route anzulegen:
Ziel: 192.168.199.0/255.255.255.0, Gateway 192.168.1.2
 
Zuletzt bearbeitet von einem Moderator:
Komischerweise funktioniert es jetzt komplett irgendwelche statische IP Routen. Ich habe bei den Internetzugangseinstellungen der FritzBox die Option per DHCP deaktiviert, und fix die 192.168.1.2 als Adresse für das LAN_1 Interface eingetragen. Und die 192.168.1.1 als Standardgateway. Danke!
 
Wenn wäre im Hauptrouter eine Route einzutragen damit bekannt ist, dass VPN über die FB zu routen ist, wie Benares schon schreibt.

In der FB ist keine Route notwendig, die kennt die Route automatisch über WAN Port.

Man könnte auch einfach nen RasPi oder ähnliches an Hauptrouter packen und dort VPN einrichten, hat man auch mehr Optionen wie openVPN usw. und nicht nur veraltete IPsec mit IKE v1 was Windows und co nicht ohne weiteres akzeptiert.
 
5 jahre alter post und ich würg den jetzt hoch.

So mein Problem ist:
Fritzbox 7170 (ich weis betagtes schätzchen vielleicht auch das problem)

So FB7170 hinter einem Speedport Zyxel 103 , mit buisness Anschluss und fester ip4
der Speedport ist DHCP server , die FB statisch ohne dhcp und eigentlich nur als accespoint gedacht dahinter.
Die FB ist so konfiguruier das sie ihr Internt über Lan1 bekommt und eine feste ip im Subnetzt des Speedports hat.
Hab jetzt im Speedport die FB als dmz Server hinterlegt (voherher mit portweiterleitung probiert) und komme auch über die Feste Ip auf die benutzeroberfläche der FB .
Hab dort bereits mit dem AVM tool mehre VPN profile angelegt : FB zu FB ; FB zu Pc Fernzugang ; FB zu IPspec , aber es läst sich zum verrecken keine einzige Verbindung hersellen.

Also wie bitte hab ihr das hin bekommen???

Ich hab auch noch eine weiter FB6360 im gleichen netzwerk als AP aber die ist schrott , auf die hab ich keine Zugriff aus der ferne per port forwading die ist so beschnitten vom ehmaligen provider das man da kaum noch was einstellen kann.Damit hab ich es auch probiert aber die sagt immer nur : keine internet verbindung (über wan) obwohl sie internet hat über LAN1 aber da läst es sich nicht umstellen.


Ich kann mich errinern es gab früher zeiten da hat man ein PC oder laptop einfach irgenwo hingelegt darau ein open VPN server laufen gahebt und alles war gut aber irgendwie kostet allesheutzutahe geld und das nicht nur einmallig sondeerl alles immer als abo.
 
Eine F!Box als IP-Client kann doch gar kein Routing und somit auch kein VPN.

Diese müsste wenn dann, als kaskadierter Router eingerichtet werden - wichtig ist, dass diese vom Speedport auch eine IPv6 bezieht (wie das bei dem betagten Schätzchen aussieht und ob diese sich überhaupt noch bei MyFRITZ! - außer Du nutzt einen einen DDNS Dienst - melden kann bezweifle ich, da gab es mal ein Update, welches hier Inkompatibilitäten aufgelöst hat, davon hat die 7170 aber bestimmt nichts mitbekommen.

Als kaskadierter Router mit eigenen Internetzugang wäre diese Box allerdings wohl potentiell gefährlich > https://www.router-faq.de/?id=fbinfo&hwf=fbfonwlan7170#fbfonwlan7170

Die IPv4 extern kenn die F!Box nicht, sondern nur die interne LAN-IP, daher wird's nix mit dem "Durchschleifen" der öffentlichen IP, außer Du regelst dies über einen externen Dienst. Aber das führt glaube ich aktuell zu weit unter den gegebenen Voraussetzungen.

Du kannst natürlich zB die F!Box mittels Freetz modifizieren und darauf zusätzliche Paket laufen lassen (was da geht bei der Box und ob überhaupt noch, kA - hierfür haben wir einen extra Forenbereich unter AVM - F!Box Modifikationen).

Oder Du stellt zB einen Raspberry ins LAN und leitest auf diesen DMZ, mit diesem kannst Du es realisieren, dass dieser als VPN-Endpoin auch die externe IPv4 verwenden kann und durch DMZ weitergeleitet wird.

Somit solltest Du dann im LAN sein und alle Geräte erreichen.

PS: Willkommen im IPPF
 
Eine F!Box als IP-Client kann doch gar kein Routing und somit auch kein VPN.
Naja es klang bei meinem Vorrerdner so, als hätter er das genau so hinbekommen.

Als kaskadierter Router mit eigenen Internetzugang wäre diese Box allerdings wohl potentiell gefährlich
was meisnt du mit Kaskadierter router? Die FB macht ihr eignes Subnetz auf inklusie dhcp pool bekommt aber ihr internt über lan1 und auf das subnetzt hab ich dan zugriff , (würd mir reichen) . oder meinst du mit "eignem Internetzugang" das sie duch den speedport hindutch eine PPPoE verbindung aufbaut?
 
Vll mag das vor 5 Jahren in der Konstellation so gewesen sein, ich gehe von aktuell aus und hier wäre es mir nicht bekannt, die öffentliche Erreichbarkeit anderweiter sicher zu stellen, außer via IPv6 natürlich.

Korrekt, kaskadierter Router bedeutet, nutzt zwar die vorhande Internetverbindung, baut aber ein eigenes Netz mit DHCP, Firewall, ecttp auf.
Nachdem die Box dann aber trotzdem nur die IPv4 vom LAN als WAN-IP kennt, kann diese das nicht ganz alleine, dass man diese erreichen kann, wobei es bei einer Statischen IPv4 mit DMZ funktionieren sollte, da ja alle Anfragen, welche nicht für den davor gelagerten Router sind, stur an die F!Box geleitet werden, aber hier wären wir wieder beim Thema Sicherheit - Es gab hier zwar den Fernzugriffs-Patch, aber diese hat den Patch wegen Port 443 nicht erhalten, somit ist diese Box meines erachtens, nur noch als Telefonanlage/ATA/Switch nutzbar.
 
Also hab die FB Jetzt "Kasskadiert" sie kriegt zwar immer noch internet über lan1 aber nicht mehr als client . konnt jetzt ertmals ne VPN verbindung aufbaen aber jetzt hab ich nen haufen ip konfliket und muss das "neue" subnetzt sortieen die ganzen geräte dahinter hatten ne feste ip und die past jetzt nicht mehr zum subnetzt, aber ich hab ne verbindung.
 
Wenn Du in den Clients natürlich feste IPs vergeben hast, hast Du jetzt natürlich einen gewissen Aufwand, das sollte aber bereits vorher klar gewesen sein, durch den Hinweis, dass die F!Box danne in eigenes Subnet bildet.

Nun kann die F!Box nicht in deren LAN einen Adressbereich auf der WAN-Seite bereitstellen, da sonst wiederum Adresskonflikte entstehen oder man würde den Router davor einfach einen anderen Adressbereich zuweisen und in der F!Box den, den der Router zur Verfügung stellte und die Geräte kennen, dann hättest Du das auch umschifft.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.