VPN zu einem kaskadiertierten Router (auf Box hinter der Modem-Box)

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
S

starbright

Mitglied
Mitglied seit
9 Sep 2007
Beiträge
547
Punkte für Reaktionen
4
Punkte
18
Bei mir gibt es zwei Fritzboxen hintereinander, die erste ist das normale Modem im 192.168.178er Netz, eine zweite kaskadiert mit eigenem Subnetz 192.168.20
(https://avm.de/service/fritzbox/fri...FRITZ-Box-als-kaskadierten-Router-einrichten/)

Gerne würde ich eine VPN Verbindung in diese 20er Subnetz aufbauen können. Wenn das so nicht geht, reicht auch eine VPN Verbindung auf genau eine IP in dem 20er Subnetz. Die 1. Modembox muss das entsprechend weiterleiten an die 2. Box. Wie geht das? Das MyFritz nicht funktioniert steht schon in der oben verlinkten Anleitung, aber es sollte doch machbar sein, oder?

Also in der Modembox muss sicher erst mal ein DynDNS laufen, damit ich die im Internet finde.
Der zweiten Box habe ich angewiesen das 20er Subnetz aufzumachen.
Aber wie dann weiter? Eine Portweiterleitung, Route, xxx ? So gut kenne ich mich da nicht aus.

-- Edit:

Hab mich hier mal an einer Zusammenfassung versucht:

https://www.ip-phone-forum.de/threa...nter-der-modem-box.302232/page-2#post-2321075
 
Zuletzt bearbeitet:
Du musst dies in der accesslist der vpn.cfg zusätzlich eintragen. Dabei die Syntax mit Komma und Semikolon beachten.
LG
 
Das versteh ich nicht. Erst mal die Frage: Wo läuft der VPN Service (Server, oder?)? Auf der Modem Box und die setzt das dann in "normalen" Traffic zur zweiten durch? Man bedenke, dass durch die Kaskadierung die beiden Netze von Box1 und 2 ja getrennt sind.
Oder muss man irgendeine Art Weiterleitung in der Box1 einrichtung und die Box2 arbeitet als VPN Gegenstelle.
Sorry, ich brauch da noch etwas mehr Hilfe.
 
Du betrachtest z.Zt. das eine Ende des Tunnels (mit Deinen 2 Boxen). Was stellt das andere Ende dar? Einen Client, ein Firmennetzwerk/-server, eine andere FB.
Im Falle einer LAN2LAN-Verbindung zwischen 2 Boxen muss nur die accesslist angepasst/erweitert werden um das Netz der kaskadierten FB.
Als Client von .178.x wirst Du ja auch auf .168.x kommen bzw. dürfen.
LG
 
Zuletzt bearbeitet:
Naja, das andere Ende ist mein Laptop in irgendeinem WLAN dieser Welt. Das wäre dann der Client, richtig?
Und ganz so einfach ist das bei kaskadierten Routern nicht - normalerweise gibt es (imho) zunächst keinen Weg von der Box1 (ModemBox) in das Netz der Box2 (Subnetz).
Regeln:
- Box2 beziegt ihren Internet-Zugang von Box1.
- aus dem Netz der Box1 soll man nicht auf das der Box2 zugreifen können
- Box1 ist eine VPN Gegenstelle (Server ?) für einen Laptop im Internet, der z.B. auf ein Web-IF im Netz der Box2 zugreifen können soll.

Also dann richte ich einen VPN Tunnel zur Box1, die direkt ans Internet angeschlossen ist ein.
Und dann kann ich eine Regel einrichten, die den Ausgang des Tunnels direkt in das Subnetz der Box2 leitet?

Mit dem Stichwort "access list" bin auch auf diese Hilfe gestoßen:
https://avm.de/service/fritzbox/fri...-IP-Netzwerke-hinter-der-FRITZ-Box-zugreifen/

Das klingt ja gut, aber bei der Zusammenschaltung von zwei Fritzboxen unterscheidet AVM zwischen den Modi "IP-Client" und "Kaskadieren".
https://avm.de/service/fritzbox/fri...x-fuer-Betrieb-mit-anderem-Router-einrichten/

Ich fürchte die Beschreibung oben funktioniert nur, wenn die 2.Box IP-Client ist.
Mir macht der Satz für den Kaskadierten Mode Sorgen:
"der Zugriff aus dem Internet oder dem Netzwerk des vorhandenen Routers auf Geräte, die an der FRITZ!Box angeschlossen sind, ist nicht möglich"

Mh, ganz und gar nicht oder mit "Tricks" vielleicht doch?
 
Nein, nein, die Beschreibung passt schon zu deiner Konstellation. IP-Client wäre es, wenn die 2. Box eine IP im LAN der ersten hätte. Bei dir sind es einfach zwei kaskadierte Router mit jeweils unterschiedlichen IP-Ranges im LAN dahinter. Der VPN-Tunnel endet in der 1. Box, von da aus geht’s weiter über die statische Route ins 2. LAN.
Denk aber dran, du hast mit 2 Firewalls zu tun. In der der 1. Box musst du nichts tun. Aber in der der 2. Box musst du regeln, wer von LAN1 in LAN2 durch darf.
 
Benares schrieb:
Der VPN-Tunnel endet in der 1. Box, von da aus geht’s weiter über die statische Route ins 2. LAN.
Zum Vergrößern anklicken....
was soll eine "statische Routing-Eintrag" in Fritzbox1 bringen, wenn Fritzbox2 im NAT-Router-Modus (IP-Masquerading) betrieben wird ?

da geht nur die Einstellung "Portforwarding" oder "Exposed Host" in Fritzbox2;
aus Sicht von Fritzbox1 ist die Fritzbox2 ein "Non-Routing-Device", da bringt es nichts irgendwelche Routen dort hin zu "setzen".
 
Gerade dann ist sie notwendig. Woher soll Box1 denn sonst wissen, dass Box2 mit ihrer LAN1-IP der Router ins LAN2 ist?
Die Rechner in LAN1 haben ja Box1 als Default-Gateway und könnten somit nicht mit Rechnern im LAN2 sprechen (wenn man nicht auf jedem einzelnen PC ein Route dorthin einträgt). Ob sie dabei durchkommen, bestimmt natürlich die Firewall von Box2. Das hat jetzt nichts direkt mit dem per VPN eingewählten externen PC zu tun, der ist aus Sicht von Box2 auch nur ein ganz normaler PC in LAN1.

Deshalb denke ich, das da eine statische Route in Box1 notwendig ist. Das steht so ja auch im erwähnten Beitrag aus der AVM-Wissensdatenbank.
 
Zuletzt bearbeitet von einem Moderator:
das ist "frommes" Wunschdenken;
eine Route (Host- oder Netzwerk-Route) auf einen Host im LAN (und die Fritzbox2 ist aus Sicht von Fritzbox1 nur ein Host) macht nur dann Sinn, wenn dieser IP-Forwarding (d.h. IP-Frames für fremde Netze annehmen und weiterleiten) kann und will
und dies macht die Fritzbox2 im NAT-Router-Mode nicht;
da bräuchtest Du z.B. einen DD-WRT Router anstelle der Fritzbox2.
 
Bitte den KB-Artikel nicht selektiv lesen:
Benares schrieb:
Lies dir mal
https://avm.de/service/fritzbox/fri...-IP-Netzwerke-hinter-der-FRITZ-Box-zugreifen/ genau durch.
Zum Vergrößern anklicken....

Da steht doch:
Wenn sich im Heimnetz der FRITZ!Box ein weiterer Netzwerk-Router befindet, der das IP-Netzwerk dieser FRITZ!Box mit einem zweiten IP-Netzwerk verbindet, müssen Sie zusätzliche Einstellungen vornehmen, um über die VPN-Verbindung auch auf Netzwerkgeräte im zweiten IP-Netzwerk zugreifen zu können.
Zum Vergrößern anklicken....
wenn man einen normalen Layer3 Switch oder Router verwendet, dann funktioniert dies auch; das habe ich auch in #9 geschrieben:
Shirocco88 schrieb:
da bräuchtest Du z.B. einen DD-WRT Router anstelle der Fritzbox2.
Zum Vergrößern anklicken....

Die Fritzbox ist jedoch kein transparenter Layer3-Switch oder Router, sondern ein NAT-Router, d.h. KEIN "bidirektionaler" Router.
in Richtung WAN-to-LAN gibt es bei FB im NAT-Router-Mode keine Layer3-Routing-Funktion, sondern wie in #7 geschrieben nur die Möglichkeit "Portforwarding" oder "Exposed Host".
das Problem ist, dass die NAT-Funktion bei der Fritzbox nicht abschaltbar ist.


Benares schrieb:
Auch Box2 ist ein ganz normaler Router
Zum Vergrößern anklicken....
diese Aussage ist falsch.
 
Damit ist die wohl die accesslist gemeint. Ich bleib bei meiner Meinung.
Warum beharrst du so darauf, das eine Fritzbox als 2. Router ungeeignet sei? Hast wohl einen DD-WRT und kennst es nicht anders.
Mag sein, dass damit einiges anders/besser geht. Aber der Artikel aus der AVM-Wissensdatenbank ist für mich schlüssig und plausibel, wenn um kaskadierte Fritzboxen geht, wie beim TS.
 
Zuletzt bearbeitet von einem Moderator:
Benares schrieb:
Warum beharrst du so darauf, das eine Fritzbox als 2. Router ungeeignet sei?
Zum Vergrößern anklicken....
Leider kann man bei Fritzbox die NAT-Router-Funktion nicht abschalten und dadurch auf "normalen" Layer3-Router umstellen, dadurch ergeben sich Einschränkungen hinsichtlich Nutzung; das sind Tatsachen.
gene kann man bei AVM-Produktmanager auch einen Enhancement-Request hierzu stellen.

Benares schrieb:
Aber der Artikel aus der AVM-Wissensdatenbank ist für mich schlüssig und plausibel, wenn um kaskadierte Fritzboxen geht, wie beim TS.
Zum Vergrößern anklicken....
Wo steht das ? der Artikel bezieht sich doch nicht auf kaskadierte Fritzboxen, sondern auf "ein weiterer Netzwerk-Router"!
und bei CISCO-Router wie 2960 usw. funktioniert dies auch problemlos; nur nicht bei kaskadierten Fritzboxen, wenn der VPN-Endpunkt sich auf der vorgelagerten Fritzbox befindet.

wenn Du selbst 2 Fritzboxen hast, dann kannst Du dies gerne selbst im Praxistest nachvollziehen.
 
Was ist für dich ein "normaler Layer3-Router"? Sorry, ich kann dir nicht ganz folgen.
Ich hab zwar mehrere Fritzboxen (s. Signatur), aber als IP-Clients - also nur ein LAN. Aber ich lerne gerne dazu.
 
Dies @Shirocco88
starbright schrieb:
Wenn das so nicht geht, reicht auch eine VPN Verbindung auf genau eine IP in dem 20er Subnetz
Zum Vergrößern anklicken....

betrifft wohl nur einen Client im nachgelagerten FB-Netz und mutmasslich mit einer festen/fixen IP.
Auch wenn man den Tunnel in der 1ten FB enden lässt und das Netz der 2ten FB abschottet, müsste nach meiner einfältigen Vorstellung -die falsch sein mag- ein Zugriff von z.B. "VPN-User" 192.168.178.201 auf 192.168.168.22 (als feste IP/Client) einstellbar sein mit "Bordmitteln".

Ansonsten habe ich im Hinterkopf abgespeichert, dass Freetz und ein OpenVPN-Paket dieses Problem stemmen könnten.
LG
 
Benares schrieb:
Was ist für dich ein "normaler Layer3-Router"?
Zum Vergrößern anklicken....
Switche, die um Routing-Funktion erweitert wurden, z.B. Netgear-GS108, CISCO-C2960, ... werden als Layer3-Switche bezeichnet;
diese werden hautsächlich in LAN-Umgebungen eingesetzt, in denen Routing benötigt wird.

normale Router (ohne Zusatzfunktionen wie Zwangs-NAT in eine Richtung wie bei Fritzboxen) verfälschen keine Absender-IPs, d.h. sie arbeiten "transparent" oder "netz-neutral".

mir geht es hier primär um Technik und deren Einsatzmöglichkeiten
und da ist es nun mal so, dass bei einem Konsumer-Router mit Zwangs-NATing, die Einrichtung von "statische Routen" auf Devices auf der WAN-Seite auf die WAN-IP dieses Konsumer-Router nichts bringt;
Diskussionen um Begrifflichkeiten, um eine gemeinsame Sicht zu entwickeln, können hier auch helfen.


Micha0815 schrieb:
Auch wenn man den Tunnel in der 1ten FB enden lässt und das Netz der 2ten FB abschottet, müsste nach meiner einfältigen Vorstellung -die falsch sein mag- ein Zugriff von z.B. "VPN-User" 192.168.178.201 auf 192.168.168.22 (als feste IP/Client) einstellbar sein mit "Bordmitteln".
Zum Vergrößern anklicken....
solange dieser "Zugriff" sich mit "Portforwarding" oder "exposed Host" auf Fritzbox2 realisieren lässt, wird dies funktionieren;

Benares schrieb:
Lies dir mal
https://avm.de/service/fritzbox/fri...-IP-Netzwerke-hinter-der-FRITZ-Box-zugreifen/
genau durch.
Zum Vergrößern anklicken....
eine Anpassung der accesslist, wie in dem KB-Artikel beschrieben, ist für den Use-Case #1 Unfug, da das LAN2 von Fritzbox2 (aufgrund der nicht abschaltbaren Zwangs-NAT-Funktion der Fritzbox2) im LAN1 der Fritzbox nicht sichtbar (Source-/Destination-IPs) ist.

Micha0815 schrieb:
Ansonsten habe ich im Hinterkopf abgespeichert, dass Freetz und ein OpenVPN-Paket dieses Problem stemmen könnten.
Zum Vergrößern anklicken....
da reicht schon modfs und ein OpenVPN-Binary auf Fritzbox2 mit Portforwardings auf den vorgelagerten Fritzboxen, um den in #15
Micha0815 schrieb:
z.B. "VPN-User" 192.168.178.201 auf 192.168.168.22 (als feste IP/Client)
Zum Vergrößern anklicken....
genannten User-Dial-In zu realisieren;
da braucht man keine Firmware "freetzen".
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Micha0815
Jetzt fang dich mal und lies dir #1 nochmal in Ruhe durch. Es geht nur um die Kaskadierung zweier Fritzboxen.
 
starbright schrieb:
Bei mir gibt es zwei Fritzboxen hintereinander, die erste ist das normale Modem im 192.168.178er Netz, eine zweite kaskadiert mit eigenem Subnetz 192.168.20
(https://avm.de/service/fritzbox/fri...FRITZ-Box-als-kaskadierten-Router-einrichten/)

Gerne würde ich eine VPN Verbindung in diese 20er Subnetz aufbauen können.
Zum Vergrößern anklicken....
Nachtrag:
diese Konstellation (AVM IPsec VPN in der Fritzbox2) funktioniert, wenn man die erforderlichen Protokolle (ESP) und Ports (UDP/500, UDP4500) in der Fritzbox1 an die Fritzbox2 weiterleitet/vorwardet; alternativ kann "Exposed Hosts" von FB1 nach FB2 eingerichtet werden.
sonstige Rahmenbedingung: es muss eine öffentliche IP-Adresse bei Fritzbox1 vorhanden sein, d.h. kein DS-Lite-Anschluß
EDIT (27.01.2019): sinnvollerweise sollte in Fritzbox1 dann DynDNS eingerichtet werden, idealerweise wird ein Provider mit Public-IPv4 oder Dualstack und ohne täglicher DSL-Zwangstrennung ausgewählt.
 
Zuletzt bearbeitet:
Wie das so immer ist wenn sich zwei Experten nicht einig sind - der Laie steht da und versteht nix mehr. ;)
Könnt ihr mir beim Einrichten helfen? Da sieht man dann was geht und was nicht.
Ausgehend von VPN geht bis zur Box1.
 
Ja dann sag doch mal, wie weit du bist. Tipps gab's ja schon einige.
Du hast die Wahl zwischen:
1.) VPN-Tunnel bis zur Box1 mit angepasster accesslist (Wissendatenbank-Artikel). Dann über Route/Portforwarding weiter in LAN2 oder
2.) VPN-Tunnel bis zur Box2 mittels Portforwarding auf Box1 wie von Shirocco88 beschrieben

Warum willst du die beiden überhaupt kaskadieren? Das macht vieles komplizierter. Ein einfacher IP-Client-Betrieb tut's ja oft auch. Mal dir mal ein Bildchen, dann wird vieles klarer.
 
  • Like
Reaktionen: starbright
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 663 (Mitglieder: 14, Gäste: 649)

Neueste Beiträge

Statistik des Forums

Themen
246,151
Beiträge
2,246,982
Mitglieder
373,670
Neuestes Mitglied
evelynfreya
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück