OpenWrt VPN Client hinter Fritzbox

[DoctorUltra]

Hallo,

ich habe gerade einen OpenWrt mit Wireguard vom WAN Port mit der Fritz!Box LAN verbunden. In den OpenWRT Router habe ich ein Wireguard Client laufen. Das funktioniert auch alles, wenn ich den PC an den OpenWRT stecke, wenn ich aber z. B. den OpenWRT als Gateway bei Clients eingebe, welche an der Fritz!Box hängen, dann funktioniert das VPN nicht.

Kurze Technik Info:

Fritz!Box IP 192.168.10.1
OpenWRT Router 192.168.8.1

Beim OpenWRT ist beim WANPort als IP die 192.168.10.6 mit den Gateway 192.168.10.1 eingetragen.

Was kann ich tun, das jeder Client wenn ich möchte über den OpenWRT eine VPN Verbindung aufbaut, ohne das ich ihn aber an den OpenWRT Router stecken muss?

Grüße Doc

 

[IBISXI]

ich habe gerade einen OpenWrt mit Wireguard vom WAN Port mit der Fritz!Box LAN verbunden

?

Von einen locker hingezupften Einzeiler kann niemand erahnen worum es geht.

Könntest Du das vllt. etwas genauer beschreiben?

Was hast Du wohin verbunden?
(Standorte, Geräte, Netze)

 

[DoctorUltra]

wieso was meinst du

OpenWRT Router -WAN-192.168.10.6-----------LAN Fritz!Box 192.168.10.1
OpenWRT Router LAN 192.168.8.1

Mein Problem ist die Clients an den VPN Router laufen alle über VPN. Wenn ich aber z. B. einen Client an den Fritzbox Router eine OpenWRT IP mit Gateway vom Openwrt gebe, dann kommt man zwar in das internet nur das VPN funktioniert nicht?

 

[DoctorUltra]

Muss man da irgendeine Route einrichten oder liegt es vielleicht an der Firewall vom OpenWRT Router?

 

[till69]

OpenWrt per LAN-Port an die Fritzbox (z.B. 192.168.10.6), DHCP und Firewall aus, WAN aus oder entfernen.

Dann hast Du zwei Gateways:
192.168.10.1 = Fritzbox (Internet ohne VPN)
192.168.10.6 = Fritzbox (Internet mit VPN)

 

[Raijin]

Der WAN-Port eines Routers stellt sinngemäß das Internet dar, also ein potentiell bedrohliches Netzwerk. Aus diesem Grund verhindert die WAN-Firewall jegliche eingehende Verbindungsversuche über den WAN-Port. Letztendlich "denkt" dein OpenWRT-Router ja, dass an seinem WAN-Port das Internet hängt, von der (vertrauenswürdigen) Fritzbox weiß er nix, sie ist für ihn nur ein Gateway mit MAC- und IP-Adresse.

Das beschriebene Verhalten ist also gewollt. Wenn du an einem PC im Fritznetzwerk die WAN-IP des OpenWRT-Routers als Gateway einstellst, schickt der PC sämtlichen Internettraffic an eben diese IP. Sobald diese Datenpakete am WAN-Port des Routers ankommen, schlägt die oben erwähnte Firewall zu und blockiert sie.

@till69 's Vorschlag zeigt daher den richtigen Weg, ein zweites Gateway in ein und demselben Netzwerk, dem Fritznetzwerk. Leider hat sich ein kleiner Fehler bei @till69 eingeschlichen:

OpenWrt per LAN-Port an die Fritzbox (z.B. 192.168.10.6), DHCP und Firewall aus, WAN aus oder entfernen.

Dann hast Du zwei Gateways:
192.168.10.1 = Fritzbox (Internet ohne VPN)
192.168.10.6 = OpenWRT-Router (Internet mit VPN)

Nun kannst du am PC das Standardgateway nach Belieben umstellen und so mit oder ohne VPN ins Internet gehen. Den DHCP-Server in der Fritzbox kannst du zudem so einstellen, dass sie den gewünschten Weg als Standard via DHCP verteilt, sei es Gateway .1 für Standard-ohne-VPN oder Gateway .6 für Standard-mit-VPN.

 

[DoctorUltra]

Habe ich gerade gemacht, nur leider komme ich dann nicht mehr ins Internet, wenn ich bei einen PC an der Fritz!Box beim Gateway die OpenWRT Router IP angebe

192.168.10.1 = Fritzbox
192.168.10.8 = OpenWRT Router

 

[DoctorUltra]

Habe es gerade herausgefunden, ich muss unbedingt bei DNS bei den Clients 192.168.10.1 eintragen, obwohl ich beim Gateway 192.168.10.8 eingetragen habe. Kann man openWRT nicht irgendwo eintragen, dass er den DNS selber zieht, wenn ich mit den Gateway 192.168.10.8 komme oder geht das Netzwerktechnich überhaupt nicht?

Außerdem fällt mir gerade auf, wenn ich mit VPN raus gehe, dann ist er zwar auf Check Seiten in einen anderen Land aber der DNS ist noch in Deutschland. Könnte mir jemand bitte einen Tipp geben?

Bei manchen PC´s steht auch überall Deutschland obwohl ich den Router mit VPN eingewählt habe?

Ergänzung (30. September 2022)

Jetzt komme ich langsam zum Ziel, es lag daran, dass man auch beim DNS die 192.168.10.8 (OpenWRT) bei den Clients eintragen musste. Das Problem ist nur, das IPV6 mir hier ein Strich durch die Rechnung macht und bei aktivierten IP v6 anscheinend der DNS von IPv6 genommen wird und der ist leider in DE?

 

[riversource]

Irgendwie habt ihr mich abgehängt. Betrachten wir die Sache erst mal unabhängig von IPv4 und IPv6. IPv6 können wir nachziehen, sobald IPv4 läuft.

Also: der OpenWRT hat eine WAN Adresse im Fritzbox Netz und spannt ein eigenes LAN auf (192.168.8.0/24). Das ist auch das Netz für die VPN Clients. Ich glaube nicht, dass er die Anfragen aus seinem WAN Netz übers VPN schickt, da er vermutlich ja auch NAT dafür macht. Jedenfalls würde letzteres mindestens einen Eingriff in die iptables Regeln erfordern. Wie sehen die aus auf dem OpenWRT Router?

 

[DoctorUltra]

Sorry für die verspätete Antwort. Also was habe ich genau für eine Umgebung

Eine Fritz!Box 192.168.10.1

Eine GL.inet sf1200 OpenWRT,

• den habe ich auf 192.168.10.8 mit den Gateway 192.168.10.1 gestellt
• den WAN Port Interface habe ich gelöscht

Den OpenWRT Route habe in an der LAN Buchse mit einer LAN Buche der Fritz verbunden.

Nach diesen Stand hat auch alles funktioniert. Ich konnte PC´s an der Fritz!Box und PC´s an den OpenWRT perfekt im Internet nutzen.

Sowohl mit den Gateway und DNS 192.168.10.1 als auch mit 192.168.10.8

Jetzt habe ich ein Wireguard Interface installiert und ich habe immer das Problem sobald das Interface installiert ist komme ich über diesen Router nicht mehr in das Internet. Egal ob das Interface connected oder nicht connected ist. Ist das vielleicht ein Schutzmechanismus, der den Router ohne VPN nicht mehr ins Internet gehen lässt?

 

[riversource]

Ist das vielleicht ein Schutzmechanismus, der den Router ohne VPN nicht mehr ins Internet gehen lässt?

Nein, das ist vermutlich einfach nur totales Routing Kuddel Muddel, was du auf dem sf1200 erzeugt hast. Um Routen zu können, braucht ein Router zwei Subnetze - ein WAN und ein LAN Netz.

Das WAN Netz könnte die VPN Verbindung sein, das LAN Netz das physikalische Fritzbox Netz. Wenn du den sf1200 dann so einrichtest, dass die Defaultroute über VPN geht und es dazu eine Host Route zum VPN Server über die Fritzbox gibt, dann könnte es klappen - wenn die NAT Regeln fürs LAN Netz dir nicht den Zugriff auf den VPN Server verhageln (weil das Gateway für die Host-Route dummerweise im LAN Netz liegt). Das musst du testen. Wie dem auch sei, das musst du von Hand einrichten, ein Standard-Setup über die GUI ist das mit Sicherheit nicht.