VPN - Fritzbox - Problem bei der DDNS Portweiterleitung - (Raspberrry IP für eine Portweiterleitung)

Hey,
ja, wenn es nach mir gehen würde, dann würde ich natürlich die Router tauschen, aber da auch die Fritz Comfort Funktionen, wie DECT SmartHome Steckdosen genutzt werden, geht das natürlich nicht. Bleiben wir bei der Ausgangssituation.

iptabels schaue ich mir gerade an, aber irgendwie bezweifle ich das dies geht denn, von der FB1 öffentlich kommt ja eine Anfrage mit Port.

XYZ.ddns.org:5000 --> Raspberry PI (192.168.10.4) --> NAS (192.168.20.100:5000)
oder
XYZ.ddns.org:5555 --> Raspberry PI (192.168.10.4) --> TV-REC (192.168.20.100:5555)

Aber wie biege ich die Ports zurecht?! Ein IP Routing alleine wird nicht gehen.
Ich habe hier auch noch einen MikroTik hAP lite (RB941-2nD) rumliegen, ich bin am überlegen ob nicht damit mein Vorhaben funktioniert.

@ aqui (Level 5)

1. wir sind hier in einem Administrator Forum, da muss ich mich nicht beschimpfen lassen.
2. bin ich an einer Lösung Interessiert und nicht an einer Kritik meiner Fragestellung
3. bin ich kein Laie
4. überwiegend haben die Anwender aber LTE Anschlüsse, die keine öffentliche IP-Adresse haben. (Es tut mir für dich leid, dass meine Formulierung nicht NUR an Profis gerichtet war/ist)
5. der NAS ist ein Synology und kein RaspberryPI
6. Unterstellung, keiner spricht hier von einer Unverschlüsselten Weiterleitung. Alle Portweiterleitungen sind bzw. werden SSL verschlüsselt.
7. NEIN, die FritzBox lässt nur Portweiterleitungen an IP-Adressen zu, die sie auch kennt, also die 1.Fritzbox kennt nur die Geräte im 192.168.10.0 Netz. Sobald man z.B. eine 192.168.20.10 eingibt, die durch den eigenen bereitgestellten VPN erreichbar ist, kommt eine Fehlermeldung. Die FritzBox kann das also scheinbar nicht. Aus dem internen Netz kennt die FB1 das IP-Netz 192.168.20.X, aus dem öffentlichen Netz aber nicht und ich habe auch kein IP-Gerät zur Auswahl, auf den ich weiterleiten kann, denn die FB1 selber macht ja die VPN ins nächste Netz.

Auf deinen Link (AVM):
https://avm.de/service/vpn/praxis-tipps/mit-fritzfernzugang-auf-mehrere- ...

wird lediglich erläutert, wenn eine zweite FritzBox im gleichen Netz mit hängt (IP-Client), ja dann hätte ich auch ein auszuwählendes Gerät in der Portweiterleitungsliste. Ja in meinem Fall ist das aber nicht so.


Ach und zwei neue Router vor den Fritz Boxen ist meiner Meinung nach Blödsinn, denn die eine Box ist eine LTE Box und zudem müsste man für die MyFritz App wieder alles biegen und brechen. Möchte ich nicht.

Also, ich brauche ein Gerät im Netzwerk 192.168.10.0, das meine Portweiterleitung von der FB1 (5000 (https)) an den Port 5000 an 192.168.20.100 weiterleitet. >>>> das Netz 192.168.20.0 kennt die FB1.

Ich glaube mit dem Thema IP-Tables komme ich zum gewünschten Ziel. Hat noch wer eine Idee? Die zur lösung beiträgt?

Mit dem manuellen Editieren, der Fritzbox VPN config, das muss ich mir auch nochmal anschauen? Hat schon jemand erfahrung damit? Geht das?
Denn: Wenn ich jetzt einen VPN-Benutzer anlege, und mich einwähle, dann kann ich auch durch Ihn nicht ins 192.168.20.0er Netz zugreifen.

Ok,Ok,
kommen wir mal wieder zurück zum Problem, die Armen anderen User die hier unser Gestreite lesen müssen.

Bei uns hier, in der Region, haben fast alle, da der DSL Breitbandausbau stockt, Vodafone LTE und hat eben keine eigene öffentliche IPv4-Adresse
Dann nehme ich meine bekannte Ausdrucksweise von oben, im ersten Post, durch meine Kundenerfahrungen zurück und streiche hiermit das Wort "logischerweise".
Die wenigsten Häuslebauer haben Telekom Anschlüsse. Entweder Vodafone oder 1und1.

Neue Erkenntnis:
Die manuelle Änderung der FritzBox config, egal ob LAN-LAN Koppelung oder User-LAN Koppelung, bringt beides kein Erfolg.
Denn auch dann, habe ich keine Verbindung ins 2. Netz hinter dem VPN.

Hauptsächlich geht es mir um folgende zwei Dinge:
- 2-3 Smartphones die Apps besitzen, die eine Verbindung ins 2. Netz (LTE) benötigen.
- 2 Benutzer die von außerhalb mittels VPN Ihr Notebook ins heimische Netz bringen wollen, um auf Geräte zugreifen zu können.

Verbindungen auf Geräte an FB1 (192.168.10.0) geht, auf Geräte an FB2 hinter VPN (192.168.20.0) geht nicht.
FB1 und FB2 sind mit VPN erfolgreich verbunden und können gegenseitig die Geräte des jeweilig anderen Netzes erreichen.

Ich habe einiges schon Probiert, hänge aber noch immer bei der Umsetzung, bzw. fällt mir noch keine Lösung ein. Aus diesem Grund, bin ich hier im Forum und frage euch anderen PROs.

Meiner Meinung, bleibt dann nur ein RaspberryPI PI mit IP-Tables oder betrachte ich das noch immer falsch?! Gibt es andere Lösungsvorschläge?!
Die Preislich natürlich auf Haushaltsneveau bleiben?!

Grüße Roberto

@ aqui (Level 5)

Jetzt ist aber Schluss!


Brauch ich nicht weiter erläutern. In unserer Region Deutschlandes hier herrscht Vodafone Überschuss, bei Smartphone Verträgen, sowie LTE Verträgen. DSL mitunter auch, aber da ist meist 1und1 vertreten. Auch viele Gewerbe wie Bäcker, Taxiunternehmen, GmbHs nuten 1und1. Kein Telekom.

Mit "Häuslebauern" ist ebenfalls meine Region hier gemeint. Resultierend meines Kundenstammes kann ich dies daraus ableiten.


Du wohnst sicherlich nicht hier, demzufolge höre auf so etwas zu behaupten. Danke!


Das ist Korrekt. Juhu mal eine Gescheite Aussage von dir!


Und jetzt wirst du wieder Frech, mich zu kennen und über mich Urteilen zu können. Gib mal lieber einem „Administrator Forum User“ Hilfreiche Tipps. Damit wäre jedem Gast hier mehr geholfen. Danke


OK, ziehe ich in Betracht, vielleicht einen Fehler gemacht zu haben. Keiner ist Fehlerlos, logisch!
Ich werde morgen mal mit der AVM Händlerhotline telefonieren, vielleicht haben die intern einen Techniker sitzen, der mir auf die Schnelle weiterhelfen kann. Denn sicherlich sollte ein AVM FritzBox- Benutzer, rein durch das Webinterface zum Ziel kommen können und nicht noch über Umwege configs anpassen müssen, zudem eine Portweiterleitung dann dennoch nicht funktioniert. (technisches Verständnis = Webinterface AVM FritzBox) Damit meine Aussage keiner Falsch versteht!


Perfekt! Genau richtig. Aber:

Greift man aus dem lokalen Netzwerk 192.168.10.0 aufs 192.168.20.0 Netz zu, dann kennt die FritzBox FB1 den Weg durchs VPN. Funktioniert.

Greift man vom öffentlichen Netz, mittels einem DDNS Anbieter aufs 192.168.10.0 Netz zu, dann geht das auch. Wenn natürlich eine Portweiterleitung in der FB1 zum Zielgerät gesetzt ist.

Aber man kann keine Portweiterleitungen ins 2. DHCP Netz, hinter der VPN in die FB1 eintragen.

Aus diesem Grund meine Umständliche Denkweise den Traffic einfach, mittels RaspPI, übers Eck zu spielen. Der RaspPI ist eh im 1. Netzwerk und übernimmt zurzeit WOL über Webinterface und SSTP Server.


Perfekt, würde mir einiges an arbeit abnehmen. Aber Wie?

Hallo,
so die Geschichte geht weiter.... Was ist bislang geschehen:

Mit dem Tipp von "aqui (Level 5)"


Das hat natürlich nicht ganz das Problem geklärt. Erklärung:
Nach mühselig, manueller Anpassung der FB Config-Datei, ok, das Wort „mühselig“ mal in Klammern gesetzt, von 7 Client VPNs und 1er VPN LAN-LAN Koppelung. Kann man jetzt mit dem FritzBox Fernzugang Tool die FB1, die FB2 und die FB3 erreichen. Dazu sei gesagt, FB3 ist eine hinter einem UMTS Stick an einer FritzBox die eine IP-CAM verwaltet. Ja bei uns gibt es Grundstücke, bzw. mehrere Standorte. Aber das ist jetzt mal nicht das Thema.

über VPN User (Client-LAN) = Alle VPNs problemlos erreichbar. -> Toll
aus Netz FB1 = Alle VPN Netze erreichbar. -> Ach Toll
aus Netz FB2 = ist FB3 nicht erreichbar. Der Weg wäre: FB2 -> VPN -> FB1 -> VPN- > FB3 anders geht das nicht, da FB2 und FB3 sich nicht kennen können, keine öffentliche IP, da einmal UMTS und einmal LTE.

Ja und das eigentliche Problem ist noch immer ungeklärt. Denn der Synology NAS im 2. Netz (FB2) benötigt eine Portweiterleitung! Und? Wie sieht es mit VOIP aus? In FB1 keine Weiterleitung an FB2 durchs VPN möglich. Klagloses Scheitern auf allen Wegen.
Jetzt muss doch ein Raspberry ran mit Asterisk oder wie?! Ich glaub mein Gedanke mit übers Eck spielen, durch IP-Tables, einem zusätzlichen DNS war doch nicht so der verkehrte Gedanke. Wie sieht Ihr das? Habt Ihr Ideen?!

Ach und, wenn eine VPN Verbindung (Client-LAN) in einem Android Tablet eingetragen ist, und aktiv ist, dann Funktioniert das Netzwerk, aber das Internet für die anderen Apps ist TOT.

Und noch besser! Ein Smart- Home- Wand- Tablet mit Displaysperre, Hust -> SUUUUPER Lösung eh. Nee, danke.
Klar ist das auch umgeh bar, aber wir befinden uns hier auf Bastelwegen…

Zitat von "aqui (Level 5)"
Sorry, ni böse gemeint, aber das ist nicht der richtige Weg zur Ziellinie.

Ach und Bitte Bitte nicht Port 80 Let’s Encrypt hinter FB2 Vergessen. Thema Portweiterleitung!

Wie schon oben immer und immer gesagt. Ich suche den optimalen Gedanken, was würdet Ihr machen, wie würdet Ihr das Problem umsetzten?!
Liebe Grüße

@ Lochkartenstanzer (Level 5)

danke für Hinweis, Squid? mit webUI? wäre mir der Übersicht zu liebe sehr Hilfreich.

Oben erklärt? Naja egal..

Oh entschuldige, ja aber netcat kam mir nicht in den Sinn.

Am liebsten wäre mir pfsense. Aber naja, habe noch einen Mikrotik hier rum liegen, muss mal schauen ob dieser mir meine Portweiterleitungen machen lässt. Mikrotik ist für mich noch etwas neu. der sollte ja dann nur mit im Netz hängen. Muss ich mir überlegen, wie ich diesen Richtig konfiguriere.

pfsense auf Raspi und alles wäre schick

Oder dann eben Raspi mit Squid und Webmin. (Zur Regeldarstellung Webmin)

So, durch FritzBox Config anpassungen, an ALLEN VPNs funktioniert es jetzt.
Alle IP-Netze sind erreichbar.

ABER, jetzt geht es mir noch um eine Portweiterleitung an 2 Geräten im FB2 Netz.

Dafür hatte ich an IP-Tables bzw. Squid gedacht. Kann mir jemad eine Configzeile (Kleine Hilfe) geben?
Also ich lese mich schon ein, aber manchmal ist es auch nicht schlecht wenn jemand einen kleinen Denkanstoß gibt.
Ich wäre auch echt Dankbar.

FritzBox1---------------------->-->--Rapi------------------------------->-->--Gerät
xzy.spdns.org:9999-->-->-->--192.168.10.55:9999-->-->-->--192.168.20.11:9999

Keiner eine Idee?
Ich kann auch auf Sqiud verzichten, wenn einer von euch eine andere Idee hat, um diese Problematik umzusetzen.

Hallo,
und jetzt meine Lösung:

Problemschilderung:
Mehrere FritzBoxen (DSL/LTE und UMTS) sind alle mittels FritzVPN verbunden. Nun möchte ich von dem DSL-Router (Netz1) mittels DDNS eine weiteres mobiles VPN aufbauen. Das geht auch Problemlos. ABER, ich erreiche nur den 1. IP-Bereich, und nicht die anderen hinter den weiteren VPNs.
Also (Handy --> VPN1--> Router1 --> VPN2 --> Router2 --> Client im IP-Netz2)
Die FritzBox 1 kennt die 2 anderen VPN IP-Netze, aber kann nur aus dem lokalen Netz IP-Clients aus den anderen Bereichen erreichen.
Meine Lösung:
Was habe ich gemacht? Einen RaspberryPI ins 1. IP-Netz hinter dem DSL-Router (FritzBox), der auch das VPN Management übernimmt. Auf dem RaspberryPI mittels "iptables", die https Weiterleitungen zur Ziel IP-Adresse verbogen. Puff ... Passt. Ziel erreicht. Alles Läuft, seit mittlerweile Monaten.

FritzBox1---------------------->-->--Rapi------------------------------->-->--Gerät
xzy.spdns.org:9999-->-->-->--192.168.10.55:9999-->-->-->--192.168.20.11:9999

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 9999 -j DNAT --to-destination 192.168.20.11:9999
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Die Komplette Einrichtung jetzt zu schildern wäre zu komplex, aber ich habe hilfreiche Links:

http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-sg-de-4/s1-firewall-ipt-fwd. ...
https://www.foxplex.com/sites/ubuntu-als-router-mit-masquerading-einrich ...
https://linuxwiki.de/HenrykGerlach/MeinNatRouter
https://www.thomas-krenn.com/de/wiki/Iptables_Firewall_Regeln_dauerhaft_ ...
https://www.karlrupp.net/de/computer/nat_tutorial
https://wiki.debian.org/de/Portweiterleitung
http://www.netzmafia.de/skripten/hardware/RasPi/security.html
https://blog.doenselmann.com/firewall-fuer-raspberry-pi-und-banana-pi/
https://raspberry.tips/raspberrypi-einsteiger/raspberry-pi-im-internet-a ...

So, ich hoffe, ich konnte jetzt dieses Thema abschießen und auch anderen damit helfen.
Wo ein Wille da auch ein Weg, hihi

Na ne Klar, wer richtig lesen kann, ist klar im Vorteil. AVM hat diese Problematik eben nicht erklärt. Um vom VPN Netz A ins VPN Netz B zu kommen, ja das geht nach dieser Anleitung auch. Aber eben keine Portweiterleitung ins VPN Netz. Dies lässt sich nicht konfigurieren. Jedenfalls nicht über die AVM - GUI. (da der Router die hinter dem VPN Netz liegenden IP-Adressen nicht kennt)


Echte Frechheit mich hier beschimpfen lassen zu müssen. Zumal ich ganz nett und freundlich nach Lösungsansetze gefragt habe. Ein Forum macht mit solch forschen Antworten / Vorurteilen sehr wenig Sinn. Mal ehrlich... Nicht jeder User hier im Forum ist auch gleich ein Anfänger! Mal etwas mehr Respekt und auch gegenseitige Rücksichtnahme bitte!

Für mich war es bis jetzt nicht möglich, mein Problem mit (NUR) der FritzBox zu klären. Da die WebUI diverse Einstellmöglichkeiten einfach nicht hergibt. und auch mittels Ihrer geposteten AVM Anleitung nicht geht. Lediglich VPN, aber keine Portweiterleitung ins VPN Netz. Und ja, ich bin auch nicht "Fehlerlos" habe aber eine brauchbare Lösung gefunden, die ich auch öffentlich für andere User als Lösung beitragen kann.

Wenn Sie wissen, wie es mittels der FritzBoxen geht, immer zu, erklären Sie es uns, hauen Sie in die Tasten ....