Remotezugriff hinter Fritzbox Double-NAT
Hallo zusammen,
Habe immer noch mit Remote-Zugriff hinter Double NAT und 2 Fritten zu kämpfen.
Folgende Konstellation:
Fritte A 192.168.20.1 mit öffentlicher IP per Lan-Lan VPN mit Fritte B 192.168.21.1 verbunden --> Zugriff auf anderes Subnetz klappt soweit.
Ziel: Zugriff per DynDns auf WebIf von Gerät X 192.168.21.20 hinter Fritte B.
Nach meinem Verständnis fehlt nun noch die Static Route ins Subnetz der 2. Fritte und die Aufweitung der Access Permit Sections der VPN config auf beide Subnetze.
Soweit korrekt ?
Jedenfalls scheitere ich hier am Import der VPN config nach Anleitung AVM Support (Zugriff auf mehrere IP-Netzwerke).
Importiere ich die Modifizierte nach initialer Generierung durch Fritzbox Fernzugang wird keine VPN Verbindung mehr hergestellt.
Wüsste auch nicht wie ich hier detaillierte Fehlermeldungen bekomme oder das debuggen könnte.
Komm ich irgendwie an die durch manuelles Einrichten funktionierenden VPN Configs in der Fritte ran ? Die funzen ja generell.
Grüße
Habe immer noch mit Remote-Zugriff hinter Double NAT und 2 Fritten zu kämpfen.
Folgende Konstellation:
Fritte A 192.168.20.1 mit öffentlicher IP per Lan-Lan VPN mit Fritte B 192.168.21.1 verbunden --> Zugriff auf anderes Subnetz klappt soweit.
Ziel: Zugriff per DynDns auf WebIf von Gerät X 192.168.21.20 hinter Fritte B.
Nach meinem Verständnis fehlt nun noch die Static Route ins Subnetz der 2. Fritte und die Aufweitung der Access Permit Sections der VPN config auf beide Subnetze.
Soweit korrekt ?
Jedenfalls scheitere ich hier am Import der VPN config nach Anleitung AVM Support (Zugriff auf mehrere IP-Netzwerke).
Importiere ich die Modifizierte nach initialer Generierung durch Fritzbox Fernzugang wird keine VPN Verbindung mehr hergestellt.
Wüsste auch nicht wie ich hier detaillierte Fehlermeldungen bekomme oder das debuggen könnte.
Komm ich irgendwie an die durch manuelles Einrichten funktionierenden VPN Configs in der Fritte ran ? Die funzen ja generell.
Grüße
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 833410389
Url: https://administrator.de/forum/remotezugriff-hinter-fritzbox-double-nat-833410389.html
Ausgedruckt am: 07.04.2025 um 00:04 Uhr
25 Kommentare
Neuester Kommentar
Zitat von @pubart:
Hallo zusammen,
Habe immer noch mit Remote-Zugriff hinter Double NAT und 2 Fritten zu kämpfen.
Folgende Konstellation:
Fritte A 192.168.20.1 mit öffentlicher IP per Lan-Lan VPN mit Fritte B 192.168.21.1 verbunden --> Zugriff auf anderes Subnetz klappt soweit.
Hallo zusammen,
Habe immer noch mit Remote-Zugriff hinter Double NAT und 2 Fritten zu kämpfen.
Folgende Konstellation:
Fritte A 192.168.20.1 mit öffentlicher IP per Lan-Lan VPN mit Fritte B 192.168.21.1 verbunden --> Zugriff auf anderes Subnetz klappt soweit.
Von welchem auf welches?
Die zweite Fritte macht NAT, da kannst Du nicht von der ersten "hinter" die zweite Fritte "sehen", trotz korrekter statischer Route-
Ziel: Zugriff per DynDns auf WebIf von Gerät X 192.168.21.20 hinter Fritte B.
Das machst Du per VPN auf die erste Fritte und dann auf die "öffentliche" Adresse der Fritte B per 192.168.20.x.
Nach meinem Verständnis fehlt nun noch die Static Route ins Subnetz der 2. Fritte und die Aufweitung der Access Permit Sections der VPN config auf beide Subnetze.
Dann ist Dein Verständnis falsch. Sofern Du die fritte nicht gefreetzt oder sonstwie gepatcht hast, kommst Du an deren NAT nicht vorbei.
Soweit korrekt ?
Nein.
Jedenfalls scheitere ich hier am Import der VPN config nach Anleitung AVM Support (Zugriff auf mehrere IP-Netzwerke).
Importiere ich die Modifizierte nach initialer Generierung durch Fritzbox Fernzugang wird keine VPN Verbindung mehr hergestellt.
Auf welche Fritte willst Du denn per VPN zugreifen?
Wüsste auch nicht wie ich hier detaillierte Fehlermeldungen bekomme oder das debuggen könnte.
Schau ins LOG oder schneide den traffic mit auf der fritte.
Komm ich irgendwie an die durch manuelles Einrichten funktionierenden VPN Configs in der Fritte ran ? Die funzen ja generell.
Irgendwie ist nicht ganz klar was Du anstellen willst. Du kannst VOn so kanfigurieren, daß Du Dich auf die fritte A verbindest. Dann mußt bei der Fritte B einstellen, daß man auf die "aus dem Internet", was in Deinem Fall das Netz der Fritte A ist, zugreifen kann.
Oder Du machst Fritte B zum exposed Host (schlechte Idee!) und erdest Dein VPN auf der Fritte B.
lks

Moin,
Habe immer noch mit Remote-Zugriff hinter Double NAT und 2 Fritten zu kämpfen.
...
Immer noch? Ich Lese jetzt das erste Mal von deinem "Problem". Dein Verlauf im Profil gibt auch keinen Aufschluss über frühere Aktivitäten. Was hast du bisher unternommen um dem Thema Herr zu werden?
C.C.
Habe immer noch mit Remote-Zugriff hinter Double NAT und 2 Fritten zu kämpfen.
...
Grüße
GrußC.C.
Zitat von @pubart:
Also, zurück zum Anfang: Ich versuche eine Lösung zu finden auf ein Endgerät zu kommen, das an der LTE Fritte (B) hängt und mir keine öffentliche IP bietet.
Meine Bisherige (A) hat eine. Die einzige Lösung, die ich gefunden habe ist die Kopplung beider Fritten per VPN. So soll der Zugriff auf Gerät X im LAN von Fritte B möglich sein.
Zugriff läuft ja auch prinzipiell mit der Kopplung, nur eben ausschließlich aus LAN von Fritte A.
Das muss jetzt nur noch von außen klappen.
Also, zurück zum Anfang: Ich versuche eine Lösung zu finden auf ein Endgerät zu kommen, das an der LTE Fritte (B) hängt und mir keine öffentliche IP bietet.
Meine Bisherige (A) hat eine. Die einzige Lösung, die ich gefunden habe ist die Kopplung beider Fritten per VPN. So soll der Zugriff auf Gerät X im LAN von Fritte B möglich sein.
Zugriff läuft ja auch prinzipiell mit der Kopplung, nur eben ausschließlich aus LAN von Fritte A.
Das muss jetzt nur noch von außen klappen.
Heißt das, daß Du zwei Standorte hast und per VPN verbindest über die Fritten?
Und Du willst per Internet auf die Admin-Oberfläche von B zugreifen?
Dann richte Myfritz ein und gehe über İPv6.
lks
Zitat von @pubart:
Bin mir nicht sicher, ob mein Endgerät (en schaltbares Netzteil) IPv6 unterstützt.
Das steht in den Technischen Daten deines Schaltbaren Netzteils. Und was soll ein Schaltbares Netzteil sein?Bin mir nicht sicher, ob mein Endgerät (en schaltbares Netzteil) IPv6 unterstützt.
Gruß,
Peter
Kollege @lks hat aber auch Recht. Die Schilderung ist in der Tat wirr. Das hier ein Site-to-Site VPN vorliegt haben wir ja mitlerweile verstanden. Gut das koppelt 2 Standorte die dann transparent gegenseitig auf ihre jeweiligen LAN Endgeräte zugreifen können.
Wie nun aber der Zugriff auf das besagte WebIF passieren soll ist vollkommen unklar.
Da bleibt dann dann wohl nur die Kristallkugel....
Wie nun aber der Zugriff auf das besagte WebIF passieren soll ist vollkommen unklar.
- Über ein VPN Client Dialin ?
- Über Port Forwarding ?
Da bleibt dann dann wohl nur die Kristallkugel....
Moin,
um mal zu rekapitulieren, was du überhaupt machen willst (eigentlich sollte das alles in Deiner frage stehen, damit wir nicht raten müssen udn ein Schaubild wäre auch nicht verkert):
Ist das soweit korrekt?
in der Annahme, daß meine Kristallkugel nicht lügt, kann ich Dir da folgendes sagen:
Also:
Dein Vorhaben ist weder sicher noch mit Fritten durchführbar.
lks
um mal zu rekapitulieren, was du überhaupt machen willst (eigentlich sollte das alles in Deiner frage stehen, damit wir nicht raten müssen udn ein Schaubild wäre auch nicht verkert):
- Du hast zwei Standorte A und B
- An Standort A hast Du Festnetzanschluß (DSL/Glasfaser) mit Dual Stack IP
- An Standort B hast DU LTE mit DS-Lite oder CGN (Carrier Grade NAT)
- Du hast die beiden Standorte erfolgreich mit Fritten-VPN gekoppelt.
- Du willst per Port-Weiterleitung vom Internet aus auf Geräte "hinter" den Fritten zugreifen.
- Du willst hinter die Fritte B per Portweiterleitung von A kommen.
Ist das soweit korrekt?
in der Annahme, daß meine Kristallkugel nicht lügt, kann ich Dir da folgendes sagen:
- Die Fritten sind das falsche Werkzeug für das Szenario, weil Du das VPN udn die Routen nciht richtig parametrisieren kannst.
- Du kannst nicht mit den Fritten via Standort A einen Port an den Standort B weiterleiten, weil die Fritte B zu doof ist und die Rückpakete über LTE zurückschickt statt an Fritte A per VPn zurückzugeben. Dazu müßte Fritte A Source-NAT machen. Was die aber ohne Firmware-Tuning nciht beherrscht.
- Ports aus dem Internet direkt an Geräte im LAN weiterzuleiten, insbesondere IoT-Geräte wie "Smart-Steckdosen" ist IT-Sicherheitstechnisch ein SuperGAU.
Also:
Dein Vorhaben ist weder sicher noch mit Fritten durchführbar.
lks
Wird immer undurchsichtiger das ganze.
Aber echt...das versteht ja kein normaler Mensch mehr... Kollege @lks hat also Recht indem er versucht mal etwas Ordnung in dieses völlige Kauderwelsch zu bringen um zu erfahren was der TO denn wirklich will.
Wenn das Site-to-Site VPN rennt und damit dann beide lokalen LANs verbunden sind kann JEDES Endgerät in den jeweiligen lokalen LANs JEDES Endgerät im anderen lokalen LAN erreichen. Der tiefere Sinn eines Site-to-Site VPNs eben.
Damit hat der TO dann doch was er will ?! Zugriff auf die Steckdose vom jeweils anderen lokalen LAN.
Wozu also noch unsicheres Port Forwarding was ein Loch in die Router Firewall bohrt und das ganze VPN Konstrukt dann konterkariert.
Hört sich ein bisschen so an als ob der TO nicht wirklich weiss was der Sinn und Unsinn eines VPNs ist...
Zitat von @aqui:
Wozu also noch unsicheres Port Forwarding was ein Loch in die Router Firewall bohrt und das ganze VPN Konstrukt dann konterkariert.
Hört sich ein bisschen so an als ob der TO nicht wirklich weiss was der Sinn und Unsinn eines VPNs ist...
Wozu also noch unsicheres Port Forwarding was ein Loch in die Router Firewall bohrt und das ganze VPN Konstrukt dann konterkariert.
Hört sich ein bisschen so an als ob der TO nicht wirklich weiss was der Sinn und Unsinn eines VPNs ist...
Meine Kristallkugel sagt, daß er "aus dem Internet" seine Geräte in den Standorten A und B "schalten" will und dazu ein Portforwarding auf den Fritten einsetzt (Wie ich schon sagte: schlechte Idee!) Und da er nciht über fritte B an das Netz dahinter kommt, will er mit dem "Trick" des VPN via Fritte A "von Hinten durch die Brust ins Auge der Fritte B aus dem Internet schießen", was bei den Fritten nicht funktioniert. Ordentliche Router wie pfsense, lanComs, Ciscos etc. könnte man sowas via Source-NAT beibiegen, was ich aber als sicherheitstechnischen Fehler ansehe, wenn man portforwarding statt VPN nutzt.
lks
Zitat von @Xerebus:
Einfach so ein paar china billigstecker/schalter kaufen und in in vlan ins internet lassen.
Da gibts nette apps zum ein und ausschalten.
Einfach so ein paar china billigstecker/schalter kaufen und in in vlan ins internet lassen.
Da gibts nette apps zum ein und ausschalten.
Du meinst so:
https://www.youtube.com/watch?v=onZ4KMM94yI
lks
Zitat von @pubart:
Zitat von @Lochkartenstanzer:
Ist das soweit korrekt?
Absolut richtig.- Du hast zwei Standorte A und B
- An Standort A hast Du Festnetzanschluß (DSL/Glasfaser) mit Dual Stack IP
- An Standort B hast DU LTE mit DS-Lite oder CGN (Carrier Grade NAT)
- Du hast die beiden Standorte erfolgreich mit Fritten-VPN gekoppelt.
- Du willst per Port-Weiterleitung vom Internet aus auf Geräte "hinter" den Fritten zugreifen.
- Du willst hinter die Fritte B per Portweiterleitung von A kommen.
Ist das soweit korrekt?
Ja, es lohnt sich halt, ein paar Euro mehr für eine ordentliche
Dein Vorhaben ist weder sicher noch mit Fritten durchführbar.
lks
lks
Ja verflucht. Was bleibt ? Hätte hier noch nen Teltonika Router. Bekommt man den so konfiguriert, sodass er die Rückpakete an Fritte A durch reicht ?
Kenne ich nicht. Weiß ich nicht. Wenn der Source-NAT und IPSEC mit der Fritte kann sollte es gehen.
lks
PS: Es ist trotzdem eine schlechte Idee den Port 80 per forward aus dem Internet freizugeben.
Thread Originator: Derjenige, der den Thread initiiiert hat, also in diesem Fall/Thread Du.
lks
Absolut falsch.
das doppelte NAT lässt sich einfach umgehen, wenn du das Routing auf dem PC anpasst und der Fritzbox sagst, dass sie auch die anderen Subnetze bedienen soll:
Fritzbox -> Netzwerk -> Netzwerkeinstellungen -> IPv4-Routen:
Ich war faul, einfach alles routen: 192.168.0.0 / 255.255.0.0 192.168.178.10 (ROUTER)
Am Router dann folgendes einstellen:
iptables -A FORWARD -o eth0 -j ACCEPT
iptables -A FORWARD -o eth0 -j ACCEPT
und schon sind alle Netze ohne NAT erreichbar.
Hoffe die grobe Zusammenfassung hilft...
das doppelte NAT lässt sich einfach umgehen, wenn du das Routing auf dem PC anpasst und der Fritzbox sagst, dass sie auch die anderen Subnetze bedienen soll:
Fritzbox -> Netzwerk -> Netzwerkeinstellungen -> IPv4-Routen:
Ich war faul, einfach alles routen: 192.168.0.0 / 255.255.0.0 192.168.178.10 (ROUTER)
Am Router dann folgendes einstellen:
iptables -A FORWARD -o eth0 -j ACCEPT
iptables -A FORWARD -o eth0 -j ACCEPT
und schon sind alle Netze ohne NAT erreichbar.
Hoffe die grobe Zusammenfassung hilft...
Wenns das denn nun war bitte dann auch nicht vergessen deinen Thread hier als erledigt zu schliessen!