2 VPN-Router hinter FritzBox miteinander verbinden, Zugriff auf entfernte Netzwerk

Wile E Coyote

Newbie
Registriert
Jan. 2018
Beiträge
7
Servus,

aktuell nutze ich folgende Konstellation:

Netzwerk 1: FritzBox 7490, IP-Bereich 192.168.1.xx, 8-Port Switch um alle LAN-Geräte und ggf. weitere Switche zu bedienen
Netzwerk 2: FritzBox 7490, IP-Bereich 192.168.2.xx, 5-Port Switch, s.o.
Netzwerk 3: FritzBox 7490, IP-Bereich 192.168.3.xx, 5-Port Switch, s.o.

Netzwerk 1 ist mit 2 und 3 sternförmig per FritzBox-VPN verbunden. Funktioniert seit Jahren ohne Probleme.

Zwischen Netzwerk 1 und 2 werden pro Monat über das VPN ca. 1,5-2,2 TB geschoben.
Zugriff von Netzwerk 1 auf 3 erfolgt nur administrativ. Zugriff von 2 auf 3 bzw. 3 auf 2 nicht möglich und auch nicht gewollt.

Nun bekommt Netzwerk 1 einen neuen Tarif, von 13'000'er geht es auf 100'000'er down- und von 2,7 auf 40'000'er Upload. NW 2 und 3 haben jeweils 50/10'er Tarife.
Da kommt das FritzBox-VPN Bandbreitenmäßig voll an die Grenzen bzw. die verfügbare Bandbreite kann nicht genutzt werden.

Nun habe ich mir gedacht um die volle Bandbreite auszuschöpfen hole mir 2 VPN-Router von unifi, cisco etc. und stelle über die das VPN zwischen NW 1 und 2 her. Bisher habe ich durch Google schon herausgefunden das ich dann auch keinen VPN Zugriff von NW 1 auf 3 habe, da ich die VPN-Server in der FritzBox deaktivieren bzw. alle VPN-Profile löschen muss.
Die FritzBoxen möchte ich an sich behalten, da sie jeweils den WLAN-AP, Dect-Basis sowie SmartHome-Steuerung übernehmen.

Was mir bisher nicht klar ist und worauf ich auch bisher keine Antwort gefunden habe:
- wenn ich den VPN-Router an einen LAN-Anschluss hinter die FB setze und entsprechend konfiguriere, läuft der LAN-Verkehr entsprechend über den VPN-Router, was ist jedoch mit dem WLAN-Geräten??? Haben diese dann keinen Zugriff auf den VPN-Tunnel? Oder muss ich einen weiteren WLAN Router hinter den VPN Router setzen?
- welche VPN-Router und welche Verschlüsselungsart empfehlt ihr??
- wie wäre der Aufbau, dass sämtliche Geräte normal ins Internet kommen, jedoch auch per Eingabe der entsprechenden IP ins entsprechende entfernte Netzwerk?? Es soll per VPN auf die jeweils kompletten Netzwerke und nicht nur einzelne Geräte zugegriffen werden.

Sollte ich irgendwo genau so ein Thema übersehen haben, so bitte ich um kurze Mitteilung. Bisher habe ich nichts vergleichbares gefunden.

Danke und Gruß
 
1) Wird vermutlich nicht funktionieren. Du könntest zwar eine statische Route in der FB setzen, die für das Zielnetzwerk den VPN-Router hinter der FB als Gateway nutzt, aber dann würde der VPN-Router selbst ja nicht mehr an der FB vorbei kommen, weil sich ein Kreis zwischen ihm und der FB bilden würde.
Es muss wohl so aussehen: WAN -> ein Modem (kann eine FB sein) -> ein VPN-Router -> die FB, die als WLAN-AP und DECT-Basis dient (dafür reicht übrigens so ein billiges Teil).

2) pfSense (eigene Hardware oder Fertigprodukt, Software ist frei) mit OpenVPN site-2-site. Einen Ubiquiti EdgeRouter habe ich (neben einer pfSense) historisch bedingt (er war vor mir da :D) auf Arbeit. Man bekommt ihn dahin, zu tun, was er soll, aber schön ist das nicht. Die Paketversionen sind alt, die Oberfläche unvollständig. OpenVPN über die UI zu konfigurieren kannst du quasi vergessen. Nachträglich die Config modifizieren geht. Die Oberfläche der pfSense ist traumhaft intuitiv dagegen.
Cisco ist schon gut, aber wenn man damit nicht ständig zu tun hat, bricht man sich ganz schön die Finger bei der Konfiguration.

3) Das steuerst du mit statischen Routen im VPN-Router. Für die definierten Netze wird dann das VPN-Interface als hop genutzt. Der Rest geht eben ganz normal ins LAN oder WAN. Wenn du es hübsch haben willst, kannst du dir ja einen DNS-Server einrichten, damit du nicht mit IPs hantieren musst. In der pfSense kann man komfortabel das BIND9-Paket installieren und über die Oberfläche konfigurieren.
 
Zuletzt bearbeitet:
Bei mir baut ein Linuxserver jeweils OpenVPN und Wireguard Verbindungen nach außen auf.

In der Fritzbox ist dann hinterlegt, dass Anfragen an die jeweiligen Netzwerke an den Server weitergeschickt werden und der schickt das dann weiter. Da gibts keinen Kreis.

2018-01-05 02_00_35-FRITZ!Box Fon WLAN 7390.png

Alles was an die 192.168.50.* geht schickt die fritzbox an 192.168.13.5 weiter.
 
Servus,

vielen Dank für eure Antworten. Wird also wieder ein größeres Projekt........mein Finanzminister erschlägt mich eines Tages.....
An die statische Route habe ich ja gar nicht gedacht, damit muss ich mich mal näher befassen. Manchmal sieht man den Wald vor lauter Bäumen nicht.

Danke und Gruss
 
Zuletzt bearbeitet:
Für 50 Mbit/s und mehr benötigst du bei OpenVPN allerdings einigermaßen potente Hardware. Ein EdgeRouter wie oben erwähnt könnte das gar nicht, weil die max ~15 Mbit/s via OpenVPN schaffen. Hintergrund ist, dass OpenVPN architekturbedingt nicht so einfach auf Crypto-Hardware ausgelagert werden kann. Die Verschlüsselung muss daher weitestgehend von der CPU berechnet werden. IPsec dagegen lässt sich leichter auslagern und so schafft ein EdgeRouter eben auch 60 Mbit/s, einige berichten sogar von 100 Mbit/s. Selbst getestet habe ich das nicht, weil ich privat ausschließlich OpenVPN einsetze und beruflich auf Cisco angewiesen bin.

Daraus folgt, dass Hardware mit ARM-CPUs wie zB Raspberry PI o.ä. für schnelles OpenVPN nicht sonderlich gut geeignet ist, ebenso wenig (günstige) 08/15 Router mit OpenWRT, etc... Da sollte es dann schon eine x86 CPU sein, die mehr Dampf hat. Ein PI3 schafft soweit ich weiß auch nur grob 20 Mbit/s via OpenVPN.

IPsec ist bei schwacher Hardware daher besser geeignet - Crypto-HW vorausgesetzt. Ein EdgeRouter kann also eine Option sein sofern die 60-100 Mbit/s auch tatsächlich erreicht werden können. Ein ER-X kostet knapp 50€, ein ERLite um die 100€. pfSense Hardware wie zB das APU2 liegt preislich irgendwo bei 150-200€. Mag sein, dass es auch günstiger geht, hab nur mal kurz google überflogen.

Wenn daheim eh schon ein Server läuft, sei es ein potentes NAS oder ein kleiner PC, Laptop, o.ä., dann kann man das VPN auch darüber laufen lassen. 24/7 Betrieb muss aber einkalkuliert werden oder man fährt den Server bzw. das VPN nur bei Bedarf hoch. Es ist aber wenig sinnvoll, einen alten Stromfresser-PC aus dem Keller rauszukramen, der ein Vielfaches an Energie verbraucht und so zB obige pfSense-Hardware früher oder später preislich überholt....


*edit
Im übrigen empfehle ich dir, die Subnetze in den jeweiligen Netzwerken nochmal zu überdenken. Irgendwann mal kommst du auf die Idee, dass man ja auch im Urlaub vom Hotel aus auf das heimische VPN zugreifen kann. Wenn das Hotel nun ebenfalls das weit verbreitete 192.168.x.0 Subnetz verwendet, guckst du dumm aus der Wäsche.

10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255

In diesen Bereichen kann man sich austoben. Ich pflege meine Subnetze zB an Geburtstage zu koppen, zB 172.23.4.0 für den 23.4. So kann man sich das einfacher merken ;)
Bei der Verwendung von VPNs sollte man die 08/15 Subnetze meiden wie die Pest. 192.168.x.0 (x=0/1/2/178/179) gehören zu den am meisten verwendeten Subnetzen weltweit. Ich behaupte mal, dass 98% der privaten Subnetze so aussehen und auch etliche Hotels, etc. sich eher wenig Gedanken um sowas machen..
 
Zuletzt bearbeitet:
Servus,

ja das mit dem von außerhalb via VPN auf das Heimnetzwerk zugreifen nutze ich bereits. Ich bekomme dann in der FB eine IP die oberhalb der 100 liegt, also z.B. 192.168.1.101. Der DHCP Bereich liegt weit darunter. Darüber nutze ich z.B. die FritzFon-App um kostenlos nach D zu telefonieren. Wenn man dann ein internes Gespräch auf der jeweiligen FritzBox (z.B. von IP-Telefon auf ein Dect-Telefon) führt, dann ist das ganze sogar noch relativ abhörsicher, da die Verbindung ja über den VPN-Tunnel läuft.

Ich habe von cisco und Co. gesprochen , da die ja eine relativ hohe Durchsatzrate haben. Hier mal das Datenblatt vom Linksys LRT214. Da ist von 110 Mbit bei IPSec die Rede.
http://downloads.linksys.com/downloads/datasheet/de/LRT214_LRT224_Deutsch.pdf


Gruss
 
Zuletzt bearbeitet:
Wile E Coyote schrieb:
ja das mit dem von außerhalb via VPN auf das Heimnetzwerk zugreifen nutze ich bereits. Ich bekomme dann in der FB eine IP die oberhalb der 100 liegt, also z.B. 192.168.1.101.
Dann hast du jetzt schon den Fall, dass deine Subnetze unglücklich gewählt sind. Es ist vollkommen egal ob du eine 192.168.1.189 oder eine .7 hast, das Subnetz ist entscheidend. Sobald du mit Laptop oder Smartphone bei einem Kumpel bist, in einem Hotel oder wo auch immer ebenfalls 192.168.1.0 genutzt wird, wirst du große Probleme bekommen.

Beispiel :

Hotel-WLAN. Laptop bekommt via DHCP die 192.168.1.123. Ping auf 192.168.1.1 landet beim Hotel-Router.
Startest du nun VPN und möchtest zB auf dein NAS zugreifen, das daheim die 192.168.1.254 hat, wirst du feststellen, dass es irgendwie nicht klappt. Warum? Simpel, Windows wird diese IP im lokalen Netzwerk suchen, im Hotel.

Identische Subnetze auf beiden Seiten eines VPNs sind ätzend. Die Wahrscheinlichkeit, dass Hotel, Café, Kumpel, HotspotXY eben genau 192.168.1.0 verwendet, ist vergleichsweise hoch, weil das oft die Werkseinstellung des Routers ist. Nutzt du daheim dagegen zB 172.26.76.0 müsste es schon ein ziemlicher Zufall sein, wenn das Hotel nur gerade dieses Subnetz verwendet.

Mag sein, dass du Glück hast und nie in so eine Lage gerätst, aber einmal reicht und das wird nach Murphy genau das Mal sein wo du unbedingt an deine Daten musst...
 
Servus,

so jetzt habe ich alles mal etwas weiter durchdacht. Dabei ist folg. Plan entstanden:
- Telekom Speedport Smart als Modem (IP 10.10.xx.1) und um das WLAN to Go nutzen (ist ja ein Telekom VDSL Anschluss)
- dahinter ein Linksys LRT 214 als VPN Router (IP 10.10.xx.2)
- abschließend eine FritzBox 7490 (IP 10.10.xx.3) für SmartHome, Dect-Basis, WLAN etc. (also wie gehabt, nur das Modem wird verlagert und der VPN Router wird dazwischen geschaltet)

Der IP-Bereich in den diversen FritzBoxen wird von 192.168.x.x auf 10.10.x.x geändert.

An sich sollte das so klappen oder seht ihr da einen Fehler im Aufbau??

Gruss
 
Zuletzt bearbeitet:
Der Linksys ist mir zwar nicht geläufig, aber er wird seinen Job wohl schon tun. Einzig die Kompatibilität mit dem FritzVPN sollte man prüfen, wenn in den anderen Netzwerken weiterhin die Fritzbox als VPN-Gateway fungieren soll.

Andererseits kann man das VPN natürlich auch splitten und zB das FritzVPN weiterhin als Verbindung untereinander nutzen und den Linksys für VPN-Zugriffe von unterwegs. Mehrere VPNs beißen sich nur dann, wenn sie dieselben Ports verwenden. Da FritzVPN prinzipiell IPsec nutzt, werden auch die IPsec-Ports in Beschlag genommen. OpenVPN dagegen lässt einem die Qual der Wahl und man kann einen beliebigen VPN-Port nutzen. IPsec neben OpenVPN ist daher kein Problem, mehrere OpenVPNs auch nicht, mehrere IPsec dagegen schon.
 
@Raijin
Danke für deine Antworten. Welches Modem und welchen VPN Router würdest Du denn für meinen Zweck verwenden bzw. empfehlen??

Gruss
 
Zurück
Oben