2 Fritzenboxen in einer "DMZ" - jetzt nun die Portfreigabe
Hallo zusammen,
ich habe gerade die tolle Anleitung hier gesehen zu dem Thema 2 Fritzboxen, leider kam diese zu spät
Ich habe 2 FB hintereinander geschaltet
FB 1 - IP Adresse 192.168.178.1
(Über die FRITZ!Box Wählen Sie diese Option, wenn die FRITZ!Box direkt mit Ihrem Internet-Anschluss verbunden ist.)
*
FB 2 - IP Adresse 192.168.1.1 ist ihre Eigene mit DHCP
Internetverbindung selbst aufbauen Die FRITZ!Box stellt einen eigenen IP-Adressbereich zur Verfügung. Die Firewall bleibt dabei aktiviert.
hier habe ich die IP 192.168.178.2 hinterlegt GW & DNS-Server ist die 192.168.178.1
*
soweit so gut, ich nenne dieses mal eine "mini"-DMZ
Ich möchte jetzt, z.B. die FB 2 / das LAN wie gewohnt per VPN erreichen, z.B. Smartphone oder diese in Myfritz erscheint (dieses geht z.B. wenn ich einen Account von der FB 1 hinterlege, ist dieses optimal ?)
Ich habe die Ports auf der FB 1 eingestellt leider aber ohne Erfolg...
UDP-Port 53
UDP-Port 500
UDP-Port 4500
ESP habe ich dazu genommen
zu Testzwecke habe ich auch einen Exposed Host konfiguriert (dieses möchte ich aber nicht haben)
Hat jemand noch eine tolle Idee ....
Besten Dank und Gruß
ich habe gerade die tolle Anleitung hier gesehen zu dem Thema 2 Fritzboxen, leider kam diese zu spät
Ich habe 2 FB hintereinander geschaltet
FB 1 - IP Adresse 192.168.178.1
(Über die FRITZ!Box Wählen Sie diese Option, wenn die FRITZ!Box direkt mit Ihrem Internet-Anschluss verbunden ist.)
*
FB 2 - IP Adresse 192.168.1.1 ist ihre Eigene mit DHCP
Internetverbindung selbst aufbauen Die FRITZ!Box stellt einen eigenen IP-Adressbereich zur Verfügung. Die Firewall bleibt dabei aktiviert.
hier habe ich die IP 192.168.178.2 hinterlegt GW & DNS-Server ist die 192.168.178.1
*
soweit so gut, ich nenne dieses mal eine "mini"-DMZ
Ich möchte jetzt, z.B. die FB 2 / das LAN wie gewohnt per VPN erreichen, z.B. Smartphone oder diese in Myfritz erscheint (dieses geht z.B. wenn ich einen Account von der FB 1 hinterlege, ist dieses optimal ?)
Ich habe die Ports auf der FB 1 eingestellt leider aber ohne Erfolg...
UDP-Port 53
UDP-Port 500
UDP-Port 4500
ESP habe ich dazu genommen
zu Testzwecke habe ich auch einen Exposed Host konfiguriert (dieses möchte ich aber nicht haben)
Hat jemand noch eine tolle Idee ....
Besten Dank und Gruß
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 252403
Url: https://administrator.de/forum/2-fritzenboxen-in-einer-dmz-jetzt-nun-die-portfreigabe-252403.html
Ausgedruckt am: 23.12.2024 um 06:12 Uhr
32 Kommentare
Neuester Kommentar
mit welchem VPN-protokoll?
IPSEC?
funktikoniert es mit dem exposed host?
wenn ja, sniff doch einfach m,al auf dersten fritzbox mit, was da alels durchgeht.
lks
Ist das so konfiguriert wie hier in der Alternative 2:
Kopplung von 2 Routern am DSL Port
Wenn du IPsec durchreichen musst dann sind folgende Ports weiterzuleiten:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Kopplung von 2 Routern am DSL Port
Wenn du IPsec durchreichen musst dann sind folgende Ports weiterzuleiten:
- UDP 4500 (NAT Traversal)
- UDP 500 (IKE)
- ESP Protokoll (IP Nummer 50. Achtung kein TCP oder UDP 50 ESP ist ein eigenes IP Protokoll !)
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
ich habe heute erst die Mails bekommen, lagen im SPAM Ordner
Was für Mails ??WAN-Port genommen sondern wie nach Angaben den LAN 1 Port,
Dann bist du einer der ein älteres FB Modell hat bei dem das integrierte DSL Modem im Setup deaktivierbar ist (mit neueren ist das nicht mehr möglich) und der WAN Port dann am LAN-1 Port liegt, richtig ??Folglich hast du dann doch wieder den WAN Port genommen, oder ?!? DSL Port defekt usw. bestätigt das ja dann das du den WAN Port durch Abschalten des Modems auf den LAN 1 Port umgebogen hast ?!
Sinnvoll wäre eine kurze Skizze hier damit wir wirklich verstehen wie dein Design aussieht. Für eine Funktion ist das sehr wichtig !
Am WAN Port des in der Kaskade vorgeschalteten Routers muss dann zwingend ein Port Forwarding für die IPsec Protokollkomponenten eingerichtet sein auf die LAN-1 IP der 7270 !:
UDP 500
UDP 4500
ESP Protokoll mit der IP Nummer 50
Klar das deshalb auch die 7270 hier am WAN Port eine statische IP Adresse haben sollte die NICHT im DHCP Bereich des davorliegenden Routers liegt !!
Falls die davorliegende FB auch VPN Dienste supportet musst du diese deaktivieren, denn die denkst sonst immer das eingehende IPsec Pakete für sie sind und leitet sie dann trotz Port Forwarding nicht weiter.
Nimm dir ganz einfach einen Wireshark Sniffer und prüfe wo UDP 500 und ESP geblockt werden...dort ist auch dein Problem in der Konfig der Systeme !!
die Mail das ein Beitrag gepostet wurde
Braucht man auch nicht, denn das sieht man wenn man sich hier einloggt und auf sein Icon oben klickt und "Benachrichtigungen" ansieht Der WAN-Port ist defekt an der 7270, da gab es die andere noch nicht -> Der WAN Port an der FB 7270 ist defekt und wird nicht genutzt.
Ist das ein deutscher Satz ?? Sorry, aber den Kauderwelsch versteht keiner ??In älteren FBs hat man im Setup die Möglichkeit das interne DSL Modem zu deaktivieren. Der WAN Port des Routers wird dann stattdessen intern umgeleitet und auf ein vorhandenes Ethernet Breitband Interface dem LAN-1 Port ausgegeben.
Das hat man damals gemacht damit Kabel TV Kunden dort ihr Kabel TV Modem anzuschliessen wenn sie von DSL auf Kabel wechseln und sich nicht extra einen neuen Breitband Router dafür kaufen wollen.
Vermutlich hast du im Setup der FB 7270 dies gemacht, richtig ??
Guckst du hier dazu:
http://avm.de/nc/service/fritzbox/fritzbox-7270/wissensdatenbank/public ...
Zitat von @aqui:
Am WAN Port des in der Kaskade vorgeschalteten Routers muss dann zwingend ein Port Forwarding für die IPsec
Protokollkomponenten eingerichtet sein auf die LAN-1 IP der 7270 !:
UDP 500
UDP 4500
ESP Protokoll mit der IP Nummer 50
Am WAN Port des in der Kaskade vorgeschalteten Routers muss dann zwingend ein Port Forwarding für die IPsec
Protokollkomponenten eingerichtet sein auf die LAN-1 IP der 7270 !:
UDP 500
UDP 4500
ESP Protokoll mit der IP Nummer 50
Das ist aber die Lösung für die Alternative eines Tunnels zur (hinteren) FB2. Wie oben heraus zu lesen, baut er den Tunnel zur FB1 auf, müsste also die Dienste im LAN, die aus DMZ/VPN erreicht werden sollen, per Forwarding auf der FB2 zur Verfügung stellen.
Das ist aber die Lösung für die Alternative eines Tunnels zur (hinteren) FB2. Wie oben heraus zu lesen, baut er den Tunnel zur FB1 auf,
OK, da hast du dann natürlich Recht. Dann brauchst du natürlich KEIN Portforwarding für diese VPN Ports...klar !Annahme war hier das der VPN Tunnel aus dem Internet käme und durch FB1 auf den FB2 terminiert werden sollte...war aber dann wohl falsch, sorry ?!
Allerdings: Was soll denn ein VPN Tunnel direkt zw. den beiden direkt gekoppelten FBs 1 und 2 bewirken ? Das ist doch eigentlich Unsinn.
Zitat von @Bastler0815:
Was macht mehr Sinn
->a) den Tunnel zu FB 1 aufbauen und Portforwarding einschalten?
->b) den Tunnel zu FB 2 aufbauen? Wenn ja was muss dann auf die FB1 eingerichtet werden, das der Tunnel durchkommt?
Was macht mehr Sinn
->a) den Tunnel zu FB 1 aufbauen und Portforwarding einschalten?
->b) den Tunnel zu FB 2 aufbauen? Wenn ja was muss dann auf die FB1 eingerichtet werden, das der Tunnel durchkommt?
Einen ordentichen VPN-Router (z.B. von Cisco, Draytek oder Lancom) kaufen und dahonert alles hänge.
Wenn die FB1 VPn durchlassen soll, muß dort alles was anch VPN aussieht deaktiviert werden, damit sich nciht die FB1 die VPN-Pakete krallt.
lks
Zitat von @Bastler0815:
Was macht mehr Sinn
->a) den Tunnel zu FB 1 aufbauen und Portforwarding einschalten?
->b) den Tunnel zu FB 2 aufbauen? Wenn ja was muss dann auf die FB1 eingerichtet werden, das der Tunnel durchkommt?
Was macht mehr Sinn
->a) den Tunnel zu FB 1 aufbauen und Portforwarding einschalten?
->b) den Tunnel zu FB 2 aufbauen? Wenn ja was muss dann auf die FB1 eingerichtet werden, das der Tunnel durchkommt?
Das hängt davon ab, in welchem Netz ein externer Client stehen soll. a) ist einerseits sicherer, weil der Client nur in die DMZ kommt. andererseits müssen Dienste aus dem LAN dann für den Client in die DMZ freigegeben werden.
ich habe zu der FB 1 einen Tunnel aufgebaut der funktioniert
Dann erreichst du auch die WAN-Seite von FB2. Um einen Dienst im LAN zu erreichen, muss du logischerweise den auf der FB2 in die DMZ freigeben und von dort mit der WAN-IP der FB2 ansprechen (Lösung a).
Liste der Portfreigaben
auf der FB 2 zu der FB 3
VPN Port 1 UDP 500
VPN Port 2 UDP 4500
VPN Port 3 ESP
VPN Port 4 DNS 53
auf der FB 1 zu der FB 2
VPN Port 1 UDP 500
VPN Port 2 UDP 4500
VPN Port 3 ESP
VPN Port 4 DNS 53
auf der FB 2 zu der FB 3
VPN Port 1 UDP 500
VPN Port 2 UDP 4500
VPN Port 3 ESP
VPN Port 4 DNS 53
auf der FB 1 zu der FB 2
VPN Port 1 UDP 500
VPN Port 2 UDP 4500
VPN Port 3 ESP
VPN Port 4 DNS 53
Warum DNS? Warum IKE-Freigaben bis zur FB3? Wenn der Tunnel auf die FB2 gehen soll, reichen die eingerichteten Freigaben auf der FB1 (ohne DNS). Auf der FB2 sind dann keine Portfreigaben erforderlich. Eine Weiterleitung der VPN-Ports auf der FB2 widerspricht im Gegenteil der Verwendung durch den dort laufenden VPN-Server, exposed Host ebenso.
Grüße
Richard
Wie gesagt zwei Möglichkeiten:
1) VPN-Tunnel zur FB1 - dann stehst du mit deinem VPN-Client in der DMZ. Ein Dienst des hinteren LAN könnte dann per Portfreigabe (nicht VPN-Ports, sondern die des jeweiligen Dienstes, z.B. Webserver) auf der FB2 in die DMZ freigegeben werden - wäre logischweise auch per VPN erreichbar.
Achtung: Da du auf die FB3 zugreifen willst, könnte dieser Dienst der SIP-Server der FB3 sein? Dann fällt die Lösung sowieso flach, weil eine FB (hier FB2) keine Standard-SIP-Ports weiterleiten kann (für den jeweils eigenen Server belegt)
2) Tunnel zur FB2 durch die FB1/DMZ: Das erfordert die Freigabe der Tunnelprotokolle auf der FB1 an die FB2 und keine Portfreigabe auf der FB2. Die Tunnelports sind UDP 500, UDP 4500 und ESP. Das war ja soweit schon richtig (auf der FB2).
Du kannst diese Lösung 2 ganz einfach ohne irgendwelche Freigaben ausprobieren:
a) Alle Port-Freigaben auf allen Boxen löschen.
b) Den VPN-Client in die DMZ stellen (Switch an der FB1 oder ihr WLAN).
c) Dann richtest du dort einen Tunnel zur FB2 ein.
d) Wenn der läuft, machst du auf FB1 die drei Weiterleitungen auf. Dann läuft das auch von außen.
Grüße
Richard
1) VPN-Tunnel zur FB1 - dann stehst du mit deinem VPN-Client in der DMZ. Ein Dienst des hinteren LAN könnte dann per Portfreigabe (nicht VPN-Ports, sondern die des jeweiligen Dienstes, z.B. Webserver) auf der FB2 in die DMZ freigegeben werden - wäre logischweise auch per VPN erreichbar.
Achtung: Da du auf die FB3 zugreifen willst, könnte dieser Dienst der SIP-Server der FB3 sein? Dann fällt die Lösung sowieso flach, weil eine FB (hier FB2) keine Standard-SIP-Ports weiterleiten kann (für den jeweils eigenen Server belegt)
2) Tunnel zur FB2 durch die FB1/DMZ: Das erfordert die Freigabe der Tunnelprotokolle auf der FB1 an die FB2 und keine Portfreigabe auf der FB2. Die Tunnelports sind UDP 500, UDP 4500 und ESP. Das war ja soweit schon richtig (auf der FB2).
Du kannst diese Lösung 2 ganz einfach ohne irgendwelche Freigaben ausprobieren:
a) Alle Port-Freigaben auf allen Boxen löschen.
b) Den VPN-Client in die DMZ stellen (Switch an der FB1 oder ihr WLAN).
c) Dann richtest du dort einen Tunnel zur FB2 ein.
d) Wenn der läuft, machst du auf FB1 die drei Weiterleitungen auf. Dann läuft das auch von außen.
Grüße
Richard
Zitat von @Bastler0815:
a) auf FB1 und FB2 die Port-Freigaben alle löschen -> auf der FB 1 muss ich noch die Freigabe Myfritz für die FB2
drauf lassen
a) auf FB1 und FB2 die Port-Freigaben alle löschen -> auf der FB 1 muss ich noch die Freigabe Myfritz für die FB2
drauf lassen
Ja, war nur Anregung, um das mal sauber aufzusetzen.
die FB 2 meldet mir:
"MyFRITZ! Fehler: Der MyFRITZ!-Name für das Gerät fritzbox2 kann trotz erfolgreicher Aktualisierung nicht
aufgelöst werden"
"MyFRITZ! Fehler: Der MyFRITZ!-Name für das Gerät fritzbox2 kann trotz erfolgreicher Aktualisierung nicht
aufgelöst werden"
Dann versucht der DynDNS-Client der Fritzbox wohl immer die WAN-IP der jeweilge Box zu registrieren (sinnvoller wäre die Quell-IP der Anfrage). Das kann für die FB2 nicht funktionieren, weil deren WAN-IP in der DMZ liegt und nicht öffentlich ist. Deshalb muss MyFritz (nur) auf der FB1 eingerichtet werden, um die öffentliche IP richtig aufzulösen.
Ich nutze den LAN Port 4 in der FB 1 (hier kann man leider nicht die IP Adresse selbstständig wählen)
Kann nicht sein und stimmt auch nicht. Was sollten denn FB User machen die statische IPs vorgegeben bekommen ?? Das ist Unsinn und kann man schon konfigurieren.Du solltest einen anderen Router nehmen der mehr und bessere Optionen hat das VPN zu realisieren wie z.B. einen Mikrotik RB 750 oder ne kleine Firewall wie die unten genannte. Damit klappt das stressfei und problemlos.
Tutorials dazu gibt es hier zuhauf im Forum:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
usw. usw.
OK, das ist der Gastnetz Zugang ! Das ist eher eine sinnfreie Spielerei auf billigen Consumer Routern die sicherheitstechnisch nichts bringen.
Normal ist (wenigstens bei älteren FBs) das man das interne Modem deaktivieren kann und der WAN / Internet Port der FB dann ohne Modem auf einen Ethernet Port (LAN 1) rausgeschleift wird.
Dieser Port ist dann natürlich auch frei konfigurierbar.
Diese Gastport ist das nicht. Das ist auch nichts geroutetes, deshalb ist das bei dir auch ausgegraut.
Beschaff dir da dann lieger einen "richtigen" Router der diese Ports auch entsprechend routet. Die Gastfunktion ist unbrauchbar für dich in dem Umfeld da AVM dich da gängelt und dir eine freie Konfiguration verwehrt ! Falsches Produkt also.
Normal ist (wenigstens bei älteren FBs) das man das interne Modem deaktivieren kann und der WAN / Internet Port der FB dann ohne Modem auf einen Ethernet Port (LAN 1) rausgeschleift wird.
Dieser Port ist dann natürlich auch frei konfigurierbar.
Diese Gastport ist das nicht. Das ist auch nichts geroutetes, deshalb ist das bei dir auch ausgegraut.
Beschaff dir da dann lieger einen "richtigen" Router der diese Ports auch entsprechend routet. Die Gastfunktion ist unbrauchbar für dich in dem Umfeld da AVM dich da gängelt und dir eine freie Konfiguration verwehrt ! Falsches Produkt also.
Das Vorhaben funktioniert zweifellos auch mit Fritzboxen. Wenn Grundprinzipien nicht klar sind, hilft eine komplexere VPN-Firewall eher nicht weiter.
Um einen VPN-Tunnel zur FB2 aufzubauen, muss die in myfritz nicht "eigenständig" registriert sein. Es macht von außen gesehen keinen Unterschied, ob FB1 einen VPN-Server bereit stellt, oder FB2, auf den FB1 per Portweiterleitung verweist. Von außen kontaktierst du immer nur die öffentliche IP bzw. den zugehörigen DynDNS-Hostnamen, also FB1. Den Hostnamen kann prinzipiell jeder Client im Netz registrieren, aufgrund deren Beschränkungen allerdings eben keine Fritzbox hinter einem NAT-Router.
Das mit dem Port 80 der FB3 ist ja auch egal, wenn auf FB2 ein VPN-Tunnel endet.
Um einen VPN-Tunnel zur FB2 aufzubauen, muss die in myfritz nicht "eigenständig" registriert sein. Es macht von außen gesehen keinen Unterschied, ob FB1 einen VPN-Server bereit stellt, oder FB2, auf den FB1 per Portweiterleitung verweist. Von außen kontaktierst du immer nur die öffentliche IP bzw. den zugehörigen DynDNS-Hostnamen, also FB1. Den Hostnamen kann prinzipiell jeder Client im Netz registrieren, aufgrund deren Beschränkungen allerdings eben keine Fritzbox hinter einem NAT-Router.
Das mit dem Port 80 der FB3 ist ja auch egal, wenn auf FB2 ein VPN-Tunnel endet.
Zitat von @Bastler0815:
Hi, das geht leider nicht, (ist oben schon beschrieben), da myfritz keine echte WAN - IP bekommt.
Deshalb kann man die FB 2 auch in Myfritz sehen aber ein Zugriff ist nicht möglich.
Hi, das geht leider nicht, (ist oben schon beschrieben), da myfritz keine echte WAN - IP bekommt.
Deshalb kann man die FB 2 auch in Myfritz sehen aber ein Zugriff ist nicht möglich.
Ja sicher, deshalb habe ich ja (inzwischen zweimal) die Lösung dafür beschrieben: Myfritz auf FB1.
Warum richtest du das nicht mal so ein, wie oben ausführlich diskutiert: Myfritz auf FB1, VPN-Port-/Protokollweiterleitung von FB1 auf FB2, VPN-Konfiguration auf FB2.
(Vielleicht wäre es besser, statt Myfritz einen "normalen" DynDNS-Anbieter zu benutzen, denn diese Myfritz-Funktion scheint dich nur zu verwirren)
Auch mit Myfritz bekommt die FB1 aber letztlich einen DynDNS-Hostnamen nach dem Muster blablabla.myfritz.net. Wenn damit der VPN-Client konfiguriert wird, kann dein VPN-Endgerät diesen Hostnamen auf die aktuelle WAN-IP der FB1 auflösen. Der VPN-Client kontaktiert damit die FB1. Die relevanten Ports sind jedoch auf FB2 weitergeleitet, dort wartet ein VPN-Server, also wird die Verbindung aufgebaut.
Zitat von @Bastler0815:
thx, die Idee hat ja was für die FB 2 einen normalen DynDNS Anbieter zu verwenden
thx, die Idee hat ja was für die FB 2 einen normalen DynDNS Anbieter zu verwenden
Auf der FB2 funktioniert auch kein anderer DynDNS-Anbieter. Auch der wäre selbstverständlich auf FB1 einzutragen.
Ich geb's an der Stelle auf, oben steht oft genug, wie es funktioniert.