VPN Verbindung zwischen 2 Fritzboxen, bei einer nur ein einzelner LAN Anschluss

[jensi71]

Hallo Leute!
Folgendes Vorhaben: ich möchte zwischen meiner Fritz 7390 und der meines Vaters (7430) einen VPN Tunnel einrichten. Und zwar so, daß ich ein NAS an den LAN Anschluss 2 der Fritz meines Vaters hängen kann. Dazu habe ich folgende Anleitung durchexerziert:https://avm.de/service/vpn/praxis-t...xen-fuer-einzelne-lan-anschluesse-einrichten/

Offenbar wird auch ein VPN Tunnel aufgebaut (Dyndns und so ist alles eingerichtet und klappt auch); ich kann in meiner Fritz im Reiter Internet->Freigaben->VPN die externe IP meines Vaters sehen, mit einer grünen Lampe. Im Online-Monitor erscheint es auch als "Hergestellt". Nun ist es allerdings so, daß mein IP Bereich noch auf dem Originalen Bereich 192.168.178.xx basiert. Den meines Vaters habe ich auf 192.168.177.xx gestellt, und in seiner Box den LAN2 Anschluss auf 192.168.176.xx. Laut Anleitung auch brav den Netzstecker gezogen. Wenn ich nun einen Rechner an LAN2 anstecke, bekomme ich auch eine Adresse aus dem Raum 192.168.176.x. An jedem anderem bekomme ich eine 192.168.177.x, so solls ja auch sein.

Allerdings kapiere ich nun nicht, wie ich von meiner Fritz aus an den Anschluss komme. Ich hab auch schon versucht, in meiner Fritz als gegenüberliegendes Netzwerk statt .177 die .176 zu nehmen. Damit wird dann allerdings kein Tunnel aufgebaut, die Lampe bleibt grau.

Was muss ich denn noch beachten? Ich hab an den LAN2 Anschluss meines Vaters mal nen kleinen Switch geklemmt um zu sehen, welche Adresse das ebenfalls dort angeschlossene NAS bekommen hat. DHCP seitens der Fritz auf diesem Bereich funktioniert also; allerdings taucht nirgendwo in der Fritz meines Vaters dieses Gerät auf (bis auf den Hinweis daß LAN2 benutzt wird).

Hat das schonmal jemand erfolgreich eingerichtet und kann mir helfen? Das einzige, was ich explizit als Unterschied gegenüber der Anleitung habe, ist der, daß ich nicht die Boxen auf "192.168.10.0" bzw. "192.168.20.0" und so gestellt habe. Aber das sollte doch eigentlich keine Auswirkung haben, oder?
Muss ich eventuell noch irgendwo was routen? Oder kann man das nur mit diesem AVM-Einrichtprogramm machen?

Vielen Dank!

 

[Fusion]

Das Remote Netz für deinen Vater ist 192.168.178.0
Das Remote Netz für dich ist 192.168.176.0

Wenn du in einer Fritzbox ein Fritz-Konto angelegt hast musst du zwangsweise auf die blabla.myfritz.net Adresse dieser Box benutzen.
Der Versuch via anderer dynDNS oder Domain wird nicht funktionieren.

Wenn das VPN steht, dann kommst du von einem Rechner in deinem Netz per 192.168.176.xx auf ein Gerät welches diese IP hat und an LAN2 bei deinem Vater hängt.

Falls du viele Daten übertragen willst und einen guten Upload hast wird eine normale SSL Verbindung wohl schneller sein, da das VPN der Fritten nicht das schnellste ist.

 

[jensi71]

Guten Morgen Fusion

Ich habe ein Dyn DNS per TWODNS eingerichtet. Das funktioniert auch soweit, ich kann die "entfernte IP Adresse" meines Vaters sehen. Wird auch die grüne Lampe angezeigt. Ich komme nur nicht an diesen LAN2 Anschluss.
Ich werde testhalber mal versuchen, das ganze ohne diesen LAN2 zu machen. Hab eine alte IcyBox bei meinem Dad als Testserver mal hingestellt.

 

[Fusion]

ok, dann hast du weder hier wie da ein Fritz-Konto auf der Fritzbox.

Was meinst du mit "an diesen LAN2 Anschluß"?
Du kommst ja nur an die IPs hinter diesem Anschluß

 

[jensi71]

Laut dieser AVM Anleitung ist es machbar, von meiner Fritz eine VPN Verbindung an einen einzelnen LAN Anschluss herzustellen. Dort wollt ich dann meine alte DS anschließen. So wäre das Netzwerk meines Vaters komplett von meinem getrennt, nur ein ausgewhlter LAN Anschluss (hier Nr. 2) würde zu meinem Netzwerk gehören.
Hab alles laut Anleitung gemacht, aber irgendwie klappt das nicht. Dürfte auch nicht gehen, da ich ja nicht aus meinem IP Kreis .178 auf eine .176 zugreifen kann, oder seh ich das falsch?

Irgendwie ist die Anleitung wohl unvollständig: https://avm.de/service/vpn/praxis-t...xen-fuer-einzelne-lan-anschluesse-einrichten/

Habe nichts mit dem Fritzkonto gemacht. Rein zu Fuß alles eigerichtet; komme mit meinem Smartfon auch per VPN in mein Netzwerk (wird dann auch unter Netzwergverbindungen angezeigt)

 

[Fusion]

Wieso kannst du nicht auf die .176.xx zugreifen?
Wenn die VPN Verbindung steht, dann muss das gehen.

 

[jensi71]

Jedenfalls komm ich nicht an die Icybox (hat die 192.168.176.2 bei meinem Dad). Keine Ping Antwort und auch nix per Browser. Ich werds erstmal testen, beide Netzwerke so zu verbinden.

Heisst also, wenn Du 2 Router per VPN hast, kannst Du einfach durch Eingabe der IP auf das gegenüberliegende Gerät kommen? Muss dieses Gerät (oder Geräte) nicht im eigenen Router erscheinen? Wie gesagt, hab mit meinem Android Handy mal eine VPN Verbindung zu meiner Fritz übers Handynetz aufgebaut. Da erscheint das Handy dann in den Netzwerkgeräten als VPN Einbindung. Mein Dad seine Box erscheint lediglich im Onlinemonitor, aber kein Gerät aus seinem Kreise in den Netzwerkgeräten

 

[Fusion]

Das sind zwei verschiedene Sachen.
Mit deinem Android ist das eine Client-Server Verbindung. (Das Mobile ist dann virtuell teil im LAN/WLAN und taucht auch bei den Netzwerkgeräten auf, weil es auch unter .178.xx eine IP erhält)
Fritzbox zu Fritzbox ist eine Site-2-Site VPN Kopplung.
Die beiden Netze bleiben getrennt. Nur wenn der Router eine Anfrage für eine IP im Remote Netz bekommt, weiß er eben, dass er diese durch den VPN Tunnel zu schicken hat und nicht ins öffentliche Internet.
Deshalb tauchen auch die Geräte gegenseitig nicht unbedingt in einer "Netzwerkumgebung" auf. Viele Netzwerk-Dienste-Erkennungen sind (explizit) darauf ausgelegt nicht über Router-Grenzen hinweg zu funktionieren (was nicht heißt, dass man nicht an der "Sichtbarkeit" von Geräten meist was "drehen" kann).
Speziell für den Fall, dass die VPN Verbindung auf einen LAN Anschluß eingeschränkt ist wäre es ja sicherheitstechnisch verhehrend, wenn du andere Geräte dort im LAN sehen würdest / Zugriff hättest.

Bezüglich IcyBox weiß ich jetzt grad auch nicht. Hat die spezielle ports im Browser? ignoriert sie vielleicht Pings allgemein, oder ...

 

[Wile E Coyote]

Servus,

also ich habe das erfolgreich am laufen. Ich komme von meiner FritzBox auf 2 andere bzw. in deren Netz. Wichtig ist hierbei als erstes die Änderung des internen IP-Bereiches. Ich nutze allerdings die myfritz Adressen, die können wohl auch IPv6 falls das mal ein Thema wird.
Ist es möglich dass Du das Gerät auf das Du zugreifen willst in der Kindersicherung gesperrt hast?
Wenn die "Lampe" grün ist bei VPN-Verbindung, dann sollte es eigentlich klappen. Ich nutze allerdings den kompletten Bereich und nicht nur einen bestimmten Port. Hast du mal einen Neustart der Boxen gemacht nachdem die "Lampe" grün ist? Theoretisch solltest Du ja auch auf die Benutzeroberfläche der FritzBox des anderen Netzwerkes kommen.

Gruss

 

[jensi71]

Hallo guten Morgen!

@Fusion: hab Dir mal 4 Screenshots gesendet, vielleicht fällt Dir da ja was auf.
Die alte IcyBox ist auch ein NAS, man kann da auch eine Weboberfläche erreichen (hab das nur mal drangesteckt um dauerhaft da mal einen Server dranzuhaben zum testen). Kindersicherung hab ich keine eingebaut.

Okay, bedeutet also, ich sehe lediglich, daß ein VPN Tunnel aufgebaut ist, kann aber nicht sehen, was auf der Seite meines Vaters dran ist? Also wenn ich z.B. auf einen LAN Drucker in seinem Netzwerk drucken will, muss ich dazu explizit die IP in Erfahrung bringen und kann diese nicht in meinem Router erkennen? Ich ging davon aus, daß seine Geräte (jetzt mal eine reine komplette LAN-LAN-Kopplung eingerichtet) komplett dann in meiner Fritz sichtbar wären, ähnlich als wären sie direkt an meiner Fritz angeschlossen.

Tschuldigt bitte diese Fragen; habs noch nie eingerichtet

 

[Fusion]

Ja, schaue ich mir später an.

Ich habe auch LAN-LAN-Kopplung für administrative Zwecke.
Für Backups gehe ich aber auf SSL (https) Verbindungen , da selbst zwischen einer 7490 und einer 7590 der Upload der Leitung (20 MBit/s) nicht ausgenutzt wird, weil die CPU der Fritte das nicht schafft.

Und nein, die Geräte auf der anderen Seite sind nicht in der Fritzbox zu sehen.
Entweder musst du einen eigenen DNS Server betreiben, der die Geräte auf beiden Seiten kennt, oder was in die Richtung.
Bei der Client-LAN Kopplung kann der Client den DNS-Cache im Ziel LAN benutzen, deshalb taucht er auch in der Fritte dort auf und kann (je nach config) auch die Geräte im Zielnetz in seiner Netzwerkumgebung sehen.
Bei einer LAN-LAN-Kopplung ist das eben im Normalfall nicht gegeben, weil auf jeder Seite ein DNS-Cache oder Server läuft, der keine Ahnung von der anderen Seite hat und die Clients die Network-Erkundung nur im eigenen Subnetz machen.

 

[jensi71]

Hi Fusion, danke Dir.

Ich hab nun mal in meiner Fritte als entferntes Netz die .176 eingegeben. Damit bekomme ich einen Ping auf die 192.168.176.1 durch (Dauer etwa 80msec, müsste also von der Zeit etwa passen). Damit hat AVM in seiner Anleitung also schonmal einen kleinen Fehler drin

Allerdings hab ich es noch nicht geschafft, auf das Webinterface der Icybox zu kommen. Müsste doch einfach gehen, wenn ich per Browser eben die 192.168.176.1 aufrufe, oder seh ich das falsch?

Hintergrund der ganzen Sache ist, daß ich meine alte DS213j da hin stellen möchte, und eben auch per VPN administrieren will (Updates machen etc). Da mein Dad leider immernoch mit Vista rumfriemelt (jaa ich weiss,.,) wollte ich eben die DS komplett aus seinem Netz raus haben.

 

[Fusion]

Nein, die Anleitung von AVM ist korrekt, wenn man sie genau liest und befolgt. Die Spezialfälle sind in den Feldern mit den Ausrufezeichen links gekennzeichnet.

Die .176.1 dürfte die Fritzbox sein, oder?
Weiß ich grad nicht, welche Adresse sich die Fritte im LAN2 Subnetz gibt/hat.
Die IcyBox wird eine andere Adresse haben.

 

[Wile E Coyote]

Da hilft wohl nur ein Blick auf die entfernte FritzBox und dort unter Netzwerk. Dort sollte man alle angeschlossenen Geräte einschl. der IP sehen.

 

[jensi71]

Also das .176 Netzwerk ist das, welches ich dem LAN2 gegeben habe. Das .177 ist das Hauptnetzwerk meines Vaters (kann per Fernzugriff auf seine Box auch seine Rechner und meine Mom's Handy sehen in dem Bereich). Und .178 ist meines. Ich kann ein Ping an meine 192.168.178.1 machen (Durchschnittlich 0,4msec), und an die 192.168.176.1 kommt er mit etwa 80msec hin. Bei 192.168.177.1 kommt nix zurück; drum denk ich, es müsst die Icykiste auf der .176 sein.

 

[jensi71]

@Fusion:

Ich wollte halt auch Portfreigaben bei meinem Dad vermeiden, darum das ganze per VPN. Die alte DS213 soll bei meinem Vater als reine Backupstation stehen für meine Daten. Das ganze per Ultimate Backup. Da wird ja die Übertragung eh verschlüsselt; da das ganze nachts geschieht, sollte es keine großen Zeitprobleme geben.
Alternativ wäre natürlich die Geschichte mit der Portfreigabe, wobei ich dann ja einige mehr öffnen müsste, um die DS213 zu administrieren. So war halt die Grundidee mit dem "der LAN2 gehört zu meinem kompletten Netz über VPN".

Wie hast Du das denn bei Dir eingerichtet?

Edit @ Wile E Coyote:

Das witzige daran ist, daß ich (wahrscheinlich aufgrund dieser LAN2 Geschichte) die Icybox nicht im Netzbereich meines Vaters sehen kann, man kann nur bei den Netzwerkeinstellungen sehen, daß an LAN 2 was angeschlossen ist.

 

[TheGardner]

Wollte mich eigentlich rauslassen, da zu viele Köche den Brei verderben, aber jetzt schalte ich mich mal auch mit rein, da ich den ganzen Mist mit ca. 20 Fritzboxen gemacht habe!

Wieso machst Du das so kompliziert mit diesem LAN2 Port für Dich! Es geht so einfach indem Vater das Netz A hat (also z.B. 192.168.176.0) und Du das Netz B (192.168.177.0). Was Du noch brauchst wäre nen DynDNS Namen (oder eben die Billigvariante mit dem kjfhöOVNWVRÄ.myfritz.net Namen, welcher ja in der Fritzbox schon hinterlegt wird, wenn man diese mit dem MyFritz System verbindet (Account hat).
Danach den "Fritzfernzugang einrichten" von AVM installiert und die Variante "Verbindung zwischen zwei Fritzbox Netzen" ausgewählt.
Dort dann den DynDNS Namen (also kjfhöOVNWVRÄ.myfritz.net), die IP Range (z.B. 192.168.176.0) ausgewählt und das Ganze gleich nochmal für das eigene Netz und schwupps - spuckt die Software zwei Config-Dateien aus, die dann nur in der jeweiligen Fritzbox unter VPN hochgeladen werden müssen!

Das einzigste ist, dass die IP Adressen aus jeder Fritzbox vorher schon so eingerichtet sein müssen, wie man das auch im Fernzugang einrichten Tool angibt.
Danach ist beim Vater jedes Gerät zu erreichen - egal obs am Port 1, 2 oder sonst wo hängt, vorausgesetzt es will auch erreicht werden! Du brauchst in Deinem Fall Dir ja nur die IP der DS merken, alles andere kann Dir ja egal sein!
Danach einen Remote Ordner in der FileStation angelegt, der auf Vaters DS-IP zeigt und dahinter noch den zu erreichenden Ordner mit eingegeben (z.B. \\192.168.176.10\video) und das wars!

Kanns Dir gern auch einmal über Fernsteuerung (Teamviewer / Win10 Remote) auf Deinem PC/Laptop zeigen und dann lernste das gleich vom Zusehen! Das iss Schweine-einfach zu bewerkstelligen. Ohne doppelte "LAN2 Port gehört zu mir Variante".

Und eh Du fragst: das AVM Netz 192.168.178.0 kann man für solche Zwecke NICHT verwenden, aber hast Du sicher selbst schon gemerkt.

 

[Fusion]

@jensi71 - ich habe es bei mir von Hand eingerichtet und wie oben schon erwähnt nur eine LAN-LAN-Kopplung. Ich brauche keine Isolierung an der Fritzbox per LAN Port.
Hätte ich einen Windows Client hätte ich vermutlich das von @TheGardner erwähnt Hilfsprogramm zur Erstellung der Configs benutzt. Aber die paar Angaben für die LAN-2-LAN sind ja auch in der GUI schnell erledigt.
Über das VPN mache ich wie gesagt fast nur adminstratives (Fritten verwalten, Synologys verwalten und andere Geräte). Das läuft alles über lokale IPs und internem DNS.

Für Transfers wo ich wie gesagt die gesamte Bandbreite ausnutzen will gehe ich eben über externe Domain-Namen und Portweiterleitungen für die entsprechenden Dienste.

Hat es denn immer noch nicht geklappt mit den korrigierten IP Angaben, die ich dir per mail geschickt hatte, für die LAN-2 Einschränkung?

 

[jensi71]

Moin Fusion

Also, hab nun testweise mal eine ganz einfache LAN-LAN Kopplung gemacht und die Icybox halt ins Netz meines Dads gehängt. Damit funktioniert es, ich kann per SMB Daten raufschieben und komme auch ans Webinterface. Ich *vermute* mal, daß die olle Icykiste irgendwie so halb abgeschmiert war, denn ich konnte ja einen Ping in das isolierte LAN2 machen. Nur halt kein Webinterface und auch kein SMB. Wenn ich die Icy nun anpinge, hab ich sogar die gleiche Zeit wie beim Test mit LAN2; also muss sie es wohl gewesen sein (Dad schaltet alle Rechner per Steckdosenleiste aus, spätestens Abends ab 20 Uhr ist sense mit PC-Gedaddel).

Was ich mal versuchen werde: ich geb der Icy einfach mal eine feste IP vor; meintwegen 192.168.176.3 oder so. Dann probier ich das nochmal mit der LAN2 Geschichte, denn es interessiert mich einfach, ob das nicht doch machbar ist. Denn:wozu haben die sonst so eine Funktion eingebaut?

@TheGardner: Danke für die Hilfestellung. Ich ging halt einfach davon aus, daß man das alles per Webinterface auf der Fritz machen kann; denn wozu ist es sonst da? Könnt mir auch das AVM Tool in einer VM Win Maschine installieren. Nur: was bringt es mir mehr, als einfach die paar Zahlen ins WebGui rinnzukloppen?
Ich ging halt davon aus, daß dieser VPN-Nummernkreis des LAN2 irgendwo bei mir in der Fritte auftaucht. Daß er nicht mehr im Nummernkreis meines Dads auftauchen sollte war mir ansich klar.

Wieder was gelernt....langsam komm ich weiter

Danke euch erst mal

 

[TheGardner]

Das hier kannteste schon?