VPN zu Fritzbox/NAS hinter Fritzbox

Revan335

Commander
Registriert
Aug. 2009
Beiträge
2.254
Hallo,

ich würde gerne auf die Fritzbox/NAS hinter einer Fritzbox zugreifen. Sie bildet also ein zweites Netzwerk was untereinander nicht erreichbar ist.

7590 hängt am Internetanschluss.
7490 hängt als "Router" nicht als "IP Client" an der 7590.
An der 7490 hängt das QNAP NAS.

Da die 7490 ja die öffentliche IP der 7590 nicht kennt, funktioniert der MyFritz VPN Zugang/Zugriff ja nicht.

Wie mache ich es am besten das das NAS per VPN erreichbar ist?
Bei beiden kann man ja einen DynDNS Anbieter eintragen oder sofern möglich MyFritz nutzen.

Durch das zweite/getrennte Netz sollte ja kein Zugriff auf das andere Netz möglich sein.

Vielen Dank!

Viele Grüße

Revan335
 
Auf der Fritte 7590 eine statische Route einrichten:
angenommen deine 7590 hat der 7490 die IP 192.168.178.2 zugewiesen und
die 7490 betreibt ihr eigenes Subnetz mit 192.168.188.0, dann weiß die 7590 ja nix vom "192.168.188.x"...

Heimnetz > Netzwerk > Netzwerkeinstellungen > Stat. Routing-Tabelle
Neue IPv4-Route >
IPv4-Netzwerk: 192.168.188.0 (Subnetz des 7490 hinter FB)
Subnetzmaske: 255.255.255.0
Gateway: 192.168.178.2 (IP d. Routers hinter FB)

Damit teilst du dem 7590 mit, dass jede Anfrage zum Netz "192.168.188.x" zu 192.168.178.2 geschickt werden soll.
 
Variante 1
VPN auf der 7590 aktivieren. Portweiterleitung für SMB in der 7490 einrichten.
Via VPN anstelle der NAS-IP die 7490-IP ("WAN") ansteuern und die Weiterleitung reicht zum NAS durch.

Variante 2
VPN auf der 7490 aktivieren.
Portweiterleitung für das VPN in der 7590 einrichten (Ziel=7490).
Via VPM direkt auf die NAS-IP zugreifen.

Variante 3
VPN auf dem NAS aktivieren.
Portweiterleitung für das VPN in der 7590 einrichten (Ziel=7490).
Portweiterleitung für das VPN in der 7490 einrichten (Ziel=NAS).
Via VPN direkt auf das NAS zugreifen.


MyFritz ist im übrigen lediglich ein DDNS. Das heißt, dass dort nur die aktuelle öffentliche IP auf eine MyFritz-Domain gelegt wird. VPN und DDNS müssen nicht zwingend auf demselben Gerät laufen. Je nachdem wie das Gerät die WAN-IP ermittelt kann es sich sogar hinter einem Dutzend Routern befinden. Keine Ahnung ob die Fritzbox so .. .. simpel ist, dass sie nur auf ihre eigene WAN-IP guckt. Dann müsste natürlich die 7590 MyFritz übernehmen. Das QNAP hat aber ggfs eine eigene DDNS-Funktion, die schlauer agiert und die tatsächliche WAN-IP zB via checkmyip abruft.
 
  • Gefällt mir
Reaktionen: Revan335
Vielen Dank schon mal!

Welche Ports müsste man den weiterleiten?
Ich vermute es sind nur UDP statt TCP Ports?
 
Das kommt darauf an welche Variante du wählst. Das FritzVPN nutzt IPsec und das wiederum benötigt UDP 500 + 4500.

Bei der Variante mit dem VPN auf dem NAS hängt es davon ab welche VPN-Technologie das NAS unterstützt bzw. welche man einsetzen möchte. IPsec wie bei der Fritzbox oder zB OpenVPN. Im Gegensatz zu IPsec ist der (einzelne) Port bei OpenVPN frei wählbar. Standard ist UDP 1194, kann aber nach Belieben zB auf TCP 443 verlegt werden oder UDP 12345, TCP 23456 oder was auch immer.
 
  • Gefällt mir
Reaktionen: Revan335
Vielen Dank!

Klappt dann auch noch ein VPN von der 7590 aus?
Oder funktioniert dann nur ein VPN entweder von 7590 oder der 7490?

Beide Fritzboxen haben ja verschiedene DynDNS Adressen bspw. von MyFritz.
Wenn man dann eine Portweiterleitung macht, könnten die ja dann kollidieren.

Variante 2
VPN in 7490 aktiv.
MyFritz Adresse als Serveradresse von 7590/7490 funktionieren nicht.
Ports 500/4500 UDP in der 7590 für 7490 freigegeben.
Zugangsdaten für VPN der 7490 genommen.

Hab ich vielleicht noch was vergessen?
 
Zuletzt bearbeitet:
Wenn du auf der FB7590 die Ports fürs IPSec weiterleitest (weiss gar nicht ob das überhaupt geht, wenn du da VPN an machst), funktioniert das nicht mehr mit der 7490. Ich würde an deiner Stelle OpenVPN auf dem NAS nutzen und dort einen beliebigen Port einstellen - am besten TCP443, weil du damit idr auch von Gastzugängen mit eingeschränkten Diensten arbeiten kannst und durch nen Proxy durch kommst.
VPN kannst du in diesem Falle dann bei der 7590 ganz normal via IPSec nutzen.

Ja, beide Fritzboxen können verschiedene DynDNS haben - die werden aber auf die gleiche öffentliche IPv4 verweisen.
 
  • Gefällt mir
Reaktionen: Revan335
Super, vielen, vielen Dank!

Es scheint zu klappen.

Hab es per OpenVPN vom NAS aus gemacht.
 
  • Gefällt mir
Reaktionen: Olunixus
D.h. du hast in der 7590 eine Portweiterleitung von TCP443 auf die FB7490 gemacht, und in der 7490 eine Portweiterleitung von TCP443 aufs NAS und das wars?
 
Ich hab den Default UDP von OpenVPN genommen.
Bei OpenVPN loggt man sich dann mit dem NAS Konto ein.
Diesen dann in der 7590 zu 7490 und dann von 7490 zu NAS freigegeben.
 
Am PC scheint er aber noch was zu brauchen?

CORE_ERROR Missing External PKI alias zeigt er mir beim Verbindungsversuch an.
Muss man am PC im OpenVPN Client noch was konfigurieren oder noch was aus dem OpenVPN Server am NAS exportieren und dort irgendwo importieren?

Am Handy per OpenVPN App hatte es funktioniert.
 
Zuletzt bearbeitet:
Im Normalfall kannst du dir vom Server die Konfiguration exportieren - da musst du idr nur noch die öffentliche IPv4 Adresse bzw. den DNS Namen eintragen (ist ja ne Textdatei) und dann in deinem VPN Client importieren.
 
Vielen Dank!

Muss das in einem bestimmten Format eingetragen werden?

Die gleiche Config Datei funktionierte am Handy per APP. Deshalb hatte es mich gewundert, dass es am PC nicht so ist.

Kannst du den was mit der Fehlermeldung anfangen die er beim Connect Versuch zeigt?

Vielen, Vielen Dank!
 
Eigentlich nicht. Aber wenn es am Handy funktioniert, sollte die config ja ok sein. Nach der Fehlermeldung müßte ich jetzt auch erst google bemühen.

Wie ist denn der PC am Internet angeschlossen?
 
Deshalb wundert es mich auch.
Auch da eine andere OpenVPN Verbindung am gleichen PC funktioniert.

Gesucht nach der Meldung hab ich bereits, allerdings konnte ich da keine Infos zu finden, die mir sagen was einem diese Meldung sagen soll. Bin aber wohl kein Einzelfall.

Der hängt per Netzwerkabel am Router.
 
An welchem Router? Ist das das gleiche Netzwerk wie das, an dem das Handy hängt?
 
Welcher Router, weiß ich nicht.

Es ist nicht das gleiche, da es ein anderes Haus ist.

Versuche dies aber noch über ne VM bei mir nachzustellen.

Sehe gerade, dass heute wohl die VPN vom Handy ebenfalls nicht mehr geht. Vermutlich hat sich die IP geändert die genutzt wurde.

Wie kann ich in dem OpenVPN Server nen DynDNS oder ähnliches eintragen?

Dann ich mach ich dann nochmal nen Export der Config und teste es dann nochmal per Handy und dann per VM.
 
Zuletzt bearbeitet:
Hier mal ein paar Ausschnitte aus meiner config:
Code:
dev tun
tls-client

remote meineadresse.myfritz.net 443

[...]

proto tcp-client

[...]

In Zeile 4 kann man auch eine feste IP Adresse eingeben - aber nach 1 Tag (oder Neustart der Fritzbox) ist die u. U. wieder geändert.
 
Kann man die öffentliche IP durchreichen so das man mit einem anderen DynDNS Anbieter die 2. Fritzbox und somit auch den OpenVPN Server am NAS wieder erreichbar zu machen ohne ggf. täglich die IP anpassen zu müssen, weil sich diese geändert hat?
 
DDNS übersetzt nur eine Domain in eine bzw die öffentliche IP des Anschlusses, nicht mehr und nicht weniger. Es wird nichts durchgereicht und der DDNS-Anbieter hat auch rein gar nichts mit der eigentlichen Kommunikation zu tun, weil er lediglich einmalig (bzw. in Intervallen) die Domain mit der aktualisierten IP verknüpft.

Je nachdem wie ein DDNS-Client die öffentliche IP ermittelt - im einfachsten Fall nur die IP vom WAN-Port, im besten Fall über einen reverse DNS check oder zB über checkip.org o.ä. - muss der DDNS-Client im Internetrouter laufen oder kann hinter Dutzenden von verschachtelten Router versteckt sein. Einige DDNS-Anbieter nehmen sogar automatisch die Quell-IP von der das Update geschickt wurde.

Ob mit oder ohne DDNS, man muss in jedem Fall Portweiterleitungen im Hauptrouter einrichten, um ein Gerät dahinter zu erreichen, ob das nu eine zweite Fritzbox, ein NAS, eine IP-Kamera oder auch ein smarter Kühlschrank ist, weil DDNS und Portweiterleitungen nichts miteinander zu tun haben.
 
Zurück
Oben