11
Gerät an FritzBox 1 soll Internetverbindung von Fritzbox 2 (per S2S VPN verbunden) nutzen
Hallo zusammen,
folgende Situation bei der ich Hilfe brauche:
FritzBox 1 bei Alice ist mit FritzBox 2 bei Bob per S2S VPN verbunden. Alice geht über FritzBox 1 ins Internet, kann aber auch Geräte hinter Bobs FritzBox 2 erreichen (anders herum gilt das für Bob natürlich auch).
FritzBox 1 vergibt per DHCP Adressen im Bereich 192.168.0.0/24, FritzBox 2 dann im Bereich 192.168.10.0/24.
Soweit alles in Ordnung und funktionsfähig.
Jetzt möchte ich einen Client hinter Bob's FritzBox 2 hängen, welcher allerdings nicht die Internetverbindung von Bob's FritzBox 2 nutzt, sondern die Internetverbindung der FritzBox 1 von Alice.
Oder bildlich:
Client -> FritzBox 2 -> (VPN Tunnel) -> FritzBox 1 -> Internet
Oder technischer:
192.168.10.42 -> 192.168.10.1 -> (VPN Tunnel) -> 192.168.0.1 -> 8.8.8.8 (Beispiel)
Ist so etwas prinzipiell möglich? Kann man so etwas mit den Bordmitteln der FritzBox realisieren (statische Routen)? Ist das eine Einstellung auf dem Client?
Ich freue mich auf eure Antworten
folgende Situation bei der ich Hilfe brauche:
FritzBox 1 bei Alice ist mit FritzBox 2 bei Bob per S2S VPN verbunden. Alice geht über FritzBox 1 ins Internet, kann aber auch Geräte hinter Bobs FritzBox 2 erreichen (anders herum gilt das für Bob natürlich auch).
FritzBox 1 vergibt per DHCP Adressen im Bereich 192.168.0.0/24, FritzBox 2 dann im Bereich 192.168.10.0/24.
Soweit alles in Ordnung und funktionsfähig.
Jetzt möchte ich einen Client hinter Bob's FritzBox 2 hängen, welcher allerdings nicht die Internetverbindung von Bob's FritzBox 2 nutzt, sondern die Internetverbindung der FritzBox 1 von Alice.
Oder bildlich:
Client -> FritzBox 2 -> (VPN Tunnel) -> FritzBox 1 -> Internet
Oder technischer:
192.168.10.42 -> 192.168.10.1 -> (VPN Tunnel) -> 192.168.0.1 -> 8.8.8.8 (Beispiel)
Ist so etwas prinzipiell möglich? Kann man so etwas mit den Bordmitteln der FritzBox realisieren (statische Routen)? Ist das eine Einstellung auf dem Client?
Ich freue mich auf eure Antworten
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4346465906
Url: https://administrator.de/contentid/4346465906
Printed on: June 26, 2024 at 15:06 o'clock
11 Comments
Latest comment
Die Option "Gesamten Netzwerkverkehr über die VPN-Verbindung senden" der VPN Verbindung aktivieren. Und dann unter "Nur bestimmte Geräte nutzen die VPN-Verbindung" das entsprechenden Geräte auswählen für das die Einstellung gelten soll.
@4091525239: Vielen Dank, werd ich am Wochenende mal probieren. Ich frage mich allerdings, ob ich dann mit anderen Clients von Bob noch Clients bei Alice erreichen kann, also 192.168.10.41 -> 192.168.10.1 -> (VPN Tunnel) -> 192.168.0.1 -> 192.168.0.2?
@micneu: Ziel ist es, dass der Client bei Bob gegenüber dem Internet immer die gleiche Quell IP nutzt (Öffentliche IPv4 Adresse der FritzBox 1 bei Alice).
@micneu: Ziel ist es, dass der Client bei Bob gegenüber dem Internet immer die gleiche Quell IP nutzt (Öffentliche IPv4 Adresse der FritzBox 1 bei Alice).
@4091525239: Im FritzOS 6.56 gibt es die Option für den gesamten Verkehr leider nicht, ich erinnere mich aber, dass es diese Option früher einmal gab... 
EDIT: Bei der FritzBox 2 handelt es sich um eine Unitymedia FritzBox mit OS 6.56, ohne die entsprechende Option. Bei der FritzBox 1 ist OS 7.29 vorhanden - dort gibt es die Option
EDIT: Bei der FritzBox 2 handelt es sich um eine Unitymedia FritzBox mit OS 6.56, ohne die entsprechende Option. Bei der FritzBox 1 ist OS 7.29 vorhanden - dort gibt es die Option
Zitat von @DoWo87:
@micneu: Ziel ist es, dass der Client bei Bob gegenüber dem Internet immer die gleiche Quell IP nutzt (Öffentliche IPv4 Adresse der FritzBox 1 bei Alice).
OK, aber Trotzdem verstehe ich noch nicht warum die Internetverbindung von Alice (IPv4) benötigt wird und es nicht mit der von Bob?
- ist das für Privat oder für eine Firma?
Kannst du mal bitte einer Userstory schreiben, du nennst eine Lösung die du dir ausgedacht hast aber wenn wir genau das Problem verstehen, können wir besser Helfen
BITTE SO VIEL INFORMATIONEN WIE MÖGLICH
PS: z. B. handelt es sich um einen Webdienst der mit (Whitelist) Arbeitet (haben wir in der Firma so, bei Kunden/Dienstleistern) hat man jetzt mehrere Möglichkeiten das zu Lösen:
1- deine Lösung es wird ein Default Gateway gewählt mit einer Statischen IP (sowas kann man auch mit einem Client VPN machen in dem man sagt das der Komplette Traffic über den Tunnel geht (nach meiner Ansicht sind da einige Nachteile, die erkläre ich später)
2- VPN S2S oder S2RW, ihr Nutzt einen Jumphost sowas ähnliches wie einen Terminalserver, bei mir in der Firma machen wir sowas mit Linux Desktop
3- Diese Variante ist mit oder ohne VPN möglich:
Proxyserver - Die Benutzer Konfigurieren einen Browser mit dem Proxyserver und Surfen mit diesem dann über die Statische IP
1- NACHTEIL:
- Wenn der Komplette Traffic über das VPN geht, macht das irgend wann kein Spaß mehr (es fühlt sich sehr zäh an), egal ob du eine Vodafone 1Gbit/s Leitung hast (du hast nur 50MBit/s Upload)
Mein Ziel ist eine minimal Bequemlichkeitssteigerung bei minimalem Aufwand. Es geht um einen Webdienst der an beiden Standorten genutzt wird und bei Änderung der Quell IP eine erneute Authentifizierung verlangt.
Von der Bandbreite ist es problemlos möglich, den Client bei Bob über Alice Verbindung laufen zu lassen. Anders herum gibt es bei Alice nicht nur einen Client, der den Dienst nutzt. Wenn ich also hier alle Clients die Verbindung von Bob nutzen lasse stoße ich schon auf Einbußen bei der Performance.
Wie erwähnt geht es mir hier auch um minimalen Aufwand. Die gesteigerte Bequemlichkeit rechtfertigt nicht den Betrieb zusätzlicher Infrastruktur. Es ist auch nur für den privaten Bereich.
Der Client bei Bob ist über das WLAN der FritzBox verbunden und ich habe Zugriff auf die Netzwerkeinstellungen, kann also IP, Gateway etc. ändern. Aktuell bekommt der Client die Konfiguration per DHCP.
Wenn es nicht einfach möglich ist, dann ist es halt nicht einfach möglich. War nur eine Idee von mir, weil die ständige Neu-Authentifizierung nervt.
Von der Bandbreite ist es problemlos möglich, den Client bei Bob über Alice Verbindung laufen zu lassen. Anders herum gibt es bei Alice nicht nur einen Client, der den Dienst nutzt. Wenn ich also hier alle Clients die Verbindung von Bob nutzen lasse stoße ich schon auf Einbußen bei der Performance.
Wie erwähnt geht es mir hier auch um minimalen Aufwand. Die gesteigerte Bequemlichkeit rechtfertigt nicht den Betrieb zusätzlicher Infrastruktur. Es ist auch nur für den privaten Bereich.
Der Client bei Bob ist über das WLAN der FritzBox verbunden und ich habe Zugriff auf die Netzwerkeinstellungen, kann also IP, Gateway etc. ändern. Aktuell bekommt der Client die Konfiguration per DHCP.
Wenn es nicht einfach möglich ist, dann ist es halt nicht einfach möglich. War nur eine Idee von mir, weil die ständige Neu-Authentifizierung nervt.
Im FritzOS 6.56 gibt es die Option für den gesamten Verkehr leider nicht
Tja wer so olle Teile noch mit der alten AVM Firmware benutzt dem gehört eh der Hintern versohlt ... Besorg dir mal vernünftiges Equipment. Auf der alten PlasteElaste kann man das zwar über Umwege auch, erfordert aber manuelles Eingreifen in die Config.Zitat von @4091525239:
Im FritzOS 6.56 gibt es die Option für den gesamten Verkehr leider nicht
Tja wer so olle Teile noch mit der alten AVM Firmware benutzt dem gehört eh der Hintern versohlt ... Besorg dir mal vernünftiges Equipment. Auf der alten PlasteElaste kann man das zwar über Umwege auch, erfordert aber manuelles Eingreifen in die Config.Also ich weiß nicht, ob es allgemein bekannt ist, aber bei Geräten von Unitymedia kann man die Firmware nicht selbst aktualisieren. Der Funktionsumfang ist auch geringer als bei frei verkäuflichen Geräten. Um 1-3 Geräte ins Internet zu bringen reicht es aber aus. Wie geschrieben: Anschaffung von zusätzlicher Hardware oder ein Hardwaretausch sind out of scope.
1. da es für privat ist würde ich das mit einer Linux Kiste als vm machen (Stichwort: JUMPHOST), so kann st du dich einfach bei dem dienst anmelden und kommst mit der richtigen ip raus
2. ich frage mich was für ein dienst im privaten Bereich bei der Authentifizierung auf die ip schaut. kannst du mir das mal sagen, denn wenn wir wissen was genau dieser dienst tut könnte man noch andere Ideen entwickeln.
ich persönlich finde Fritzboxen für DAU`s wunderbar, aber wenn man ordentlich VPN machen will kommt man meiner Meinung nicht an einer ordentlichen VPN Firewall vorbei (pfSense, OPNsense, etc.)
2. ich frage mich was für ein dienst im privaten Bereich bei der Authentifizierung auf die ip schaut. kannst du mir das mal sagen, denn wenn wir wissen was genau dieser dienst tut könnte man noch andere Ideen entwickeln.
ich persönlich finde Fritzboxen für DAU`s wunderbar, aber wenn man ordentlich VPN machen will kommt man meiner Meinung nicht an einer ordentlichen VPN Firewall vorbei (pfSense, OPNsense, etc.)
Zitat von @DoWo87:
Also ich weiß nicht, ob es allgemein bekannt ist, aber bei Geräten von Unitymedia kann man die Firmware nicht selbst aktualisieren.
"Allgemeine Fake-News" ... Freetzen geht "fast" immer weiß eben der "allgemeine Otto" nur nicht ...Also ich weiß nicht, ob es allgemein bekannt ist, aber bei Geräten von Unitymedia kann man die Firmware nicht selbst aktualisieren.
Vielleicht hat der "allgemeine Otto" auch keine Lust sich damit zu beschäftigen und hängt an seiner Garantie...
Aber für mich ist das Thema dann durch, klar könnte ich das Problem durch zusätzlichen Aufwand lösen, aber Aufwand und Nutzen passen dann nicht mehr zusammen.
Vielen Dank für eure Antworten, vielleicht werd ich ja im nächsten Urlaub mal ein paar Dinge probieren und mich dann nochmal melden.
Aber für mich ist das Thema dann durch, klar könnte ich das Problem durch zusätzlichen Aufwand lösen, aber Aufwand und Nutzen passen dann nicht mehr zusammen.
Vielen Dank für eure Antworten, vielleicht werd ich ja im nächsten Urlaub mal ein paar Dinge probieren und mich dann nochmal melden.
