Fritz!Box an Fritz!Box VPN einrichten.

[djbergwerk]

Hallo, folgende Situation:

Fritz!Box 7530 AX ist per LAN Kabel an einer 7590 AX angeschlossen. Die 7590 stellt DSL bereit, die 7530 nutzt diesen bereitgestellten Zugang nicht als IP-Client sondern als eigenständigen Router.

Nun möchte ich auf die 7530 eine Wireguard VPN Verbindung zur Fritz!Box eines Freundes aufbauen (Router ebenfalls eine Fritz!Box 7590 nur ohne AX).
Die VPN Verbindung lässt sich zwar einrichten, Verbindung wird jedoch nicht aufgebaut, sprich geht nicht auf Grün.

Wir haben schon viel rumprobeirt, kommen jedoch nicht weiter. Alle Fritz!Boxen sind bei MyFritz angemeldet und grün, alle sind aus dem Internet erreichbar.
In meiner 7590 sind die von Wireguard benutzten Ports freigegeben, bzw. die 7530 darf ihre eigenen benötigten Ports selbständig öffnen, man sieht auch in der 7590 das die 7530 dies auch öffnet bzw. benutzt.

Trotzdem geht die VPN nicht.

Jetzt wäre ich für ein paar gute Tippsfroh!

 

[redjack1000]

Welche Fehler stehen im Logfile der FritzBox bezüglich des VPN?

CU
redjack

 

[chrigu]

Eigenständig heisst du hat die zweitbox am wan Port gesteckt ?
Über IPv6 Oder IPv4? Hat die externe Box auch 192.168.178.x?

 

[djbergwerk]

Welche Fehler stehen im Logfile der FritzBox bezüglich des VPN?

CU
redjack

In der FB bei Diagnose, Funktion steht zur VPN nichts. Das einzig auffällige ist die Meldung "MyFRITZ! ist für diese FRITZ!Box aktiv. Das AVM-DynDNS-Update ist gescheitert".

Eigenständig heisst du hat die zweitbox am wan Port gesteckt ?
Über IPv6 Oder IPv4? Hat die externe Box auch 192.168.178.x?

Der WAN Port der 7590 die als DSL Router funktioniert musste ich zu LAN 5 umstellen sonnst baut die 7530 keine Verbindung auf. Also in Klammern ja, am WAN Port aber dieser muss zum LAN Port gemacht werden sonst geht es nicht.
In der 7530 beim Verbindungsaufbau dann quasi "vorhandenen Zugang über LAN" benutzen eingestellt.

 

[00Julius]

Du hast die Fragen von @chrigu nicht (richtig) beantwortet.

Das entfernte Netz MUSS ein anderes Subnetz als das eigene benutzen. Daher muss bei einem Heimnetz der Standard der Fritten von 192.168.178.x auf 192.168.z.x. geändert werden. Ist das so eingestellt?

Auf welchem Protokoll laufen die beiden Internetanschlüsse (IPv4 und/oder IPv6)?
Ein IPv6-only-Anschluss kann nicht aus einen IPv4-only Netz verbunden werden (das kenne ich leider zu Genüge aus Hotels, die alle kein IPv6 zur Verfügung stellen).

 

[redjack1000]

In der FB bei Diagnose, Funktion steht zur VPN nichts.

Die Ereignisanzeige findest du unter System/Ereignisse/Internetverbindung

CU
redjack

 

[djbergwerk]

Eigenständig heisst du hat die zweitbox am wan Port gesteckt ?
Über IPv6 Oder IPv4? Hat die externe Box auch 192.168.178.x?

Sorry ich habe nicht auf alle deine Fragen geantwortet.
Zu den IP Adressen:

Die FB zu der ich eine VPN aufbauen will hat ein 192.168.200.x Adressbereich.
Meine 7590 die das DSL macht hat 192.168.178.x Adressbereich.
Die 7530 auf die das VPN laufen soll hat eigentlich! 192.168.188.x Adressbereich.
Eigentlich weil und jetzt kommt das für mich komische, die 7530 bekommt in der 7590 eine IP Adresse im im 178.x Bereich, ist in ihren eigenem Netzwerk aber über die 188.x erreichbar.

Wir haben die VPN mit sämtlichen IP Adressen versucht ans Laufen zu bekommen, geht nicht.

Ergänzung (21. April 2024)

Du hast die Fragen von @chrigu nicht (richtig) beantwortet.

Das entfernte Netz MUSS ein anderes Subnetz als das eigene benutzen. Daher muss bei einem Heimnetz der Standard der Fritten von 192.168.178.x auf 192.168.z.x. geändert werden. Ist das so eingestellt?

Auf welchem Protokoll laufen die beiden Internetanschlüsse (IPv4 und/oder IPv6)?
Ein IPv6-only-Anschluss kann nicht aus einen IPv4-only Netz verbunden werden (das kenne ich leider zu Genüge aus Hotels, die alle kein IPv6 zur Verfügung stellen).

Habe die Antworten ergänzt.
Alle Boxen haben unterschiedliche IP Adressbereiche.

Meine 7590 hat nur eine IPv4 Adresse, die 7530 die mit ihr verbunden ist hat beide.

 

[00Julius]

Meine 7590 hat nur eine IPv4 Adresse, die 7530 die mit ihr verbunden ist hat beide.

Und die Fritte deines Freundes?
So wie ich es verstanden habe, sind da ja insgesamt 3 Boxen im Einsatz.
Zwei (7590 und 7530) bei dir und eine 7590 bei deinem Freund.

 

[chrigu]

Also können zwei Komponenten die Verbindung stören… falsche Weiterleitung oder ds-lite/cgn weil du nur eine ipv4 hast.

 

[djbergwerk]

Und die Fritte deines Freundes?
So wie ich es verstanden habe, sind da ja insgesamt 3 Boxen im Einsatz.
Zwei (7590 und 7530) bei dir und eine 7590 bei deinem Freund.

Die vom Kumpel, habe ich gerade angefragt hat auch beide.
Genau, 7590 und 7530 bei mir und die vom Kumpel 7590. Meine sind beide die AX, seine ohne AX.

Also können zwei Komponenten die Verbindung stören… falsche Weiterleitung oder ds-lite/cgn weil du nur eine ipv4 hast.

Könntest du das bitte genauer erklären, verstehe das leider nicht so genau.

Ergänzung (21. April 2024)

Ich könnte mein Vorhaben genauer erklären, vielleicht finden sich neue Lösungen!

Was ich eig. vorhabe:
Ich möchte über eine VPN zum Kumpel ein bestimmtes Gerät aus meinem Netzwerk kommunizieren lassen! Nur dieses! und es soll sein gesamtes IPv4 Netzwerkverkehr über die VPN abwickeln.

Eine VPN von meiner 7590 zu seiner haben wir ohne Probleme hinbekommen. Aber selbst wenn besagtes Gerät als einziges angeklickt ist das die VPN Verbindung benutzen soll/darf (es soll ja quasi die Internetverbindung meines Kumpels benutzen) merkt mein Kumpel an seinem Upload nichts wenn ich z.B. etwas größeres downloade usw. Folglich die VPN Verbindung wird nicht für den Internetzugang dieses Geräts verwendet.

Erst wenn man in der VPN Konfiguration den Haken setzt "gesamtes IPv4 Netzwerkverkehr über die VPN abwickeln" hat mein Kumpel Upload, folglich das Gerät läuft über sein Internet.
Alles schön und gut denkt man, aber nach einer weile geht mein Festnetztelefon nicht mehr!

Die Fritz!Box nimmt das halt wörtlich, wickelt schön den Gesamten Netzwerkverkehr über die VPN ab, samt Telefonie! Die Telefonie, meckert dann irgendwann.

Ergänzung (21. April 2024)

Also kam mir die Idee mit der zweiten Box, auf dieser die VPN einzurichten, besagtes Netzwerkgerät zu verbinden und hier ruhig den Haken setzen "gesamtes IPv4 Netzwerkverkehr über die VPN abwickeln", diese Box würde ja eh nichts anders machen als VPN!.

Geht leider nicht, VPN auf der Fritz!Box hinter der Fritz!Box bekomme ich nicht ans laufen.

 

[Joshua2go]

Schau mal bei AVM vorbei.
Wireguard VPN 2 Fritzboxen

 

[djbergwerk]

Aus der AVM Wissensdatenbank habe ich schon so einiges durchgelesen
Im Prinzip trifft von dort diese Anleitung ziemlich genau auf meine Situation zu: https://at.avm.de/service/wissensda...FRITZ-Box-als-kaskadierter-Router-einrichten/

Bis auf Punkt 2, die Sache mit der DynDNS habe ich alles so gemacht. Es funktioniert aber trotzdem nicht!
Irgendwie kapiere ich auch nicht wozu eine DynDNS Adresse wenn schon eine MyFritz Adresse vorhanden ist!
Weiter unten in der Anleitung steht auch das wenn beide vorhanden sind, Wireguard die MyFtitz Adresse benutzt

Zudem meine ich auch aus der AVM Wissensdatenbank noch behalten zu haben das für eine VPN Verbindung eig. nur eine Fritz!Box aus dem Internet erreichbar sein muss usw.

 

[riversource]

Bis auf Punkt 2, die Sache mit der DynDNS habe ich alles so gemacht. Es funktioniert aber trotzdem nicht!

Welche dyndns bzw. myfritz Adresse habt ihr denn benutzt? Habt ihr bedacht, dass bei IPv6 direkt der Server und nicht der Router angesprochen werden muss? Die zweite Box braucht also funktionierendes dyndns, sonst wird das nichts.

 

[djbergwerk]

Schaue ich mir die Wireguard Einstellungen meiner 7530 die das VPN mit der Gegenstelle machen soll so steht bei:
Internet Adresse ihrer Fritz!Box die richtige MyFritz Adresse die die Box bekommen hat.
Bei Endpoint steht die MyFritz Adresse von meinen Kumpel bzw. seiner Box.

Wo ich absolut nicht durchblicke ist es mit den IP Adressen in mein eigenen Netzwerk,
Bei der 7590 die das DSL macht ist alles klar.
Bei der 7530 allerdings bin ich mir nicht so sicher. Die bekommt von der 7590 eine IP Adresse im Bereich 192.168.178.x (der Adressbereich der 7590 halt). Die 7530 wiederum stellt auch ihren eigenen IP Adressbereich 192.168.188.x bereit. Ansprechbar ist die auch nur über 192.168.188.x!

Wir haben die VPN aber mit beiden Adressen ausprobiert, also mit der IP Adresse die die 7530 von der 7590 bekommt und mit der 192.168.188.x
Geht beides nicht, besser gesagt die VPN lässt sich ohne Konflikte erstellen, Verbindung wird aber nicht aufgebaut.

 

[DLMttH]

Wo ich absolut nicht durchblicke ist es mit den IP Adressen in mein eigenen Netzwerk

...dann ist...

die 7530 nutzt diesen bereitgestellten Zugang nicht als IP-Client sondern als eigenständigen Router.

das nicht die richtige Lösung für dich. Entweder du verstehst IP-Netze und Routing, oder du solltest den Betriebsmodus IP-Client wählen.

Noch besser: Du verwendest wegen der höheren Leistung des moderneren Chipsatzes die 7530 als Modem und Router inklusive Wireguard und betreibst die 7590 dahinter als IP-Client und Access Point. Oder hat die Routerkaskade einen Grund?

 

[djbergwerk]

Hi, im IP-Client Modus stehen Wireguard und wahrscheinlich auch VPN IPsec in den Fritz!Boxen nicht zur verfügung.

Der Grund für die Routerkaskade hat folgenden Grund (hatte ich aber weiter oben beschrieben).
Ich möchte für ein bestimmtes Netzwerkgerät eine VPN zur verfügung stellen die den gesamten IPv4 Netwerkverkehr dieses Geräts über die VPN sendet.

Mit anderen Worten möchte ich mit besagtem Gerät die Internetverbindung meines Kumpels benutzen.

Haben wir auch hinbekommen mit einer zwei Router Lösung! Aber dazu ist es nötig diesen einen Haken in den VPN Einstellungen zu setzen "gesamten IPv4 Netzwerkverkehr über die VPN senden" und dann gehen bei mir die Telefone nicht mehr.
Man kann in den VPN Einstellungen zusätzlich auswählen welche Netzwerkgeräte die VPN benutzen dürfen (leider nicht sollen!) aber das hilft leider nicht bei dem Problem das die Telefone nicht mehr gehen.

Wir haben auch versucht mit geänderten config Dateien zu arbeiten in der Hoffnung die Telefone trotzdem von der VPN auszuschließen, hat aber noch nicht geklappt.

 

[DLMttH]

Und warum verwendest du den Wireguard Client dann auf deinem zweiten Router und nicht einfach auf deinem Netzwerkgerät? Wenn es nur um ein Gerät geht, wäre das ja viel einfacher.

 

[djbergwerk]

Auf dem Netzwerkgerät lässt sich leider kein Wireguard Client installieren.

 

[chrigu]

Und ipsec?

 

[djbergwerk]

Jetzt habe ich aber Probeweise eine eigene Wireguard VPN für ein Client (Smartfone, PC usw.) erstellt, die Einstellungen per QR-Code in der Wireguard App auf mein Handy importiert und die VPN geht.
Also ist mein Router hinter dem Router schon aus dem Netz erreichbar!

Die Lösung ist nah!

Ergänzung (21. April 2024)

Und ipsec?

IPsec haben wir bisher leider nicht an´s laufen bekommen.
Hatten wir zuerst ausprobiert auf der 7590 wo die Wireguard VPN danach ja auch funktioniert hat.
Wir hatten aber die Boxen nicht neu gestartet bzw. vom Strom getrennt und wieder angeschlossen, in manchen Anleitungen für IPsec wird das immer wieder erwähnt, sonst sollen die Einstellungen nicht übernommen werden.

Dann waren wir zur Wireguard übergegangen und IPsec nicht mehr ausprobiert. Es wäre aber eine Möglichkeit es damit wieder mal zu probieren.