VPN Verbindung - Zugriff auf Geräte hinter Fritzbox nicht möglich

Andy81

Lieutenant
Registriert
Jan. 2021
Beiträge
556
Guten Morgen an alle,

ich habe aktuell ein Problem, für das ich noch keine vernünftige Erklärung habe. Vielleicht weiß jemand von euch, an was es liegen könnte:

Ich habe aktuell bei mir zuhause die 7530ax die für das Aufbauen der Internetverbindung zuständig ist (mehr auch nicht). Dahinter läuft ein Draytek Vigor 2927 der als DHCP fungiert und mehrere VPN-Verbindungen aufbaut u. a. eine Verbindung zu meinen Eltern zu einer Fritzbox 5530 Fiber. Da die Verbindung zur Fritzbox leider oftmals als aktiv angezeigt wird, dies aber tatsächlich nicht ist (erst nach eine Neustart der Fritzbox 5530 funktioniert es wieder eine zeitlang), wollte ich jetzt hier ebenfalls hinter der Fritzbox einen Draytek (2766ac) installieren.
Unter der Voraussetzung, dass die VPN-Verbindung von mir zur 5530 aktiv steht, kann ich aktuell auf die Fritzbox meiner Eltern und die dahinter hängenden Geräte (wie z. B. den Repeater 1200) im Heimnetzwerk zugreifen wie es sein sollte. Den Repeater habe ich dann rausgebaut und stattdessen den Vigor mit WLAN eingebaut. Ein Kabel an LAN-Port 1, das zweite Kabel an LAN-Port 4 den ich als WAN konfiguriert habe.
Das Problem ist jetzt, sobald der Vigor statt dem Repeater im Netz hängt (die VPN-Verbindung aber weiterhin von meinem Vigor zuhause noch zur Fritzbox 5530 aufgebaut ist), kann ich nur noch auf die Fritzbox zugreifen, aber auf KEIN Gerät mehr dahinter, und somit auch nicht auf den neuen Vigor meiner Eltern.

Ich finde dafür (noch) keine Erklärung, warum ich ohne Vigor im Netz meiner Eltern (und ohne das an der VPN-Verbindung etwas geändert wurde, was ja im nächsten Schritt erst kommen sollte: Vigor sollte dann die VPN-Verbindung aufbauen statt die Fritzbox 5530), auf alle Geräte hinter der Fritzbox zugreifen kann und sobald der Vigor im Heimnetz hängt, komme ich nur noch bis zur Fritzbox meiner Eltern und dahinter geht nichts mehr...

Nochmal kurz der Aufbau aktuell:
Vigor 2927 - Fritzbox 7530ax - aktive VPN-Verbindung zu Fritzbox 5530 Fiber meiner Eltern - Repeater 1200 und weitere Endgeräte meiner Eltern (sofern VPN-Verbindung funktioniert, komme ich über die 5530 hinaus auf die dahinterhängenden Geräte)

nach Umbau auf:
Vigor 2927 - Fritzbox 7530ax - aktive VPN-Verbindung zur Fritzbox 5530 Fiber meiner Eltern - Vigor 2766 und weitere Endgeräte meiner Eltern (komme nur noch bis zur Fritzbox 5530, dahinter erreiche ich nichts mehr)

Für die VPN-Verbindung wird Wireguard genutzt.
 
Zuletzt bearbeitet:
Du musst am neuen Vigornatürlich auch sämtlichen Traffic durchlassen - ansonsten wird der erstmal geblockt.
 
Bei solchen Konstellationen wäre es immer schön, wenn man eine kleine Skizze anfügt. Wie sehen die IP Bereiche auf beiden Seiten eigentlich aus? Sind das unterschiedliche Subnetze?

Hast du entsprechende Ports auf deiner Seite für Wireguard eigentlich auf den Vigor genattet? Und falls ja, hast du die entsprechenden Routen für das Subnetz deiner Eltern in deiner Fritzbox hinterlegt? Für die Verbindungsaufbauende Seite ist eine NAT Portfreigabe zwar im Grunde nicht erforderlich, mach aber einen Aufbau von beiden Seiten grundsätzlich möglich.

Ansonsten können da auch Firewallregeln blocken, siehe Vorposter oder eben entsprechend fehlendes Routing.
 
IP-Bereich von mir 192.168.175.0, meine Eltern 192.168.178.0.

Port 51820 für Wireguard ist von der Fritzbox zum Vigor eingerichtet (auf beiden Seiten). Wofür benötige ich Routen in der Fritzbox? Die VPN-Verbindung funktioniert doch aktuell zwischen meinem Vigor hinter meiner Fritzbox und der Fritzbox meiner Eltern. Ich komme auf alle Geräte bei denen hinter der Fritzbox drauf, andersrum genauso, dann kann es nicht an fehlenden Routen liegen. Nur die etwas instabile WG-Verbindung nervt, was an der Fritzbox bzw. dem AVM-Wireguard meiner Eltern liegt. Deshalb sollte ja der Vigor hinter die Fritzbox meiner Eltern (so wie es bei mir auch läuft).

Firewallregeln von was? Vom Vigor? Dann hätte der Vigor von mir ja auch Probleme machen müssen. Da habe ich an den Firewallregeln auch nichts angepasst, außer die Portweiterleitung. Was soll denn beim Vigor geblockt werden, wenn die Fritzbox meiner Eltern einfach nur den Zugriff auf den Vigor LAN-Port 1 erlauben soll?
 
Zuletzt bearbeitet:
Verstehe, dann ist der Vigor ebenfalls der Default Gateway deiner Geräte, dann ist natürlich klar wieso es ohne Route läuft. Deine Fritzbox hat ja schließlich keine Kenntnis vom Subnetz deiner Eltern, würde man diese als Gateway nutzen, könnte man ohne entsprechende das andere Netz nicht erreichen.

Naja nicht zwingend, da dein Vigor die Verbindung aufbaut lässt er eventuell ausgehend mehr zu als auf der anderen Seite eingehend. Das kann man aber ja einfach prüfen oder mit einer Any Regel mal kurz austesten.
 
Genau, Vigor ist der Default Gateway.
 
Zuletzt bearbeitet:
Also verstehe ich richtig, die VPN wird weiterhin auf deren Fritzbox aufgebaut aber der neue Vigor ist der Gateway auf Elternseite?

Dann kennt der Vigor die Route nicht in dein Netz und damit fehlt die Rückroute.
 
Ich könnte einfach den Vigor als DMZ konfigurieren zum testen...

Ich bin gerade aktuell noch im Homeoffice, werde nachher aber meinen Vigor mal über den Backup-LTE-Router rausgehen lassen, meine Fritzbox vom Heimnetz trennen, eine anderes Subnetz auf ihr einrichten u. dort den 2. Vigor (der eigentl. für meine Eltern gedacht ist) mal hinter meine Fritzbox hängen. Dann werde ich mit meinem Vigor über die LTE-Backup-Verbindung rausgehen, eine VPN-Verbindung zu meiner vom Heimnetz abgetrennten Fritzbox aufbauen und versuchen auf den zweiten Vigor zu kommen...
 
Also falls du den Vigor auf ihrer Seite auch als Gateway einsetzen möchtest geht das problemlos, dann braucht der Vigor aber noch die Route in dein Netz wenn der VPN Tunnel auf der Fritte terminiert wird.

Einfache Regel:
Wenn ein Site2Site Tunnel von einem anderen Gerät als dem Default Gateway aufgebaut wird, dann muss man zwingend dem aktiven Default Gateway die Route für das/die Subnetz(e) der anderen Site mitgeben. Das ist dann eben das Gerät/IP auf welchem der Tunnel terminiert wird. Anders kann es gar nicht funktionieren, da der Router sonst alle Pakete verwirft. Für ihn ist das schließlich unplausibler Traffic aus einem für ihn unbekannten Subnetz. Selbst wenn die Pakete auf einem der Endgeräte der anderen Site ankommen, versuchen sie darauf zu antworten und spätestens der Gateway auf ihrer Seite kennt den Weg zurück nicht -> fehlende Rückroute. Deshalb ist es wichtig, dass beide Seiten Kenntnis vom jeweils anderen Subnetz haben.

Wenn die VPN auf beiden Seiten auch von dem Gerät aufgebaut wird, dass gleichzeitig deren Default Gateway sprich Router ist, muss man die Routen natürlich selbst nicht händisch anlegen denn er kennt die Wege ja bereits.
 
Zuletzt bearbeitet:
@Phil_81

Hab doch geschrieben, dass der Vigor mehrere VPN-Verbindungen aufbaut und das kann die Fritzbox nicht zuverlässig mit vernünftiger Leistung. Außerdem ist das WG-VPN von AVM einfach nicht zuverlässig und man halt null Einstellungsmöglichkeiten, z. B. die Trennung der VPN-Verbindung nach einer bestimmten Zeit. Die Fritzbox trennt irgendwann mal die VPN-Verbindung bei Inaktivität...
Ergänzung ()

holdes schrieb:
Also falls du den Vigor auf ihrer Seite auch als Gateway einsetzen möchtest geht das problemlos, dann braucht der Vigor aber noch die Route in dein Netz wenn der VPN Tunnel auf der Fritte terminiert wird. Wäre zumindest einfacher zum testen als da einen kompletten Versuchsaufbau zu starten ;).

Ich hab doch den Vigor von meinen Eltern wieder mitgenommen u. den Ursprungszustand wieder hergestellt, nachdem es nicht funktioniert hat. Meine Eltern wohnen 35 km weg, kann da nicht einfach jetzt mal eine Route einstellen und testen.
Darum muss ich den "Versuchsaufbau" erst mal bei mir starten. Aber warum brauche ich eine Router zwischen Vigor und Fritzbox? Das verstehe ich nicht. Bei mir läuft es zuhause ja auch ohne Route in der Fritzbox.
 
Andy81 schrieb:
Ich hab doch den Vigor von meinen Eltern wieder mitgenommen u. den Ursprungszustand wieder hergestellt, nachdem es nicht funktioniert hat. Meine Eltern wohnen 35 km weg, kann da nicht einfach jetzt mal eine Route einstellen und testen.
Darum muss ich den "Versuchsaufbau" erst mal bei mir starten.

Das verstehe ich, ich hab dir oben nochmal die Erklärung dazu ergänzt ;).

Andy81 schrieb:
Aber warum brauche ich eine Router zwischen Vigor und Fritzbox? Das verstehe ich nicht. Bei mir läuft es zuhause ja auch ohne Route in der Fritzbox.
Weil auf deren Seite der Tunnel nicht im Default Gateway terminiert wird sofern in deinem Text richtig gefolgt bin.
 
Danke für deine Ergänzung. Auf beiden Seiten war gestern der Vigor aber der Default, somit ist keine Route nötig wenn ich das richtig verstehe.
Habe testweise eine VPN-Verbindung von meinem Vigor zum Vigor meiner Eltern eingerichtet, wurde aufgebaut und nach ca. 5 Sekunden wieder getrennt, dann wieder aufgebaut und wieder getrennt. So ging das Spielchen die ganze Zeit, bis ich genervt aufgab, weil es einfach auch schon so spät war...

Darum muss ich das bei mir jetzt mal zuhause nochmal in Ruhe testen. Ich geb nochmal Rückmeldung, wenn ich weitergekommen bin (oder auch nicht).
 
Ja und genau das ist das Problem. Wenn die FRITZ!Box die VPN auf ihrer Seite terminiert, muss in den Vigor wenn er bei ihnen Gateway sein soll lediglich eine Route rein ;).

Routen brauchst du nur dann nicht, wenn Vigor auf beiden Seiten Gateway ist und die VPN aufbaut/terminiert. Sobald bei ihnen die Fritzbox den Tunnel terminiert braucht der Vigor noch die Route zu dir.
 
Ja, aber die Fritzbox soll ja VPN garnicht mehr aufbauen - eigentlich -, dann hätte sich das mit der Route erledigt. Ich bau jetzt mal die Geräte nachher bei mir auf wie oben geschrieben und schau erst mal, dass der 2. Vigor eine stabile VPN-Verbindung mit meinem Vigor bekommt. Wenn das funktioniert, sollte ich auf die angeschlossenen Geräte kommen... Bringt ja nix weiter rumzuprobieren, Routen in der Fritzbox zu erstellen nur um auf den dahinter liegenden Vigor zu kommen, wenn die Fritzbox ja eigentlich dann keine VPN-Verbindung mehr aufbauen soll... VPN-Verbindung soll ja der Vigor aufbauen und auch Gateway sein...
 
Korrekt, wenn die VPN auf beiden Vigors läuft und Default Gateways sind brauchst du gar keine Routen einrichten. Hast du entsprechenden Port bei ihnen von Fritzbox auf den Vigor genattet? Da sie die eingehende Verbindung haben wenn der Tunnel bei dir initiert wird, muss da ne Portfreigabe auf ihre Fritzbox zum Vigor.

Andy81 schrieb:
Routen in der Fritzbox zu erstellen nur um auf den dahinter liegenden Vigor zu kommen, wenn die Fritzbox ja eigentlich dann keine VPN-Verbindung mehr aufbauen soll... VPN-Verbindung soll ja der Vigor aufbauen und auch Gateway sein...
Wenn die Fritzbox die VPN terminiert muss die Route in den Vigor, nicht anders herum. Zumindest wenn du den Aufbau so lassen würdest in der die Fritzbox bei ihnen das Wireguard macht. In diesem Konstrukt (was ja eh nicht das Endziel sein soll) weiß der Vigor bei ihnen sonst nicht wie er Pakete in dein Netz bekommt.
 
Portfreigabe sind in beiden Fritzboxen zu den Vigors drin gewesen. 51820 UDP und sicherheitshalber auch TCP hatte ich weitergeleitet.

Ich muss jetzt noch bis 8 Uhr für die Arbeit was tun, danach baue ich mal etwas um und teste das nochmal.
 
Da Fritzboxen da leider nicht so viele Infos hergeben was deren Firewall so droppt ist es da schwierig zumindest eingehendes Wireguard zu debuggen.

Du hast da eigentlich 2 Optionen:
1. Wäre es aber durchaus eine Überlegung wert das so zu bauen, wie du es quasi schon hattest. Wenn die VPN von deinem Vigor zu ihrer Fritz stabil sein sollte, würde ich im Vigor von ihnen tatsächlich nur die Route für dein Subnetz hinterlegen und dann läuft das auch.

2. versuchen zu schauen wieso der Tunnel zwischen den Vigors nicht will. Da wäre der Ansatz den als Exposed Host zu hinterlegen gar nicht verkehrt. Er bringt ja sowieso seine eigene Firewall mit.
 
Danke für eure guten Tipps vorerst, ich probiere das jetzt dann nochmal aus und gebe heute auf jeden Fall noch Rückmeldung.
 
So, jetzt habe ich den Versuchsaufbau soweit fertig.

Aufbau wie in Beitrag #8 habe ich jetzt umgesetzt.
Bin jetzt mit dem PC über meinen Vigor per LTE ins Internet u. Fritzbox ist vom Heimnetz getrennt, so dass ich wirklich nur über LTE von außen wieder auf die Fritzbox komme.
Wireguard Verbindung steht jetzt stabil zum Vigor hinter der Fritzbox. Ich komme auf den Vigor drauf, auf einen testweise angeschlossenen managed Switch jedoch wieder nicht auf die "vorgeschaltene" Fritzbox, die über einen freien LAN-Port direkt am Vigor hängt... Vom Vigor gehen zwei LAN-Kabel zur Fritzbox, eines vom WAN2 und eines vom "normaler" LAN-Port. Ich verstehe es (noch immer) nicht...

Folgende IP-Adressen noch zur Info:
Vigor LAN-Port hat die Adresse 192.168.179.1, 255.255.255.0
Vigor WAN-Port hat die Adresse 192.168.179.249, 255.255.254.0
Der angeschlossene "Testswitch" hat die IP 192.168.179.20 (ist über VPN erreichbar)
Die angeschlossene Fritzbox hat die IP 192.168.179.2 (ist nicht über VPN erreichbar)
 
Zurück
Oben