Fritzbox VPN und Gateway aus anderem Netz

[ny_unity]

Moin zusammen,

ich möchte gern einen Standardgateway aus einem entfernten Netz nutzen, aber zu erstmal der Aufbau:

Fritzbox A (5530), direkt am Glasfasernetz:
Netz: 192.168.1.0
Subnetz: 255.255.255.0
IP der FB: 192.168.1.1

Fritzbox B (7590) an einem Glasfasermodem (Telekom), baut die Verbindung selbst auf:
Netz: 192.168.0.0
Subnetz: 255.255.255.0
IP der FB: 192.168.0.1

Beide sind per AVM FB VPN verbunden und funktioniert einwandfrei. Im Netzt von Fritzbox A steht ein VPN Server (Ubuntu 22.04; IP: 192.168.1.33) mit OpenVPN. Die Verbindung ist erfolgreich freigegeben, weil Geräte im Netzwerk von Fritzbox A können die IP des VPN Servers als Gateway eintragen und haben dann die öffentliche VPN IP beim surfen.

Jetzt sollen ein paar Geräte aus dem Netz von Fritzbox B ebenfalls den Gateway von dem VPN Server nutzen. Im Netz von B kann der Server im Netz A angepingt werden (<20ms). Trage ich jedoch die IP als Gateway ein, kann keine Verbindung aufgebaut werden.

Ping von Netz A in B funktioniert auch.

Habe ich was vergessen? Ich habe auch versucht eine ipV4 Route zu erstellen, bekomme aber einen Fehler, das die Route nicht richtig sei. Diese Route wollte ich in Netz B eintragen:

Dieser Fehler kommt:

Hat jemand eine Idee? :-)

 

[Raijin]

Hat jemand eine Idee? :-)

Ja, dass du vermutlich genau das getan hast, was die Fehlermeldung dir vorwirft: Das Gateway liegt außerhalb des lokalen Subnetzes.

Ein Gateway ist ein Teilnehmer des lokalen Subnetzes, der als Übergang zu einem anderen Subnetz dient, eben als "Gateway". Dieses Gateway darf natürlich nicht selbst außerhalb liegen.

Um mich mal eines Beispiels aus der Real-Welt zu bedienen:

In deiner Wohnung ist das "Gateway" deine "Wohnungstür". Wenn du Müll rausbringst, musst du aus dem Haus, also

Küche ---Wohnungstür (GW)----> Treppenhaus ----Haustür (GW)---> Straße

Könntest du nun voder Küche aus definieren, dass dein Gateway nach draußen die Haustür im Treppenhaus ist? Wohl kaum, weil du dir dann hässliche Beulen holen würdest, während du gegen deine Wohnungstür ballerst...


Subnetz: 192.168.1.0/24
Gateway: Irgendeine IP im Bereich 192.168.1.1 - 192.168.1.254 <- so und nicht anders


Jedes Subnetz kennt also nur die Übergänge (=Gateways) vom eigenen Subnetz in andere, aber nicht die Gateways der anderen Subnetze.

 

[ny_unity]

Subnetz: 192.168.1.0/24
Gateway: Irgendeine IP im Bereich 192.168.1.1 - 192.168.1.254 <- so und nicht anders


Jedes Subnetz kennt also nur die Übergänge (=Gateways) vom eigenen Subnetz in andere, aber nicht die Gateways der anderen Subnetze.

jap, so hab ich es auch eingetragen in Fritzbox B (IP der Box 192.168.0.1)
Netzwerk: 192.168.1.0 (Das Netz der Fritzbox A)
Subnetz: 255.255.255.0
Gateway: 192.168.0.1 (Ip der Fritzbox aus Netz B, also sich selbst)

 

[chrigu]

Wenn du schon über das Internet des andere surfen willst, musst du dort eine Freigabe machen. Wobei ich den Sinn nicht sehe, weil A) du nicht schneller wirst und B) dadurch das andere Netzwerk zusätzlich mit deinen Anfragen und Downloads belastest.

 

[ny_unity]

Wenn du schon über das Internet des andere surfen willst, musst du dort eine Freigabe machen.

Die Verbindung des Ubuntu ist ja freigegeben, meine Geräte im Heimnetz können diese Verbindung ja nutzen.

Wobei ich den Sinn nicht sehe, weil A) du nicht schneller wirst und B) dadurch das andere Netzwerk zusätzlich mit deinen Anfragen und Downloads belastest.

Es geht hier nicht um Geschwindigkeit, sondern um den Nutzen von VPN. Netzwerk ist stabil genug, Internet liegt bei mit mit > 500 an, er surft mit 100 Glasfaser. Von daher werde ich keine Einbußen haben.

 

[Raijin]

jap, so hab ich es auch eingetragen in Fritzbox B (IP der Box 192.168.0.1)
Netzwerk: 192.168.1.0 (Das Netz der Fritzbox A)
Subnetz: 255.255.255.0
Gateway: 192.168.0.1 (Ip der Fritzbox aus Netz B, also sich selbst)

Hä? Du sagst also deiner Fritzbox B, dass das Gateway zu Fritzbox A die Fritzbox B ist, die als Gateway zu Fritzbox A die Fritzbox B als Gateway hat, die als Gateway zu Fritzbox A die Fritzbox B als Gateway hat und so weiter und so fort..

Das eingetragene Gateway muss natürlich wissen wie es in das Ziel-Netzwerk weitergeht, es braucht also eine Route in das Ziel-Netz und keine Route auf sich selbst. Wenn das Ziel dieser Route das Gateway selbst ist, beißt sich die Katze in den Schwanz.


Jedes Gateway auf dem Weg von der Quelle zum Ziel muss seinerseits ein Gateway in Richtung Ziel haben oder das Gerät direkt erreichen können (sprich: im selben Subnetz liegen).


Um ehrlich zu sein verstehe ich auch dein Gesamtkonstrukt nicht. Du hast scheinbar ein AVM-VPN zwischen den Fritzboxxen, aber dann gibt es noch einen OpenVPN-Server, also ein irgendwie geartetes zweites VPN. Am besten machst du mal eine Skizze vom Aufbau mit allen lokalen IP-Adressen. Dann kann man vielleicht besser nachvollziehen was du vorhast.

 

[ny_unity]

Um ehrlich zu sein verstehe ich auch dein Gesamtkonstrukt nicht. Du hast scheinbar ein AVM-VPN zwischen den Fritzboxxen, aber dann gibt es noch einen OpenVPN-Server, also ein irgendwie geartetes zweites VPN. Am besten machst du mal eine Skizze vom Aufbau mit allen lokalen IP-Adressen. Dann kann man vielleicht besser nachvollziehen was du vorhast.

 

[Raijin]

Ok, jetzt wird ein Schuh draus.

Du willst nun also vom Netz der 7590 links im Bild über den VPN-Server im Netz der 5530 rechts im Bild ins Internet gehen? Das wird so nicht funktionieren. Du kannst einem Gerät (im Beispiel die PS5) kein Gateway geben, das AUSSERHALB des Subnetzes der PS5 liegt. Das ist das, was ich in #2 versucht habe zu erklären. Die PS5 kann ausschließlich ein Gateway haben, das mit 192.168.0.x beginnt, aber niemals nie nich ein Gateway mit 192.168.1.x, weil diese IP nicht im lokalen Netzwerk der PS5 liegt. Die PS5 benötigt also ein Gateway, das entweder die 7590 ist oder in dessen Netzwerk liegt. Setzt du das Gateway der PS5 jedoch auf die 192.168.0.1 (Fritzbox 7590), geht die PS5 direkt über deren Internetverbindung ins Internet.

Ich fürchte, dein Szenario wird so nicht funktionieren. Denkbar wäre ein OpenVPN-Client im Netzwerk der 7590, der sich mit dem OpenVPN-Server im Netz der 5530 verbindet. Die PS5 bekäme dann die IP des lokalen OpenVPN-Clients - zB ein Raspberry PI - als Gateway und dieser enthält entsprechende Regeln, die den Traffic zu seinem VPN-Server schicken, also rüber ins andere Netzwerk.

 

[ny_unity]

okay, ich hatte da als Idee meinen openVPN Server zusätzlich als WireGuard Server einzurichten und den Traffic von WG dann über openVPn zu jagen. Die 7590 kann ja WG, dann verbindet diese sich eben zu mir über WG. Aber dann wirds trotzdem nicht gehen, weil das ist ja dann immer noch das gleiche, oder?

 

[Raijin]

Leider nein. Das Problem ist, dass die Fritzbox ein Consumer-Router ist, der zwar durchaus schon mehr Funktionen bietet als so manch Konkurrent, aber um den Traffic von PS5 via VPN ins andere Netzwerk und von dort ins Intenet zu leiten und gleichzeitig den Traffic vom PC/Laptop/Tablet/Smartphone direkt über die eigene Verbindung ins www zu routen, müsste die Fritzbox PBR (Policy Based Routing) unterstützen, was sie nicht tut.

Mit einem VPN-Client im lokalen Netzwerk der PS5 wäre das etwas anders, weil man da wie gesagt einen Raspberry PI, o.ä. einsetzen könnte, mit dem man so ziemlich alles konfigurieren kann, was man möchte. Mit PIVPN der dergleichen geht das nahezu out-of-the-box nachdem man die VPN-Parameter definiert hat.

 

[ny_unity]

okay, danke :-) ich habe noch n alten HP Thin Client, dann nutze ich den dafür. Aber danke für die Hilfe und Erläuterungen.

 

[ny_unity]

Ich muss das nochmal aufgreifen.

Habe jetzt beim Kollegen einen Ubuntu hingestellt, der verbindet sich zu meinem als Client. Lief alles so gut, bis ich es bei mir im Netz hatte. Jetzt habe ich den bei ihm hingestellt und er verbindet sich nicht mehr. Unsere FRITZ!Boxen sind miteinander immer noch verbunden, kann auch ping in alle Richtung ausführen.

Habe den udp Port in meiner Box freigeschaltet und habe es mit 192.xxx probiert als Host und meine Lokale zu Hause. Kann auch nicht per ssh verbinden. Muss ich bei mir noch iptables was freigeben?

edit:

Ich konnte das Problem eingrenzen. Mein Server ist openvpn Server und gleichzeitig auch client. Wenn ich die client Verbindung deaktiviere, kann mein kumpel sich verbinden, habe ich am server aber auch dessen client verbindung aktiv, wars das.