4
Router Kaskade mit mehreren Hops - Wireguard
Hallo zusammen,
habe hier (aus der Historie heraus) eine etwas blöde Situation und stell mich vermutlich doof an, ich hoffe ihr könnt mir helfen.
Folgende Situation: Es muss eine bestehende Fritzbox mit allen Einstellungen und eigenem DHCP ins Netz übernommen werden. Auf dieser Fritzbox sind Wireguard Tunnel eingerichtet, die auch genutzt werden sollen.
Umgebung:
- Internet via Glasfaser
- Lancom Router mit internem Netz 192.168.0.x
- Cisco Switch mit Routing aktiv + VLAN + ACL (zur Trennung damit sich die Netze untereinander nicht finden)
Die Fritzbox hängt jetzt an einem der VLANs im Cisco Switch, bekommt von diesem eine IP und der Traffic wird entsprechend geroutet.
Internet geht, Speed passt aber den Wireguard Tunnel bekomme ich nicht zur Fritzbox durch.
Im Lancom steht der betroffene UDP Port als PortForwarding an die Fritzbox WAN IP drin. Dort kommen aber keine Daten an. Ich kann vom Lancom aus den die Fritzbox "WAN" IP nicht anpingen. Der erste Hop ist ansprechbar (Lancom an Cisco), Lancom an Fritz wiederum nicht.
Bitte um Hilfe wie man das korrekt macht (ein bestehendes Topic mit mehrfachen Hops habe ich nicht gefunden, aber ggf. natürlich bitte verlinken - dann lese ich mich dort ein).
Danke
Marco
habe hier (aus der Historie heraus) eine etwas blöde Situation und stell mich vermutlich doof an, ich hoffe ihr könnt mir helfen.
Folgende Situation: Es muss eine bestehende Fritzbox mit allen Einstellungen und eigenem DHCP ins Netz übernommen werden. Auf dieser Fritzbox sind Wireguard Tunnel eingerichtet, die auch genutzt werden sollen.
Umgebung:
- Internet via Glasfaser
- Lancom Router mit internem Netz 192.168.0.x
- Cisco Switch mit Routing aktiv + VLAN + ACL (zur Trennung damit sich die Netze untereinander nicht finden)
Die Fritzbox hängt jetzt an einem der VLANs im Cisco Switch, bekommt von diesem eine IP und der Traffic wird entsprechend geroutet.
Internet geht, Speed passt aber den Wireguard Tunnel bekomme ich nicht zur Fritzbox durch.
Im Lancom steht der betroffene UDP Port als PortForwarding an die Fritzbox WAN IP drin. Dort kommen aber keine Daten an. Ich kann vom Lancom aus den die Fritzbox "WAN" IP nicht anpingen. Der erste Hop ist ansprechbar (Lancom an Cisco), Lancom an Fritz wiederum nicht.
Bitte um Hilfe wie man das korrekt macht (ein bestehendes Topic mit mehrfachen Hops habe ich nicht gefunden, aber ggf. natürlich bitte verlinken - dann lese ich mich dort ein).
Danke
Marco
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 671954
Url: https://administrator.de/forum/router-kaskade-mit-mehreren-hops-wireguard-671954.html
Ausgedruckt am: 14.03.2025 um 16:03 Uhr
4 Kommentare
Neuester Kommentar
Mahlzeit.
Warum hängst du die Fritte nicht direkt an den Lancom?
Das Portforwarding vom Lancom auf die Fritzbox wird vermutlich daran scheitern, dass du den Cisco nicht ebenfalls über das NAT informiert hast.
Gibt es statische Routen zwischen Fritzbox, Cisco und dem Lancom?
Ansonsten wird das nichts werden.
VPN durch eine Router Kaskade ist immer ein Kreuz und sollte vermieden werden, wo nur irgend möglich.
Gruß
Marc
Warum hängst du die Fritte nicht direkt an den Lancom?
Das Portforwarding vom Lancom auf die Fritzbox wird vermutlich daran scheitern, dass du den Cisco nicht ebenfalls über das NAT informiert hast.
Gibt es statische Routen zwischen Fritzbox, Cisco und dem Lancom?
Ansonsten wird das nichts werden.
VPN durch eine Router Kaskade ist immer ein Kreuz und sollte vermieden werden, wo nur irgend möglich.
Gruß
Marc
aber den Wireguard Tunnel bekomme ich nicht zur Fritzbox durch.
Sehr wahrscheinlich ist das Glasfaser Netz ein CG-NAT Netz, kann das sein??Falls ja ist damit dann eine eingehende IPv4 Verbindung auf die Fritzbox generell technisch nicht möglich. Egal ob VPN oder Port Forwarding.
Du kannst dann den Tunnel nur per IPv6 betreiben und im Tunnel IPv4 routen. Das bedingt aber das dann auch der VPN Client in einem IPv6 Netz arbeitet. Ist dort nur v4 aktiv scheitert der Tunnelaufbau, wie bereits gesagt, am CG-NAT Gateway des Providers. Multi Hop ist hier sicher nicht das Problem.
Als Lösung bleibt dir dann nur die IPv6 Alternative oder ein vServer als VPN Jumphost. Das Jumphost Kapitel erklärt auch warum VPN Responder (Server) an einem CG-NAT / DS-Lite Provideranschluss scheitern.
Alle relevanten Details zu der Thematik erklärt dir das hiesige Wireguard Tutorial:
Merkzettel: VPN Installation mit Wireguard
Statische Routen auf dem Cisco:
nein, die next hops sind in der IP Routingtabelle korrekt dargestellt (directly connected). Deswegen dachte ich ansich das der Teil korrekt gehandelt wird.
@aqui
Kein CG-NAT, das ist ein glücklicherweise ein Business Anschluss. Das interne Wireguard läuft auf einem separatem Mikrotik bereits erfolgreich, aber ohne den Hop über den Cisco (weil quasi Stammnetz).
Den Anschluss direkt an den Lancom hatte ich mir in dem Zug auch schon überlegt, aber dann wäre die Idee die Netze schön über den Cisco zu trennen dahin und man müsste sich zwei separate Geräte anschauen wenn es um die Netztrennung geht.
Verhält sich die statische Route auf dem Cisco anders als die wohl automatisch erkannte IP-Forwarding Tabelle?
LG
nein, die next hops sind in der IP Routingtabelle korrekt dargestellt (directly connected). Deswegen dachte ich ansich das der Teil korrekt gehandelt wird.
@aqui
Kein CG-NAT, das ist ein glücklicherweise ein Business Anschluss. Das interne Wireguard läuft auf einem separatem Mikrotik bereits erfolgreich, aber ohne den Hop über den Cisco (weil quasi Stammnetz).
Den Anschluss direkt an den Lancom hatte ich mir in dem Zug auch schon überlegt, aber dann wäre die Idee die Netze schön über den Cisco zu trennen dahin und man müsste sich zwei separate Geräte anschauen wenn es um die Netztrennung geht.
Verhält sich die statische Route auf dem Cisco anders als die wohl automatisch erkannte IP-Forwarding Tabelle?
LG
Kein CG-NAT, das ist ein glücklicherweise ein Business Anschluss.
Ein Glück! 😉Was du noch nicht gesagt hast ist ob die Fritzbox überhaupt an ihrem LAN 1 Port pingbar ist oder ob deren Firewall eingehendes ICMP blockiert.
Hier wäre es sinnvoll einmal aus dem VLAN an dem die Fritte mt ihrem LAN 1 Port hängt diese zu pingen um zu checken das sie überhaupt am WAN/LAN1 pingbar ist.
Generell hast du ja ein Layer 3 Konzept umgesetzt wie es HIER beschrieben ist.
Ein neues VLAN für die Fritte erzwingt dann auch immer eine neue statische Route in dieses VLAN auf dem Lancom. Hast du das erstellt?
Wenn ja wäre es wichtig zu wissen ob der Lancom zu mindestens die zum Fritten VLAN korrespondierende Switch IP pingen kann?
Ist das der Fall kann man ein Routing Problem sicher ausschliessen. Sofern der Fritten WAN/LAN1 generell pingbar ist müsste er dann auch vom Lancom pingbar sein. Natürlich nur wenn keine deiner ACLs dies verhindern.
Ist das Obige auch alles soweit sauber dann musst du etwas ins Eingemachte und zuallererst wasserdicht checken ob der Lancom eingehende Wireguard UDP Frames an die Fritten WAN IP forwardet.
Dazu hast du 2 Optionen:
- Mirror Port auf dem Cisco einrichten und einen Wireshark anschliessen
- L3 Switch temorär vom Lancom abstöpseln und einen Wireshark PC mit gleicher IP wie der Switch im Lancom Netz anschliessen. Der Lancom "merkt" nicht das das kein L3 Switch mehr ist und forwardet seine Port geforwardeten Frames, sofern seine Routing Tabelle stimmt, dann an den als Switch "getarnten" Wireshark PC. Hier müsstest du dann diese UDP Frames mit dem von dir verwendeten WG Port im Capture sehen können wenn alles so läuft wie es soll.
Viele billige Router supporten oftmal ein Port Forwarding nicht wenn dort keine lokale IP als Forwarding Adresse definiert ist.
Da aber ein Lancom generell nicht zu dieser Art Router gehört kann man das wohl ausschliessen.
Auch das kannst du als Crosscheck einmal testen indem du die Portforwarding Zieladresse auf eine lokale unbenutzte umstellst und...du ahnst es schon...den Wireshark PC mit dieser IP dranhängst.
Kommen die Frames dann an aber mit eine nicht lokalen IP nicht, dann hast du ein Lancom Problem aber wir wollen mal nicht negativ denken...
Verhält sich die statische Route auf dem Cisco anders
Nein, die sagt dem Router ja nur wo welche IP Zieladressen hingesendet werden die NICHT in seinen lokalen Netzen liegen. Siehe L3 Konzept Tutorial oben.als die wohl automatisch erkannte IP-Forwarding Tabelle?
Automatisch erkannte??? Hier verwechselst du vermutlich irgendetwas. Die Port Forwarding Tabelle kennt logischerweise einzig und allen NUR der Lancom! Der Cisco weiss davon nix. Logisch, denn Port Forwarding gibt es auf einem Switch gar nicht.
