VPN zu einem kaskadiertierten Router (auf Box hinter der Modem-Box)

[Shirocco88]

wenn Du auf einzelne Hosts/Port-Kombinationen (wobei jeder Port/Applikation nur einem Host zugeordnet werden kann) nutzen möchtest, dann kannst Du diese Variante umsetzen:

1.) VPN-Tunnel bis zur Box1 mit angepasster accesslist (Wissendatenbank-Artikel). Dann über Route/Portforwarding weiter in LAN2

wobei das mit der Anpassung der Accesslist für den Fall "Fritzbox wird als nachgelagerter Router eingesetzt", nur Plazebo-Wirkung hat.

wenn Du auf das LAN 192.168.20.x zugreifen willst (d.h. beliebige Hosts/Applikationen in diesem Netz, ausser Broadcast/Multicast), dann bleibt NUR diese Variante:

2.) VPN-Tunnel bis zur Box2 mittels Portforwarding auf Box1 wie von Shirocco88 beschrieben

meine Empfehlung wäre Variante 2.) "VPN-Tunnel-Endpunkt in Fritzbox2 einrichten" wie in #18 beschrieben, dann ist man flexibler bei zukünftigen Anforderungen und kommt von dem dedizierten Portmapping pro Applikation weg;
Anmerkung: sinnvollerweise sollte in Fritzbox1 dann DynDNS eingerichtet werden, idealerweise wird ein Provider mit Public-IPv4 oder Dualstack und ohne täglicher DSL-Zwangstrennung ausgewählt.

Vodafone DSL ----- 7390 (Box1=Modem und Netz 178.x) ----<Cat5e>---- 7362 (Box2, Netz 20.x) ----- Dect, LAN, Fritzphone-App, WLAN

Box2 steht auf "Internet: Vorhandener Zugang über LAN" und bezieht sein Signal von Box1
Ich hänge an Box2

Ein einfacher IP-Client-Betrieb tut's ja oft auch.

dies würde die ganze Netztopologie verflachen,
jedoch bedeutet diese Variante auch ein reduzierter Funktionsumfang in Fritzbox2, z.B.
o keine Kindersicherung mehr
o es kann kein WLAN-Gastzugang in FB2 mehr eingerichtet werden (wurde IMHO in neueren FW-Versionen herausprogrammiert)
...
o keine Firewall in FB2 mehr (die Abschottung von Zugriffen aus FB1_LAN nach FB2_LAN entfällt)
o Heimnetz-Ansicht in FB2 fehlt (wurde IMHO in neueren FW-Versionen herausprogrammiert)
sofern auf diese Anforderungen verzichtet werden kann und einer IP-Adressbereichsänderung bei allen LAN-Teilnehmer im FB2_LAN nichts entgegen spricht, (d.h. keine statischen IPs bei Geräten im LAN von FB2 vergeben) dann hat diese Variante 3.) sicher auch ihre Berechtigung.

 

[starbright]

Zur Motivation:
Die Netze sollten getrennt sein, weil sich zwei Personen einen Zugang teilen. Klar ist das mit entsprechenden Mitteln umgehbar, schließlich kann man die Box1 entsprechend umprogrammieren, aber das setzt dann schon Vorsatz voraus. So kommt man jedenfalls mal nicht ausversehen auf die Geräte des anderen (nicht alle lassen sich richtig schützen - Heizung mit Web-IF z.B.)

In der Box1 hab ich mal einen DynDNS angelegt. Weiter bin ich noch nicht. Da ich an Box2 bin, wäre mir ein VPN bis Box2 lieber wenn das geht. Nur war mir bisher nicht ob das überhaupt geht.

Ich bin mit Linux und Android unterwegs. Habe schon mal von FDroid
OpenVPN for Android
installiert.

 

[Shirocco88]

In der Box1 hab ich mal einen DynDNS angelegt. Weiter bin ich noch nicht. Da ich an Box2 bin, wäre mir ein VPN bis Box2 lieber wenn das geht. Nur war mir bisher nicht ob das überhaupt geht.

erfolgreiche Umsetzung, siehe:
https://www.ip-phone-forum.de/threads/provider-hängt-fritzbox-vor-meine-fritzbox-probleme-mit-vpn-und-portfreigaben.302133/#post-2313127

Ich bin mit Linux und Android unterwegs. Habe schon mal von FDroid
OpenVPN for Android
installiert.

unklar wozu hier OpenVPN sein soll;
bei Android ist der IPsec-IKEv1 Client doch "Onboard" dabei, um auf Fritzbox-VPN zuzugreifen,
und bei LINUX gibt es sehr viele VPN-Clients, die den Zugriff auf Fritzbox per VPN-Verbindung/-Einwahl ermöglichen: Shrewsoft, Racoon, StrongSWAN, vpnc, ...

 

[Benares]

Dann mach das doch einfach. 2 Portleiterungen für 500/udp und 4500/udp auf Box1 an Box2 einrichten und VPN auf Box2 einrichten und gut ist. Denn Rest erklärt der Assistent.

 

[starbright]

trägt man Portweiterleitung als statische IPv4 Route ein, oder wo? Irgendwie finde ich das nicht.

Und ja, in Android is VPN schon drin, danke für den Tip.

 

[Shirocco88]

Portweiterleitungen werden im AVM-Jargon als "Portfreigaben" bezeichnet,
d.h. Internet >> Freigaben >> Portfreigaben
https://service.avm.de/help/de/FRITZ-Box-7390-avme/015/hilfe_portfreigabe

 

[starbright]

Die Weiterleitung der UDP Ports 500 und 4500 gehen dann auf die IP der Box2 im Netz der Box1?
Also auf 192.168.178.x und nicht auf 192.168.20.1
Dann ist es vermutlich eine gute Idee der Box2 eine statische Adresse zu geben.

 

[Shirocco88]

Die Weiterleitung der UDP Ports 500 und 4500 gehen dann auf die IP der Box2 im Netz der Box1?
Also auf 192.168.178.x und nicht auf 192.168.20.1

ja
am Besten auch das Protokoll "ESP" an die FB2 weiterreichen,
da kann man sehen, ob es auch ohne "NAT-T" geht,
siehe auch #18

Dann ist es vermutlich eine gute Idee der Box2 eine statische Adresse zu geben.

Ja, eine statische IP -Adresse für das WAN-Interface von FB2 kann nicht schaden;
Eine "statische Route von FB1 auf FB2 als GW" ist bei der genannten Variante 2.) NICHT erforderlich, da FB2 aus Sicht von FB1 ein Host im LAN1 ist.

Naja, das andere Ende ist mein Laptop in irgendeinem WLAN dieser Welt. Das wäre dann der Client

Eine Anpassung der accesslist in vpn.cfg der FB2 ist per aktuellen Anforderungen "Zugriff von Android-Smartphone oder LINUX-Rechner auf das LAN der FB2" nicht erforderlich;
bei geänderten Anforderungen, z.B. Smartphone soll auch per VPN über den Internetzugang von FB2 surfen können, wäre eine Kontrolle ggf. Anpassung der FB2 vpn.cfg accesslist sowie den VPN-Client auf Catch-All-Tunnelkonfig umzustellen.

Hinweis: am Besten pro VPN-Client "Smartphone" bzw. "LINUX-PC" einen eigenen VPN-User in FB2 anlegen.

 

[starbright]

Sorry, wegen Umzug hab ich das alles ne Weile liegen lassen müssen. Bin jetzt wieder dran.
Grundlage: ich habe einen dyndns Dienst und der Zugriff auf Web-IF Box1 (die am Netz hängt) geht.
In dieser Box1 habe ich der Box2 eine feste IP gegeben.
In der Box1 habe ich für die Box2 die Ports UDP 500 und 4500 freigegeben.

Ich glaub ich hab das nicht richtig gemacht, weil das jetzt irgendwie zu 61003,4 geworden ist !?

In der Box2 hab ich lediglich dem Benuzer das Recht auf VPN eingetragen und dann enstprechend der Anleitung die hochpoppt die Daten in das Handy eingetragen - lediglich als IP habe ich natürlich die DynDNS Adresse genommen.

Dann der Versuch mit mit dem Handy zu verbinden: Als Eingaben werden Nutzername und Passwort verlangt, ich trage die der Fritzbox2 ein.

-> nicht erfolgreich, natürlich - und nun. Vom Handy kommt ja mal so gar kein Hinweis was schief geht.

Der Screenshot zeigt die Einstellungen der Box1 (192.168.188.1), die 36 ist die Box2 im Netz der Box1.
Die Geräte auf die ich zugreifen möchte sind im anderen Netz der Box2 ....


Frage: Man könnte doch statt einzelner Ports die ganze Box2 freizugeben (exposed host). Die Box2 sollte ja (kaskadiert) eine eigene Firewall mitbringen.
Naja, trotzdem verbindet sich das Handy nicht ...

 

[Shirocco88]

Nur um sicher zu sein, VPN ist auf FB7390 nicht aktiv ?

Wie sieht den die Ansicht "Internet >> Freigaben >> Portfreigaben" von FB1 aus ?

Ist PCP @FB9390/FB7362SL aktiv ? wenn ja, dann dann deaktivieren.

am Besten auch das Protokoll "ESP" an die FB2 weiterreichen,
da kann man sehen, ob es auch ohne "NAT-T" geht,
siehe auch #18

hierzu sehe ich nichts in den Screenshots, Bitte die Weiterleitung für Protokoll "ESP" (50) auch einpflegen, dazu habe ich schon 2x geschrieben.

 

[starbright]

Ich bin erst mal einen Schritt zurück um eine VPN zu Box1 zu schaffen. Das ging erst, als ich auf dem Handy die Firewall deaktiviert hab. Dabei zeigte sie mir vorher keine Blockade im Protokoll. Mh, ok, das ist ein anderes Ding.
Nun habe ich auch ESP drin - siehe Screenshot.
Was ich nicht verstehe, sind Freigaben von Box2. Die Box1 gibt es da nicht als Gerät, nur die ans Netz der Box2 angeschlossenen Geräte. Also bisher ist da gar nichts eingetragen.
Und was ist PCP und wo kann man das deaktivieren?

Ist das eine Option (Gerät komplett für den Internetzugriff über IPv4 freigeben (Exposed Host)) ?

 

[Shirocco88]

Frage: Man könnte doch statt einzelner Ports die ganze Box2 freizugeben (exposed host).

Da IPsec-VPN mit IKEv1/PSK wie es bei AVM in der Fritzbox verwendet nur 2 Ports (UDP/500 und UDP/4500) sowie das Protokoll ESP (50) benötigt, sehe ich hier keinen Vorteil von "Exposed-Hosts" gegenüber einer ordnungsgemäßen Implementierung von 3 Port-Forwarding-Regeln.

Und was ist PCP und wo kann man das deaktivieren?

PCP (Port Control Protocol) sowie UPNP können genutzt werden, um bei einem vorgelagerten Router Port-Weiterleitungen zu managen; siehe auch "Selbstständige Portfreigabe" im Screenshot; die Frage war in Zusammenhang, warum bei der FB7390 der Sourceport so seltsam (61001/61002) aussah; inzwischen ist die Erklärung jedoch, dass VPN@FB7390 aktiv war, Schade, dass hier AVM den Anwender beim Einrichten der Port-Weiterleitung nicht daraum hinweist, dass der gewünschte Source-Port schon andersweitig in Benutzung ist.

Was ich nicht verstehe, sind Freigaben von Box2.

VPN Passthrough Mode @ FB7390:
solange VPN auf FB7390 aktiv ist, funktioniert das Portforwarding von FB7390 (Source-Ports: UDP/500, UDP/4500 und ESP-Protokoll) nach FB7362SL nicht!

Um IPsec-VPN @ FB7362SL zu ermöglichen müssen alle VPN-Verbindungen auf FB7390 deaktivieren und dann Portforwarding nach Vorgaben einrichten und darauf achten, dass die Ports-Nummern 1:1 gemappt werden, d.h. UDP/500 nach UDP/500 und UDP/4500 nach UDP/4500;
dann erneut von Android-Handy aus VPN-Verbindungsaufbau testen.

Sollten weiterhin Probleme auftreten so sind folgende Abschnitte aus den Supportdaten der FB7362SL erforderlich:
http://fritz.box/?lp=support

##### BEGIN SECTION vpn VPN
...
##### END SECTION vpn


##### BEGIN SECTION dyndns DynDNS
...
##### END SECTION dyndns


##### BEGIN SECTION Networking Supportdata networking
...
##### END SECTION Networking Supportdata networking


##### BEGIN SECTION Events Events
...
##### END SECTION Events

ggf. bei vpn.cfg die Zeilen key, remoteip, remotehostname anonymisieren;
das ike.log sollte die Zeile "avmike:< add(appl=dsld,cname=" beginnend enthalten; ggf. vorher Fritzbox rebooten; alles in CODE-Tags oder Attachement-Datei posten und dann kann man weiteres sagen.

Das ging erst, als ich auf dem Handy die Firewall deaktiviert hab. Dabei zeigte sie mir vorher keine Blockade im Protokoll. Mh, ok, das ist ein anderes Ding.

BTW: welche Firewall nutzt Du auf Android Handy ?
Nutzt Du Out-of-Box VPN-Client bei Android ?

 

[starbright]

Also muß ich in Box1 jegliche VPN Einstellungen löschen oder reicht es, das VPN nicht aktiv ist. Das nur einer der VPNs (auf Box1 oder 2) aktiv sein dürfen ist ok, dass aber dann nur noch VPN zur Box2 geht ist eine herbe Einschränkung. Aber ich fürchte durch das Port-Forwarding ist das so, richtig? Also VPN Einstellungen in Box1 komplett löschen oder zumindest deaktivieren.

Edit:

Also, jetzt geht es. Aufpassen muss man auch:
Im phone steht zwar bei den VPN EInstellungen das IP-Sec ID nicht verwendet wird - das ist aber nicht korrekt.

Was macht eigentlich ein Haken am Handy bei "Durchgehend aktives VPN" ?

Firewall geht auch, hatte die VPN Einstellung übersehen - nutze AFWall+
Und ja, das ist der interne VPN Client des Handys.
Ich werde vielleicht noch mal eine Zusammenfassung schreiben, damit andere das auch nachvollziehen können (und ich beim nächsten mal )

 

[Shirocco88]

Aber ich fürchte durch das Port-Forwarding ist das so, richtig?

ja, ein lokal aktiver Port UDP/500 kann nicht forwarded werden.

Also VPN Einstellungen in Box1 komplett löschen oder zumindest deaktivieren.

alle VPN-Profile bei Box1 deaktivieren sollte reichen.

 

[starbright]

Vielen Dank!
Auf dem Notebook (Linux) hab ich jetzt auch Shrew installiert. Da klemmt es noch:
config loaded for site '<my dyndns account>'

attached to key daemon ...
peer configured
iskamp proposal configured
esp proposal configured
client configured
local id configured
remote id configured
pre-shared key configured
bringing up tunnel ...
negotiation timout occurred
tunnel disabled
detached from key daemon

Eigentlich steht in der Anleitung hier alles klar drin:
https://avm.de/service/vpn/tipps-tr...ritzbox-mit-shrew-soft-vpn-client-einrichten/
Aber das scheint jetzt nicht an der FB zu liegen.

Zumindest am Handy hat es nicht gestört wenn ich gerade im selben (WLAN) Netz bin, auf das ich mir von aussen verbinden will.

 

[starbright]

Zusammenfassung:
VPN Zugang zu einer kaskadierten Fritzbox
(eigenes Netz, Box1 ist am DSL, Box2 LAN1 ist an Box1 angeschlossen, Zugang über LAN konfiguriert)

1) An Box 1 dyndns einrichten.
Die Box zum Test per https aus den Netz erreichbar machen
Test

2) Zwischenschritt VPN auf Box1 zum Test (kann übersprungen werden):
An Box1 User eintragen (System/Fritzbox Benutzer) und diesem VPN Rechte geben
Es folgt ein Pop-Up mit den Einstellungen für das Handy ...
Diese ins Hand übernehmen (Android Einstellungen/Netzwerk/VPN)
Test der VPN Verbindung.
(https://avm.de/service/fritzbox/fri...ndung-zur-FRITZ-Box-unter-Android-einrichten/)

3) An Box1 Ports für VPN an die Box2 weiterleiten:
Falls im Zwischenschritt VPN aktiviert wurde, VPN deaktivieren (Internet/Freigaben/VPN - VPN Haken deaktivieren)
Internet/Freigaben/Portfreigaben:
Gerät für Freigaben hinzufügen - hier die Box2 auswählen (hilfreich ist der immer die gleiche IP zuzuweisen)
3 neue Freigaben für diese Gerät eintragen: UDP/500, UDP/4500/ESP)
Also: Wenn immer diese Ports aktiv sind, werden die auf die Box2 weitergeleitet. Deswegen kann man nicht in Box1 und Box2 VPN aktivieren (ganz zu schweigen von zwei VPN Verbindungen gleichzeitig).

4) VPN in Box2 einrichten:
Selbe Schritte wie oben im Zwischenschritt bei Box1 beschrieben.
Auf dem Handy dann eine neue VPN Verbindung (Fritz2) nach gleichem Muster, aber mit den Pop-Up-Werten von Box2 einrichten
Freuen!

5) VPN am PC in Betrieb nehmen:
https://avm.de/service/vpn/tipps-tr...ritzbox-mit-shrew-soft-vpn-client-einrichten/
Funktioniert bei mir leider nicht.

Achtung:
Falls am Handy eine Firewall aktiv ist darauf achten das der Dienst VPN auch freigegeben ist.

-----

Bei Ergänzungen gerne melden, das würde ich dann hier mit eintragen.