ARCHER C7 als Open VPN-Server im Netwerk einer Fritzbox 6490
Guten Tag,
ich habe bei UnityMedia eine Fritzbox 6490, die die Verbindung zur WAN-Seite herstellt.
Einen VPN-Zugriff realisiere über Screwsoft -VPN. Dieses hat mir in Verbindung mit Citrix-Client öfters die Adaptereinstellung auf meinen externen Windows-10-Client PCs zerschossen.
Deshalb möchte ich auf Open-VPN wechseln. Bekannterweise läuft die aber nicht direkt auf der Fritzbox.
Im Netz der Fritzbox verwende ich derzeit je Stockwerk dieTP-Link Archer C7 -Router im AP-Betrieb für WLAN und angeschlossene USB.Festplatte als NAS.
Der Archer C7 kann ja als Open-VPN-Server fungieren (So setze ich eine weiteren C7 in meinem Außenbüro) ein.)
Frage:
Kann eine ARCHER C7 auch "hinter " einer Fritzbox aos VPN-Server fungieren; also mir von außen Zugriff auf alle (freigegebenen) Home-Netz-Ressource per VPN ermöglichen?
Wie kann ich dies auf Fritzbox und ARCHER C7 konfigurieren?
Ich bedanke mich sehr für entsprechende Anleitungen bzw. Links auf solche (die ich bislang durch googlen nicht finden konnte)
Beste Grüße
Thomas
ich habe bei UnityMedia eine Fritzbox 6490, die die Verbindung zur WAN-Seite herstellt.
Einen VPN-Zugriff realisiere über Screwsoft -VPN. Dieses hat mir in Verbindung mit Citrix-Client öfters die Adaptereinstellung auf meinen externen Windows-10-Client PCs zerschossen.
Deshalb möchte ich auf Open-VPN wechseln. Bekannterweise läuft die aber nicht direkt auf der Fritzbox.
Im Netz der Fritzbox verwende ich derzeit je Stockwerk dieTP-Link Archer C7 -Router im AP-Betrieb für WLAN und angeschlossene USB.Festplatte als NAS.
Der Archer C7 kann ja als Open-VPN-Server fungieren (So setze ich eine weiteren C7 in meinem Außenbüro) ein.)
Frage:
Kann eine ARCHER C7 auch "hinter " einer Fritzbox aos VPN-Server fungieren; also mir von außen Zugriff auf alle (freigegebenen) Home-Netz-Ressource per VPN ermöglichen?
Wie kann ich dies auf Fritzbox und ARCHER C7 konfigurieren?
Ich bedanke mich sehr für entsprechende Anleitungen bzw. Links auf solche (die ich bislang durch googlen nicht finden konnte)
Beste Grüße
Thomas
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 507204
Url: https://administrator.de/forum/archer-c7-als-open-vpn-server-im-netwerk-einer-fritzbox-6490-507204.html
Ausgedruckt am: 14.05.2025 um 18:05 Uhr
14 Kommentare
Neuester Kommentar
Zitat von @thburkhart:
Wie kann ich dies auf Fritzbox und ARCHER C7 konfigurieren?
Ich bedanke mich sehr für entsprechende Anleitungen bzw. Links auf solche (die ich bislang durch googlen nicht finden konnte)
Moin,Wie kann ich dies auf Fritzbox und ARCHER C7 konfigurieren?
Ich bedanke mich sehr für entsprechende Anleitungen bzw. Links auf solche (die ich bislang durch googlen nicht finden konnte)
Einfach den entsprechenden Port, i.d.R TCP 1194, auf den Archer weiterleiten.
Google liefert das als ersten treffer, wenn man nach openvpn port fragt.
Was genau ist Dein Problem?
lks
danke für den Hinweis, dass das prinzipiell geht
die Portweiterleitung an die lokale Adresse des ARchers habe ich wohl geschafft.
Der Archer möchte neben dem Port nun ein VPN Subnetz(Maske), die wohl statisch sein muss.
Wie kriege ich das mit MyFritz etc. hin?
Beste Grüße
Thomas
die Portweiterleitung an die lokale Adresse des ARchers habe ich wohl geschafft.
Der Archer möchte neben dem Port nun ein VPN Subnetz(Maske), die wohl statisch sein muss.
Wie kriege ich das mit MyFritz etc. hin?
Beste Grüße
Thomas
Hallo.
Du musst dem ganzen Kind ja einen Namen geben, also dem Netzwerk, in welchem sich die VPN User bewegen.
Bei der Fritzbox ist das voreingestellt, wenn ich mich recht erinnere. Du musst quasi ein Netzwerk vorgeben aus welchen dann die VPN User eine IP Adresse bekommen.
Beispielsweise: 10.145.146.0/24 oder 172.16.32.0/24
Ich kenne jetzt den TP-Link nicht, aber generell ist es bei den OPNVPN Servern zwingend erforderlich ein eigenes Netzwerk anzugeben.
Im OPNVPN Server musst Du wahrscheinlich auch noch schauen, dass Du konfigurierst welche Netzwerke die VPN User erreichen dürfen.
Hier ein Link zur TP-Link Website:
https://www.tp-link.com/us/user-guides/Archer-C7/chapter-12-vpn-server#u ...
Gruß
Radiogugu
Du musst dem ganzen Kind ja einen Namen geben, also dem Netzwerk, in welchem sich die VPN User bewegen.
Bei der Fritzbox ist das voreingestellt, wenn ich mich recht erinnere. Du musst quasi ein Netzwerk vorgeben aus welchen dann die VPN User eine IP Adresse bekommen.
Beispielsweise: 10.145.146.0/24 oder 172.16.32.0/24
Ich kenne jetzt den TP-Link nicht, aber generell ist es bei den OPNVPN Servern zwingend erforderlich ein eigenes Netzwerk anzugeben.
Im OPNVPN Server musst Du wahrscheinlich auch noch schauen, dass Du konfigurierst welche Netzwerke die VPN User erreichen dürfen.
Hier ein Link zur TP-Link Website:
https://www.tp-link.com/us/user-guides/Archer-C7/chapter-12-vpn-server#u ...
Gruß
Radiogugu
Zitat von @thburkhart:
danke für den Hinweis, dass das prinzipiell geht
die Portweiterleitung an die lokale Adresse des ARchers habe ich wohl geschafft.
Der Archer möchte neben dem Port nun ein VPN Subnetz(Maske), die wohl statisch sein muss.
danke für den Hinweis, dass das prinzipiell geht
die Portweiterleitung an die lokale Adresse des ARchers habe ich wohl geschafft.
Der Archer möchte neben dem Port nun ein VPN Subnetz(Maske), die wohl statisch sein muss.
Dann guckst Du Dir halt ein Netzwerk aus, daß Du für VPN verwenden willst.
Wie kriege ich das mit MyFritz etc. hin?
Mit Myfritz definierst Du nur einen Namen der auf die dynamische IP-Adresse der Fritzbox aufgelöst wird. Das ist der HostName Deines VPN-Servers, den Du im Client angibst. Durch die Porteeiterleitung landest Du dann im Archer.
lks
vielen Dank --ich komme langsam weiter
In der Fritzbox leite ich den Port 1194 an die lokale IP des Archer weiter:
Freigaben für 192.168.9.10
Status
Bezeichnung
Protokoll
IP-Adresse im Internet
Port extern vergeben
OPENVPN
UDP
134.3.57.147
1701
OPENVPN
UDP
134.3.57.147
61000
OPENVPN
UDP
134.3.57.147
61001
OPENVPN
UDP
134.3.57.147
1194
Die Fritzbox ist über xxxxxx.dyndnss.net erreichbar (zumindest kann ich das anpingen)
Das OpenVPN Configfile beginnt so:
client
dev tun
proto udp
float
nobind
cipher AES-128-CBC
comp-lzo adaptive
resolv-retry infinite
persist-key
persist-tun
remote xxxxxx.dyndnss.net 1194
<ca>
die Open VPN Android App kann mit diesen Einstellungen den Server wohl finden verbindet aber nicht.
was mache ich falsch?
Beste Grüße
Thomas
In der Fritzbox leite ich den Port 1194 an die lokale IP des Archer weiter:
Freigaben für 192.168.9.10
Status
Bezeichnung
Protokoll
IP-Adresse im Internet
Port extern vergeben
OPENVPN
UDP
134.3.57.147
1701
OPENVPN
UDP
134.3.57.147
61000
OPENVPN
UDP
134.3.57.147
61001
OPENVPN
UDP
134.3.57.147
1194
Die Fritzbox ist über xxxxxx.dyndnss.net erreichbar (zumindest kann ich das anpingen)
Das OpenVPN Configfile beginnt so:
client
dev tun
proto udp
float
nobind
cipher AES-128-CBC
comp-lzo adaptive
resolv-retry infinite
persist-key
persist-tun
remote xxxxxx.dyndnss.net 1194
<ca>
die Open VPN Android App kann mit diesen Einstellungen den Server wohl finden verbindet aber nicht.
was mache ich falsch?
Beste Grüße
Thomas
TCP 1194 auch forwarden?
In der Fritte mitsnfiffen welche Pakete durchgehen.
Ist das Android im WLAN der Fritte? Dann ist es hairpin-NAT.
lks
die Fritzbox lässt ein paralleles Forwarden TCP und UDP wohl nicht zu.
Im ARCHER ist UDP gesetzt
Android ist im mobile Net
auch mit der derzeitigen WAN IP also nich dyndns geht es auch nicht
thb
Im ARCHER ist UDP gesetzt
Android ist im mobile Net
auch mit der derzeitigen WAN IP also nich dyndns geht es auch nicht
thb
Geht. Du mußt zwei Regeln dagür anlegen.
Im ARCHER ist UDP gesetzt
Android ist im mobile Net
auch mit der derzeitigen WAN IP also nich dyndns geht es auch nicht
Android ist im mobile Net
auch mit der derzeitigen WAN IP also nich dyndns geht es auch nicht
Stimmt diese denn?
was sagt das snifferprotokoll von der Fritzbox?
Was sagen die Logs des Archer?
lks
Zitat von @Lochkartenstanzer:
Geht. Du mußt zwei Regeln dagür anlegen.
das habe ich gemacht; die TCP wird nicht aktiv
Geht. Du mußt zwei Regeln dagür anlegen.
das habe ich gemacht; die TCP wird nicht aktiv
Im ARCHER ist UDP gesetzt
Android ist im mobile Net
auch mit der derzeitigen WAN IP also nich dyndns geht es auch nicht
Android ist im mobile Net
auch mit der derzeitigen WAN IP also nich dyndns geht es auch nicht
Stimmt diese denn?
was sagt das snifferprotokoll von der Fritzbox?
22.10.19
11:36:20
Internetverbindung wurde erfolgreich hergestellt. IP-Adresse: 134.3.57.147, DNS-Server: 80.69.96.12 und 81.210.129.4, Gateway: 134.3.56.1
22.10.19
11:36:03
Internetverbindung wurde getrennt.
22.10.19
11:35:17
Anmeldung des Benutzers thb an der FRITZ!Box-Benutzeroberfläche von IP-Adresse 192.168.9.103.
22.10.19
11:35:09
Die Systemzeit wurde erfolgreich aktualisiert von Zeitserver 195.113.20.2.
22.10.19
11:35:06
Internetverbindung wurde erfolgreich hergestellt. IP-Adresse: 134.3.57.147, DNS-Server: 80.69.96.12 und 81.210.129.4, Gateway: 134.3.56.1
22.10.19
11:34:56
Der USB-Speicher THB_EX13_U_2800 wurde eingebunden.
22.10.19
11:34:54
Kabel-Internet ist verfügbar.
22.10.19
11:34:35
USB-Gerät 2002, Klasse 'USB 2.1 (hi-speed) storage', angesteckt
22.10.19
11:34:33
Kabel-Internet Synchronisierung beginnt (Training).
diese IP steht auch im aktuellen File
Was sagen die Logs des Archer?
da kommt wohl nicht an
lks
Kann eine ARCHER C7 auch "hinter " einer Fritzbox aos VPN-Server fungieren
Ja, das klappt problemlos. Allerdings musst du darauf achten bei der FritzBox dann eine statische Route ins interne OpenVPN IP Netz einzutragen.Diese Skizze erklärt wie es geht:
Eine preiswerte Alternative ist auch:
https://www.amazon.de/GL-iNet-GL-MT300N-V2-Repeater-Performance-Compatib ...
Oder auch ein Raspberry Pi als OVPN Server.
die statische Route hatte ich nicht
meine Konstellation ist nun Folgende:
(1) FritzBox 6490 stellt Internetverbindung her und ist DHCPServer
default gateway 192.168.9.1
255.255.255.0
port 1194 wird an 2) weitergeleitet 192.168.9.10
statische IPV4 Route:
IPV4-Netzwerk 10.8.0.0
Maske 255.255.255.0
Gateway 192.168.9.10 oder muss das 192.168.9.1 sein ?
(2) ARCHER C7 192.168.9.10 feste IP
VPN Server: VPN Subnetz 10.8.0.0
255.255.255.0
serviceport 1194 UDP
und es klappt immer noch nicht
in der Skizze ist wohl beim Portforwarding 192.168.0.254 statt ...245 gemeint ?
den GL.iNet GL-AR300M Mini Travel Router hattte ich schon bestellt und liegt inzwischen auf dem Tisch.
An der og. Konstellation würde sich ja prinzipell nichts ändern...
was kann ich noch tun oder Prüfen?
Thomas
meine Konstellation ist nun Folgende:
(1) FritzBox 6490 stellt Internetverbindung her und ist DHCPServer
default gateway 192.168.9.1
255.255.255.0
port 1194 wird an 2) weitergeleitet 192.168.9.10
statische IPV4 Route:
IPV4-Netzwerk 10.8.0.0
Maske 255.255.255.0
Gateway 192.168.9.10 oder muss das 192.168.9.1 sein ?
(2) ARCHER C7 192.168.9.10 feste IP
VPN Server: VPN Subnetz 10.8.0.0
255.255.255.0
serviceport 1194 UDP
und es klappt immer noch nicht
in der Skizze ist wohl beim Portforwarding 192.168.0.254 statt ...245 gemeint ?
den GL.iNet GL-AR300M Mini Travel Router hattte ich schon bestellt und liegt inzwischen auf dem Tisch.
An der og. Konstellation würde sich ja prinzipell nichts ändern...
was kann ich noch tun oder Prüfen?
Thomas
die statische Route hatte ich nicht
Dann kann es logischerweise auch nicht funktionieren. Ping und Traceroute (tracert) sind hier immer deine besten Freunde. 
port 1194 wird an 2) weitergeleitet 192.168.9.10
Richtig !Gateway 192.168.9.10 oder muss das 192.168.9.1 sein ?
Denke mal bitte selber etwas nach !!! 🧐Wenn ein IP Paket mit einer 10.8.0.x IP Adresse an der FritzBox ankommt WOHIN soll die FB das Paket denn schicken damit es das 10.8.0.0er IP Netz sicher erreicht ?
- An die FritzBox selber ?
- An den Archer Router ?
(2) ARCHER C7 192.168.9.10 feste IP
Achte darauf das diese IP außerhalb des DHCP Adressbereichs der FB liegt. Alternativ gib ihm über seine Mac Adresse immer eine feste IP im FB DHCP Server.in der Skizze ist wohl beim Portforwarding 192.168.0.254 statt ...245 gemeint ?
Wie peinlich ! Natürlich hast du Recht. Ein fataler Zahlendreher.Danke für den Hinweis !
An der og. Konstellation würde sich ja prinzipell nichts ändern...
Nein, du überträgst ganz einfach die OVPN Konfig Datei und die Schlüssel über das GUI.Ggf. musst du noch etwas Finetuning an der Konfig Datei machen, deshalb ist es ratsam ein PuTTY mit einer SSH Verbindung vorzuhalten auf den GLinet.
Klassische Konfig als Server sieht z.B. so aus:
dev tun
proto udp4
port 1194
server 10.8.0.0 255.255.255.0
ca /etc/openvpn/cert/ca.crt
cert /etc/openvpn/cert/server.crt
key /etc/openvpn/cert/server.key
cipher AES-256-CBC
auth SHA256
auth-nocache
user nobody
group nogroup
persist-tun
persist-key
mute-replay-warnings
topology subnet
push "topology subnet"
push "route 192.168.9.0 255.255.255.0"
compress lz4-v2
verb 1
(daemon) => Automatisch wenn Konfig importiert wird über GUI
Zum ersten Testen solltest du immer das Kommando daemon auskommentieren mit einem # davor. Dann kannst du den OpenVPN Server manuell an der Konsole starten und sehen ob er irgendwelche Fehler rausgibt.
openvpn --config /etc/openvpn/server.conf
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Besonders wenn man sich mit einem Client connectet.
Dann wieder einkommentieren, dann startet der OpenVPN Prozess automatisch als Daemon und der Router ist einsatzklar.
Noch ein Tip:
Der GLinet ist ein OpenWRT Router. Du solltest wenn du die OpenVPN Konfig Datei direkt mit einem Editor auf dem GLinet editierst und anpasst dir dringenst das Package mit dem nano Editor aus der OpenWRT Paket Verwaltung (Advanced Setting) runterladen.
Mit dem vi da zu hantieren treibt einen in den Wahnsinn...
Zitat von @aqui:
Wenn ein IP Paket mit einer 10.8.0.x IP Adresse an der FritzBox ankommt WOHIN soll die FB das Paket denn schicken damit es das 10.8.0.0er IP Netz sicher erreicht ?
die statische Route hatte ich nicht
Dann kann es logischerweise auch nicht funktionieren. Ping und Traceroute (tracert) sind hier immer deine besten Freunde. port 1194 wird an 2) weitergeleitet 192.168.9.10
Richtig !Gateway 192.168.9.10 oder muss das 192.168.9.1 sein ?
Denke mal bitte selber etwas nach !!! 🧐Wenn ein IP Paket mit einer 10.8.0.x IP Adresse an der FritzBox ankommt WOHIN soll die FB das Paket denn schicken damit es das 10.8.0.0er IP Netz sicher erreicht ?
- An die FritzBox selber ?
- An den Archer Router ?
Wenn es schon bei der FB selber ist warum sollte man das Paket dann nochmal an sich selber schicken ? Die Antwort sollte sicher auch dir einleuchten, oder ?!
also stimmt 192.168.9.10; ich hatte nach einem möglichen Fehler gesucht.
(2) ARCHER C7 192.168.9.10 feste IP
Achte darauf das diese IP außerhalb des DHCP Adressbereichs der FB liegt. Alternativ gib ihm über seine Mac Adresse immer eine feste IP im FB DHCP Server.ja das ist der Fall DHCP wird nur von .20 bis 39. vergeben
in der Skizze ist wohl beim Portforwarding 192.168.0.254 statt ...245 gemeint ?
Wie peinlich ! Natürlich hast du Recht. Ein fataler Zahlendreher.Danke für den Hinweis !
An der og. Konstellation würde sich ja prinzipell nichts ändern...
Nein, du überträgst ganz einfach die OVPN Konfig Datei und die Schlüssel über das GUI.
Ggf. musst du noch etwas Finetuning an der Konfig Datei machen, deshalb ist es ratsam ein PuTTY mit einer SSH Verbindung vorzuhalten auf den GLinet.
Klassische Konfig als Server sieht z.B. so aus: dev tun
proto udp4
port 1194
server 10.8.0.0 255.255.255.0
ca /etc/openvpn/cert/ca.crt
cert /etc/openvpn/cert/server.crt
key /etc/openvpn/cert/server.key
cipher AES-256-CBC
auth SHA256
auth-nocache
user nobody
group nogroup
persist-tun
persist-key
mute-replay-warnings
topology subnet
push "topology subnet"
push "route 192.168.9.0 255.255.255.0"
compress lz4-v2
verb 1
(daemon) => Automatisch wenn Konfig importiert wird über GUI
Zum ersten Testen solltest du immer das Kommando daemon auskommentieren mit einem # davor. Dann kannst du den OpenVPN Server manuell an der Konsole starten und sehen ob er irgendwelche Fehler rausgibt. openvpn --config /etc/openvpn/server.conf
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Besonders wenn man sich mit einem Client connectet.
Dann wieder einkommentieren, dann startet der OpenVPN Prozess automatisch als Daemon und der Router ist einsatzklar.
Noch ein Tip:
Der GLinet ist ein OpenWRT Router. Du solltest wenn du die OpenVPN Konfig Datei direkt mit einem Editor auf dem GLinet editierst und anpasst dir dringenst das Package mit dem nano Editor aus der OpenWRT Paket Verwaltung (Advanced Setting) runterladen.
Mit dem vi da zu hantieren treibt einen in den Wahnsinn...
Ggf. musst du noch etwas Finetuning an der Konfig Datei machen, deshalb ist es ratsam ein PuTTY mit einer SSH Verbindung vorzuhalten auf den GLinet.
Klassische Konfig als Server sieht z.B. so aus: dev tun
proto udp4
port 1194
server 10.8.0.0 255.255.255.0
ca /etc/openvpn/cert/ca.crt
cert /etc/openvpn/cert/server.crt
key /etc/openvpn/cert/server.key
cipher AES-256-CBC
auth SHA256
auth-nocache
user nobody
group nogroup
persist-tun
persist-key
mute-replay-warnings
topology subnet
push "topology subnet"
push "route 192.168.9.0 255.255.255.0"
compress lz4-v2
verb 1
(daemon) => Automatisch wenn Konfig importiert wird über GUI
Zum ersten Testen solltest du immer das Kommando daemon auskommentieren mit einem # davor. Dann kannst du den OpenVPN Server manuell an der Konsole starten und sehen ob er irgendwelche Fehler rausgibt. openvpn --config /etc/openvpn/server.conf
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Besonders wenn man sich mit einem Client connectet.
Dann wieder einkommentieren, dann startet der OpenVPN Prozess automatisch als Daemon und der Router ist einsatzklar.
Noch ein Tip:
Der GLinet ist ein OpenWRT Router. Du solltest wenn du die OpenVPN Konfig Datei direkt mit einem Editor auf dem GLinet editierst und anpasst dir dringenst das Package mit dem nano Editor aus der OpenWRT Paket Verwaltung (Advanced Setting) runterladen.
Mit dem vi da zu hantieren treibt einen in den Wahnsinn...
ich müsste ja erst mal eine funktionieren Konfiguration haben; die bisherige tut ja trotz richtiger statischer Route noch nicht.
Kann es evtl. ein Sicherheitsproblem der Fritzbox sein? Diese kann ich ja über den Link xxburkhart.dyndnss.net anpingen , die Fritzboxoberfläche wird jedoch nicht angezeigt. mit th statt xx könntest du es testen.
Wäre es denkbar dass ich mit dir telefonieren könnte?
Beste Grüße
Thomas
Bitte nicht immer ALLES zitieren ! Das ist wenig förderlich für die Übersicht ! 
So weisst du dann sicher das es dein OpenVPN Setup selber schonmal NICHT sein kann.
Supportet der Archer einen SSH Zugang wie der GLinet ??
Das würde beim Troubleshooting massiv helfen. Ansonsten wie immer:: Ins LOG des Archers sehen !
Die FritzBox muss natürlich ein Port Forwarding von UDP 1194 (Default OVPN Port) auf die lokale Archer IP eingetragen haben.
Wie gesagt...teste das erstmal lokal. So umgehst du erstmal alle diese Problematiken !
die bisherige tut ja trotz richtiger statischer Route noch nicht.
Teste das IMMER erstmal lokal indem du den Client im lokalen Netz hast !! So kannst du ganz sicher irgendwelche Firewall Regeln usw. ausschliessen. Wenn das sauber rennt testest du von remote.So weisst du dann sicher das es dein OpenVPN Setup selber schonmal NICHT sein kann.
Supportet der Archer einen SSH Zugang wie der GLinet ??
Das würde beim Troubleshooting massiv helfen. Ansonsten wie immer:: Ins LOG des Archers sehen !
Die FritzBox muss natürlich ein Port Forwarding von UDP 1194 (Default OVPN Port) auf die lokale Archer IP eingetragen haben.
Wie gesagt...teste das erstmal lokal. So umgehst du erstmal alle diese Problematiken !
