Subnetz über Wireguard VPN Fritz.Box erreichen
- Ersteller Repsol78
- Erstellt am
madmax2010
Fleet Admiral
- Registriert
- Juni 2018
- Beiträge
- 30.592
am einfachsten ist es, wenn du ihn auch ins VPN hängst
riversource
Captain
- Registriert
- Juli 2012
- Beiträge
- 3.183
Warum haben die 2 lokalen Fritzboxen eine VPN Verbindung und die entfernte nicht? Das Setup verstehe ich nicht.
Nur FB 1 und FB 2 haben die Möglichkeit eine VPN Verbindung herzustellen. Eine VPN Verbindung habe ich als Lan Lan mit FB1 und FB3 schon probiert, ohne Erfolg und ein VPN zwischen FB1 und PC1 blieb erfolglos.riversource schrieb:
Ergänzung ()
Wen meinst du mit ihn?madmax2010 schrieb:
madmax2010
Fleet Admiral
- Registriert
- Juni 2018
- Beiträge
- 30.592
PC3
riversource
Captain
- Registriert
- Juli 2012
- Beiträge
- 3.183
Die beiden befinden sich am gleichen Standort und haben eine direkte Verbindung. Warum sollten die einen VPN Tunnel aufbauen? Die entfernte Fritzbox (getrennt durch Internet, also durch die blaue Wolke) hat keine VPN Verbindung. Wie soll das gehen?Repsol78 schrieb:
Oder bist du der einzige Mensch auf der Welt, bei dem die blaue Wolke nicht das Internet symbolisiert? Halte dich besser an die üblichen Gepflogenheiten beim Zeichnen solcher Bilder.
Also: Wie genau ist das Setup? Und zeichne das Internet da ein, wo es ist.
riversource
Captain
- Registriert
- Juli 2012
- Beiträge
- 3.183
Ok, der VPN Tunnel steht? Du erreichst von PC1 PC2 und FB2? Dann richte in FB2 die erforderlichen Portweiterleitungen auf die IP von PC3 ein. Die Dienste erreichst du von PC1 dann über die IP von FB2.
madmax2010
Fleet Admiral
- Registriert
- Juni 2018
- Beiträge
- 30.592
Erstell 2 Wireguard Configs auf dem Wireguard server, installiere Wireguard auf PC3 und PC1 und spiele je eine der Configurationen einRepsol78 schrieb:
riversource
Captain
- Registriert
- Juli 2012
- Beiträge
- 3.183
Natürlich nicht. FB2 arbeitet als NAT Router, da kommst du von außen nicht an die 10er Adressen ihres LANs ran. Das klappt auch nicht von PC2.Repsol78 schrieb:
Welche Ports brauchst du denn? Das hättest du ja auch bei direkter Erreichbarkeit wissen müssen.Repsol78 schrieb:
riversource
Captain
- Registriert
- Juli 2012
- Beiträge
- 3.183
Filefreigabe gibt es natürlich etliche verschiedene Protokolle. Nutzt du SMB? Daraus ergibt sich dann die Portnummer.
Bei NAT geht das nicht, auch nicht bei teuren Routern. Wenn man das will, muss man vollwertig routen, aber dann stellt sich eher die Frage: Warum muss FB2 ein Router sein? Wenn man eh das Routing zwischen beiden Netzen erlaubt, dann kann man aus FB2 auch einen Switch machen und die Netze zusammenfassen.chrigu schrieb:
Raijin
Fleet Admiral
- Registriert
- Nov. 2007
- Beiträge
- 18.285
@riversource hat die Lösung schon genannt. Das Problem aktuell ist, dass eine Fritzbox am WAN nun mal NAT betreibt, weil sie kein frei konfigurierbarer Router ist, sondern zu 98% ab Werk hart codiert voreingestellt ist, u.a. eben auch NAT am WAN.
Im Prinzip arbeiten FB1 und FB2 in dieser Konstellation nach demselben Schema. Alles am WAN-Port ist "das böse Internet" und deswegen darf da nix rein, was nicht angemeldet ist, zB durch eine Portweiterleitung. Aus dem www darf nicht einfach so irgendwas auf einen PC mit 192.168.178.123 zugreifen und aus dem Netz der FB1 (oder noch weiter davor, zB VPN) darf eben auch nichts einfach so auf einen PC mit 10.0.0.234 zugreifen. Dasselbe Prinzip, WAN=böse => Firewall.
Eine Portweiterleitung dient nun dazu, eben diese Blockade bewusst aufzuheben, für diesen einen Port und dieses eine Zielgerät. Richte also in FB2 die nötigen Portweiterleitungen ein, zB für SQL tcp 1433 (nicht 1443 wie du schreibst) und für SMB, also die herkömmliche Windows Dateifreigabe, TCP 445. Beides mit lokaler Ziel-IP = PC3.
Anmerkung: In FB1 wird dafür wird keine Portweiterleitung benötigt!
FB3 ----- (192.168.2.x) PC1
(WAN)
|
www
|
(WAN)
FB1 ----- (WAN @ 192.168.178.25) FB2 ----- (10.0.0.y) PC3
FB3: Nix.
FB1: Nix.
FB2: Portweiterleitung tcp 1433 + 445 an 10.0.0.y
PC3: Firewall --> eingehend --> Port 1433 bzw 445 --> Quelle = beliebig oder 192.168.2.0/24
PC1: SQL + Netzlaufwerk verbinden mit 192.168.178.25, die FB2-WAN-IP.
Der Part mit der Firewall in PC3 ist wichtig, da eingehende Verbindungen von einer Quelle außerhalb des lokalen Netzwerks von PC3 stammen. Sowas wird in der Regel standardmäßig geblockt und muss dann explizit freigeschaltet werden. Sonst sagt das Betriebssystem bei einer Verbindungsanfrage schlicht und ergreifend "Nö, du darfst nicht".
Im Prinzip arbeiten FB1 und FB2 in dieser Konstellation nach demselben Schema. Alles am WAN-Port ist "das böse Internet" und deswegen darf da nix rein, was nicht angemeldet ist, zB durch eine Portweiterleitung. Aus dem www darf nicht einfach so irgendwas auf einen PC mit 192.168.178.123 zugreifen und aus dem Netz der FB1 (oder noch weiter davor, zB VPN) darf eben auch nichts einfach so auf einen PC mit 10.0.0.234 zugreifen. Dasselbe Prinzip, WAN=böse => Firewall.
Eine Portweiterleitung dient nun dazu, eben diese Blockade bewusst aufzuheben, für diesen einen Port und dieses eine Zielgerät. Richte also in FB2 die nötigen Portweiterleitungen ein, zB für SQL tcp 1433 (nicht 1443 wie du schreibst) und für SMB, also die herkömmliche Windows Dateifreigabe, TCP 445. Beides mit lokaler Ziel-IP = PC3.
Anmerkung: In FB1 wird dafür wird keine Portweiterleitung benötigt!
FB3 ----- (192.168.2.x) PC1
(WAN)
|
www
|
(WAN)
FB1 ----- (WAN @ 192.168.178.25) FB2 ----- (10.0.0.y) PC3
FB3: Nix.
FB1: Nix.
FB2: Portweiterleitung tcp 1433 + 445 an 10.0.0.y
PC3: Firewall --> eingehend --> Port 1433 bzw 445 --> Quelle = beliebig oder 192.168.2.0/24
PC1: SQL + Netzlaufwerk verbinden mit 192.168.178.25, die FB2-WAN-IP.
Der Part mit der Firewall in PC3 ist wichtig, da eingehende Verbindungen von einer Quelle außerhalb des lokalen Netzwerks von PC3 stammen. Sowas wird in der Regel standardmäßig geblockt und muss dann explizit freigeschaltet werden. Sonst sagt das Betriebssystem bei einer Verbindungsanfrage schlicht und ergreifend "Nö, du darfst nicht".
Ähnliche Themen
