forward
Goto Top

Fritzbox 7490 und Fritzbox 6890 LTE über VPN verbinden - Hilfe benötigt

Hallo zusammen,

ich stehe vor einer Herausforderung und hoffe, hier im Forum Unterstützung zu finden. Ich möchte eine VPN-Verbindung zwischen zwei Fritzboxen einrichten: Eine Fritzbox 7490 (A) und eine Fritzbox 6890 LTE (B). Die Herausforderung besteht darin, dass die Fritzbox 7490 nicht direkt an einem Internetanschluss hängt, sondern kaskadierend hinter einer weiteren Fritzbox (C), die die Internetverbindung bereitstellt.

Konfigurationsdetails:

Fritzbox 7490 (A) hängt hinter Fritzbox (C) und hat daher keine eigene externe IPv4/IPv6-Adresse.
Fritzbox 6890 LTE (B) hat eine direkte Internetverbindung und hat keine öffentliche IP (Mobilfunkanbieter blockieren ja meist eingehende Verbindungen)
Mein Plan ist wie folgt:

Portforwarding auf Fritzbox (C): Ich möchte die VPN-relevanten Ports (UDP 500 und UDP 4500 für IPsec) von Fritzbox (C) zur Fritzbox 7490 (A) weiterleiten.
VPN-Einrichtung: Auf beiden Fritzboxen (A und B) möchte ich IPsec verwenden, um die VPN-Verbindung herzustellen. Dazu benötige ich die Netzwerkadressen, Pre-shared Key und natürlich die externe IP-Adresse von Fritzbox (C).

Fragen:

Ist es sinnvoll, das Portforwarding zu verwenden, auch wenn Fritzbox (C) bereits als VPN-Server fungiert? Gibt es Konfliktpotential, das ich beachten sollte bzw. kann das überhaupt funktionieren?
Wäre es eventuell sicherer oder praktischer, Fritzbox (A) als Exposed Host zu konfigurieren, auch wenn das sicherheitstechnische Bedenken mit sich bringt?
Ich bin mir nicht sicher, ob dies der beste Ansatz ist oder ob es alternative Methoden gibt, die ich in Betracht ziehen sollte. Über jede Hilfe oder Vorschläge würde ich mich sehr freuen!

Vielen Dank im Voraus!

Beste Grüße face-smile

Content-Key: 8714524608

Url: https://administrator.de/contentid/8714524608

Printed on: May 20, 2024 at 12:05 o'clock

Member: forward
forward Apr 17, 2024 at 17:14:59 (UTC)
Goto Top
Gerne auch Verweise auf bestehende ähnliche Beiträge, falls ich was übersehen habe face-smile
Member: aqui
Solution aqui Apr 17, 2024 updated at 17:39:05 (UTC)
Goto Top
Ich möchte die VPN-relevanten Ports (UDP 500 und UDP 4500 für IPsec) von Fritzbox (C) zur Fritzbox 7490 (A) weiterleiten.
Wäre der richtige Schritt!
Fritzbox A muss der VPN Responder (Server) sein und Fritzbox B der VPN Initiator (Client). Das gibt die LTE Anbindung vor, da CGNAT und das generelle Blocking von inbound Sessions bei den Mobilfunkprovidern die andere Richtung verhindern.
Allerdings hast du beim Port Weiterleiten an A das ESP Protokoll (IP Nummer 50, kein UDP oder TCP Port!!) vergessen über das IPsec bekanntlich die Produktivdaten tunnelt! face-sad
Guckst du hier. Das musst du also noch zwingend nachtragen!
Dazu benötige ich die Netzwerkadressen, Pre-shared Key und natürlich die externe IP-Adresse von Fritzbox C
Korrekt!
Ist es sinnvoll, das Portforwarding zu verwenden, auch wenn Fritzbox (C) bereits als VPN-Server fungiert?
Diese Frage ist der finale Todesstoß für dein Vorhaben, denn damit ist dein Ansatz grundsätzlich zum Scheitern verurteilt! Denke mal selber etwas nach...! 🧐
Wie bitte sollte Fritzbox C erkennen können ob die bei ihr aus dem Internet eingehenden IPsec VPN Pakete für sie selber und ihr eigens VPN oder fürs Port Forwarding sind?!
Das ist technisch nicht möglich, wie auch?! Die eingehenden VPN Pakete haben ja kein rosa Label aufgeklebt ala "Hey, ich bin aber nicht für dich selber sondern für das Port Forwarding auf die Fritte dahinter!" und Gedanken lesen kann die FB auch (noch) nicht.
Sowie auf C auch ein aktives VPN aktiviert ist das Port Forwarding für VPN damit tot. Logisch, denn die davorliegende FB bezieht allen eingehenden VPN Traffic ausschliesslich immer auf sich selber und ignoriert dann entsprechende Forwarding Ports.
Keine Chance also das mit IPsec in dieser Konstellation zu realisieren, es sei denn du schaltest die IPsec Funktion an Fritte C aus.
Fazit: Vergessen...!!

Es gäbe aber eine einfache Lösung und die wäre die Wireguard Alternative.
Entweder du lässt also A und B auf Wireguard VPN laufen.
Oder, sollte B kein Wireguard können, dann kannst du das bestehende C VPN auf Wireguard umstellen und mit A und B dann IPsec nutzen.
Beide Alternativen führen zum Erfolg und sind deine Workaround Optionen! Such dir die für dich Schönste raus... face-wink
Member: forward
forward Apr 17, 2024 updated at 18:04:55 (UTC)
Goto Top
Vielen Dank für die schnelle und sehr hilfreiche Antwort!

Also VPN mittels Wireguard. A und B sin beide Wireguardfähig.

B muss die Verbindung als Client folglich dauerhaft halten. Das kriege ich hin, aber auch für Wireguard muss ja mindestens eine Fritzbox, der Server (Fritzbox A), öffentlich erreichbar sein, oder verstehe ich das falsch?

Wie kriege ich das mit der kaskadierenden Fritzbox A hin? Was muss ich bei C noch einstellen?
Member: aqui
Solution aqui Apr 17, 2024 updated at 18:47:59 (UTC)
Goto Top
B muss die Verbindung als Client folglich dauerhaft halten.
Richtig! Bekanntlich setzt du dort bei Wireguard dann den Parameter PersistentkeepAlive = 25.
Tutorials lesen hilft wirklich! face-wink
Merkzettel: VPN Installation mit Wireguard
aber auch für Wireguard muss ja mindestens eine Fritzbox, der Server (Fritzbox A), öffentlich erreichbar sein
Das ist auch richtig!
Oben hast du die richtige Prozedur ja schon selber richtig beschrieben. Ziel IP ist die WAN Port IP oder der DDNS Hostname (myfritz.de etc.) der Fritte C, denn die hält ja die öffentliche Ziel IP.
Wie du ja weisst nutzt Wireguard nur einen UDP Port im Ephemeral Bereich der frei konfigurierbar ist. Den trägst du dann in Fritte C als Port Forwarding ein und fertig ist der Lack. Gleiche Prozedur wie bei IPsec und dir oben schon Link zum "Kaskaden Setup" gepostet wurde!
Lesen und verstehen... 😉
Member: forward
forward Apr 17, 2024 at 18:45:51 (UTC)
Goto Top
1000 Dank für das idiotensichere Frittenrezept!
Member: aqui
aqui Apr 17, 2024 at 18:46:59 (UTC)
Goto Top
Immer gerne! 😉
Member: forward
forward Apr 23, 2024 updated at 15:12:14 (UTC)
Goto Top
Jetzt muss ich doch nochmal fragen.

WireGuard Verbindung erfolgreich wie geschildert eingerichtet. 6590 mit x.191.1 (client) & 7490 mit x.190.1(zentrale)
Traffic läuft, kann auch den gesamten IPv4-Netzwerkverkehr von der 6590 über die VPN-Verbindung senden. (IpCheck zeigt dann wie erwartet die IPV4 der vorgeschalteten FritzBox vor der 7490)

Allerdings kann ich von der 6890 nicht auf die 7490 oder sonstige Geräte im Netzwerk der 7490 zugreifen. Was übersehe ich? Muss ich bei den allowed IPs in der Zentrale nochwas ändern?

AllowedIPs = 192.168.191.1/xx (IP der Gegenstelle welche die Zentral ja vergibt, muss ich hier evtl. 0.0.0.0/xx eintragen oder sollte das alles so gehen?

Soweit ich das gelesen hatte, dachte ich richtet FritzOS! die benötigten Routen für wireguard standardmäßig von selbst ein, man selbst muss nur die Allowed IPs konfigurieren, hier also nochmal das Setup:

Serverseitige Konfiguration (7490)
[Interface]
PrivateKey = blurred
ListenPort = blurred
Address = 192.168.190.1/24 [edit: hier stand vorsehentlich vorher die 192.168.191.1, gemeint war natürlich die 190]
DNS = 192.168.190.1,192.168.191.1
DNS = fritz.box

[Peer]
PublicKey = blurred
PresharedKey = blurred
AllowedIPs = 192.168.191.0/24
PersistentKeepalive = 25

Clientseitige Konfiguration (6890)
[Interface]
PrivateKey = blurred
ListenPort = blurred
Address = 192.168.191.1/24
DNS = 192.168.191.1,192.168.190.1
DNS = fritz.box


[Peer]
PublicKey = blurred
PresharedKey = blurred
AllowedIPs = 192.168.190.0/24
Endpoint = blurred
PersistentKeepalive = 25
Member: aqui
aqui Apr 23, 2024 updated at 15:08:04 (UTC)
Goto Top
Es kann niemals sein das Wireguard die gleiche interne IP Adresse auf beiden Seiten benutzt (.191.1 /24). Das wäre ein fundamentaler Verstoß gegen grundlegende IP Adressierungsregeln! Das IP Adressen einzigartig sind weiss auch jeder Laie, andernfalls wäre eine eindeutige Wegefindung in Netzwerken unmöglich. Eine Allerwelts Binsenweisheit...
Das ist der schlimmste Kardinalsfehler in der o.a. Konfig und fällt auch einem Laien sofort auf.

AVM hat das gesamte WG Setup automatisiert so das man sich schon recht tolpatschig anstellen muss um noch einen Fehler zu machen.
Die Server Seite richtet man als Server ein mit den entsprechenden Angaben und der Prozess erstellt dann eine entsprechend dazu passenden Client Konfig die man auf der Clientseite einfach einspielt...fertig ist der Lack und kann man in der Regel nicht falsch machen.
Darauf achten sollte man nur das der Server keinen DS-Lite Internet Anschluss hat ansonsten ist zumindestens mit IPv4 eine VPN technisch nicht möglich und kann ausschliesslich nur per IPv6 erstellt werden.
Das gilt auch für LTE Mobilfunkanschlüsse. Provider erlauben bei einfachen Consumer Vertraägen in der Regel generell keine eingehenden Verbindungen auf das Mobilfunknetz. Zusätzlich kommt noch ein CG-NAT Im Mobilfunknetz dazu. Das schliesst einen Wireguard Server (Responder) Betrieb auf der Mobilfunkseite technisch aus, denn das klappt niemals. Die Mobilfunkseite muss hier immer VPN Initiator (Client) sein. Es sei denn man hat einen teuren Business Vertrag?!
Alles andere beschreibt das Wireguard Tutorial im Detail! Lesen und verstehen...
Member: forward
forward Apr 23, 2024 at 15:20:00 (UTC)
Goto Top
Scheint als hätte AVM mit mir den richtigen Tollpatsch zum testen der UX gefunden. Konkret geht es mir nur noch um den Aufruf der Geräte. Dank deiner bisherigen Anleitung habe ich eine stehende Verbindung. (Ich kann den kompletten IPV4 Verkehr Tunneln und habe wie gesagt die IpV4 des vorgeschalteten Routers)

Das heißt, WG läuft soweit, da holt AVM mich noch ab und hätte mich sicher korrigiert wenn ein Netzwerkkonflikt auftreten würde (wie hier bei den geschriebenen Configs). Aber mit dem Aufruf der Geräte im anderen Netzwerk tue ich mich schwer. Die Fritzbox 7490 lässt mich im OS auch nicht die Konkreten Geräte eintragen die erreichbar sein sollen, tunnelt aber fleißig meinen gesamten Netzwerkverkehr. Spezifisches Ding der 7490, aber hat das auch noch andere Auswirkungen?
Member: aqui
aqui Apr 23, 2024 at 15:51:38 (UTC)
Goto Top
Ich kann den kompletten IPV4 Verkehr Tunneln
Das sieht ja dann schon mal gut aus!
Aber mit dem Aufruf der Geräte im anderen Netzwerk tue ich mich schwer
Da widersprichst du dich jetzt aber. Erst schreibst du du kannst (Zitat) "den kompletten IPV4 Verkehr Tunneln" was ja besagt das du beide lokalen IP Netze problemlos erreichen kannst über den Site to Site Tunnel. Dann aber das du dich schwer tust Geräte zu erreichen?! Ja was denn nun...?? 🤔
Die Fritzbox 7490 lässt mich im OS auch nicht die Konkreten Geräte eintragen die erreichbar sein sollen
Das geht bei AVM auch nicht so mit Bordmitteln dazu musst du händisch die AllowedIPs in der Konfig Datei anpassen die dir beim Erstellen zum Download erzeugt wird.

Beispiel:
AllowedIPs = 192.168.190.0/24 = überträgt das gesamte Netzwerk. Klar, weil eben eine Netzwerk Maske angegeben wurde.
Willst du jetzt z.B. nur 3 Geräte (z.B. .23, .56 und .110) dort erreichbar machen und eben nicht das gesamte Netz dann passt du die AllowedIPs eben an BEVOR du die Client Konfig einspielst.
AllowedIPs = 192.168.190.23/32, 192.168.190.56/32, 192.168.190.110/32
...macht dann die ganze Magie und fertisch! face-wink
Damit ist dann "tunnelt aber fleißig meinen gesamten Netzwerkverkehr" passe.
Wo ist jetzt dein wirkliches Problem? Steht doch alles im Tutorial.
Member: forward
forward Apr 23, 2024 at 18:03:27 (UTC)
Goto Top
Hab doch ein paar fehlerhafte statische Routen neu frickeln müssen, jetzt klappt alles. Mal sehen wie lange :D

Danke dir trotzdem face-smile
Member: aqui
aqui Apr 24, 2024 at 07:57:31 (UTC)
Goto Top
jetzt klappt alles.
Statische Routen sind zwar ziemlicher Blödsinn bei Wireguard (es sei denn man hat noch andere Netze und Router lokal) weil WG alles über Krypto Mapping routet (AllowedIPs, siehe Tutorial!) aber nundenn. Wenn du es damit hingefrickelt bekommen hast ist ja alles gut! 👏
Case closed! face-wink