matze511
Goto Top

VPN DMZ 2 Fritzboxen

Hallo liebe User,

ich benötige etwas Hilfe. Ich hab mir mit eurer Hilfe einen Server eingerichtet und ein DMZ für den kleinen Mann ( 2 Fritz Boxen). Nun komm ich leider über VPN nicht mehr in mein Privates Netzwerk rein (Fritz Box 2).
Was muss ich noch in der ersten Fritz.box einstellen das ich durch das DMZ durchgelange. Der Server steht hinter der ersten Fritz Box und könnte von außen erreicht werden aber da ich noch eine Cam und kleine andere Dinge im privaten Netzwerk habe möchte ich diese gern von außen erreichen. aber leider geht das nun nicht mehr.

Danke schonmal für eure Hilfe.

LG Matze

Content-Key: 42693805110

Url: https://administrator.de/contentid/42693805110

Printed on: July 21, 2024 at 21:07 o'clock

Member: radiogugu
radiogugu Mar 10, 2024 updated at 09:01:47 (UTC)
Goto Top
Morschen.

Bitte mal die Schublade mit den Details öffnen und diese Infos dann hier reinkippen face-smile

Welche IP Subnetze sind auf beiden Seiten vorhanden und wie mit einander verbunden? Was für Internet Anschlüsse sind vorhanden (Dual Stack / Dual Stack Lite / reiner IPv4)?

Gehen Pings durch den Tunnel?

Gruß
Marc
Member: aqui
aqui Mar 10, 2024 updated at 09:13:14 (UTC)
Goto Top
Was muss ich noch in der ersten Fritz.box einstellen das ich durch das DMZ durchgelange.
Sämtliche VPN relevanten Konfig einträge von dieser FB entfernen. Ebenso ggf. angelegte VPN User.

Dann entsprechend ein Port Forwarding der VPN Protokoll Ports auf der ersten FritzBox anlegen mit Ziel WAN IP 2te Fritzbox. Fertisch...

Leider ist deine Beschreibung sehr oberflächlich und zwingt zum Kristallkugeln da du es nicht einmal geschafft hast dein verwendetes VPN Protokoll zu benennen. face-sad
Sollte dieses IPsec sein musst du UDP 500, UDP 4500 und ESP forwarden. Bei Wireguard dann der verwendete UDP Port.
Guckst du dazu auch HIER.
Member: matze511
matze511 Mar 10, 2024 at 10:21:58 (UTC)
Goto Top
Hi, und erst einmal danke für die kurzen Infos.
Also die erste FB hatte ich vorher komplett zurück gesetzt, sprich kein Benutzer oder irgendwas installiert. Sie ist rein die Internetanbindung und hat die Subnet 192.168.97.xxx.
Die Zweite bezieht das Internet von der ersten FB über WAN und hat das Subnet 192.168.179.xxx für das private Netzwerk.

Ich hab in der 2. ein VPN IPSec erstellt, dieses muss doch durch die DMZ geroutet werden richtig?
Benutze ich da die statischen Routen oder erstelle ich eine Portfreigabe für die 2.FB?
Welche Ports muss ich da benutzen?

LG Matze
Member: radiogugu
radiogugu Mar 10, 2024 updated at 10:29:22 (UTC)
Goto Top
Die Zweite bezieht das Internet von der ersten FB über WAN und hat das Subnet 192.168.179.xxx für das private Netzwerk.

Das Fritzbox interne Gastnetz hat dieses Subnetz.

Keine Ahnung, ob das kollodiert, selbst wenn das Gastnetz deaktiviert ist.

Eventuell hier mal ein anderes Subnetz verwenden.

Gruß
Marc
Member: matze511
matze511 Mar 10, 2024 updated at 10:43:06 (UTC)
Goto Top
Funktioniert schon seit Jahren super, Gastnetz ist deaktiviert bzw hat einen anderen Adressbereich👍🏻
Wäre aber kein Problem das in zB 192.169.181.xxx umzubauen aber dann sind alle festen IP‘s futsch😳
Member: radiogugu
radiogugu Mar 10, 2024 at 10:50:42 (UTC)
Goto Top
Zitat von @matze511:
Funktioniert schon seit Jahren super, Gastnetz ist deaktiviert bzw hat einen anderen Adressbereich👍🏻

Wenn dem so ist, was hat sich denn wann geändert?

Oder sind jetzt andere Anforderungen gegeben?

Gruß
Marc
Member: matze511
matze511 Mar 10, 2024 at 11:00:12 (UTC)
Goto Top
Es ist das ich durch die DMZ nicht mehr durch komme scheinbar, versuche nacher mal das Port Forwarding, was aqui geschrieben hat.
Ich glaube hier im Forum waren die Ports mal erwähnt worden.

Gruß Matze
Member: aqui
aqui Mar 10, 2024 updated at 11:10:49 (UTC)
Goto Top
dieses muss doch durch die DMZ geroutet werden richtig?
Ja, denn dessen Absender IP (WAN Port, LAN-1 IP) liegt ja im lokalen Netzwerk von FB-1.
Benutze ich da die statischen Routen
Das kommt drauf an wie du die LAN-1 (WAN) Port IP der kaskadierten Box definiert hast? 🤔
Idealerweise nimmt man dafür eine feste statische IP, da ja der Port Forwarding Eintrag der davorliegenden FB auf diese IP zeigt.
Bei DHCP besteht immer die Gefahr das sich durch die DHCP Dynamik diese IP ändert und dann der Port Forwarding Eintrag mit einmal ins Nirwana zeigt.
Wenn man DHCP verwendet, sollte man den Lease dieser IP zumindestens auf statisch klicken so das die IP immer fest auf Basis ihrer Layer 2 Hardware Adresse (Mac Adresse) vergeben wird.
Idealerweise legt man sie dann ganz ans Ende der Adressrange (.z.B. .254) so das keine Gefahr besteht das es Überschneidungen mit dem DHCP Pool gibt.
Ob die Wahl der von AVM fest vorgegebenen Gastnetz IP Range besonders intelligent ist musst du selber entscheiden. Siehe zu der Thematik auch hier.

Du kannst das ganze Konstrukt vorab einmal wasserdicht testen indem du die kaskadierte FB einmal temporär abstöpselst und statdessen einen PC mit gleicher IP anschliesst der einen Wireshark Sniffer an Bord hat.
Dann machst du einen VPN Connect Versuch und checkst ob du am Wireshark eingehende UDP 500 (IKE) Pakete von der remoten Location siehst (Absender IP)!
Das stellt dann sicher das das IPsec Port Forwarding (UDP 500, 4500, ESP) an der ersten FB sauber funktioniert und dieser VPN Traffic auch sicher an der zweiten FB ankommt!
Bedenke das ein remoter Zugriff per IPv4 technisch generell NICHT möglich ist wenn die erste FB an einem DS-Lite Anschluss betrieben wird!
Member: radiogugu
radiogugu Mar 10, 2024 updated at 11:20:00 (UTC)
Goto Top
Es wäre, nach wie vor, hilfreich, wenn du eine Zeichnung des Netzwerks mit ein paar Verbindungen bereitstellen könntest.

Meine Vermutung ist aktuell, dass du zwei Fritzboxen in einer Kaskade hinter einem Internetanschluss betreibst.

Du willst dich per VPN auf die eine Fritzbox von außen einwählen und das dahinterliegende Netzwerk der zweiten Fritzbox erreichen, korrekt?

Dann hilft dir hier die statische Route, wie von dir und @aqui beschrieben.

Gruß
Marc
Member: aqui
aqui Mar 10, 2024 updated at 11:23:59 (UTC)
Goto Top
Versteht man ihn richtig wählt er sich per VPN auf die zweite, kaskadierte Fritzbox ein, was technisch auch der korrekte Weg ist.
Die davor liegende FB reicht das VPN nur per Port Forwarding an die 2te weiter. Klassische Router Kaskade also... face-wink
Member: DivideByZero
DivideByZero Mar 10, 2024 at 12:04:22 (UTC)
Goto Top
Moin,

Zitat von @matze511:
Ich glaube hier im Forum waren die Ports mal erwähnt worden.

wohl nicht nur im Forum, sondern auch im Thread 😉:

Zitat von @aqui:
Sollte dieses IPsec sein musst du UDP 500, UDP 4500 und ESP forwarden. Bei Wireguard dann der verwendete UDP Port.
Guckst du dazu auch HIER.

Also der Anleitung von aqui folgen:
  • keinerlei VPN auf der ersten Box (sonst gibt die die Ports nicht frei)
  • auf der ersten Box Portweiterleitung der erforderlichen Ports auf die IP der zweiten Box
  • die IP der zweiten Box im Netz der ersten Box sollte sinnvollerweise statisch sein (z.B. 192.168.97.254), sie muss ja aus diesem Netz eine Adresse als WAN-Adresse haben: 192.168.97.xxx

Gruß

DivideByZero
Member: matze511
matze511 Mar 10, 2024 at 12:09:06 (UTC)
Goto Top
genau Router Kaskade, ich kam nicht auf den Namen im ersten Post.
Also die zweite FB hat eine feste IP am WAN Port (LAN 5)
Hab nun diese IP in der ersten FB genommen und genau 3 Portfreigaben erstellt. Diese werden auch mit einem grünen Punkt als aktiv gekennzeichnet.
In der 2. FB hab ich die VPN komplett erstmal rausgeschmissen und eine neue VPN IPSec erstellt aber da bekomm ich leider kein Aktiv gezeigt.....hm.
Kann es daran liegen das der Account mit Freizeichen geschrieben wurde?
Auf dem Tel erscheint ein Popup mit "der Server ist nicht erreichbar"

Gruß Matze
Member: radiogugu
radiogugu Mar 10, 2024 updated at 12:20:33 (UTC)
Goto Top
In der 2. FB hab ich die VPN komplett erstmal rausgeschmissen und eine neue VPN IPSec erstellt aber da bekomm ich leider kein Aktiv gezeigt.....hm.

Also hast du einen neuen Benutzer über die GUI erstellt, der VPN nutzen darf?

Kann es daran liegen das der Account mit Freizeichen geschrieben wurde?
Auf dem Tel erscheint ein Popup mit "der Server ist nicht erreichbar"

Leerzeichen in Benutzernamen, Adess-Objekten sind nicht immer gut und sollte man möglichst vermeiden.

Von wo aus hast du die VPN Verbindung versucht aufzubauen. Aus dem Mobilfunknetz oder aus dem Netz der ersten Fritzbox?

Beides sollte ja klappen an der Stelle.

Aus dem Netz der ersten Fritzbox kannst du ja mal testen, ob du eine Verbindung zustande bekommst, wenn du als Server die WAN IP der zweiten Fritzbox im Smartphone einträgst.

Gruß
Marc
Member: DivideByZero
DivideByZero Mar 10, 2024 at 12:45:56 (UTC)
Goto Top
Aus dem Netz der ersten Fritzbox kannst du ja mal testen, ob du eine Verbindung zustande bekommst, wenn du als Server die WAN IP der zweiten Fritzbox im Smartphone einträgst.

Und das ganze idealerweise so, dass Du ein Endgerät in das Netz der ersten Fritz!Box hängst und einen Client nutzt, der vernünftige Logfiles führt und so weitergehende Fehler anzeigt. Ggf. Laptop an Lan-Port der Fritz!Box 1 hängen, Shrewsoft VPN unter Windows installieren und - wie @radiogugu sagt - als VPN-Server die WAN-IP der Fritz!Box 2 (192.168.97.irgendwas) angeben. Dann schaltet das schon einmal alles von außerhalb/Internet als Fehlerquelle aus.

Gruß

DivideByZero

P.S.: Welche Port-Freigaben hast Du genau wie gemacht?
Member: matze511
matze511 Mar 10, 2024 at 13:10:33 (UTC)
Goto Top
Hi,

zu 1. ja ich hab einen neuen Benutzer erstellt ohne schnickschnack im Namen über die FB Weboberfläche.

zu 2. die VPN Verbindung hab ich in der 2. FB erstellt und auf dem Telefon eingetragen. Ja aus dem Mobilfunknetz.
Alles sollte über die Adresse von ... .myfritz.net aufgebaut werden.

Besteht die Möglichkeit das die 2. FB, durch ihre Firewall Regel, dies nicht zulässt, da man ja aus dem Adressbereich der 1. FB ("DMZ") nicht auf das private Netzwerk zugreifen darf? Aber anders herum schon.

Gruß Matze
Member: radiogugu
radiogugu Mar 10, 2024 at 13:31:44 (UTC)
Goto Top
Der 1. Fritzbox hat man ja "abgewöhnt" sich um VPN Pakete (über Ports 500, 4500 und das Protokoll ESP) zu kümmern, sondern diese an die 2. Fritzbox weiterzuleiten.

Dort wird bei angelegtem Benutzer mit der Erlaubnis VPN zu benutzen ja eingehend auch auf diese Ports gehört.

Bitte mal den obigen Tipp mit Wireshark umsetzen und schauen, ob auf der WAN IP von der 2. Fritzbox die entsprechenden Ports bei einem Verbindungsversuch auch anklopfen.

Gruß
Marc
Member: aqui
aqui Mar 10, 2024 updated at 13:56:30 (UTC)
Goto Top
und auf dem Telefon eingetragen.
Sprich dein Telefon ist der IPsec VPN Client der sich zur FB verbinden soll?? 🤔
Beachte das die Fritzbox im Default nur IKEv1 und den Agressive Mode bei IPsec supportet!! Das muss man entsprechend auf dem IPsec Client im Telefon dann auch einrichten.

Sollte der VPN Client (Telefon) nur den Main Mode supporten musst du das der FritzBox mit einer IPsec Konfig Datei beibringen ("mode = phase1_mode_idp;"). Das geht nicht über das WebGUI. Guckst du dazu auch hier.
Member: matze511
matze511 Mar 10, 2024 at 15:02:03 (UTC)
Goto Top
oha jetzt wird es kompliziert mit dem Link😳
Member: aqui
aqui Mar 10, 2024 updated at 17:05:59 (UTC)
Goto Top
"Kompliziert" ist in einem Administrator Forum bekanntlich immer relativ! face-wink
Kläre doch schlicht und einfach welchen IPsec Mode dein Telefon verwendet. Das schafft doch Klarheit und sagt einem auch der gesunde IT Verstand!
Member: DivideByZero
DivideByZero Mar 10, 2024 at 19:06:04 (UTC)
Goto Top
Alternativ testen mit Shrew VPN, oder, weiter alternativ, Wireguard auf der Fritz!Box einrichten und auf einem beliebigen Endgerät und dann dort in die Logs schauen (der Kabelhai dürfte wohl zu kompliziert sein).
Member: matze511
matze511 Mar 11, 2024 at 06:53:57 (UTC)
Goto Top
Moin,

bei Wireguard bekomme ich ein VPN aber nur auf dem Telefon (iPhone), zumindest gibt es da keine Meldung "Server nicht erreichbar" aber eine Verbindung nach Hause bekomme ich nicht.
Wenn ich dann in den Einstellungen schaue steht da als Server 127.0.0.1, das ist doch der Localhost.

Gruß Matze
Member: aqui
aqui Mar 11, 2024 at 07:16:04 (UTC)
Goto Top
aber eine Verbindung nach Hause bekomme ich nicht.
Du bist dir sicher das zuhause auch keine DS-Lite Verbindung aktiv ist?? Bei DS-Lite Anschlüssen ist der IPv4 Zugang technisch generell nicht möglich!
Member: matze511
matze511 Mar 11, 2024 at 07:40:03 (UTC)
Goto Top
Bevor ich die Router Kaskade installiert hatte, funktionierte es doch, also sollte ja kein DS-Lite installiert sein.
Oder versteh ich da was falsch?
Member: matze511
matze511 Mar 11, 2024 at 07:48:12 (UTC)
Goto Top
Oh ich hab mir deinen Link gerade durchgelesen, das könnte natürlich doch sein.
Da ich im Router zwar eine IPv4 sehe aber auch immer eine IPv6 bekomme.
Mein DSL ist von O2 und Mobil auch bei O2, vlt hilft das ja weiter.
Member: aqui
aqui Mar 11, 2024 updated at 08:02:01 (UTC)
Goto Top
Da ich im Router zwar eine IPv4 sehe aber auch immer eine IPv6 bekomme.
Das muss erstmal nix heissen, denn das ist auch an einem normalen Dual Stack Anschluss der Fall.
Leider hast du den Link nicht wirklich durchgelesen oder verstanden, denn dann wüsstest du das es auf die IPv4 Adresse ankommt bzw. den Bereich aus dem diese stammt!!
  • Ist es eine öffentliche IPv4 Adresse ist alles gut!
  • Ist es eine aus dem RFC-1918 Bereich oder eine RFC-6598 Adresse, dann ist es ein DS-Lite Anschluss.
Member: matze511
matze511 Mar 11, 2024 at 08:44:18 (UTC)
Goto Top
Bis jetzt war es immer eine öffentliche IPv4.
Ich werde nach Feierabend mal versuchen ob ich mit VPN auf den ersten Router komme, dann sollte das ja schon Ausgeschlossen sein oder?
Member: DivideByZero
Solution DivideByZero Mar 11, 2024 at 09:16:27 (UTC)
Goto Top
Zitat von @matze511:

Moin,

bei Wireguard bekomme ich ein VPN aber nur auf dem Telefon (iPhone), zumindest gibt es da keine Meldung "Server nicht erreichbar" aber eine Verbindung nach Hause bekomme ich nicht.
Wenn ich dann in den Einstellungen schaue steht da als Server 127.0.0.1, das ist doch der Localhost.

Gruß Matze

Guten Morgen,

Du solltest wirklich erst einmal lokal testen. Wenn iPhone, dann das in das WLAN der ersten Box, und als VPB Server die interne Wan Adresse der 2. Box aus dem Netz der ersten. Dann weißt Du, ob das überhaupt funktioniert. Zugriff von außen dann erst im 2. Schritt testen.
Member: aqui
aqui Mar 11, 2024 at 09:19:39 (UTC)
Goto Top
ob ich mit VPN auf den ersten Router komme, dann sollte das ja schon Ausgeschlossen sein oder?
Das ist richtig!
Member: matze511
matze511 Mar 11, 2024 at 15:43:32 (UTC)
Goto Top
Hi,

also mit VPN komm ich ohne Probleme auf die erste Fritzbox.
Also wird es entweder nicht weiter geleitet oder die 2. FB verhindert den zugriff.
Member: matze511
matze511 Mar 11, 2024 at 15:55:39 (UTC)
Goto Top
jetzt wird mir einiges klar, durch dieses "hier steht irgendwas.myfritz.net" Konto bezieht der Server von AVM die öffentliche IP, funktioniert scheinbar wie DDNS und auf der Seite wo ich in mein Konto einsehen kann ist die IP der 2. FB eingetragen, also nicht die öffentliche. Logisch da ich ja hier zu hause keine feste IP hab muss ich ja einen Umweg gehen.
Hm wie könnte man das am besten bewerkstelligen?

Gruß Matze
Member: aqui
aqui Mar 11, 2024 updated at 16:02:28 (UTC)
Goto Top
Also wird es entweder nicht weiter geleitet
Ja, wie schon vermutet eine Fehlkonfiguration der ersten Fritzbox! face-sad

Setze die auf die Factory Defaults (Werkseinstellung) und konfiguriere dort ausschliesslich NUR die Provider Zugangsdaten und passe ggf. deine lokale IP Adressierung an und richte die Port Forwardings ein. Ggf. noch DDNS wenn du wechselnde WAN IPs hast.
Keine weiteren Konfigurationen auf dieser Box. Keine User kein nix!
funktioniert scheinbar wie DDNS
Das IST die AVM eigene DDNS Funktion! Sorry, aber das weiss doch nun auch jeder Laie! 🧐
Logischerweise darf nur eine einzige FB den DDNS Client am laufen haben und zwar immer die erste FB. Logisch, denn diese hält ja die öffentliche IP die der DDNS für den Zugang kennen muss.
Die kaskadierte FB nurt eine nicht routebare RFC1918 IP. Die an den DDNS Dienst zu forwarden wäre Blödsinn. Fazit: Keinen DDNS Dienst auf der 2ten FB aktivieren! Sagt einem aber auch der gesunde IT Verstand. face-wink
Mit einer richtigen DMZ wäre der ganze Hühnerkram schon längst erledigt... face-sad
Member: matze511
Solution matze511 Mar 11, 2024 at 16:15:05 (UTC)
Goto Top
Okay besten dank an Euch 2.
Hab es jetzt so gemacht:
- auf der 2. FB VPN eingerichtet
- alle Daten in das Telefon eingetragen, bis auf den Server
- in der ersten FB die DDNS von AVM eingerichtet
- und diese dann als Server auf dem Telefon eingetragen
- auf der ersten wieder die Test VPN und Test Benutzer gelöscht

Somit hab ich immer die richtige öffentliche IP und komme auch wieder ins Heimnetz (Wechselrichter, Cam etc.).
Ich hoffe das geht so?

Gruß Matze
Member: aqui
aqui Mar 11, 2024 updated at 16:21:43 (UTC)
Goto Top
auf der ersten wieder die Test VPN und Test Benutzer gelöscht
Besser auf Werkseinstellungen zurücksetzen, damit wir hier nicht noch endlos weiter raten und kristallkugeln müssen was du da sonst noch in der Konfig hast was die korrekte Funktion verhindert...
Viel wichtiger ist doch die Frage ob es nun alles klappt mit deinem Setup und das Drama hier nun endlich ein Ende hat?! 🤔
Member: matze511
matze511 Mar 11, 2024 at 16:26:33 (UTC)
Goto Top
Ja es Funktioniert.
Ja aber da soll erstmal jemand drauf kommen und auf der 1. FB ist und war nichts weiter drauf als der Internetzugang und nun das Port-Forwarding.
Member: aqui
aqui Mar 11, 2024 at 16:35:04 (UTC)
Goto Top
und auf der 1. FB ist und war nichts weiter drauf als der Internetzugang
Das sagst DU!! Das da noch irgendwelcher anderer Murks drauf war liegt ja auf der Hand und hätte den Thread obsolet gemacht wenn das Setup sauber gewesen wäre. Aber nundenn...
Case closed... und wir können die Woche ruhig angehen... 😉