VPN Verbindung - Zugriff auf Geräte hinter Fritzbox nicht möglich

In der Fritzbox oder im Draytek die Route erstellen?

EDIT: Also im Draytek kann ich kein Subnetz mit 0.0.0.0 auswählen und manuell eingeben ist nicht möglich.
Fritzbox habe ich gerade eine Route 0.0.0.0/0.0.0.0 via 192.168.175.1 (Draytek-Router) angelegt und dann das LAN-Kabel vom LAN-Port gezogen, dann gibt es keinen Zugriff auf den Draytek-Router auch kein Internet mehr.
 
Zuletzt bearbeitet:
Hmm, das kann ich mangels Draytek Router leider nicht testen. Ich weiß daher nicht wie strikt die auf WAN und LAN Ports bestehen und ob sich das bei denen etwas aufweichen lässt.

Da wäre es tatsächlich schön wenn sich noch jemand meldet, der so einen Router mit einem Kabel im Netzwerk betreibt. Da der Draytek bei dir aber scheinbar je hinter der Fritzbox ein reines LAN Gerät zu sein scheint, ist es in diesem Fall nicht so dramatisch wenn du bei ihm WAN und LAN hinten rum etwas vermischen solltest (es passiert ja alles hinter der Fritzbox, welche die eigentliche Einwahl vornimmt und per NAT dein LAN vom bösen echten WAN trennt).
 
Zuletzt bearbeitet:
Im Falle von Wireguard Verbindungen sollte man gar keine Routen manuell anlegen - weder die Default-Route noch Subnetzrouten. Jedenfalls nicht auf dem VPN Gateway, wenn es andere Router im Netz gibt, dann ggf. schon.

Auf dem VPN Gateway (in diesem Fall der Draytek) sorgt Wireguard selber für die korrekten Routen, wenn die Allowed IPs richtig konfiguriert sind. In diesem Fall bedeutet das: Will man déine Firtbox am WAN Port des Drayteks über VPN auch erreichen, dann muss das Subnetz der Fritzbox mit in die Allowed IPs. Nicht mehr und nicht weniger. Keine statische Route oder sonstwas. In der Fritzbox braucht man in dem Fall auch keine Route, da der Draytek am WAN Port NATtet.

Dass manuelles Anlegen einer Default-Route für einen VPN Tunnel ins Nirvana führt, kann man sich mit 2 Sekunden Nachdenken auch selber sagen. Denn selbst wenn die Default-Route über den VPN Tunnel laufen soll, muss die VPN Verbindung an sich natürlich noch den "normalen" Weg ins Internet nehmen. Baut man da eine generelle Default-Route davor, dann wars das mit Internet. D.h., neben der Default-Route, die auf den Tunnel zeigt, braucht man auf jeden Fall eine Host-Route aufs Default-Gateway mit kleinerer Metrik. Wireguard sorgt - mal wieder - selber fürs korrekte Roting, wenn man - mal weider - die Allowed IPs korrekt eingerichtet hat.

Grundlagen IP Routing und verstehen, was die Wireguard Allowed IPs machen. Dann braucht man keine Harakiri Klimmzüge mehr.
 
Es geht aber doch in seiner Konfiguration um genau diesen zweiten Router der eben kein VPN Initator ist und daher die Route benötigt. Zumindest wenn man den Ausgangspost und die FRITZ!Box auf der Remote Site betrachtet. Das hat mit dem genutzten VPN Protokoll als solches auch gar nichts zu tun oder irgendwelchen allow Listen.

Hänge ich einen zweiten Router ins Netz und der ist auch in seiner Rolle ein Router braucht der logischerweise irgendeine Default Route sonst kennt er das „Internet“ nicht (ob er das muss sei mal dahingestellt und ist vom Anwendungsfall abhängig) und wenn dieser jenige die VPN nicht terminiert oder initiiert, kann er von dem Subnetz aus der VPN nichts wissen, aber das haben wir ja nun schon ewig durchgekaut und hat ja in seinem Test auch letztlich zum Erfolg geführt.

Nach wie vor: auf einer Seite ist der Router auf Elternseite nicht für beide Rollen zuständig, VPN und Default Gateway der Endgeräte sind 2 verschiedene Router und daher muss der Router ohne VPN per Route erfahren wie er in sein Netz zurückkommt.
 
Zuletzt bearbeitet:
Nochmal zum besseren Verständnis. Auf beiden Seiten (bei mir und den Eltern) hängt aktuell eine Fritzbox die nur die Einwahl übernimmt. Einmal mit der IP 192.168.178.2 und IP 192.168.175.2.
Dahinter auf beiden Seiten ein Draytek Router, der DHCP und VPN übernimmt. Einmal IP 192.168.178.1 und IP 192.168.175.1.

Route 192.168.178.0/255.255.255.0 via 192.168.175.1 in der einen Fritzbox
Route 192.168.175.0/255.255.255.0 via 192.168.178.1 in der anderen Fritzbox

Das mit dem WLAN und LAN Port lasse ich jetzt so wie es läuft, da - wie holdes es geschrieben hat - beide Draytek eh hinter der Fritzbox laufen.
 
  • Gefällt mir
Reaktionen: holdes
Oha. Jetzt kommen wir dem Problem auf die Spur.

Andy81 schrieb:
Nochmal zum besseren Verständnis. Auf beiden Seiten (bei mir und den Eltern) hängt aktuell eine Fritzbox die nur die Einwahl übernimmt. Einmal mit der IP 192.168.178.2 und IP 192.168.175.2.
Dahinter auf beiden Seiten ein Draytek Router, der DHCP und VPN übernimmt. Einmal IP 192.168.178.1 und IP 192.168.175.1.
Und der Draytek ist Default Gateway für die Rechner im Netz, nicht die Fritzbox.

Das Setup ist eine Vollkatastrophe. Damit hat der Draytek nämlich auf WAN und LAN Seite das gleiche Subnetz. Wie soll er da gescheit routen? Es ist ein Wunder, dass überhaupt irgendwas funktioniert bei dir. Das kann auf Dauer nicht stabil funktionieren, und aus Sicht der Sicherheit ist es der Super-GAU. Das MUSS dringend geändert werden. Und fang jetzt nicht an zu diskutieren "aber es geht doch", es geht eben nicht, das zeigen spätestens deine merkwürdigen Routen-Kontrukte und Kabel vom Switch zur Fritzbox, wobei sich jedem Admin der Magen umdreht. Deshalb MACH ES einfach. Ich mag mir gar nicht vorstellen, wie bei dir im Netz die Daten fließen.

Die Draytek Router brauchen auf beiden Seiten ein anderes Subnetz, wie die Fritzboxen. Insgesamt brauchst du in dem Szenario 4 getrennte und unabhängige Subnetze. Dann funktioniert das ganze auch sauber und ohne Selbstmord-Verkabelung,
 
Der WAN von beiden Draytek hat bereits ein separates Subnetz. Warum muss der LAN vom Draytek ebenfalls ein anderes Subnetz haben?

Diese aggressive Schreibweise nervt mich allmählich, wie schon mal erwähnt:
Nicht nur sagen, alles scheiße, sondern ordentliche verständliche Lösung posten, wie es eingestellt werden sollte.
Wenn sich jeder zu fein dafür ist tatsächlich mit vernünftigen Anleitungen/Lösungen zu helfen, kann derjenige auch kein wirkliches Interesse an Hilfe haben. Für mich ist das dann einfach nur, dass man seine Meinung los wird und andere runtermachen kann wie blöd sie doch sind... was anderes lese ich aus den meisten Beiträgen nicht raus.

Der einzige der bisher wirklich geholfen hat war "holdes". Und warum? Weil er mir vernünftig geschrieben hat, was ich anlegen/eingeben soll...

@riversource: Du kannst schon mal anfangen, eine vernünftige Lösung zu bringen, die man auch versteht. Von Dir lese ich nur die ganze Zeit, dass alles scheiße ist, bis jetzt nicht eine vernünftige Lösung wie "bei der Fritzbox stellst du das ein, beim Draytek das...." NICHTS.
 
Zuletzt bearbeitet:
Andy81 schrieb:
Der WAN von beiden Draytek hat bereits ein separates Subnetz
Hat er doch nicht. Die Box, an der er hängt, hat 192.168.178.2 (WAN), er selber hat 192.168.178.1 (LAN). In welchem Universum sind das unterschiedliche Subnetze?

Andy81 schrieb:
Nicht nur sagen, alles scheiße, sondern ordentliche verständliche Lösung posten,
Hab ich doch:
riversource schrieb:
Die Draytek Router brauchen auf beiden Seiten ein anderes Subnetz, wie die Fritzboxen. Insgesamt brauchst du in dem Szenario 4 getrennte und unabhängige Subnetze.
Was soll man denn mehr dazu schreiben, denn mehr ist es nicht? Oder weißt du nicht, was ein Subnetz ist? Sorry, aber dafür gibt es hervorragende Anleitungen im Netz, als Text oder Video, ganz wie du es magst, und viel besser, als wir es hier beschreiben können.

Der Wunsch nach einer verständlichen Lösung ist nur die Faulheit, sich eine passende Anleitung zu suchen. Ich schreibe grundsätzlich nur, was du tun sollst, aber nicht, wie. Das finde besser selber raus. Denn wenn du mal was ändern willst, stehst du wieder wie Ochse vorm Berg, und musst dir einen Dummen suchen, der es dir runterschreIbt. Wenn du es verstanden hast, kannst du es selbst. Also: ran ans Werk. Grundlagen IP Routing reichen, das ist wahrhaftig kein Edge Case.
 
Zuletzt bearbeitet:
Zurück
Oben