Fritzbox 7490 und Fritzbox 6890 LTE über VPN verbinden - Hilfe benötigt
Hallo zusammen,
ich stehe vor einer Herausforderung und hoffe, hier im Forum Unterstützung zu finden. Ich möchte eine VPN-Verbindung zwischen zwei Fritzboxen einrichten: Eine Fritzbox 7490 (A) und eine Fritzbox 6890 LTE (B). Die Herausforderung besteht darin, dass die Fritzbox 7490 nicht direkt an einem Internetanschluss hängt, sondern kaskadierend hinter einer weiteren Fritzbox (C), die die Internetverbindung bereitstellt.
Konfigurationsdetails:
Fritzbox 7490 (A) hängt hinter Fritzbox (C) und hat daher keine eigene externe IPv4/IPv6-Adresse.
Fritzbox 6890 LTE (B) hat eine direkte Internetverbindung und hat keine öffentliche IP (Mobilfunkanbieter blockieren ja meist eingehende Verbindungen)
Mein Plan ist wie folgt:
Portforwarding auf Fritzbox (C): Ich möchte die VPN-relevanten Ports (UDP 500 und UDP 4500 für IPsec) von Fritzbox (C) zur Fritzbox 7490 (A) weiterleiten.
VPN-Einrichtung: Auf beiden Fritzboxen (A und B) möchte ich IPsec verwenden, um die VPN-Verbindung herzustellen. Dazu benötige ich die Netzwerkadressen, Pre-shared Key und natürlich die externe IP-Adresse von Fritzbox (C).
Fragen:
Ist es sinnvoll, das Portforwarding zu verwenden, auch wenn Fritzbox (C) bereits als VPN-Server fungiert? Gibt es Konfliktpotential, das ich beachten sollte bzw. kann das überhaupt funktionieren?
Wäre es eventuell sicherer oder praktischer, Fritzbox (A) als Exposed Host zu konfigurieren, auch wenn das sicherheitstechnische Bedenken mit sich bringt?
Ich bin mir nicht sicher, ob dies der beste Ansatz ist oder ob es alternative Methoden gibt, die ich in Betracht ziehen sollte. Über jede Hilfe oder Vorschläge würde ich mich sehr freuen!
Vielen Dank im Voraus!
Beste Grüße
ich stehe vor einer Herausforderung und hoffe, hier im Forum Unterstützung zu finden. Ich möchte eine VPN-Verbindung zwischen zwei Fritzboxen einrichten: Eine Fritzbox 7490 (A) und eine Fritzbox 6890 LTE (B). Die Herausforderung besteht darin, dass die Fritzbox 7490 nicht direkt an einem Internetanschluss hängt, sondern kaskadierend hinter einer weiteren Fritzbox (C), die die Internetverbindung bereitstellt.
Konfigurationsdetails:
Fritzbox 7490 (A) hängt hinter Fritzbox (C) und hat daher keine eigene externe IPv4/IPv6-Adresse.
Fritzbox 6890 LTE (B) hat eine direkte Internetverbindung und hat keine öffentliche IP (Mobilfunkanbieter blockieren ja meist eingehende Verbindungen)
Mein Plan ist wie folgt:
Portforwarding auf Fritzbox (C): Ich möchte die VPN-relevanten Ports (UDP 500 und UDP 4500 für IPsec) von Fritzbox (C) zur Fritzbox 7490 (A) weiterleiten.
VPN-Einrichtung: Auf beiden Fritzboxen (A und B) möchte ich IPsec verwenden, um die VPN-Verbindung herzustellen. Dazu benötige ich die Netzwerkadressen, Pre-shared Key und natürlich die externe IP-Adresse von Fritzbox (C).
Fragen:
Ist es sinnvoll, das Portforwarding zu verwenden, auch wenn Fritzbox (C) bereits als VPN-Server fungiert? Gibt es Konfliktpotential, das ich beachten sollte bzw. kann das überhaupt funktionieren?
Wäre es eventuell sicherer oder praktischer, Fritzbox (A) als Exposed Host zu konfigurieren, auch wenn das sicherheitstechnische Bedenken mit sich bringt?
Ich bin mir nicht sicher, ob dies der beste Ansatz ist oder ob es alternative Methoden gibt, die ich in Betracht ziehen sollte. Über jede Hilfe oder Vorschläge würde ich mich sehr freuen!
Vielen Dank im Voraus!
Beste Grüße
Please also mark the comments that contributed to the solution of the article
Content-ID: 8714524608
Url: https://administrator.de/contentid/8714524608
Printed on: October 7, 2024 at 23:10 o'clock
12 Comments
Latest comment
Ich möchte die VPN-relevanten Ports (UDP 500 und UDP 4500 für IPsec) von Fritzbox (C) zur Fritzbox 7490 (A) weiterleiten.
Wäre der richtige Schritt!Fritzbox A muss der VPN Responder (Server) sein und Fritzbox B der VPN Initiator (Client). Das gibt die LTE Anbindung vor, da CGNAT und das generelle Blocking von inbound Sessions bei den Mobilfunkprovidern die andere Richtung verhindern.
Allerdings hast du beim Port Weiterleiten an A das ESP Protokoll (IP Nummer 50, kein UDP oder TCP Port!!) vergessen über das IPsec bekanntlich die Produktivdaten tunnelt!
Guckst du hier. Das musst du also noch zwingend nachtragen!
Dazu benötige ich die Netzwerkadressen, Pre-shared Key und natürlich die externe IP-Adresse von Fritzbox C
Korrekt!Ist es sinnvoll, das Portforwarding zu verwenden, auch wenn Fritzbox (C) bereits als VPN-Server fungiert?
Diese Frage ist der finale Todesstoß für dein Vorhaben, denn damit ist dein Ansatz grundsätzlich zum Scheitern verurteilt! Denke mal selber etwas nach...! 🧐Wie bitte sollte Fritzbox C erkennen können ob die bei ihr aus dem Internet eingehenden IPsec VPN Pakete für sie selber und ihr eigens VPN oder fürs Port Forwarding sind?!
Das ist technisch nicht möglich, wie auch?! Die eingehenden VPN Pakete haben ja kein rosa Label aufgeklebt ala "Hey, ich bin aber nicht für dich selber sondern für das Port Forwarding auf die Fritte dahinter!" und Gedanken lesen kann die FB auch (noch) nicht.
Sowie auf C auch ein aktives VPN aktiviert ist das Port Forwarding für VPN damit tot. Logisch, denn die davorliegende FB bezieht allen eingehenden VPN Traffic ausschliesslich immer auf sich selber und ignoriert dann entsprechende Forwarding Ports.
Keine Chance also das mit IPsec in dieser Konstellation zu realisieren, es sei denn du schaltest die IPsec Funktion an Fritte C aus.
Fazit: Vergessen...!!
Es gäbe aber eine einfache Lösung und die wäre die Wireguard Alternative.
Entweder du lässt also A und B auf Wireguard VPN laufen.
Oder, sollte B kein Wireguard können, dann kannst du das bestehende C VPN auf Wireguard umstellen und mit A und B dann IPsec nutzen.
Beide Alternativen führen zum Erfolg und sind deine Workaround Optionen! Such dir die für dich Schönste raus...
B muss die Verbindung als Client folglich dauerhaft halten.
Richtig! Bekanntlich setzt du dort bei Wireguard dann den Parameter PersistentkeepAlive = 25.Tutorials lesen hilft wirklich!
Merkzettel: VPN Installation mit Wireguard
aber auch für Wireguard muss ja mindestens eine Fritzbox, der Server (Fritzbox A), öffentlich erreichbar sein
Das ist auch richtig!Oben hast du die richtige Prozedur ja schon selber richtig beschrieben. Ziel IP ist die WAN Port IP oder der DDNS Hostname (myfritz.de etc.) der Fritte C, denn die hält ja die öffentliche Ziel IP.
Wie du ja weisst nutzt Wireguard nur einen UDP Port im Ephemeral Bereich der frei konfigurierbar ist. Den trägst du dann in Fritte C als Port Forwarding ein und fertig ist der Lack. Gleiche Prozedur wie bei IPsec und dir oben schon Link zum "Kaskaden Setup" gepostet wurde!
Lesen und verstehen... 😉
Es kann niemals sein das Wireguard die gleiche interne IP Adresse auf beiden Seiten benutzt (.191.1 /24). Das wäre ein fundamentaler Verstoß gegen grundlegende IP Adressierungsregeln! Das IP Adressen einzigartig sind weiss auch jeder Laie, andernfalls wäre eine eindeutige Wegefindung in Netzwerken unmöglich. Eine Allerwelts Binsenweisheit...
Das ist der schlimmste Kardinalsfehler in der o.a. Konfig und fällt auch einem Laien sofort auf.
AVM hat das gesamte WG Setup automatisiert so das man sich schon recht tolpatschig anstellen muss um noch einen Fehler zu machen.
Die Server Seite richtet man als Server ein mit den entsprechenden Angaben und der Prozess erstellt dann eine entsprechend dazu passenden Client Konfig die man auf der Clientseite einfach einspielt...fertig ist der Lack und kann man in der Regel nicht falsch machen.
Darauf achten sollte man nur das der Server keinen DS-Lite Internet Anschluss hat ansonsten ist zumindestens mit IPv4 eine VPN technisch nicht möglich und kann ausschliesslich nur per IPv6 erstellt werden.
Das gilt auch für LTE Mobilfunkanschlüsse. Provider erlauben bei einfachen Consumer Vertraägen in der Regel generell keine eingehenden Verbindungen auf das Mobilfunknetz. Zusätzlich kommt noch ein CG-NAT Im Mobilfunknetz dazu. Das schliesst einen Wireguard Server (Responder) Betrieb auf der Mobilfunkseite technisch aus, denn das klappt niemals. Die Mobilfunkseite muss hier immer VPN Initiator (Client) sein. Es sei denn man hat einen teuren Business Vertrag?!
Alles andere beschreibt das Wireguard Tutorial im Detail! Lesen und verstehen...
Das ist der schlimmste Kardinalsfehler in der o.a. Konfig und fällt auch einem Laien sofort auf.
AVM hat das gesamte WG Setup automatisiert so das man sich schon recht tolpatschig anstellen muss um noch einen Fehler zu machen.
Die Server Seite richtet man als Server ein mit den entsprechenden Angaben und der Prozess erstellt dann eine entsprechend dazu passenden Client Konfig die man auf der Clientseite einfach einspielt...fertig ist der Lack und kann man in der Regel nicht falsch machen.
Darauf achten sollte man nur das der Server keinen DS-Lite Internet Anschluss hat ansonsten ist zumindestens mit IPv4 eine VPN technisch nicht möglich und kann ausschliesslich nur per IPv6 erstellt werden.
Das gilt auch für LTE Mobilfunkanschlüsse. Provider erlauben bei einfachen Consumer Vertraägen in der Regel generell keine eingehenden Verbindungen auf das Mobilfunknetz. Zusätzlich kommt noch ein CG-NAT Im Mobilfunknetz dazu. Das schliesst einen Wireguard Server (Responder) Betrieb auf der Mobilfunkseite technisch aus, denn das klappt niemals. Die Mobilfunkseite muss hier immer VPN Initiator (Client) sein. Es sei denn man hat einen teuren Business Vertrag?!
Alles andere beschreibt das Wireguard Tutorial im Detail! Lesen und verstehen...
Ich kann den kompletten IPV4 Verkehr Tunneln
Das sieht ja dann schon mal gut aus!Aber mit dem Aufruf der Geräte im anderen Netzwerk tue ich mich schwer
Da widersprichst du dich jetzt aber. Erst schreibst du du kannst (Zitat) "den kompletten IPV4 Verkehr Tunneln" was ja besagt das du beide lokalen IP Netze problemlos erreichen kannst über den Site to Site Tunnel. Dann aber das du dich schwer tust Geräte zu erreichen?! Ja was denn nun...?? 🤔Die Fritzbox 7490 lässt mich im OS auch nicht die Konkreten Geräte eintragen die erreichbar sein sollen
Das geht bei AVM auch nicht so mit Bordmitteln dazu musst du händisch die AllowedIPs in der Konfig Datei anpassen die dir beim Erstellen zum Download erzeugt wird.Beispiel:
AllowedIPs = 192.168.190.0/24 = überträgt das gesamte Netzwerk. Klar, weil eben eine Netzwerk Maske angegeben wurde.
Willst du jetzt z.B. nur 3 Geräte (z.B. .23, .56 und .110) dort erreichbar machen und eben nicht das gesamte Netz dann passt du die AllowedIPs eben an BEVOR du die Client Konfig einspielst.
AllowedIPs = 192.168.190.23/32, 192.168.190.56/32, 192.168.190.110/32
...macht dann die ganze Magie und fertisch!
Damit ist dann "tunnelt aber fleißig meinen gesamten Netzwerkverkehr" passe.
Wo ist jetzt dein wirkliches Problem? Steht doch alles im Tutorial.