[Gelöst] Fritzbox VPN Wireguard - Durchgriff auf Subnetz (bereitgestellt durch angeschlossene 2. Fritzbox)

starbright

Mitglied
Mitglied seit
9 Sep 2007
Beiträge
547
Punkte für Reaktionen
4
Punkte
18
Hallo,
ich hab die Situation dass es eine FB 7590 gibt die Modem ist und ein Netz 192.168.178.x bereitstellt - und eine zweite Fritzbox 7520, die an diese angeschlossen ist und ein Subnetz aufmacht (Einstellung/Internet: Anschluß an externes Modem/Router, Betriebsart: Internetverbindung selbst aufbauen).
Jetzt klappt das ja sehr schön mit Wireguard auf die 7590 in das erste Netz zu kommen. Aber wie schaffe ich es in das Subnetz? Was muss ich dafür tun? Also irgendeine Art "Weiterleitung". Wenn ich weiß wie das richtig heißt finde ich vielleicht auch was dazu, aber das ist ja insgesamt nicht gerade ein Standard-Fall.

Ich habe dazu noch das hier gefunden:
Aber das ist ja was anderes.
 
Zuletzt bearbeitet:
Aber wie schaffe ich es in das Subnetz?
Gar nicht - zumindest nicht "einfach so". Wenn die 7520 als Router läuft, trennt sie ihren WAN-Anschluß (der ja an der 7590 hängt) von den LAN-Ports. WG-VPN in dieser Konstellation also nur, wenn die WG-Verbindung direkt zur 7520 aufgebaut wird - dazu muß man die natürlich erst einmal über die 7590 auch erreichen. Entweder man richtet explizit eine Portfreigabe für die 7520 in der 7590 ein (ob das ggf. auch per PCP von der 7520 automatisch aufgemacht wird, könnte man ggf. noch testen) oder man erklärt die 7520 gleich zum "exposed host" in der 7590.
 
Vielen Dank für die Antwort. Verstehe ich das richtig?
Wenn die WG Verbindung zur 7520 aufgebaut werden wird, dann muss da ja auch WG erst mal die 7.50 drauf, noch gibt es die nicht mit WG support (möglicherweise als Labor ... muss mal schauen).

Welche Ports muss man denn dann freigeben? Glaub sowas hab ich noch nicht gemacht.
"Exposed Host" - ich weiß zwar nicht was das ist, aber das klingt sehr "offen". Eigentlich soll es dabei bleiben dass man aus dem Netz der 7590 (box1) nicht auf das der Box2 (7520) zugreifen kann, ausser eben via VPN von ganz draußen.

Wenn ich mit an die WG Einrichtung der 7590 erinnere, das ging ja alles automatisch. Auch der die dyndns Server wurde eingetragen.
Ich glaub ja nicht dass die 7520 dann bei der Einrichtung den dyndns Server der 7590 kennt, aber den muss ich ja ansteuern. Mhh.
 
Welche Ports muss man denn dann freigeben?
Der Port wird (bei der ersten Einrichtung einer WG-Verbindung auf einer Box) zufällig vergeben (so zumindest mein Eindruck) und man findet ihn auf der WG-VPN-Seite der Box unter "WireGuard®-Einstellungen Ihrer FRITZ!Box".
Ich glaub ja nicht dass die 7520 dann bei der Einrichtung den dyndns Server der 7590 kennt
Und ... wen stört das?

Ja, die DynDNS-Registrierung muß die "äußere" Box (der "edge router") übernehmen (der ist auch der einzige, der genau weiß, wenn sich externe Adressen ändern) ... wenn IPv4 als Protokoll verwendet werden soll, ist das aber auch genau der richtige "Server", den es anzusteuern gilt und da der Name (von "außen" gelegenen Peers) nur zur Auflösung in eine IP-Adresse gebraucht wird, interessiert dieser Name im Anschluß gar nicht weiter.

Wenn sich in der Labor-Version für die 7520 keine VPN-Verbindung einrichten läßt, solange kein DynDNS-Account bekannt ist (da "pampert" AVM den Benutzer etwas zu sehr und es fehlt etwas an den Einstellmöglichkeiten für "Experten"), dann richtet man eben auch auf dieser Box einen DynDNS-Account ein (u.U. nimmt man sogar myfritz.net dafür) und erstellt danach seine WG-Verbindung.

Den dabei erzeugten QR-Code für eine einfache Übernahme der Einstellungen bei der Gegenstelle kann man ohnehin nicht verwenden - da steht dann ja auch der DynDNS-Name der 7520 drin, während man (bei IPv4 zumindest - IPv6 ist dann noch eine andere Schiene, da könnte der DDNS-Client der 7520 ja auch gleich seine eigene, korrekte IPv6-Adresse beim DNS-Server registrieren) auf der Gegenstelle die Adresse des Edge-Routers auflösen muß.

Vielleicht solltest Du Dir aber erst einmal GENAU überlegen, was Du überhaupt erreichen willst und wieviel "Handarbeit" bei der Konfiguration Du zu leisten bereit bist - auch unter Berücksichtigung dessen, was bei Deiner Kombination aus Edge-Router (7590) und ISP (IPv4, echtes DS, DS-Lite, etc.) überhaupt möglich und denkbar ist ... einschließlich der Frage, wie diese Parameter (zumindest IPv4 vs. IPv6) beim verwendeten Peer eigentlich aussehen, denn ein IPv4-Peer wird keine Verbindung herstellen können, wenn der "Server" (bei Dir die 7520) in der Kaskade nur eine IPv6-Adresse registriert hat (und der zugehörige DynDNS-Name in der Konfiguration beim Peer hinterlegt ist).

Ohne Handarbeit wird es (nach meinem Verständnis und ich wüßte nicht wirklich, wo AVM da etwas anderes "zaubern" will, um weitere VPN-Details vom Benutzer fernzuhalten) bei einem kaskadierten Router nicht funktionieren mit dem VPN-Zugriff.

EDIT: Wobei ich gerade gesehen habe, daß eine 07.39/07.50 auch per PCP die Freigabe für ihren WireGuard®-Port organisiert. Wenn man also der 7520 in der 7590 das Recht einräumt, eigene Freigaben automatisch einzurichten, muß man sich über Portfreigaben gar keine Gedanken mehr machen - das hatte ich oben ja auch schon angedeutet:
ob das ggf. auch per PCP von der 7520 automatisch aufgemacht wird, könnte man ggf. noch testen
 
Nachdem ich gefunden hab das PCP Port Control Protocol ist - sorry ich komme nicht mit. Ich hab nicht gefunden wo ich das auf der FB aktivieren kann.
Ich hoffe alles befindet sich im IPV4 Bereich, weil sonst wird es (für mich) noch undurchschaubarer.

Vielleicht geht das ja auch nicht, ich mach es einfach mal konkret:
In meinem 2. Netz hängt meine Heizung. Damit die nicht in alle Welt funkt, habe ich die mit "Kindersicherung" gesperrt. Also dieses Gerät ist im LAN "gefangen". Sagen wir auf 192.168.3.200. Wenn ich das richtig verstanden hab kann die nur mit Geräten reden die ebenfalls im 192.168.3.x Netz sind.

Die möchte ich nun über VPN fernsteuern.

Mit PCAPDroid hab ich (im LAN) mal geschaut - die App zur Heizungsteuerung spricht HTTP auf Port 80 (so wird es mir angezeigt)

WG kann ich nur auf der Edge Box 1 aktivieren. Habe ich damit schon verloren?

Wenn nicht:
Was muss ich nun wo einrichten? Ich nehme an die Freigabe erfolgt auf der Box2 an der die Heizung hängt. Dort geben ich eben für diese IP 192.168.3.200 ein das ein HTTP Server mit dem Protokol TCP und den Port 80 frei - aber wohin? Ich kann ja nur einen Port auswählen...

Wie führt das letztlich zum WG Ende auf der Box1? Gar nicht oder?
Wenn ich WG aktiviere sehe ich auf Box1 ein "entferntes Netz" das eine IP im Bereich der Box1 hat (wieso entfernt ???), also 192.168.178.210 und man sieht einen Endpunkt (Domain) mit einer mir unbekannten IP und einem Port 55746.

Und nun? Ich kann natürlich auch versuchen auf der Box2 den WG Anschluß weiterzuleiten. Aber wie?

Aber wenn ich dich richtig verstanden hab muss ich eh VPN auf der Box2 einrichten, was momentan noch nicht geht (jedenfalls nicht WG).

Sorry, ich bin Netztechnisch nicht grad ein Spezi .... bekomme ich das mit euerer Hilfe hin? Ich brauche es wohl eher konkret uns step by step.
 
Warum betreibst du die 2. FritzBox nicht einfach als IP Client?

Dann hast du nur ein Netz und keine Probleme. Die Kindersicherung für deine Heizung lässt sich auch auf der 1. Box aktivieren. Und wenn ich dein Diagramm in der Signatur richtig sehe, ist zwischen Box1 und Box2 nur ein Kabel und keine weitere Hardware. Ich halte das für wesentlich einfacher und fehlerunanfälliger.
 
Warum betreibst du die 2. FritzBox nicht einfach als IP Client?
Eine berechtigte Frage.
Das hat damit zu tun, dass es sich um zwei Haushalte handelt aber aus baulichen Gründen nur die Box1 ins Internt kann.
 
Deshalb kann Box 2 trotzdem als IP-Client betrieben werden. Oder ist es ein Problem, dass man dann aus dem Netz von Box 1 das Netz von Box 2 erreichen kann? Umgekehrt ist es ja offenbar kein Problem: Auf das Netz der Box 1 kann aus dem Netz von Box 2 jederzeit zugegriffen werden.
 
[Edit Novize: Überflüssiges Fullquote gemäß der Forumsregeln gelöscht]
Ja, die Box1 steht in einer Gästewohnung, die möchten bitte nicht auf meine IT Infrastruktur zugreifen.
Wie gesagt, aus baulichen Gründen ist es aber sie die ins Internet kommt und nicht andersrum, was sicher sinnvoller wäre. Manchmal ist die Welt nicht ideal.
 
Zuletzt bearbeitet von einem Moderator:
Nachdem ich die 7520 auf Labor mit WG hochgezogen hab, ging nicht mehr viel. Internetzugang war grottenlahm. Keine Ahnung warum. Ich hab zwar noch Seiten aufrufen können aber nur mit ein paar kb/s und dadurch ging nicht mal das zurück auf die stabile Version - musste mit der Recovery ran.
Also hab ich mir erst noch mal VPN/ipsec angeschaut.

Also wir haben hier eine Routerkaskade, so ist der Fachbegriff:
Ich hab nun folgendes versucht und mal versucht das in einer Sprache die jeder verstehen kann aufzuschreiben.

* Box1 als Modem hat einen DYNDNS Dienst der für mir die Adresse meiner Box verrät.
* Eine VPN Verbindung in Box1 einrichten (IPSEC) und getestet.
* Eine VPN Verbindung in Box2 eingerichtet. Die hab ich getestet indem ich mit aus dem LAN der Box1 einwähle.

* In der Box1 VPN disabled.
* In der Box1 Portfreigaben eingerichtet und zwar für die Box2 (die ja auch eine IP im Bereich der Box1 hat). Folgende Ports UDP 500, UDP 4500, ESP. Das sind die die man für IPSEC braucht.

Die Idee ist das wenn man von draußen auf diese Ports kommt ,die an die Box2 weitergeleitet werden.

Im Handy dann ein die VPN eingerichtet wie für Box2, mit Ausnahme der Server-Adresse. Die kommt vom DYNDNS der Box1 und ist nicht die IP der Box2 im Netz der Box1 wie vom AVM Tool ausgegeben.

Der Nutzernamen/Passwort (Login Fritzbox) muss man ebenfalls von Box2 nehmen. Und schon gehts.

Aufpassen muss man natürlich, dass in Box1 kein VPN mehr aktiv ist. Denn das würde die Portweiterleitung (auf den gleichen Port 500->500, 4500->4500) unmöglich machen.

Also ich hab es mal auf gelöst gesetzt, auch wenn es nicht mit WireGuard läuft.

PS: Wireguard ist natürlich immer noch interessant für mich. Aber kann man da auch eine Portweiterleitung machen? Welchen braucht der? Noch ist die Laborversion für die 7520 leider unbrauchbar.
 
Zuletzt bearbeitet:
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.