bastler0815
Goto Top

2 Fritzenboxen in einer "DMZ" - jetzt nun die Portfreigabe

Hallo zusammen,

ich habe gerade die tolle Anleitung hier gesehen zu dem Thema 2 Fritzboxen, leider kam diese zu spät face-smile

Ich habe 2 FB hintereinander geschaltet

FB 1 - IP Adresse 192.168.178.1

(Über die FRITZ!Box Wählen Sie diese Option, wenn die FRITZ!Box direkt mit Ihrem Internet-Anschluss verbunden ist.)

*

FB 2 - IP Adresse 192.168.1.1 ist ihre Eigene mit DHCP

Internetverbindung selbst aufbauen Die FRITZ!Box stellt einen eigenen IP-Adressbereich zur Verfügung. Die Firewall bleibt dabei aktiviert.
hier habe ich die IP 192.168.178.2 hinterlegt GW & DNS-Server ist die 192.168.178.1

*

soweit so gut, ich nenne dieses mal eine "mini"-DMZ

Ich möchte jetzt, z.B. die FB 2 / das LAN wie gewohnt per VPN erreichen, z.B. Smartphone oder diese in Myfritz erscheint (dieses geht z.B. wenn ich einen Account von der FB 1 hinterlege, ist dieses optimal ?)

Ich habe die Ports auf der FB 1 eingestellt leider aber ohne Erfolg...

UDP-Port 53
UDP-Port 500
UDP-Port 4500
ESP habe ich dazu genommen


zu Testzwecke habe ich auch einen Exposed Host konfiguriert (dieses möchte ich aber nicht haben)

Hat jemand noch eine tolle Idee ....

Besten Dank und Gruß

Content-ID: 252403

Url: https://administrator.de/forum/2-fritzenboxen-in-einer-dmz-jetzt-nun-die-portfreigabe-252403.html

Ausgedruckt am: 23.12.2024 um 06:12 Uhr

Lochkartenstanzer
Lochkartenstanzer 18.10.2014 um 19:56:43 Uhr
Goto Top
Moin,

mal mal ein Bildchen, damit man klarer sieht, was Du meinst.

lks
Bastler0815
Bastler0815 18.10.2014 um 20:09:27 Uhr
Goto Top
Hi,
ich möchte von außen z.B. mit VPN auf das LAN zugreifen

Internet->FB1 -> FB2-LAN

FB 1 - IP Adresse 192.168.178.1
FB 2 - IP Adresse 192.168.1.1
LAN - IP Adresse 192.168.1.x
Lochkartenstanzer
Lochkartenstanzer 18.10.2014 um 20:23:47 Uhr
Goto Top
Zitat von @Bastler0815:

ich möchte von außen z.B. mit VPN auf das LAN zugreifen


mit welchem VPN-protokoll?

IPSEC?

funktikoniert es mit dem exposed host?

wenn ja, sniff doch einfach m,al auf dersten fritzbox mit, was da alels durchgeht.

lks
Bastler0815
Bastler0815 18.10.2014 aktualisiert um 23:22:15 Uhr
Goto Top
Hi,

ja mit IPSec Xauth PSK,

Bis zu der ersten FB 1 komme ich wie gewohnt, der Tunnel steht, ich vermute mal beim Konfig. der Ports habe ich einen Fehler gemacht auf der FB 1 oder FB2

Parallel -> habe ich eine weitere FB 3 die als IP Client ist, in Myfritz gehängt, auch hier komme ich nicht durch


Auf der FB1 habe ich den Port z.B. 777 auf der FB 1 freigeschaltet und gesagt 777-> an FB 2

auf FB 2 den Port 777 über Myfritz an die FB 3 eingericht.

Parallel habe ich auf der FB 2 mal zur Sicherheit den DNY Port 53 als UDP freigeschaltet UDP 53 aber kein Erfolg

Ich mache bei dem Port durchreichen wohl einen Basisfehler...was stelle ich auf FB 1 und auf FB 2 ein?

z.B, für den Port 777 oder VPN?


Besten Dank und Gruß
aqui
aqui 20.10.2014 um 19:20:32 Uhr
Goto Top
Ist das so konfiguriert wie hier in der Alternative 2:
Kopplung von 2 Routern am DSL Port
Wenn du IPsec durchreichen musst dann sind folgende Ports weiterzuleiten:
  • UDP 4500 (NAT Traversal)
  • UDP 500 (IKE)
  • ESP Protokoll (IP Nummer 50. Achtung kein TCP oder UDP 50 ESP ist ein eigenes IP Protokoll !)
Nähere Infos dazu auch hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Bastler0815
Bastler0815 03.11.2014 aktualisiert um 21:27:08 Uhr
Goto Top
Hi zusammen,

ich habe heute erst die Mails bekommen, lagen im SPAM Ordner face-sad

die FB 1 ist der Router -> FB2 geht über LAN1 an die FB1,
ich habe den WAN-Port nicht genommen, sondern nach Angaben von AVM den LAN 1 Port.

*
Hier der Auszug aus der FB2 =72720

"Externes Modem oder Router

Wählen Sie diesen Zugang, wenn die FRITZ!Box über "LAN 1" an ein bereits vorhandenes externes Modem oder einen Router angeschlossen ist.
Betriebsart

Geben Sie an, ob die FRITZ!Box die Internetverbindung selbst aufbaut oder eine vorhandene Internetverbindung mitbenutzt.
Internetverbindung selbst aufbauen

Die FRITZ!Box stellt einen eigenen IP-Adressbereich zur Verfügung. Die Firewall bleibt dabei aktiviert."

*

Eine statische Route ist auch gesetzt.
Da es hier sich um eine alte FB 7270 v2 handelt und der DSL Port defekt ist, dachte coole Sache

.
Ich habe eigentlich 2 Themen -> die FB 3 am LAN2 wollte ich in MYfritz haben, wenn dieses nicht geht, ist auch ok.

Der VPN Client steht, zum Testen habe ich die FB 1 & FB 2 die Firewall ausgeschaltet -> Exposed Host eingericht..ich kriege auf das LAN 2 keinen Zugriff

Habe schon aus verzweifelung auf beides den VPN gesetzt auf FB 1 & FB 2 und den Exp. Host eingerichtet

Besten Dank!
aqui
aqui 03.11.2014 um 17:40:16 Uhr
Goto Top
ich habe heute erst die Mails bekommen, lagen im SPAM Ordner
Was für Mails ??
WAN-Port genommen sondern wie nach Angaben den LAN 1 Port,
Dann bist du einer der ein älteres FB Modell hat bei dem das integrierte DSL Modem im Setup deaktivierbar ist (mit neueren ist das nicht mehr möglich) und der WAN Port dann am LAN-1 Port liegt, richtig ??
Folglich hast du dann doch wieder den WAN Port genommen, oder ?!? DSL Port defekt usw. bestätigt das ja dann das du den WAN Port durch Abschalten des Modems auf den LAN 1 Port umgebogen hast ?!
Sinnvoll wäre eine kurze Skizze hier damit wir wirklich verstehen wie dein Design aussieht. Für eine Funktion ist das sehr wichtig !

Am WAN Port des in der Kaskade vorgeschalteten Routers muss dann zwingend ein Port Forwarding für die IPsec Protokollkomponenten eingerichtet sein auf die LAN-1 IP der 7270 !:
UDP 500
UDP 4500
ESP Protokoll mit der IP Nummer 50

Klar das deshalb auch die 7270 hier am WAN Port eine statische IP Adresse haben sollte die NICHT im DHCP Bereich des davorliegenden Routers liegt !!
Falls die davorliegende FB auch VPN Dienste supportet musst du diese deaktivieren, denn die denkst sonst immer das eingehende IPsec Pakete für sie sind und leitet sie dann trotz Port Forwarding nicht weiter.

Nimm dir ganz einfach einen Wireshark Sniffer und prüfe wo UDP 500 und ESP geblockt werden...dort ist auch dein Problem in der Konfig der Systeme !!
Bastler0815
Bastler0815 03.11.2014 aktualisiert um 21:21:53 Uhr
Goto Top
Hi und besten Dank

Was für Mails ?? -> die Mail das ein Beitrag gepostet wurde

Die FB 7270 ist der WAN Port defekt, da diese durch Blitzschlag etc..einen wegbekommen hat, deshalb habe ich mir eine andere gekauft-> Der WAN-Port ist defekt an der 7270, da gab es die andere noch nicht -> Der WAN Port an der FB 7270 ist defekt und wird nicht genutzt.

Sorry, ich kann dir leider nicht folgen vom Ablauf...technisch kein Thema
Plan kann ich machen, das dauert etwas, aber recht hast du
aqui
aqui 03.11.2014 aktualisiert um 20:56:17 Uhr
Goto Top
die Mail das ein Beitrag gepostet wurde
Braucht man auch nicht, denn das sieht man wenn man sich hier einloggt und auf sein Icon oben klickt und "Benachrichtigungen" ansieht face-wink
Der WAN-Port ist defekt an der 7270, da gab es die andere noch nicht -> Der WAN Port an der FB 7270 ist defekt und wird nicht genutzt.
Ist das ein deutscher Satz ?? Sorry, aber den Kauderwelsch versteht keiner ??
In älteren FBs hat man im Setup die Möglichkeit das interne DSL Modem zu deaktivieren. Der WAN Port des Routers wird dann stattdessen intern umgeleitet und auf ein vorhandenes Ethernet Breitband Interface dem LAN-1 Port ausgegeben.
Das hat man damals gemacht damit Kabel TV Kunden dort ihr Kabel TV Modem anzuschliessen wenn sie von DSL auf Kabel wechseln und sich nicht extra einen neuen Breitband Router dafür kaufen wollen.
Vermutlich hast du im Setup der FB 7270 dies gemacht, richtig ??
Guckst du hier dazu:
http://avm.de/nc/service/fritzbox/fritzbox-7270/wissensdatenbank/public ...
C.R.S.
C.R.S. 03.11.2014 um 21:21:14 Uhr
Goto Top
Zitat von @aqui:

Am WAN Port des in der Kaskade vorgeschalteten Routers muss dann zwingend ein Port Forwarding für die IPsec
Protokollkomponenten eingerichtet sein auf die LAN-1 IP der 7270 !:
UDP 500
UDP 4500
ESP Protokoll mit der IP Nummer 50

Das ist aber die Lösung für die Alternative eines Tunnels zur (hinteren) FB2. Wie oben heraus zu lesen, baut er den Tunnel zur FB1 auf, müsste also die Dienste im LAN, die aus DMZ/VPN erreicht werden sollen, per Forwarding auf der FB2 zur Verfügung stellen.
Bastler0815
Bastler0815 03.11.2014 aktualisiert um 21:53:45 Uhr
Goto Top
Hi und besten Dank zusammen!

Ich habe den Tunnel auf FB 1 und FB 2 gesetzt, parallel zum Testen -> Exposed Host eingerichtet, ohne Erfolg.

e1dbe0ba3fc234dd1a61053e4b1fbb5d

Macht vieles sicherlich leichter.
aqui
aqui 04.11.2014 aktualisiert um 09:42:31 Uhr
Goto Top
Das ist aber die Lösung für die Alternative eines Tunnels zur (hinteren) FB2. Wie oben heraus zu lesen, baut er den Tunnel zur FB1 auf,
OK, da hast du dann natürlich Recht. Dann brauchst du natürlich KEIN Portforwarding für diese VPN Ports...klar !
Annahme war hier das der VPN Tunnel aus dem Internet käme und durch FB1 auf den FB2 terminiert werden sollte...war aber dann wohl falsch, sorry ?!
Allerdings: Was soll denn ein VPN Tunnel direkt zw. den beiden direkt gekoppelten FBs 1 und 2 bewirken ? Das ist doch eigentlich Unsinn.
Bastler0815
Bastler0815 04.11.2014 um 14:58:45 Uhr
Goto Top
Hi zusammen,

ich habe den VPN Tunnel einmal zu FB 1 aufgebaut-kein Erfolg und einmal zu FB 2 auch kein Erfolg.
der Tunnel zu FB 2 kam nicht durch, obwohl Exposed Host eingerichtet war auf beide FB 1 & 2.

Was macht mehr Sinn
->a) den Tunnel zu FB 1 aufbauen und Portforwarding einschalten?
->b) den Tunnel zu FB 2 aufbauen? Wenn ja was muss dann auf die FB1 eingerichtet werden, das der Tunnel durchkommt?

ich habe zu der FB 1 einen Tunnel aufgebaut der funktioniert
Auf der FB 2 &FB 1 (zur Sicherheit/ Testen) eingerichtet

Liste der Portfreigaben

auf der FB 2 zu der FB 3
VPN Port 1 UDP 500
VPN Port 2 UDP 4500
VPN Port 3 ESP
VPN Port 4 DNS 53

auf der FB 1 zu der FB 2
VPN Port 1 UDP 500
VPN Port 2 UDP 4500
VPN Port 3 ESP
VPN Port 4 DNS 53

Ein Zugriff ist leider nicht möglich
Thx!
Lochkartenstanzer
Lochkartenstanzer 04.11.2014 um 15:19:50 Uhr
Goto Top
Zitat von @Bastler0815:

Was macht mehr Sinn
->a) den Tunnel zu FB 1 aufbauen und Portforwarding einschalten?
->b) den Tunnel zu FB 2 aufbauen? Wenn ja was muss dann auf die FB1 eingerichtet werden, das der Tunnel durchkommt?

Einen ordentichen VPN-Router (z.B. von Cisco, Draytek oder Lancom) kaufen und dahonert alles hänge. face-smile

Wenn die FB1 VPn durchlassen soll, muß dort alles was anch VPN aussieht deaktiviert werden, damit sich nciht die FB1 die VPN-Pakete krallt.

lks
Bastler0815
Bastler0815 04.11.2014 um 15:35:47 Uhr
Goto Top
Huhu,
der Tunnel steht zu FB 1

habe gerade nochmal Exp. Host eingeschaltet leider ohne Erfolg

Was die FB 1 meldet

"Achtung: Die Firewall Ihrer FRITZ!Box ist deaktiviert.
Der als "Exposed Host" angegebene Computer ist ungeschützt im Internet sichtbar und erreichbar. Ausgenommen sind Portfreigaben zu anderen Computern in der Liste der Portfreigaben, welche nur an diese weiter geleitet werden. "

kein Erfolg -kein Zugriff

habe auf der FB 2 das gleiche gemacht
Achtung: Der als "Exposed Host" angegebene Computer ist ungeschützt im Internet sichtbar und erreichbar. Für diesen Computer ist die Firewall Ihrer FRITZ!Box deaktiviert.

kein Erfolg -kein Zugriff
aqui
aqui 05.11.2014 um 19:32:02 Uhr
Goto Top
Wireshark Sniffer nehmen und den Traffik mitsniffern wer genau was wohin sendet bei IPsec.
Das bringt dir sofortige Klarheit !
C.R.S.
C.R.S. 06.11.2014 um 01:41:08 Uhr
Goto Top
Zitat von @Bastler0815:

Was macht mehr Sinn
->a) den Tunnel zu FB 1 aufbauen und Portforwarding einschalten?
->b) den Tunnel zu FB 2 aufbauen? Wenn ja was muss dann auf die FB1 eingerichtet werden, das der Tunnel durchkommt?

Das hängt davon ab, in welchem Netz ein externer Client stehen soll. a) ist einerseits sicherer, weil der Client nur in die DMZ kommt. andererseits müssen Dienste aus dem LAN dann für den Client in die DMZ freigegeben werden.

ich habe zu der FB 1 einen Tunnel aufgebaut der funktioniert

Dann erreichst du auch die WAN-Seite von FB2. Um einen Dienst im LAN zu erreichen, muss du logischerweise den auf der FB2 in die DMZ freigeben und von dort mit der WAN-IP der FB2 ansprechen (Lösung a).

Liste der Portfreigaben

auf der FB 2 zu der FB 3
VPN Port 1 UDP 500
VPN Port 2 UDP 4500
VPN Port 3 ESP
VPN Port 4 DNS 53

auf der FB 1 zu der FB 2
VPN Port 1 UDP 500
VPN Port 2 UDP 4500
VPN Port 3 ESP
VPN Port 4 DNS 53

Warum DNS? Warum IKE-Freigaben bis zur FB3? Wenn der Tunnel auf die FB2 gehen soll, reichen die eingerichteten Freigaben auf der FB1 (ohne DNS). Auf der FB2 sind dann keine Portfreigaben erforderlich. Eine Weiterleitung der VPN-Ports auf der FB2 widerspricht im Gegenteil der Verwendung durch den dort laufenden VPN-Server, exposed Host ebenso.

Grüße
Richard
Bastler0815
Bastler0815 10.11.2014 um 16:27:13 Uhr
Goto Top
Hi Richard,

Ich möchte per VPN über UMTS, WLAN über das Internet auf den Client z.B. FB3 im hinteren LAN zugreifen.

Ich nehme sehr gerne Support an, was ich auf der FB 1 und FB 2 setzen muss, wenn der VPN Tunnel bis zur VPN-Tunnel bist zur FB geht.

Den DNS kann ich löschen, waren noch versuche von Myfritz und Co.

Danke!
C.R.S.
C.R.S. 10.11.2014 um 17:17:53 Uhr
Goto Top
Wie gesagt zwei Möglichkeiten:

1) VPN-Tunnel zur FB1 - dann stehst du mit deinem VPN-Client in der DMZ. Ein Dienst des hinteren LAN könnte dann per Portfreigabe (nicht VPN-Ports, sondern die des jeweiligen Dienstes, z.B. Webserver) auf der FB2 in die DMZ freigegeben werden - wäre logischweise auch per VPN erreichbar.
Achtung: Da du auf die FB3 zugreifen willst, könnte dieser Dienst der SIP-Server der FB3 sein? Dann fällt die Lösung sowieso flach, weil eine FB (hier FB2) keine Standard-SIP-Ports weiterleiten kann (für den jeweils eigenen Server belegt)

2) Tunnel zur FB2 durch die FB1/DMZ: Das erfordert die Freigabe der Tunnelprotokolle auf der FB1 an die FB2 und keine Portfreigabe auf der FB2. Die Tunnelports sind UDP 500, UDP 4500 und ESP. Das war ja soweit schon richtig (auf der FB2).

Du kannst diese Lösung 2 ganz einfach ohne irgendwelche Freigaben ausprobieren:
a) Alle Port-Freigaben auf allen Boxen löschen.
b) Den VPN-Client in die DMZ stellen (Switch an der FB1 oder ihr WLAN).
c) Dann richtest du dort einen Tunnel zur FB2 ein.
d) Wenn der läuft, machst du auf FB1 die drei Weiterleitungen auf. Dann läuft das auch von außen.

Grüße
Richard
Bastler0815
Bastler0815 10.11.2014 aktualisiert um 20:22:06 Uhr
Goto Top
Hallo Richard, ich sage schonmal besten Dank!

Ich fasse mal zusammen

Wenn ich die Lösung 2 nehme.

a) auf FB1 und FB2 die Port-Freigaben alle löschen -> auf der FB 1 muss ich noch die Freigabe Myfritz für die FB2 drauf lassen
b) auf dem Smartphone richte ich den VPN Client zu der FB 2 ein -Die Daten stammen aus der FB2 dazu
c) auf der FB1 die UDP 500, UDP 4500 und ESP freigeben zu der FB 2
d) hatte ich schon mal alles -> ich richte aber noch mal alles neu ein!

ok-> habe ich alles so gemacht-> ich bekomme vom Smartphone den Tunnel zu der FB 2 nicht aufgebaut, ich vermute mal weil
die FB 2 meldet mir:

"MyFRITZ! Fehler: Der MyFRITZ!-Name für das Gerät fritzbox2 kann trotz erfolgreicher Aktualisierung nicht aufgelöst werden"

Weil die FB 2 kein ordentlich Zugang zu MyFritz aufbauen kann, kommt der Tunnel nicht durch..wenn ich sage MyFritz neu enrichten alles ok, ich kann auch per Web drauf zugreifen...

Gruß
C.R.S.
C.R.S. 10.11.2014 um 22:23:09 Uhr
Goto Top
Zitat von @Bastler0815:

a) auf FB1 und FB2 die Port-Freigaben alle löschen -> auf der FB 1 muss ich noch die Freigabe Myfritz für die FB2
drauf lassen

Ja, war nur Anregung, um das mal sauber aufzusetzen.

die FB 2 meldet mir:

"MyFRITZ! Fehler: Der MyFRITZ!-Name für das Gerät fritzbox2 kann trotz erfolgreicher Aktualisierung nicht
aufgelöst werden"

Dann versucht der DynDNS-Client der Fritzbox wohl immer die WAN-IP der jeweilge Box zu registrieren (sinnvoller wäre die Quell-IP der Anfrage). Das kann für die FB2 nicht funktionieren, weil deren WAN-IP in der DMZ liegt und nicht öffentlich ist. Deshalb muss MyFritz (nur) auf der FB1 eingerichtet werden, um die öffentliche IP richtig aufzulösen.
Bastler0815
Bastler0815 13.11.2014 um 22:07:31 Uhr
Goto Top
Hi Richard,

besten Dank - recht hast du!

Da die FB 2, keine echte WAN-IP hat wird es auch nicht sauber fkt...das mit dem Tunnel auf die FB 2 wird wohl so nicht gehen!

Ich hatte die FB 2, ja parallel mit einem Account für myfritz versehen, dabei kam raus

Die FB 2 hat einmal im Online Monitor

MyFRITZ! https://blahblahblahblahddd.myfritz.net:999 -> hier ist die Anzeige/LED aus -> Der Pfad steht nicht sauber

Bei Myfritz in der FB2 ist die Meldung

Ihre FRITZ!Box ist bei MyFRITZ! angemeldet

-> das liegt sicherlich damit Zusammen,das die FB2 keine echte WAN - IP hatface-sad

In Myfritz.net -> ist diese auch als eigenständige FB 2 sichtbar, aber ein Zugriff ist nicht möglich


Hier die Kurzfom von AVM -> das Problem ist der Port 80

Der Tunnel auf FB 1 geht, leider kann ich die FB 3 nicht erreichen weil der Port 80 schon belegt ist, somit komme ich nur bis zur FB 2


"Der Webserver der FRITZ!Box läuft auf dem Port 80.
Das bedeutet vereinfacht gesagt, dass bei Ihnen drei FRITZ!Boxen vorhanden sind, deren Oberflächen alle über Port 80 erreichbar wären."

die FB 1 wird von außen angesteuert-> alles ok
die FB 2 wird mittels Portfreigabe erreicht
die FB 3 ist über den Port 80 nicht erreichbar, da man zum 2ten Mal eine Portfreigabe einrichten kann

Damit habe ich jetzt versch, Möglichkeiten

Ich dampfe alles ein face-sad
Ich nutze den LAN Port 4 in der FB 1 (hier kann man leider nicht die IP Adresse selbstständig wählen) und baue FB 2 ab
ich lasse alles so, super komme nur von außen nicht mehr rein
ich überlege mir eine echte Firewall zukaufen mit einem VPN Zugang?

Über Feedback und Tipps wäre ich noch dankbar, eine kleinigkeit teste ich nochmal.

Auf diesem Wege, sage ich besten Dank für den tollen und klassen Support!

Lg
aqui
aqui 17.11.2014, aktualisiert am 18.11.2014 um 11:07:43 Uhr
Goto Top
Ich nutze den LAN Port 4 in der FB 1 (hier kann man leider nicht die IP Adresse selbstständig wählen)
Kann nicht sein und stimmt auch nicht. Was sollten denn FB User machen die statische IPs vorgegeben bekommen ?? Das ist Unsinn und kann man schon konfigurieren.
Du solltest einen anderen Router nehmen der mehr und bessere Optionen hat das VPN zu realisieren wie z.B. einen Mikrotik RB 750 oder ne kleine Firewall wie die unten genannte. Damit klappt das stressfei und problemlos.
Tutorials dazu gibt es hier zuhauf im Forum:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
usw. usw.
Bastler0815
Bastler0815 17.11.2014 um 17:56:06 Uhr
Goto Top
Hi Aqui,

ich kann nur das Deuten was bei dem LAN Port 4 steht.

Die Adresse ist grau hinterlegt und ich kann sie nicht ändern, wenn du einen Tipp hast, bin ich dir sehr dankbar!

Hier der Text von der FB mit der neusten Firmware:

IPv4-Einstellungen - Gastnetz -

Das Gastnetz der FRITZ!Box hat einen eigenen IP-Adressbereich, aus dem die FRITZ!Box den Gastgeräten die IP-Adressen vergibt. Der Adressbereich wird von der
FRITZ!Box festgelegt und ist nicht veränderbar.

Das mit den anderen Firewall muss ich mal schauen.
Thx
aqui
aqui 18.11.2014 um 11:07:13 Uhr
Goto Top
OK, das ist der Gastnetz Zugang ! Das ist eher eine sinnfreie Spielerei auf billigen Consumer Routern die sicherheitstechnisch nichts bringen.
Normal ist (wenigstens bei älteren FBs) das man das interne Modem deaktivieren kann und der WAN / Internet Port der FB dann ohne Modem auf einen Ethernet Port (LAN 1) rausgeschleift wird.
Dieser Port ist dann natürlich auch frei konfigurierbar.
Diese Gastport ist das nicht. Das ist auch nichts geroutetes, deshalb ist das bei dir auch ausgegraut.
Beschaff dir da dann lieger einen "richtigen" Router der diese Ports auch entsprechend routet. Die Gastfunktion ist unbrauchbar für dich in dem Umfeld da AVM dich da gängelt und dir eine freie Konfiguration verwehrt ! Falsches Produkt also.
C.R.S.
C.R.S. 19.11.2014 um 00:23:07 Uhr
Goto Top
Das Vorhaben funktioniert zweifellos auch mit Fritzboxen. Wenn Grundprinzipien nicht klar sind, hilft eine komplexere VPN-Firewall eher nicht weiter.

Um einen VPN-Tunnel zur FB2 aufzubauen, muss die in myfritz nicht "eigenständig" registriert sein. Es macht von außen gesehen keinen Unterschied, ob FB1 einen VPN-Server bereit stellt, oder FB2, auf den FB1 per Portweiterleitung verweist. Von außen kontaktierst du immer nur die öffentliche IP bzw. den zugehörigen DynDNS-Hostnamen, also FB1. Den Hostnamen kann prinzipiell jeder Client im Netz registrieren, aufgrund deren Beschränkungen allerdings eben keine Fritzbox hinter einem NAT-Router.

Das mit dem Port 80 der FB3 ist ja auch egal, wenn auf FB2 ein VPN-Tunnel endet.
Bastler0815
Bastler0815 21.11.2014 um 19:00:27 Uhr
Goto Top
Zitat von @c.r.s.:

Um einen VPN-Tunnel zur FB2 aufzubauen, muss die in myfritz nicht "eigenständig" registriert sein.

Hi, das geht leider nicht, (ist oben schon beschrieben), da myfritz keine echte WAN - IP bekommt.
Deshalb kann man die FB 2 auch in Myfritz sehen aber ein Zugriff ist nicht möglich.
C.R.S.
C.R.S. 21.11.2014 um 20:30:54 Uhr
Goto Top
Zitat von @Bastler0815:

Hi, das geht leider nicht, (ist oben schon beschrieben), da myfritz keine echte WAN - IP bekommt.
Deshalb kann man die FB 2 auch in Myfritz sehen aber ein Zugriff ist nicht möglich.

Ja sicher, deshalb habe ich ja (inzwischen zweimal) die Lösung dafür beschrieben: Myfritz auf FB1.

Warum richtest du das nicht mal so ein, wie oben ausführlich diskutiert: Myfritz auf FB1, VPN-Port-/Protokollweiterleitung von FB1 auf FB2, VPN-Konfiguration auf FB2.

(Vielleicht wäre es besser, statt Myfritz einen "normalen" DynDNS-Anbieter zu benutzen, denn diese Myfritz-Funktion scheint dich nur zu verwirren)

Auch mit Myfritz bekommt die FB1 aber letztlich einen DynDNS-Hostnamen nach dem Muster blablabla.myfritz.net. Wenn damit der VPN-Client konfiguriert wird, kann dein VPN-Endgerät diesen Hostnamen auf die aktuelle WAN-IP der FB1 auflösen. Der VPN-Client kontaktiert damit die FB1. Die relevanten Ports sind jedoch auf FB2 weitergeleitet, dort wartet ein VPN-Server, also wird die Verbindung aufgebaut.
Bastler0815
Bastler0815 22.11.2014 um 00:21:32 Uhr
Goto Top
Hi,

thx, die Idee hat ja was für die FB 2 einen normalen DynDNS Anbieter zu verwenden, leider brauche ich die "Hauptfritzbox=FB2" in Myfritz.

Myfritz verwirrt mich überhaupt nicht, FB 2 und Myfritz geht nicht zusammen, ist auch vom Support so bestätigt.

Myfritz & VPN -Tunnel auf die FB 2 geht nicht-> da die FB 2 keine echte WAN -IP bekommt.


Die eine oder andere gute Idee habe ich mitgenommen...
C.R.S.
C.R.S. 22.11.2014 um 00:59:38 Uhr
Goto Top
Zitat von @Bastler0815:

thx, die Idee hat ja was für die FB 2 einen normalen DynDNS Anbieter zu verwenden

Auf der FB2 funktioniert auch kein anderer DynDNS-Anbieter. Auch der wäre selbstverständlich auf FB1 einzutragen.
Ich geb's an der Stelle auf, oben steht oft genug, wie es funktioniert.
Bastler0815
Bastler0815 22.11.2014, aktualisiert am 23.11.2014 um 10:02:07 Uhr
Goto Top
Hi, besten Dank!


wir wollten eine Lösung mit Myfritz, das was du oben geschrieben hast ist Klasse!

Das haben wir auch so gemacht, statt einen normalen Anbieter DynDNS haben wir halt Myfritz genommen

Die Frage die sich stellt wo ist der Unterschied zwischen Myfritz und einen normalen DynDns -> Noip, etc..?

Ich brauche zz. eine Lösung mit Myfritz und nicht mit anderen Anbieter-> deshalb hatte ich auch oben geschrieben besten Dank für den tollen Support und auch die FM gepostet oder z,B "ich überlege mir eine echte Firewall zukaufen mit einem VPN Zugang?"


@c.r.s -> wenn es nicht geht, muss ich das Ganze Thema Myfritz nachdenken! Da gebe ich dir recht!

Hast du den 2 FB mit einem anderen DynDNS Anbieter am laufen wo dieses den so geht?

Hast jemand Erfahrungen z.B. spdns / die anderen kenne ich auch, würde aber gerne auf ein Produkt aus dem Lande nehmen.


Gruß
Bastler0815
Bastler0815 14.12.2014 um 06:49:31 Uhr
Goto Top
Hallo zusammen,

zum Abschluss:

Das vorhanden lässt sich wie wie gewünscht nicht umsetzen, ich habe dazu auch den Support von AVM kontaktiert.

Die 2 FB wie sie geschaltet sind, lässt sich das vorhaben leider nicht so realisieren, in einer andere Art und Weise .Wie Modem, etc..schon

Besten Dank an alle für den Support!