[Problem] VPN zu Fritzbox hinter Fritzbox

[richardk]

Irgendwie stehe ich auf dem Schlauch. Nachdem ich bisher auch mit heftigem Suchen nichts brauchbares zu meinem Thema gefunden habe, möchte ich Frage mal hier stellen.

Zwei Gruppen, voneinander unabhängig, teilen sich eine Fläche. Leider kann die Telekom nur EINE Leitung zur Verfügung stellen. Gruppe A hat also eine Fritzbox, nennen wir sie Fritzbox1. Damit Gruppe B auch Internet hat, hängt an einem LAN-Port der Fritzbox1 eine zweite Fritzbox, nennen wir diese FB2. Bei FB2 steckt dass LAN-Kabel von Fritzbox1 in der WAN-Buchse. Fritzbox1 hat einen DynDNS-Dienst konfiguriert, der (erfolgreich) die jeweils aktuelle IP zu host-intern.gruppea.de auflöst. Das Gastnetz von Fritzbox1 ist NICHT in Benutzung. Beide sind Modell 7590 mit Fritz OS 7.1.

Gruppe A hat das LAN 192.168.1.0/24
Gruppe B hat das LAN 192.168.22.0/24

Gruppe B betreibt intern einen kleinen Server. Auf diesen Server möchte man per VPN, möglichst Fritz Fernzugang, von aussen zugreifen. Dieser Server hat die IP 192.168.22.100. Ich habe auf Fritzbox1 eine Portweiterleitung zur FB2 eingerichtet: UDP port 53, UDP port 500, UDP port 4500 und ESP ("Encapsulated Security Payload", IP protocol number 50). Ziel der Weiterleitung ist FB2. Auf FB2 habe ich eine VPN User eingerichtet.

Im ersten Test-Schritt ist das Ziel, überhaupt eine VPN-Verbindung aufzubauen. Versuche ich nun beispielsweise mit einem iPhone eine VPN-Verbindung mit host-intern.gruppea.de herzustellen, scheitert das mit der Fehlermeldung 'Server nicht gefunden'. Ein Ping auf diesen Namen funktioniert. Der Name löst auch korrekt zu Fritzbox1 auf. Was mache ich falsch?

 

[Shirocco88]

Frage: Ist bei Fritzbox_1 ein VPN-Profile aktiv ?
Wenn Ja, dann greift VPN-Passthrough NICHT und damit greifen auch die Portforwarding Rules in Fritzbox_1 nicht.

Wie sieht es direktem Zugriff von Handy auf IP=192.168.22.100 aus ?

Sollten weiterhin Probleme auftreten so sind folgende Abschnitte aus den Supportdaten der Fritzbox_2 erforderlich:
http://fritz.box/?lp=support

##### BEGIN SECTION vpn VPN
...
##### END SECTION vpn


##### BEGIN SECTION dyndns DynDNS
...
##### END SECTION dyndns


##### BEGIN SECTION Networking Supportdata networking
...
##### END SECTION Networking Supportdata networking


##### BEGIN SECTION Events Events
...
##### END SECTION Events

ggf. bei vpn.cfg die Zeilen key, remoteip, remotehostname anonymisieren;
das ike.log sollte die Zeile "avmike:< add(appl=dsld,cname=" beginnend enthalten; ggf. vorher Fritzbox rebooten; alles in CODE-Tags oder Attachement-Datei posten und dann kann man weiteres sagen.

 

[richardk]

Sorry. Ich hatte die Antwort nicht früher gesehen. Auf Fritzbox1 sind VPN-Profile aktiv. Wenn die vorhanden sind, geht es nicht? Reicht es für einen Test aus, dort nur den Haken bei 'Aktiv' rauszunehmen oder müssen die Profile ganz gelöscht werden?

Zugriff vom Handy auf die IP ist gegeben, wenn sich das Handy im lokale LAN aufhält. Das mit den Supportdaten würde ich machen, wenn ich die Antworten zu den VPN-Profilen habe.

 

[Shirocco88]

Ja, wenn bei Fritzbox_1 ein VPN-Profile aktiv ist, dann greift VPN-Passthrough NICHT!

Um das gewünschte VPN in Fritzbox_2 nutzen zu können, ist das IPsec-VPN in Fritzbox_1 zu deaktieren (alle Profile entfernen, ggf. reicht es die Profile zu deaktiveren). Ferner ist folgende aktive Port-/Protokoll-Weiterleitungs Rules in Fritzbox_1 nach Fritzbox_2 für IPsec-VPN erforderlich:

• Port: UDP/500,
• Port: UDP/4500
• Protokoll: ESP/50

Zugriff vom Handy auf die IP ist gegeben, wenn sich das Handy im lokale LAN aufhält.

wenn Du Zugrff auf WLAN der Fritzbox_1 hast dann kannst Du ja VPN auch von dort aus testen, einfach testweise die "WAN-IP" von Fritzbox_2 aus dem LAN von Fritzbox_1 als VPN-Verbindungsserver eingeben.

 

[Phoenixtime]

Ich hatte ähnliche Überlegung aber bin ab einem gewissen Punkt nicht mehr weiter gekommen, da man hier mehrere Netze eigentlich unsauber miteinander vermischt.

Ich sehe in deinem Aufbau nur die Möglichkeit, ein VPN Nutzer auf FB1 anzulegen, der nur Zugriff auf die IP Bereiche der zweiten Box hat.
https://avm.de/service/vpn/praxis-t...e-ip-netzwerke-hinter-der-fritzbox-zugreifen/

Das wird dann aber daran scheitern, dass die zweite Box NAT macht, und somit den VPN User nicht ankommen lässt.

Voraussichtliche Lösung:
Ein Router der mehrere Netze aufbauen kann (VLAN) und trennen kann.

Alternative sollte auch ein Switch auf Layer 3 Ebene gehen.
Der nimmt das Netz der FB1, und splittet es in mehrere oder ein VLAN auf mit einem eigenen IP Bereich.
Die Netze müssen dann per Access Listen voneinander getrennt werden.
Hier kommt die nächste Fälle: Telekom Entertain oder andere IP TV Techniken. Der Switch muss IGMPv3 Proxy können, damit die Teilnehmer aus dem anderen IP Bereich am Entertain der FB1 teilnehmen können.

 

[Shirocco88]

Gruppe B betreibt intern einen kleinen Server. Auf diesen Server möchte man per VPN

da gibt es sicherlich viele Lösungsmöglichkeiten; alle mit Vor- und Nachteilen;

ich würde im ersten Schritt (da Abschaltung der IPsec-Dienste in Fritzbox_1 sowie es aussieht entfällt) auf ein anderes VPN-Protokoll, z.B. OpenVPN (Port UDP/1194), direkt auf dem Server installieren und das Portforwarding für diesen Port von Fritzbox_1 über Fritzbox_2 auf den Server einrichten.
Da kommt man schnell zu dem Ziel und ist sehr flexibel und braucht nicht den grossen Aufwand mit Netzrestrukturierung.

 

[richardk]

Danke für alle Tipps. Aus anderen Gründen werden sich die Gruppen in Kürze räumlich trennen. Das Thema wird am neuen Standort, dann mit eigener Leitung, neu gemacht.