VPN - Zugriff auf Fritzbox hinter Fritzbox? LAN1 - VPN - LAN2

[falcon23]

Hallo,

im Prinzip ist mein Problem im Artikel "VPN - Zugriff auf Fritzbox hinter Fritzbox? LAN1 - VPN - LAN2 - LAN3" vom 16.12.2015 beschrieben - aber leider nicht ganz wirklich.

Ich habe zu Hause 2 Stk. Fritzboxen

1. Box - FritzBox 6490 - Adresse 192.168.14.1 - hat Internetanschluss via Kabel

2. Box - FritzBox 7490 - Adresse 192.168.15.1 - ist als "Verbundener Zugang über LAN"
an der FB6490 mit Adresse 192.168.14.10 angeschlossen


Ich möchte nun ein VPN Netz für Smartphones und PCs aufbauen, dass man vom Internet in den Adressbereich 192.168.15.xx reinkommt.

Der VPN-Aufbau der Verbindung zur 1. Box klappt bereits wunderbar; dort sehe ich, dass das Gerät eine Adresse bei der VPN-Anwahl 192.168.14.201 erhalten hat. Aber eigentlich brauche ich diese IP-Adresse gar nicht; ich möchte nämlich, dass ich als VPN-Einwahladresse 192.168.15.2xx erhalte. Dort sind nämlich alle Geräte mit denen ich im Netz 192.168.15.0 kommunizieren möchte.

Also müsste ich eine zusätzliche Route vom 192.168.14.0 zum eigentlichen Netzwerk (192.168.15.0) einrichten.

Das habe ich auch getan - siehe Artikel bei AVM

https://avm.de/service/fritzbox/fri...P-Netzwerke-hinter-einer-FRITZ-Box-zugreifen/

https://avm.de/service/fritzbox/fri...-IP-Netzwerke-hinter-der-FRITZ-Box-zugreifen/

Bei der FB6490 habe ich eingetragen:

IPv4-Netzmaske 192.168.15.0
Subnetzmaske 255.255.255.0
Gateway 192.168.4.1
IPv4 Route aktiv

und bei der FB7490

IPv4-Netzmaske 192.168.14.0
Subnetzmaske 255.255.255.0
Gateway 192.168.5.1
IPv4 Route aktiv

und im VPN Client habe ich den Zusatz eingetragen:

acesslist =
"permit ip 192.168.14.0 255.255.255.0 192.168.14.201 255.255.255.0",
"permit ip 192.168.15.0 255.255.255.0 192.168.14.201 255.255.255.0";

Der Abschnitt bei der AVM Anleitung ist leider nicht näher definiert, sodass ich da den Fehler vermute:

IP-Route in Netzwerk-Router einrichten:
##Richten Sie den Netzwerk-Router nach den Vorgaben des Herstellers so ein, dass er zwischen dem IP-Netzwerk der FRITZ!Box (192.168.14.0) und seinem eigenen IP-Netzwerk (192.168.15.0) routet.

Leider klappt das aber nicht perfekt = gar nicht. Irgendwo muss ich etwas nicht richtig eingestellt oder übersehen haben.
Aber wo? Leider finde ich keine Anleitung, die das was ich machen möchte 1:1 beschreibt, sodass ich auf Eure Hilfe zählen darf.

Vielen Dank für Vorschläge.

Falcon23

 

[PeterPawn]

- VPN in der 6490 deaktivieren (alle Konfigurationen löschen) und den Port UDP 4500 auf die 7490 weiterleiten
- alle VPN-Konfigurationen in der 7490 einrichten
- DynDNS bleibt in der 6490 aktiviert, hat in der 7490 nichts zu suchen

Mit Routing ist das jedenfalls nicht wirklich zu lösen ... dann bräuchte es in der 7490 für jeden zu nutzenden Dienst die entsprechende Portfreigabe.

 

[falcon23]

Vielen Dank für den 1. Hinweis. Ich habe die Sachen so eingestellt wie beschieben. Ging aber noch immer nichts.
erst als ich noch den Port 500 (neben dem Port 4500) weiterleitete, war ein erste Erfolg zu vermelden.

Das Problem ist jetzt, dass zwar das VPN "Verbunden" anzeigt, ich aber keine Verbindung in das Internet (Mailboxabfrage etc. klappen auch nicht) habe.
Das sollte ich aber haben von zu Hause aus mit der IP Adresse die das VPN vergeben hat - 192.168.15.201.
Es scheint so zu sein, als ich noch einige Ports weiterleiten sollte - aber welche?

Könnt Ihr mir bitte sagen, welche Ports ich noch freigeben muss oder sehen Sie das Problem mit der Nichtweiterleitung woanderst?
Ich benutze das VPN so wie von AVM vorgschlagen mit IPSec-Xauth PSK.

 

[PeterPawn]

Ok, das ist dann offenbar ein nur mäßig intelligenter IPSec-Client, der da zum Einsatz kommt. Eigentlich sollte so ein Client nach einem Timeout beim Verbindungsaufbau für Port 500 automatisch auf Port 4500 sein Glück versuchen, weil er einfach "NAT-T" probieren will.

Wenn dieser Client nach dem Verbindungsaufbau alle Pakete (natürlich mit Ausnahme der IPSec-Pakete für die FRITZ!Box selbst) in den IPSec-Tunnel steckt, sollten die auch auf der 7490 ankommen und von dieser ins Internet weitergeleitet werden. Das ist nur in der Theorie (und ohne Vorliegen von Konfigurationsdateien und Protokollen - aber dazu habe ich schon ganze Romane geschrieben) nahezu unmöglich zu diagnostizieren ... es steht eigentlich noch nicht einmal deutlich da (trotz einer nicht zu leugnenden Ausführlichkeit, die aber zum großen Teil auch auf die Routing-Probleme abzielt und weniger auf eine Darstellung, was da bisher tatsächlich konfiguriert wurde), was am Ende als IPSec-Client zum Einsatz kommt.

Welche Infos man noch bräuchte und wo man die ggf. in der FRITZ!Box zusammensuchen kann, schreibe ich in jedem zweiten Beitrag zum VPN, da sollte sich mit ein wenig Mühe eine passende Aufzählung finden lassen, ohne daß ich das noch einmal erläutere. Es hat jedenfalls nichts mit zusätzlichen Portfreigaben zu tun ... max. etwas mit einer geänderten "accesslist" für einen solchen IPSec-Zugang - aber das geht schon wieder in Spekulationen über.

 

[falcon23]

Vielen lieben Dank PeterPawn - ich habe das Ganze nochmals mit einem andeen Smartphone ausprobiert.
Es hat auf Anhieb geklappt.

Zusammengefasst muss man Folgendes tun:

1. Port 500 und Port 4500 von der ins Internet angeschlossenen Box an die "Nicht-Internet" Box weiterleiten
2. Dyndns auf die "Internet-Box" setzen
3. die VPN Konfugrationen an der "Nicht-Internet-Box" einrichten

Das wars schon - Aufwand ca. 10 Minuten.

 

[eisbaerin]

Jo, so einfach ist das eigentlich, nur mit den "Konfugrationen" werden einige Probleme haben.