Kaskadierte Fritzbox aus dem Internet erreichen

Dieses Thema im Forum "AVM (Fritz)" wurde erstellt von HeißerDraht, 1. September 2019.

  1. HeißerDraht

    HeißerDraht Starter

    Registriert seit:
    1. September 2019
    Beiträge:
    2
    Punkte für Erfolge:
    1
    Hallo zusammen,

    folgendes Szenario: ich wohne in einer WG und habe meine eigene Fritzbox 7590, die für meine Geräte als Internet Gateway dient. Davorgeschaltet ist eine Fritzbox 7490, die die Internetverbindung per WAN an meine 7590 weiterleitet.

    Soweit funktioniert alles. Ich möchte aber nun meine 7590 per VPN mit einer anderen Fritzbox (7390) außerhalb unserer Wohnung verbinden.
    Hierfür habe ich in der Vergangenheit MyFritz als DynDNS Server verwendet.
    Weil ich nun aber hinter der 7490 im privaten IP-Bereich hänge, ist meine Box von außen nicht erreichbar.
    Gibt es in dieser Konstellation eine Möglichkeit, meine 7590 von außen erreichbar zu machen, damit ich eine VPN Verbindung herstellen kann?

    7390 ----> Internet ----> 7490 ----> 7590
    7390 ----> Internet ----o 7490 o---> 7590
    7390 ---------------VPN---------------> 7590
     
  2. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.122
    Punkte für Erfolge:
    120
    Hi,

    willkommen im Forum.

    1. Die FB 7590 hat eine feste IP-Adresse außerhalb des DHCP-Bereichs der FB 7490.
    2. Es darf keine VPN-Verbindung in der FB 7490 definiert sein - auch keine inaktive!
    3. Für die Ports 500 und 4500 und das Protokoll ESP (50) werden in der FB 7490 Portweiterleitungen auf die FB 7590 eingerichtet.

    Unter diesen Voraussetzungen sollte eine IPSec Verbindung auf die kaskadierte FB 7590 von außen möglich sein, wenn die FB 7490 eine öffentliche IP-Adresse vom ISP bekommt.

    Wenn du die VPN-Verbindung so konfigurierst, dass die FB 7590 immer die Verbindung zur Gegenstelle initiiert (IPSec ausgehend), dann werden keine Portweiterleitungen in der FB 7490 benötigt.

    VG
     
    HeißerDraht und frank.td haben sich bedankt.
  3. HeißerDraht

    HeißerDraht Starter

    Registriert seit:
    1. September 2019
    Beiträge:
    2
    Punkte für Erfolge:
    1
    Hallo CapFloor,

    super, vielen lieben Dank für Deine schnelle und informative Antwort. Wenn ich das richtig sehe, müsste die Einrichtung bei uns möglich sein. Bin mir bei ein paar Punken unschlüssig, ob ich das richtig verstanden habe. Hier erstmal ein paar Eckdaten zu meiner Konfiguration:

    7390 DHCP Config:
    Gateway: 192.168.10.1 Subnet: 255.255.255.0
    Bereich: 192.168.10.20 - 192.168.10.200
    Lokaler DNS: 192.168.10.1

    7490 DHCP Config:
    Gateway 192.168.20.1 Subnet: 255.255.255.0
    Bereich: 192.168.20.20 - 192.168.20.200
    Lokaler DNS: 192.168.20.1

    7590 DHCP Config:
    Erhält von 7490 die feste IP 192.168.20.50
    Gateway: 192.168.30.1 255.255.255.0
    Bereich: 192.168.30.20 - 192.168.30.200
    Lokaler DNS: 192.168.30.1


    Zu 1.: Wenn du schreibst "Die FB 7590 hat eine feste IP-Adresse außerhalb des DHCP-Bereichs der FB 7490" - bedeutet das, dass ich im obigen Setup die von der 7490 fest zugeordnete IP irgendwo hinter 192.168.20.200 setzen muss, oder meintest du, dass die DHCP Einstellungen der 7590 außerhalb von 192.168.20.XXX liegen muss, weil das der DHCP Bereich der 7490 ist? Das wäre ja im obigen Setting bereits gegeben.

    Zu 3.: Nur interessenhalber: wenn ich in den Einstellungen der 7490 für die 7590 die Einstellung "Selbstständige Portfreigaben für dieses Gerät erlauben" wählen würde, müssen die Portweiterleitungen für 500 und 4500 dann denoch gesetzt werden?

    4. Sehe ich das richtig, dass der MyFritz-DynDNS-Service auf der 7490 laufen muss, dessen URL dann in der Config fürs VPN verwendet wird? die VPN Anfrage an die 7490 sollte dann an die 7590 durch das Portforwarding weitergeleitet werden, korrekt?

    Ich kann das ganze leider erst nächste Woche testen, aber bereite gerade alles vor. Für die Einstellung des VPN verwende ich zwei cfg Dateien. Ich habe das mal unter Berücksichtigung deiner Tipps hier eingebaut. Meinst du, dass das korrekt aussieht, oder habe ich da irgendwas übersehen?

    VPN CFG für 7590:
    Code:
    vpncfg {
            connections {
                    enabled = yes;
                    conn_type = conntype_lan;
                    name = "VPN-Verbindung-Zu-7390";
                    always_renew = no;
                    reject_not_encrypted = no;
                    dont_filter_netbios = yes;
                    localip = 0.0.0.0;
                    local_virtualip = 0.0.0.0;
                    remoteip = 0.0.0.0;
                    remote_virtualip = 0.0.0.0;
                    remotehostname = "{ADRESSE-7390}.myfritz.net";
                    localid {
                            fqdn = "{ADRESSE-7490}.myfritz.net";
                    }
                    remoteid {
                            fqdn = "{ADRESSE-7390}.myfritz.net";
                    }
                    mode = phase1_mode_aggressive;
                    phase1ss = "all/all/all";
                    keytype = connkeytype_pre_shared;
                    key = "{GEHEIMES_PASSWORT}";
                    cert_do_server_auth = no;
                    use_nat_t = yes;
                    use_xauth = no;
                    use_cfgmode = no;
                    phase2localid {
                            ipnet {
                                    ipaddr = 192.168.30.0;
                                    mask = 255.255.255.0;
                            }
                    }
                    phase2remoteid {
                            ipnet {
                                    ipaddr = 192.168.10.0;
                                    mask = 255.255.255.0;
                            }
                    }
                    phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                    accesslist = "permit ip any 192.168.10.0 255.255.255.0";
            }
            ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                                "udp 0.0.0.0:4500 0.0.0.0:4500";
    }
    
    VPN CFG für 7390
    Code:
    vpncfg {
            connections {
                    enabled = yes;
                    conn_type = conntype_lan;
                    name = "VPN-Verbindung-Zu-7590";
                    always_renew = no;
                    reject_not_encrypted = no;
                    dont_filter_netbios = yes;
                    localip = 0.0.0.0;
                    local_virtualip = 0.0.0.0;
                    remoteip = 0.0.0.0;
                    remote_virtualip = 0.0.0.0;
                    remotehostname = "{ADRESSE-7490}.myfritz.net";
                    localid {
                            fqdn = "{ADRESSE-7390}.myfritz.net";
                    }
                    remoteid {
                            fqdn = "{ADRESSE-7490}.myfritz.net";
                    }
                    mode = phase1_mode_aggressive;
                    phase1ss = "all/all/all";
                    keytype = connkeytype_pre_shared;
                    key = "{GEHEIMES_PASSWORT}";
                    cert_do_server_auth = no;
                    use_nat_t = yes;
                    use_xauth = no;
                    use_cfgmode = no;
                    phase2localid {
                            ipnet {
                                    ipaddr = 192.168.10.0;
                                    mask = 255.255.255.0;
                            }
                    }
                    phase2remoteid {
                            ipnet {
                                    ipaddr = 192.168.30.0;
                                    mask = 255.255.255.0;
                            }
                    }
                    phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                    accesslist = "permit ip any 192.168.30.0 255.255.255.0";
            }
            ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                                "udp 0.0.0.0:4500 0.0.0.0:4500";
    }
    
     
  4. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.122
    Punkte für Erfolge:
    120
    #4 CapFloor, 2. September 2019
    Zuletzt bearbeitet: 2. September 2019
    Hi,
    Wie erhält die FB 7590 die feste (WAN-)IP von der FB 7490? Hast du eine Adressreservierung für die FB 7590 im DHCP-Server der FB 7490 vorgenommen? (siehe - feste IP-Adresse (richtig) vergeben -). Wenn du die (WAN-)IP-Adresse der FB 7590 manuell eingetragen hast, dann muss sich diese IP-Adresse außerhalb des DHCP-Bereichs der FB 7490 befinden, d.h. entweder unter .20 oder über .200.

    Zu 3: Die FB 7590 öffnet nicht selbstständig die IPSec Ports per UPnP in der FB 7490. Außerdem muss es für das Protokoll "ESP" ebenfalls eine Weiterleitung geben, was niemals per UPnP funktioniert.

    Zu 4: Du kannst jeden DynDNS-Dienst verwenden, also auch den AVM-eigenen Dienst myfritz.

    Die Config-Dateien sehen für mich ok aus.

    Viel Erfolg!

    VG