steve.oswald
Goto Top

FritzBox statische Route mit Gateway außerhalb des Netztes

Hallo zusammen ✌

ich habe ein Problem mit einer FritzBox. Ist jemand bekannt, ob man in der FritzBox überhaupt statische Routen mit einem Gateway außerhalb des eigenen Netztes angeben kann?

Habe bei einem Kunde das folgende Setup:
problem.drawio

Im Netzwerk 2 steht ein MikroTik, welcher ein paar VPN-Verbindungen aufbaut. Dieser ist so konfiguriert, dass er als Client im Netzwerk agiert und eingehende Verbindungen über die VPNs entsprechend weitergibt und NATed. Auf der FritzBox 2 sind hierfür entsprechende statische Routen hinterlegt, welche als Gateway den MikroTik haben. Im Netzwerk 2 funktioniert das alles auch ganz ohne Probleme.
Nun will ich die VPN-Verbindungen auch aus dem Netzwerk 1 erreichen. Die beiden FritzBoxen sind per Site-to-Site miteinander verbunden und ich kann aus Netzwerk 1 auch alle Geräte im Netzwerk 2 transparent erreichen. Nun wollte ich auf der FritzBox 1 die statischen Routen so anlegen, wie sie auch auf der FritzBox 2 angelegt sind. Das lässt aber die FritzBox gar nicht zu und sagt mir immer "Es ist ein Fehler aufgetreten. Fehlerbeschreibung: Die Route ist nicht zulässig.".
Trage ich die Route auf einem der Rechner direkt ein, funktioniert auch alles problemlos. Ich möchte aber eigentlich ungern die Route an allen Rechnern eintragen (wofür hat man denn sonst einen Router?!).

Vielleich habt ihr ja einen Tipp für mich.

Grüße
Steve

Content-ID: 73089705906

Url: https://administrator.de/contentid/73089705906

Ausgedruckt am: 23.11.2024 um 13:11 Uhr

Spirit-of-Eli
Spirit-of-Eli 07.09.2023 aktualisiert um 11:42:16 Uhr
Goto Top
Moin,

das macht gar keinen Sinn.
Du musst zwangsweise von FB1 mit den Routen auf FB2 verweisen und von dieser dann auf den Mikrotik.

Zurück musst du dann eben von FB2 auf das Netz hinter FB1 zur FB1 verweisen.
Bedenke immer auch die Routen für die Antwort Packete. Somit wirst du das Routing im VPN Tunnel auch anpassen müssen. Außer du machst am Mikrotik NAT in die Tunnel von deinen Netzen hinter FB1.

Ein Routing wo FB2 übergangen wird kann schlicht nicht funktionieren.

Gruß
Spirit
aqui
aqui 07.09.2023 aktualisiert um 12:11:45 Uhr
Goto Top
überhaupt statische Routen mit einem Gateway außerhalb des eigenen Netztes angeben kann?
Das ist ja in sich schon Blödsinn! (Sorry)
Wie soll das denn funktionieren wenn du der Fritzbox ein next Hop Gateway angibst welches sie gar nicht kennt und damit auch gar nicht erreichen kann?
Da hast du sicher irgendwas an den einfachen Grundlagen von klassischem IP Routing nicht- oder ganz falsch verstanden!
Fazit:
Tutorial in Ruhe lesen und verstehen und deinen Unsinn da nochmal genau überdenken und korrigieren!
Bzw. das was der Kollege @em-pie unten mit dem "Flur" etwas abstrakt beschreibt kann man einfacher in einem netten Filmchen bei der Maus lernen! 😉

Nur soviel:
Mit statischen Routen geht es beim Routing mehrere IP Netze über ein IPsec VPNs gar nicht!
Die Netze am Mikrotik in Netz 2 kannst du nur aus dem Netz der Fritzbox 1 nur dann erreichen wenn du das der VPN Konfig in FritzBox 1 auch mitgibst. Das machst du ganz einfach über die Phase 2 Defintion in ihrer VPN Konfig Datei.
Dafür gibt es sogar eine entsprechende Lösung in der AVM Knowledgebase:
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7490/229_Mit-FRITZ ...
(Kapitel 1 access-list...)
Dort trägst du mit einem simplen Text Editor deine 3 Netze zusätzlich in die VPN Konfig Datei ein!
⚠️ Achte dort auf das Komma und nur die letzte Zeile hat ein ";" !!
Du kannst hier auch eine Wildcard Maske nutzen. Z.B. "permit ip any 192.168.128.0 255.128.0.0"; was dann z.B. alle Netze ab 192.168.128.0 bis .255.0 in den VPN Tunnel routet.
Macht aber nur Sinn macht wenn man die remoten Subnetze "intelligent" adressiert hat. face-wink
Siehe auch hier in diversen Forenthreads: (Suchfunktion! 😉)
Zugriff auf Netzwerke hinter Fritzboxen (Site-to-Site VPN)
Routingprobleme über OpenVPN auf Fritzbox
PFSense mit Fritzboxen verbinden

Mit dieser Phase 2 ACL bestimmst du an der FritzBox 1 welche IP Netze bzw. Zieladressen in den VPN Tunnel zur Fritzbox 2 geroutet werden!

Das Obige gilt nur wenn deinen Fritzbox Kopplung mit IPsec realisiert ist! Bei Wireguard sieht das Procedere etwas anders aus!
em-pie
em-pie 07.09.2023 aktualisiert um 11:55:38 Uhr
Goto Top
Moin,

In FritzBox 1 legst du die Route sinngemäß wie folgt an:
"172.18.25.33/32 erreichst du via 192.168.10.254"
"10.30.211.44/32 erreichst du via 192.168.10.254"
"192.168.40.4/32 erreichst du via 192.168.10.254"

<edit>
Stelle dir vor, du stehst in einem Raum (R10) mit nur einer Tür. Hinter dem Raum ist ein langer Flur. An der Tür steht ein Wegweiser der nur die anderen Räume kennt. Willst du in den R40, schaust du auf den Wegweiser. Dort hat jemand hinterlegt "R40 findest du über die Tür zum R11". Was hinter R11 liegt, weiss aber dein "eigener" Wegweiser nicht. Du musst also zur Tür R11 gehen und schauen, was dich da an Hinweisen erwartet.
</edit>

die Fritte 2 weiss ja dann, wie sie die Hosts erreichen kann.

Wichtig: du musst auch an die Rückrouten denken.
Also die drei Hosts bzw. der mikrotik müssen ebenfalls wissen, wie sie das Netz der FB1 erreichen können.
aqui
aqui 07.09.2023 um 11:57:25 Uhr
Goto Top
Bei der Fritzbox und auch generell mit IPsec VPNs funktioniert dies NICHT über Routen! Kann es auch nicht, denn was in den Tunnel geroutet wird und was nicht bestimmt immer die Phase 2 im IPsec Setup. Das ist die o.a. ACL in der VPN Konfig Datei!
Statische Routen scheitern ja schon daran das du gar keine gültige Gateway IP oder Interface angeben kannst bei IPsec. Aber auch wenn man sie angibt ist sie wirkungslos aus den o.a. Gründen.
AVM beschreibt die einfache Lösung ja nicht umsonst in ihrer VPN Knowledgebase! 😉
em-pie
em-pie 07.09.2023 um 12:10:17 Uhr
Goto Top
@aqui:
hast Recht. Hab schon lange nicht mehr mit IPSec herumgespielt - Schande über mich^^
aqui
aqui 07.09.2023 um 12:15:10 Uhr
Goto Top
Nee, alles gut. Passiert immer mal im Eifer des (VPN) Gefechts! 😵‍💫
steve.oswald
steve.oswald 07.09.2023 um 12:56:28 Uhr
Goto Top
Mir ist grundsätzlich schon bewusst, wie Routing funktioniert. Danke trotzdem nochmal für eure Hinweise.

Mein Problem ist viel mehr, dass die Route auf FritzBox 1 gar nicht erst eintragen lässt. Die beiden FritzBoxen sind übrigens nicht per IPsec verbunden, sondern per WireGuard. Ich kam aber natürlich noch nicht auf die Idee, hier einmal die zusätzliche IPs in die AllowedIPs mit aufzunehmen. Das ist auf jeden Fall ein super Tipp! Kann es aber leider erst Samstag ausprobieren.

Grüße
Steve
aqui
aqui 07.09.2023 aktualisiert um 18:48:18 Uhr
Goto Top
Mein Problem ist viel mehr, dass die Route auf FritzBox 1 gar nicht erst eintragen lässt.
Das ist kein "Problem" sondern normales Verhalten! Erklärung hast du ja oben im Detail bekommen....zumindestens für IPsec. face-wink
sind übrigens nicht per IPsec verbunden, sondern per WireGuard.
OK, da sieht die Welt dann wieder ganz anders aus!!
Hier ist dann die Frage WER der Wireguard Server ist bzw. welche Konfig Datei der Server für den WG Client ausgespuckt hat.
Diese Datei musst du höchstwahrscheinlich vorher editieren, denn dort bestimmen die IP Netze zum Parameter AllowedIPs welche Netz in den WG Tunnel geroutet wird. Auch hier ist es nicht mit statischen Routen möglich da die FB entgegen der standardtisierten Konfig nicht mit einem internen WG IP Netz arbeitet wie es üblich ist.
Leider kennen wir diese Client (Initiator) Datei von nicht so das es erstmal nur Kriatllkugeln ist. face-sad
Das hiesige Wireguard Tutorial erklärt dir mit einem separaten Kapitel die Details zu den AllowedIPs und wo die Fallstricke bei der nicht WG konformen Konfig auf der Fritzbox sind.
micneu
micneu 09.09.2023 um 21:56:04 Uhr
Goto Top
@Steve FRAGE: warum setzt du beim Kunden nicht ordentliche VPN Router/Firewalls ein (pfSense/OPNsense oder was auch immer)?