3 Fritzboxen per VPN

Mitglied: sonystar

sonystar (Level 1) - Jetzt verbinden

10.01.2021 um 15:52 Uhr, 488 Aufrufe, 8 Kommentare

Hallo,

ich habe 3 Fritzboxen an unterschiedlichen Standorten laufen:
Box 1: Adressbereich 192.168.10.x
Box 2: Adressbereich 192.168.20.x
Box 3: Adressbereich 192.168.30.x
An jedem Standort läuft ein DynDNS Dienst, der die jeweils "richtige IP" übermittelt.

Über das Programm "Fritz Fernzugang einrichten" habe ich alle 3 Boxen über VPN verbunden. Die Boxen pingen sich alle untereinander zyklisch an, damit das ganze Konstrukt aufrechterhalten wird. Box 2 hatte von Anfang an schon eine Carrier-Grade-NAT IP bekommmen. Das war auch bisher nicht weiter schlimm, da die anderen beiden Boxen immer eine "richtige" IP bekommen haben. Wenn die sich einmal gefunden hatten lief das ganze.

Nun aber zum Problem: Plötzlich hat Box 3 auch eine Carrier-Grade-NAT bekommen und damit finden sich Box 3 und Box 2 nicht mehr.

Meine Frage nun, ist es möglich von Box 3 über Box 1 auf Box 2 zugreifen zu können? Wenn ja, wie und wo muss ich was konfigurieren? Habe schon probiert an Box 1 eine statische IP-Route festzulegen. Aber das geht natürlich nicht.

Vielen Dank für eure Hilfe.
MfG Henry
Mitglied: Ad39min
10.01.2021 um 16:32 Uhr
Zitat von sonystar:

Hallo,

ich habe 3 Fritzboxen an unterschiedlichen Standorten laufen:
Box 1: Adressbereich 192.168.10.x
Box 2: Adressbereich 192.168.20.x
Box 3: Adressbereich 192.168.30.x
An jedem Standort läuft ein DynDNS Dienst, der die jeweils "richtige IP" übermittelt.

Über das Programm "Fritz Fernzugang einrichten" habe ich alle 3 Boxen über VPN verbunden. Die Boxen pingen sich alle untereinander zyklisch an, damit das ganze Konstrukt aufrechterhalten wird. Box 2 hatte von Anfang an schon eine Carrier-Grade-NAT IP bekommmen. Das war auch bisher nicht weiter schlimm, da die anderen beiden Boxen immer eine "richtige" IP bekommen haben. Wenn die sich einmal gefunden hatten lief das ganze.

Nun aber zum Problem: Plötzlich hat Box 3 auch eine Carrier-Grade-NAT bekommen und damit finden sich Box 3 und Box 2 nicht mehr.

Meine Frage nun, ist es möglich von Box 3 über Box 1 auf Box 2 zugreifen zu können? Wenn ja, wie und wo muss ich was konfigurieren? Habe schon probiert an Box 1 eine statische IP-Route festzulegen. Aber das geht natürlich nicht.

Du musst die statische Route auch nicht auf Box 1 festlegen sondern auf Box 2 und 3. Box 1 kennt die beiden anderen Netze ja bereits.

Soll heißen:

auf Box 2 Route 192.168.30.0/24 Gateway IP von Box 1
auf Box 3 Route 192.168.20.0/24 Gateway IP von Box 1


Vielen Dank für eure Hilfe.
MfG Henry

Gruß
Alex
Bitte warten ..
Mitglied: sonystar
10.01.2021 um 16:46 Uhr
Hallo Alex,

danke für deine Hilfe.
Leider funktioniert das nicht. "Route ist nicht zulässig" Möglicherweise weil das Gateway außerhalb des IP-Bereiches der jeweiligen Box ist?
Bitte warten ..
Mitglied: aqui
10.01.2021 um 16:50 Uhr
Box 2 und 3 dürfen nur noch IPsec Initiator sein und einzig Box 1 der Responder. Dann klappt das wieder ;-) face-wink
Bitte warten ..
Mitglied: sonystar
10.01.2021 um 16:56 Uhr
Ja das habe ich auch schon festgestellt. Wenn ich mich an Box 1 übers Mobiltelefon einwähle kommen ich an alle 3 Boxen. Aber ich stehe auf dem schlauch wie ich Box 2 und Box 3 per IPsec an Box 1 bringe.
Bitte warten ..
Mitglied: Dr.Bit
11.01.2021 um 10:35 Uhr
Indem Du Fritz Fernzugang erneut bemühst und alles neu einrichtest.

🖖
Bitte warten ..
Mitglied: sonystar
11.01.2021 um 16:32 Uhr
Wo kann ich denn da die Konfiguration für IPSec vornehmen? Mehr als die DynDNS und die IP kann ich doch da nicht angeben?
Bitte warten ..
Mitglied: aqui
11.01.2021 um 17:40 Uhr
Wenn man Finetunen will muss man über die Export Funktion die FirtzBox Konfig exportieren. Die Datei ist dann eine simpkle XML Textdatei die man entsprechend anpassen kann und über das AVM Fernzugangs Tool dann wieder auf die Box zurückspielen kann.
So oder so ist die FB ja immer Initiator im Default. Sprich die beiden DS-Lite Boxen 2 und 3 bauen die Verbindung initial auf und die Box 4 erkennt selbständig das es über NAT Traversal Port UDP 4500 geht.
Das VPN Design kann und muss also immer sternförmig sein. Box 2 und 3 müssen als Sertn auf 1 gehen. Anders kann es ja nicht mehr gehen, denn 2 und 3 können untereinander niemals mehr eine direkte VPN Verbindung aufbauen dadurch das du DS-Lite Opfer da bist.
Bitte warten ..
Mitglied: sonystar
11.01.2021 um 17:59 Uhr
Das heißt ausschließlich an Box 2 und Box 3 eine Verbindung zu Box 1 konfigurieren? Box 1 bleibt unkonfiguriert?
Bitte warten ..
Heiß diskutierte Inhalte
Wünsch Dir was
Das ist ja nicht auszuhalten, dass ich für jeden googlen soll
NordicMikeVor 15 StundenAllgemeinWünsch Dir was22 Kommentare

Ich beantrage, dass bei jeder Beitragserstellung eine Checkbox angeklickt werden muss, mit dem Text: Ja, ich habe bereits danach gegoogelt. Ansonsten soll der "Senden" ...

Rechtliche Fragen
Adobe Flash erneut aktivieren, IT-Sicherheit + Datenschutz
anteNopeVor 1 TagFrageRechtliche Fragen14 Kommentare

Hallo zusammen, ich weiß es ist noch nicht Freitag aber mir ist hier gerade die Kinnlade bis in den Keller gefallen. Opel (ja der ...

Windows 10
Wie kann ich mehrere PCs gleich aufsetzten (mit User)
dressaVor 1 TagFrageWindows 1010 Kommentare

Hallo miteinander. Wie kann ich mehrere PCs (über 200) gleich aufsetzten. Ich habe etwa 4 Modele die sich nur von der Baugeneration unterscheiden. Also ...

Flatrates
Mobilfunktarife für die Firma (günstig)
gelöst ingo1988Vor 1 TagFrageFlatrates13 Kommentare

Hallo, kann mir jemand weiterhelfen im Bezug auf Mobilfunktarife für Unternehmen? Ich suche nämlich günstige Angebote im Telekom oder Vodafone Netz, ähnlich wie Lidl ...

Microsoft
Wie verteilt Ihr Software im AD auf die Clients? GPO?
Der-PhilVor 1 TagFrageMicrosoft14 Kommentare

Hallo! Die Kernfrage steht eigentlich schon im Titel: Wie verteilt ihr Software und haltet sie aktuell auf den Clients? Bislang mache ich das alles ...

Hardware
Homelab - Gebrauchte Server Hardware?
gelöst kernl33Vor 17 StundenFrageHardware16 Kommentare

Hallo zusammen, ich plane mir für mein Homelab einen 19 Zoll Server (2-4HE) anzulegen, es soll ein Hypervisor mit diversen VMs laufen. Hier zu ...

Cloud-Dienste
Server über zwei WAN Leitungen mit Load Balancing verfügbar machen
tobitobsnVor 1 TagFrageCloud-Dienste13 Kommentare

Moin zusammen, ich plane, einen Server im WAN über zwei Leitungen (Kabel und DSL) zwecks Ausfallsicherheit und Load Balancing verfügbar zu machen. Es sind ...

Festplatten, SSD, Raid
SATA Treiber für HP
ben1300Vor 10 StundenFrageFestplatten, SSD, Raid15 Kommentare

Hallo zusammen, ich habe einen PC von HP (Seriennummer: CZC3475D5D) Wollte hier Windows 7 Prof. installieren - es fehlt der SATA Treiber Leider kann ...