Wireguard VPN auf FritzBox gesperrt

mo111

Newbie
Registriert
Okt. 2023
Beiträge
5
Hallo,
Ich habe zu Hause einen Vodafone Kabelanschluss und von Vodafone eine Fritz!Box 6591 Cable gestellt bekommen. In der Firma habe ich eine Fritz!Box 5590 Fiber. Nun würde ich gerne eine Wireguard VPN Verbindung von zu Hause (192.168.105.x) in die Firma (192.168.100.x) aufbauen. Wenn ich eine Wireguard VPN Verbindung in der Firmen Fritz!Box erstelle komme ich mit Wireguard App (auf meinem Mac Rechner) und der Konfig Datei auch ohne Probleme auf das Firmennetzwerk. Wenn ich aber in der Fritz!Box 6591 Cable eine Wireguard VPN einrichten will geht das nicht. Es kommt eine Fehlermeldung. Das Problem liegt darin dass das Firmennetzwerk die 192.168.100.x hat und die Fritz!Box 6591 Cable dies nicht zulässt weil dies für den Service freigehalten wird. Jetzt meine Fragen:
Wenn ich eine eigene Fritz!Box 6591 Cable kaufe ist hier die 192.168.100.x für die VPN Wireguard Verbindung auch gesperrt?
Gibt es eine andere Möglichkeit (Außer den IP Adressenbereich in der Firma zu ändern) wie ich eine Wireguard VPN in die Firma erstellen kann?
Ich hoffe hier kann mir jemand helfen.
Mit freundlichen Grüßen
MO111
 
Da ist bestimmt nichts gesperrt. Liegt wahrscheinlich am wireguard Server der Firma
 
Nee daran liegt es nicht. Wie gesagt komme ich ja mit Wireguard App vom Mac ja drauf aber leider nicht mit der Fritzbox. Die 192.168.100.x ist gesperrt Als Management IP. Siehe hier:
https://forum.vodafone.de/t5/Archiv-Internet-Geräte/Internes-IPv4-Netz-192-168-100-0-auf-Fritzbox-6491-nicht-erlaubt/td-p/2117551
 
mo111 schrieb:
Wenn ich aber in der Fritz!Box 6591 Cable eine Wireguard VPN einrichten will geht das nicht. Es kommt eine Fehlermeldung. Das Problem liegt darin dass das Firmennetzwerk die 192.168.100.x hat und die Fritz!Box 6591 Cable dies nicht zulässt weil dies für den Service freigehalten wird.
Die Fehlermeldung würde ich gerne mal sehen.

Cu
redjack
 
Kein Problem
Habs gerade eben nochmal eingegeben und folgende Fehlermeldung kommt:
Bildschirmfoto 2023-10-01 um 10.01.23.png

Ergänzung ()

Übrigens geht auch folgendes nicht:
192.168.100.254 mit Subnetz 255.255.254.0
192.168.100.254 mit Subnetz 255.255.255.224
 
Wo steht da, das es nicht funktioniert, weil es für einen Service freigehalten wird?

CU
redjack
 
till69 schrieb:
Fritzbox Einstellungen sichern, in dieser Datei mal nach der 192.168.100.x schauen. Evtl. lässt sich da etwas machen.
Ich verstehe nicht was du meinst


redjack1000 schrieb:
Wo steht da, das es nicht funktioniert, weil es für einen Service freigehalten wird?

CU
redjack
In der Fehlermeldung steht davon nichts. Hab recherchiert.
Schau mal hier:
https://forum.vodafone.de/t5/Archiv-Internet-Geräte/Internes-IPv4-Netz-192-168-100-0-auf-Fritzbox-6491-nicht-erlaubt/td-p/2117551
 
Ja, das ist schon lange so, dass die Kabelboxen Service Bereiche der Provider sperren. Das ist schon so, seit es Kabelboxen gibt. Dagagen kannst du nichts machen, und das wird auch selbst gekaufte Boxen betreffen, denn das Service Netz der Provider ändert sich nicht, nur weil du eine andere Box dranhängst.
 
mo111 schrieb:
Übrigens geht auch folgendes nicht:
192.168.100.254 mit Subnetz 255.255.254.0
192.168.100.254 mit Subnetz 255.255.255.224
Man darf nicht an der Subnetz-Maske herumschrauben sondern am Subnetz - IP-Bereich
Subnetz-Maske auf 255.255.255.0 stehen lassen, Subnetz ändern von 192.168.100.x auf 192.168.101.x (z.B.)
Die beiden beteiligten Subnetze müssen unterschiedliche IP-Bereiche haben.

Nachtrag:
ich habe gerade nochmal in Post#1 nachgeschaut:
mo111 schrieb:
von zu Hause (192.168.105.x) in die Firma (192.168.100.x)
das muß schon passen. Vielleicht ist da beim ersten Versuch einfach ein Fehler passiert.
 
Zuletzt bearbeitet:
mo111 schrieb:
Gibt es eine andere Möglichkeit (Außer den IP Adressenbereich in der Firma zu ändern) wie ich eine Wireguard VPN in die Firma erstellen kann?
Aus meiner Sicht bleibt eigentlich nur diese Möglichkeit, d.h. das Subnetz in der Firma ändern.
Ansonsten, wenn das stimmt, was @riversource schreibt, wäre wahrscheinlich noch der Wechsel zu einem anderen ISP mit einer anderen Anschlußtechnik (VDSL, Glasfaser), die diese Einschränkung mit dem Service nicht haben, denkbar.
 
Hier mal die Antwort vom AVM Support Team:

Guten Tag Herr Özeker,

vielen Dank für Ihre Anfrage an den AVM Support.

Um es kurz zu fassen: Auch wenn es sicherlich einigen Aufwand nach sich ziehen sollte, so wäre die Änderung des lokalen Netzwerksegmentes auf Seite ihrer FRITZ!Box 5590 Fiber die einzig nachhaltige Lösungsstrategie. Das Problem liegt global in allen Kabelanschlussgegenstellen begründet, also völlig unabhängig der der dort eingesetzten Hardware. Das grundsätzliche Problem haben Sie mit jeder beliebigen FRITZ!Box und jedem beliebigen anderen Router an einem Kabelinternetanschluss in Deutschland, der dem Kabel-Standard (DOCSIS) unterliegt.

Hintergrund ist hierbei, dass die Kabelprovider bei der Verabschiedung des Standards (DOCSIS), für die innerhalb der Providerstrukturen benötigten Netzwerksegmente mit dem Segment 192.168100.0/24 eine Wahl getroffen haben, die sich als nicht sehr sinnvolle Idee herausgestellt hat. Warum diese Entscheidung so getroffen wurde, kann ich Ihnen nicht sagen, aber das Netzwerksegment 192.168.100.0/24 ist an sich ein doch recht populäres privates Netzwerksegment.

Ich hatte das auch einst verwendet und inszwischen leider alles umstrukturieren müssen, um mit Kabelnetzgegenstellen kompatibel zu bleiben. Vielleicht liegt ein tieferer Sinn dahinter…, vieleicht waren hier die Sinne aber auch nur zu tief in etwas Anderem versenkt worden, als diese Entscheidung bei der Verabschiedung des Standards getroffen wurde. Letztendlich müssen wir damit nun leider leben.


Ich wünsche Ihnen einen guten Start in die neue Woche und morgen einen schönen Feiertag.

Mit freundlichem Gruß
Sascha Knappe
(AVM-Support)

Sehr nett. Ich glaube da bleibt mir wohl nichts anderes übrig. Hab die Tage auch mit Raps 4 und PiVPN und Wireguard über Docker auf Synology ausprobiert. Aber alles ohne Erfolg.
 
Warum willst du eigentlich zwingend die VPN-Verbindung in die Firma über deinen Router herstellen? Ist das deine Firma und du willst einfach von jedem deiner Geräte im Heimnetzwerk auf die Firma zugreifen oder hast du einfach keine Lust, an deinem Firmen-Gerät im HomeOffice immer VPN anzuschalten? Es ist nämlich mindestens zu hinterfragen ob es wirklich sinnvoll ist, dass womöglich auch dein SmartTV, das WLAN-Radio und schlimmstenfalls sogar Gäste im Gastnetz Zugriff auf das Firmennetz haben.

VPNs setzt man normlerweise gezielt ein, insbesondere bei Verbindungen von außen in ein Firmennetzwerk. Das klassische Roadwarrior-Setup. Site2Site macht man hingegen nur dann, wenn wirklich explizit eine Standortverbindung erwünscht ist, was meistens auf ein VPN zwischen Filialen, o.ä. hinausläuft.

mo111 schrieb:
Hab die Tage auch mit Raps 4 und PiVPN und Wireguard über Docker auf Synology ausprobiert. Aber alles ohne Erfolg.
Das müsste aber in jedem Fall funktionieren, weil sich die oben dargestellte Problematik mit dem Service-Netz ausschließlich am Router zeigt. So wie sich die Erklärung liest, liegt das besagte Service-Netz nämlich am WAN des Routers an, denn dort ist die Verbindung zum Provider und seinem Service-Netz. Startet der VPN-Tunnel jedoch im lokalen Netzwerk des Routers, bekommt dieser von den gerouteten Subnetzen überhaupt nichts mit, weil nur verschlüsseltes Kauderwelsch von der VPN-Verbindung durch ihn hindurch läuft. Deswegen kannst du ja auch von deinem MAC aus eine VPN-Verbindung herstellen und dann geht das de facto auch vom PI oder dem NAS aus. Klappt dies nicht, hängt es an einer anderen Einstellung.
 
  • Gefällt mir
Reaktionen: h00bi und Der Lord
Und weil es gerade auch in einem anderen Thread erwähnt wurde, nochmal der Hinweis (wurde auch von @mo111 in Post #3 oben schon genannt): das Subnetz 192.168.100.x ist bei Vodafone gesperrt. Ich habe das oben in Post #11 nicht berücksichtigt und empfehle, das einfach mal zu ändern (zusätzlich zu den Empfehlungen von @Raijin in Post #14).
 
Zuletzt bearbeitet:
Zurück
Oben