32
2 Fritzenboxen in einer "DMZ" - jetzt nun die Portfreigabe
Hallo zusammen,
ich habe gerade die tolle Anleitung hier gesehen zu dem Thema 2 Fritzboxen, leider kam diese zu spät
Ich habe 2 FB hintereinander geschaltet
FB 1 - IP Adresse 192.168.178.1
(Über die FRITZ!Box Wählen Sie diese Option, wenn die FRITZ!Box direkt mit Ihrem Internet-Anschluss verbunden ist.)
*
FB 2 - IP Adresse 192.168.1.1 ist ihre Eigene mit DHCP
Internetverbindung selbst aufbauen Die FRITZ!Box stellt einen eigenen IP-Adressbereich zur Verfügung. Die Firewall bleibt dabei aktiviert.
hier habe ich die IP 192.168.178.2 hinterlegt GW & DNS-Server ist die 192.168.178.1
*
soweit so gut, ich nenne dieses mal eine "mini"-DMZ
Ich möchte jetzt, z.B. die FB 2 / das LAN wie gewohnt per VPN erreichen, z.B. Smartphone oder diese in Myfritz erscheint (dieses geht z.B. wenn ich einen Account von der FB 1 hinterlege, ist dieses optimal ?)
Ich habe die Ports auf der FB 1 eingestellt leider aber ohne Erfolg...
UDP-Port 53
UDP-Port 500
UDP-Port 4500
ESP habe ich dazu genommen
zu Testzwecke habe ich auch einen Exposed Host konfiguriert (dieses möchte ich aber nicht haben)
Hat jemand noch eine tolle Idee ....
Besten Dank und Gruß
ich habe gerade die tolle Anleitung hier gesehen zu dem Thema 2 Fritzboxen, leider kam diese zu spät
Ich habe 2 FB hintereinander geschaltet
FB 1 - IP Adresse 192.168.178.1
(Über die FRITZ!Box Wählen Sie diese Option, wenn die FRITZ!Box direkt mit Ihrem Internet-Anschluss verbunden ist.)
*
FB 2 - IP Adresse 192.168.1.1 ist ihre Eigene mit DHCP
Internetverbindung selbst aufbauen Die FRITZ!Box stellt einen eigenen IP-Adressbereich zur Verfügung. Die Firewall bleibt dabei aktiviert.
hier habe ich die IP 192.168.178.2 hinterlegt GW & DNS-Server ist die 192.168.178.1
*
soweit so gut, ich nenne dieses mal eine "mini"-DMZ
Ich möchte jetzt, z.B. die FB 2 / das LAN wie gewohnt per VPN erreichen, z.B. Smartphone oder diese in Myfritz erscheint (dieses geht z.B. wenn ich einen Account von der FB 1 hinterlege, ist dieses optimal ?)
Ich habe die Ports auf der FB 1 eingestellt leider aber ohne Erfolg...
UDP-Port 53
UDP-Port 500
UDP-Port 4500
ESP habe ich dazu genommen
zu Testzwecke habe ich auch einen Exposed Host konfiguriert (dieses möchte ich aber nicht haben)
Hat jemand noch eine tolle Idee ....
Besten Dank und Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 252403
Url: https://administrator.de/contentid/252403
Printed on: April 23, 2024 at 06:04 o'clock
32 Comments
Latest comment
Moin,
mal mal ein Bildchen, damit man klarer sieht, was Du meinst.
lks
mal mal ein Bildchen, damit man klarer sieht, was Du meinst.
lks
Hi,
ich möchte von außen z.B. mit VPN auf das LAN zugreifen
Internet->FB1 -> FB2-LAN
FB 1 - IP Adresse 192.168.178.1
FB 2 - IP Adresse 192.168.1.1
LAN - IP Adresse 192.168.1.x
ich möchte von außen z.B. mit VPN auf das LAN zugreifen
Internet->FB1 -> FB2-LAN
FB 1 - IP Adresse 192.168.178.1
FB 2 - IP Adresse 192.168.1.1
LAN - IP Adresse 192.168.1.x
mit welchem VPN-protokoll?
IPSEC?
funktikoniert es mit dem exposed host?
wenn ja, sniff doch einfach m,al auf dersten fritzbox mit, was da alels durchgeht.
lks
Hi,
ja mit IPSec Xauth PSK,
Bis zu der ersten FB 1 komme ich wie gewohnt, der Tunnel steht, ich vermute mal beim Konfig. der Ports habe ich einen Fehler gemacht auf der FB 1 oder FB2
Parallel -> habe ich eine weitere FB 3 die als IP Client ist, in Myfritz gehängt, auch hier komme ich nicht durch
Auf der FB1 habe ich den Port z.B. 777 auf der FB 1 freigeschaltet und gesagt 777-> an FB 2
auf FB 2 den Port 777 über Myfritz an die FB 3 eingericht.
Parallel habe ich auf der FB 2 mal zur Sicherheit den DNY Port 53 als UDP freigeschaltet UDP 53 aber kein Erfolg
Ich mache bei dem Port durchreichen wohl einen Basisfehler...was stelle ich auf FB 1 und auf FB 2 ein?
z.B, für den Port 777 oder VPN?
Besten Dank und Gruß
ja mit IPSec Xauth PSK,
Bis zu der ersten FB 1 komme ich wie gewohnt, der Tunnel steht, ich vermute mal beim Konfig. der Ports habe ich einen Fehler gemacht auf der FB 1 oder FB2
Parallel -> habe ich eine weitere FB 3 die als IP Client ist, in Myfritz gehängt, auch hier komme ich nicht durch
Auf der FB1 habe ich den Port z.B. 777 auf der FB 1 freigeschaltet und gesagt 777-> an FB 2
auf FB 2 den Port 777 über Myfritz an die FB 3 eingericht.
Parallel habe ich auf der FB 2 mal zur Sicherheit den DNY Port 53 als UDP freigeschaltet UDP 53 aber kein Erfolg
Ich mache bei dem Port durchreichen wohl einen Basisfehler...was stelle ich auf FB 1 und auf FB 2 ein?
z.B, für den Port 777 oder VPN?
Besten Dank und Gruß
Ist das so konfiguriert wie hier in der Alternative 2:
Kopplung von 2 Routern am DSL Port
Wenn du IPsec durchreichen musst dann sind folgende Ports weiterzuleiten:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Kopplung von 2 Routern am DSL Port
Wenn du IPsec durchreichen musst dann sind folgende Ports weiterzuleiten:
- UDP 4500 (NAT Traversal)
- UDP 500 (IKE)
- ESP Protokoll (IP Nummer 50. Achtung kein TCP oder UDP 50 ESP ist ein eigenes IP Protokoll !)
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Hi zusammen,
ich habe heute erst die Mails bekommen, lagen im SPAM Ordner
die FB 1 ist der Router -> FB2 geht über LAN1 an die FB1,
ich habe den WAN-Port nicht genommen, sondern nach Angaben von AVM den LAN 1 Port.
*
Hier der Auszug aus der FB2 =72720
"Externes Modem oder Router
Wählen Sie diesen Zugang, wenn die FRITZ!Box über "LAN 1" an ein bereits vorhandenes externes Modem oder einen Router angeschlossen ist.
Betriebsart
Geben Sie an, ob die FRITZ!Box die Internetverbindung selbst aufbaut oder eine vorhandene Internetverbindung mitbenutzt.
Internetverbindung selbst aufbauen
Die FRITZ!Box stellt einen eigenen IP-Adressbereich zur Verfügung. Die Firewall bleibt dabei aktiviert."
*
Eine statische Route ist auch gesetzt.
Da es hier sich um eine alte FB 7270 v2 handelt und der DSL Port defekt ist, dachte coole Sache
.
Ich habe eigentlich 2 Themen -> die FB 3 am LAN2 wollte ich in MYfritz haben, wenn dieses nicht geht, ist auch ok.
Der VPN Client steht, zum Testen habe ich die FB 1 & FB 2 die Firewall ausgeschaltet -> Exposed Host eingericht..ich kriege auf das LAN 2 keinen Zugriff
Habe schon aus verzweifelung auf beides den VPN gesetzt auf FB 1 & FB 2 und den Exp. Host eingerichtet
Besten Dank!
ich habe heute erst die Mails bekommen, lagen im SPAM Ordner
die FB 1 ist der Router -> FB2 geht über LAN1 an die FB1,
ich habe den WAN-Port nicht genommen, sondern nach Angaben von AVM den LAN 1 Port.
*
Hier der Auszug aus der FB2 =72720
"Externes Modem oder Router
Wählen Sie diesen Zugang, wenn die FRITZ!Box über "LAN 1" an ein bereits vorhandenes externes Modem oder einen Router angeschlossen ist.
Betriebsart
Geben Sie an, ob die FRITZ!Box die Internetverbindung selbst aufbaut oder eine vorhandene Internetverbindung mitbenutzt.
Internetverbindung selbst aufbauen
Die FRITZ!Box stellt einen eigenen IP-Adressbereich zur Verfügung. Die Firewall bleibt dabei aktiviert."
*
Eine statische Route ist auch gesetzt.
Da es hier sich um eine alte FB 7270 v2 handelt und der DSL Port defekt ist, dachte coole Sache
.
Ich habe eigentlich 2 Themen -> die FB 3 am LAN2 wollte ich in MYfritz haben, wenn dieses nicht geht, ist auch ok.
Der VPN Client steht, zum Testen habe ich die FB 1 & FB 2 die Firewall ausgeschaltet -> Exposed Host eingericht..ich kriege auf das LAN 2 keinen Zugriff
Habe schon aus verzweifelung auf beides den VPN gesetzt auf FB 1 & FB 2 und den Exp. Host eingerichtet
Besten Dank!
ich habe heute erst die Mails bekommen, lagen im SPAM Ordner
Was für Mails ??WAN-Port genommen sondern wie nach Angaben den LAN 1 Port,
Dann bist du einer der ein älteres FB Modell hat bei dem das integrierte DSL Modem im Setup deaktivierbar ist (mit neueren ist das nicht mehr möglich) und der WAN Port dann am LAN-1 Port liegt, richtig ??Folglich hast du dann doch wieder den WAN Port genommen, oder ?!? DSL Port defekt usw. bestätigt das ja dann das du den WAN Port durch Abschalten des Modems auf den LAN 1 Port umgebogen hast ?!
Sinnvoll wäre eine kurze Skizze hier damit wir wirklich verstehen wie dein Design aussieht. Für eine Funktion ist das sehr wichtig !
Am WAN Port des in der Kaskade vorgeschalteten Routers muss dann zwingend ein Port Forwarding für die IPsec Protokollkomponenten eingerichtet sein auf die LAN-1 IP der 7270 !:
UDP 500
UDP 4500
ESP Protokoll mit der IP Nummer 50
Klar das deshalb auch die 7270 hier am WAN Port eine statische IP Adresse haben sollte die NICHT im DHCP Bereich des davorliegenden Routers liegt !!
Falls die davorliegende FB auch VPN Dienste supportet musst du diese deaktivieren, denn die denkst sonst immer das eingehende IPsec Pakete für sie sind und leitet sie dann trotz Port Forwarding nicht weiter.
Nimm dir ganz einfach einen Wireshark Sniffer und prüfe wo UDP 500 und ESP geblockt werden...dort ist auch dein Problem in der Konfig der Systeme !!
Hi und besten Dank
Was für Mails ?? -> die Mail das ein Beitrag gepostet wurde
Die FB 7270 ist der WAN Port defekt, da diese durch Blitzschlag etc..einen wegbekommen hat, deshalb habe ich mir eine andere gekauft-> Der WAN-Port ist defekt an der 7270, da gab es die andere noch nicht -> Der WAN Port an der FB 7270 ist defekt und wird nicht genutzt.
Sorry, ich kann dir leider nicht folgen vom Ablauf...technisch kein Thema
Plan kann ich machen, das dauert etwas, aber recht hast du
Was für Mails ?? -> die Mail das ein Beitrag gepostet wurde
Die FB 7270 ist der WAN Port defekt, da diese durch Blitzschlag etc..einen wegbekommen hat, deshalb habe ich mir eine andere gekauft-> Der WAN-Port ist defekt an der 7270, da gab es die andere noch nicht -> Der WAN Port an der FB 7270 ist defekt und wird nicht genutzt.
Sorry, ich kann dir leider nicht folgen vom Ablauf...technisch kein Thema
Plan kann ich machen, das dauert etwas, aber recht hast du
die Mail das ein Beitrag gepostet wurde
Braucht man auch nicht, denn das sieht man wenn man sich hier einloggt und auf sein Icon oben klickt und "Benachrichtigungen" ansieht 
Der WAN-Port ist defekt an der 7270, da gab es die andere noch nicht -> Der WAN Port an der FB 7270 ist defekt und wird nicht genutzt.
Ist das ein deutscher Satz ?? Sorry, aber den Kauderwelsch versteht keiner ??In älteren FBs hat man im Setup die Möglichkeit das interne DSL Modem zu deaktivieren. Der WAN Port des Routers wird dann stattdessen intern umgeleitet und auf ein vorhandenes Ethernet Breitband Interface dem LAN-1 Port ausgegeben.
Das hat man damals gemacht damit Kabel TV Kunden dort ihr Kabel TV Modem anzuschliessen wenn sie von DSL auf Kabel wechseln und sich nicht extra einen neuen Breitband Router dafür kaufen wollen.
Vermutlich hast du im Setup der FB 7270 dies gemacht, richtig ??
Guckst du hier dazu:
http://avm.de/nc/service/fritzbox/fritzbox-7270/wissensdatenbank/public ...
Zitat von @aqui:
Am WAN Port des in der Kaskade vorgeschalteten Routers muss dann zwingend ein Port Forwarding für die IPsec
Protokollkomponenten eingerichtet sein auf die LAN-1 IP der 7270 !:
UDP 500
UDP 4500
ESP Protokoll mit der IP Nummer 50
Am WAN Port des in der Kaskade vorgeschalteten Routers muss dann zwingend ein Port Forwarding für die IPsec
Protokollkomponenten eingerichtet sein auf die LAN-1 IP der 7270 !:
UDP 500
UDP 4500
ESP Protokoll mit der IP Nummer 50
Das ist aber die Lösung für die Alternative eines Tunnels zur (hinteren) FB2. Wie oben heraus zu lesen, baut er den Tunnel zur FB1 auf, müsste also die Dienste im LAN, die aus DMZ/VPN erreicht werden sollen, per Forwarding auf der FB2 zur Verfügung stellen.
1
Hi und besten Dank zusammen!
Ich habe den Tunnel auf FB 1 und FB 2 gesetzt, parallel zum Testen -> Exposed Host eingerichtet, ohne Erfolg.
Macht vieles sicherlich leichter.
Ich habe den Tunnel auf FB 1 und FB 2 gesetzt, parallel zum Testen -> Exposed Host eingerichtet, ohne Erfolg.
Macht vieles sicherlich leichter.
Das ist aber die Lösung für die Alternative eines Tunnels zur (hinteren) FB2. Wie oben heraus zu lesen, baut er den Tunnel zur FB1 auf,
OK, da hast du dann natürlich Recht. Dann brauchst du natürlich KEIN Portforwarding für diese VPN Ports...klar !Annahme war hier das der VPN Tunnel aus dem Internet käme und durch FB1 auf den FB2 terminiert werden sollte...war aber dann wohl falsch, sorry ?!
Allerdings: Was soll denn ein VPN Tunnel direkt zw. den beiden direkt gekoppelten FBs 1 und 2 bewirken ? Das ist doch eigentlich Unsinn.
Hi zusammen,
ich habe den VPN Tunnel einmal zu FB 1 aufgebaut-kein Erfolg und einmal zu FB 2 auch kein Erfolg.
der Tunnel zu FB 2 kam nicht durch, obwohl Exposed Host eingerichtet war auf beide FB 1 & 2.
Was macht mehr Sinn
->a) den Tunnel zu FB 1 aufbauen und Portforwarding einschalten?
->b) den Tunnel zu FB 2 aufbauen? Wenn ja was muss dann auf die FB1 eingerichtet werden, das der Tunnel durchkommt?
ich habe zu der FB 1 einen Tunnel aufgebaut der funktioniert
Auf der FB 2 &FB 1 (zur Sicherheit/ Testen) eingerichtet
Liste der Portfreigaben
auf der FB 2 zu der FB 3
VPN Port 1 UDP 500
VPN Port 2 UDP 4500
VPN Port 3 ESP
VPN Port 4 DNS 53
auf der FB 1 zu der FB 2
VPN Port 1 UDP 500
VPN Port 2 UDP 4500
VPN Port 3 ESP
VPN Port 4 DNS 53
Ein Zugriff ist leider nicht möglich
Thx!
ich habe den VPN Tunnel einmal zu FB 1 aufgebaut-kein Erfolg und einmal zu FB 2 auch kein Erfolg.
der Tunnel zu FB 2 kam nicht durch, obwohl Exposed Host eingerichtet war auf beide FB 1 & 2.
Was macht mehr Sinn
->a) den Tunnel zu FB 1 aufbauen und Portforwarding einschalten?
->b) den Tunnel zu FB 2 aufbauen? Wenn ja was muss dann auf die FB1 eingerichtet werden, das der Tunnel durchkommt?
ich habe zu der FB 1 einen Tunnel aufgebaut der funktioniert
Auf der FB 2 &FB 1 (zur Sicherheit/ Testen) eingerichtet
Liste der Portfreigaben
auf der FB 2 zu der FB 3
VPN Port 1 UDP 500
VPN Port 2 UDP 4500
VPN Port 3 ESP
VPN Port 4 DNS 53
auf der FB 1 zu der FB 2
VPN Port 1 UDP 500
VPN Port 2 UDP 4500
VPN Port 3 ESP
VPN Port 4 DNS 53
Ein Zugriff ist leider nicht möglich
Thx!
Zitat von @Bastler0815:
Was macht mehr Sinn
->a) den Tunnel zu FB 1 aufbauen und Portforwarding einschalten?
->b) den Tunnel zu FB 2 aufbauen? Wenn ja was muss dann auf die FB1 eingerichtet werden, das der Tunnel durchkommt?
Was macht mehr Sinn
->a) den Tunnel zu FB 1 aufbauen und Portforwarding einschalten?
->b) den Tunnel zu FB 2 aufbauen? Wenn ja was muss dann auf die FB1 eingerichtet werden, das der Tunnel durchkommt?
Einen ordentichen VPN-Router (z.B. von Cisco, Draytek oder Lancom) kaufen und dahonert alles hänge.
Wenn die FB1 VPn durchlassen soll, muß dort alles was anch VPN aussieht deaktiviert werden, damit sich nciht die FB1 die VPN-Pakete krallt.
lks
Huhu,
der Tunnel steht zu FB 1
habe gerade nochmal Exp. Host eingeschaltet leider ohne Erfolg
Was die FB 1 meldet
"Achtung: Die Firewall Ihrer FRITZ!Box ist deaktiviert.
Der als "Exposed Host" angegebene Computer ist ungeschützt im Internet sichtbar und erreichbar. Ausgenommen sind Portfreigaben zu anderen Computern in der Liste der Portfreigaben, welche nur an diese weiter geleitet werden. "
kein Erfolg -kein Zugriff
habe auf der FB 2 das gleiche gemacht
Achtung: Der als "Exposed Host" angegebene Computer ist ungeschützt im Internet sichtbar und erreichbar. Für diesen Computer ist die Firewall Ihrer FRITZ!Box deaktiviert.
kein Erfolg -kein Zugriff
der Tunnel steht zu FB 1
habe gerade nochmal Exp. Host eingeschaltet leider ohne Erfolg
Was die FB 1 meldet
"Achtung: Die Firewall Ihrer FRITZ!Box ist deaktiviert.
Der als "Exposed Host" angegebene Computer ist ungeschützt im Internet sichtbar und erreichbar. Ausgenommen sind Portfreigaben zu anderen Computern in der Liste der Portfreigaben, welche nur an diese weiter geleitet werden. "
kein Erfolg -kein Zugriff
habe auf der FB 2 das gleiche gemacht
Achtung: Der als "Exposed Host" angegebene Computer ist ungeschützt im Internet sichtbar und erreichbar. Für diesen Computer ist die Firewall Ihrer FRITZ!Box deaktiviert.
kein Erfolg -kein Zugriff
Wireshark Sniffer nehmen und den Traffik mitsniffern wer genau was wohin sendet bei IPsec.
Das bringt dir sofortige Klarheit !
Das bringt dir sofortige Klarheit !
Zitat von @Bastler0815:
Was macht mehr Sinn
->a) den Tunnel zu FB 1 aufbauen und Portforwarding einschalten?
->b) den Tunnel zu FB 2 aufbauen? Wenn ja was muss dann auf die FB1 eingerichtet werden, das der Tunnel durchkommt?
Was macht mehr Sinn
->a) den Tunnel zu FB 1 aufbauen und Portforwarding einschalten?
->b) den Tunnel zu FB 2 aufbauen? Wenn ja was muss dann auf die FB1 eingerichtet werden, das der Tunnel durchkommt?
Das hängt davon ab, in welchem Netz ein externer Client stehen soll. a) ist einerseits sicherer, weil der Client nur in die DMZ kommt. andererseits müssen Dienste aus dem LAN dann für den Client in die DMZ freigegeben werden.
ich habe zu der FB 1 einen Tunnel aufgebaut der funktioniert
Dann erreichst du auch die WAN-Seite von FB2. Um einen Dienst im LAN zu erreichen, muss du logischerweise den auf der FB2 in die DMZ freigeben und von dort mit der WAN-IP der FB2 ansprechen (Lösung a).
Liste der Portfreigaben
auf der FB 2 zu der FB 3
VPN Port 1 UDP 500
VPN Port 2 UDP 4500
VPN Port 3 ESP
VPN Port 4 DNS 53
auf der FB 1 zu der FB 2
VPN Port 1 UDP 500
VPN Port 2 UDP 4500
VPN Port 3 ESP
VPN Port 4 DNS 53
auf der FB 2 zu der FB 3
VPN Port 1 UDP 500
VPN Port 2 UDP 4500
VPN Port 3 ESP
VPN Port 4 DNS 53
auf der FB 1 zu der FB 2
VPN Port 1 UDP 500
VPN Port 2 UDP 4500
VPN Port 3 ESP
VPN Port 4 DNS 53
Warum DNS? Warum IKE-Freigaben bis zur FB3? Wenn der Tunnel auf die FB2 gehen soll, reichen die eingerichteten Freigaben auf der FB1 (ohne DNS). Auf der FB2 sind dann keine Portfreigaben erforderlich. Eine Weiterleitung der VPN-Ports auf der FB2 widerspricht im Gegenteil der Verwendung durch den dort laufenden VPN-Server, exposed Host ebenso.
Grüße
Richard
Hi Richard,
Ich möchte per VPN über UMTS, WLAN über das Internet auf den Client z.B. FB3 im hinteren LAN zugreifen.
Ich nehme sehr gerne Support an, was ich auf der FB 1 und FB 2 setzen muss, wenn der VPN Tunnel bis zur VPN-Tunnel bist zur FB geht.
Den DNS kann ich löschen, waren noch versuche von Myfritz und Co.
Danke!
Ich möchte per VPN über UMTS, WLAN über das Internet auf den Client z.B. FB3 im hinteren LAN zugreifen.
Ich nehme sehr gerne Support an, was ich auf der FB 1 und FB 2 setzen muss, wenn der VPN Tunnel bis zur VPN-Tunnel bist zur FB geht.
Den DNS kann ich löschen, waren noch versuche von Myfritz und Co.
Danke!
Wie gesagt zwei Möglichkeiten:
1) VPN-Tunnel zur FB1 - dann stehst du mit deinem VPN-Client in der DMZ. Ein Dienst des hinteren LAN könnte dann per Portfreigabe (nicht VPN-Ports, sondern die des jeweiligen Dienstes, z.B. Webserver) auf der FB2 in die DMZ freigegeben werden - wäre logischweise auch per VPN erreichbar.
Achtung: Da du auf die FB3 zugreifen willst, könnte dieser Dienst der SIP-Server der FB3 sein? Dann fällt die Lösung sowieso flach, weil eine FB (hier FB2) keine Standard-SIP-Ports weiterleiten kann (für den jeweils eigenen Server belegt)
2) Tunnel zur FB2 durch die FB1/DMZ: Das erfordert die Freigabe der Tunnelprotokolle auf der FB1 an die FB2 und keine Portfreigabe auf der FB2. Die Tunnelports sind UDP 500, UDP 4500 und ESP. Das war ja soweit schon richtig (auf der FB2).
Du kannst diese Lösung 2 ganz einfach ohne irgendwelche Freigaben ausprobieren:
a) Alle Port-Freigaben auf allen Boxen löschen.
b) Den VPN-Client in die DMZ stellen (Switch an der FB1 oder ihr WLAN).
c) Dann richtest du dort einen Tunnel zur FB2 ein.
d) Wenn der läuft, machst du auf FB1 die drei Weiterleitungen auf. Dann läuft das auch von außen.
Grüße
Richard
1) VPN-Tunnel zur FB1 - dann stehst du mit deinem VPN-Client in der DMZ. Ein Dienst des hinteren LAN könnte dann per Portfreigabe (nicht VPN-Ports, sondern die des jeweiligen Dienstes, z.B. Webserver) auf der FB2 in die DMZ freigegeben werden - wäre logischweise auch per VPN erreichbar.
Achtung: Da du auf die FB3 zugreifen willst, könnte dieser Dienst der SIP-Server der FB3 sein? Dann fällt die Lösung sowieso flach, weil eine FB (hier FB2) keine Standard-SIP-Ports weiterleiten kann (für den jeweils eigenen Server belegt)
2) Tunnel zur FB2 durch die FB1/DMZ: Das erfordert die Freigabe der Tunnelprotokolle auf der FB1 an die FB2 und keine Portfreigabe auf der FB2. Die Tunnelports sind UDP 500, UDP 4500 und ESP. Das war ja soweit schon richtig (auf der FB2).
Du kannst diese Lösung 2 ganz einfach ohne irgendwelche Freigaben ausprobieren:
a) Alle Port-Freigaben auf allen Boxen löschen.
b) Den VPN-Client in die DMZ stellen (Switch an der FB1 oder ihr WLAN).
c) Dann richtest du dort einen Tunnel zur FB2 ein.
d) Wenn der läuft, machst du auf FB1 die drei Weiterleitungen auf. Dann läuft das auch von außen.
Grüße
Richard
Hallo Richard, ich sage schonmal besten Dank!
Ich fasse mal zusammen
Wenn ich die Lösung 2 nehme.
a) auf FB1 und FB2 die Port-Freigaben alle löschen -> auf der FB 1 muss ich noch die Freigabe Myfritz für die FB2 drauf lassen
b) auf dem Smartphone richte ich den VPN Client zu der FB 2 ein -Die Daten stammen aus der FB2 dazu
c) auf der FB1 die UDP 500, UDP 4500 und ESP freigeben zu der FB 2
d) hatte ich schon mal alles -> ich richte aber noch mal alles neu ein!
ok-> habe ich alles so gemacht-> ich bekomme vom Smartphone den Tunnel zu der FB 2 nicht aufgebaut, ich vermute mal weil
die FB 2 meldet mir:
"MyFRITZ! Fehler: Der MyFRITZ!-Name für das Gerät fritzbox2 kann trotz erfolgreicher Aktualisierung nicht aufgelöst werden"
Weil die FB 2 kein ordentlich Zugang zu MyFritz aufbauen kann, kommt der Tunnel nicht durch..wenn ich sage MyFritz neu enrichten alles ok, ich kann auch per Web drauf zugreifen...
Gruß
Ich fasse mal zusammen
Wenn ich die Lösung 2 nehme.
a) auf FB1 und FB2 die Port-Freigaben alle löschen -> auf der FB 1 muss ich noch die Freigabe Myfritz für die FB2 drauf lassen
b) auf dem Smartphone richte ich den VPN Client zu der FB 2 ein -Die Daten stammen aus der FB2 dazu
c) auf der FB1 die UDP 500, UDP 4500 und ESP freigeben zu der FB 2
d) hatte ich schon mal alles -> ich richte aber noch mal alles neu ein!
ok-> habe ich alles so gemacht-> ich bekomme vom Smartphone den Tunnel zu der FB 2 nicht aufgebaut, ich vermute mal weil
die FB 2 meldet mir:
"MyFRITZ! Fehler: Der MyFRITZ!-Name für das Gerät fritzbox2 kann trotz erfolgreicher Aktualisierung nicht aufgelöst werden"
Weil die FB 2 kein ordentlich Zugang zu MyFritz aufbauen kann, kommt der Tunnel nicht durch..wenn ich sage MyFritz neu enrichten alles ok, ich kann auch per Web drauf zugreifen...
Gruß
Zitat von @Bastler0815:
a) auf FB1 und FB2 die Port-Freigaben alle löschen -> auf der FB 1 muss ich noch die Freigabe Myfritz für die FB2
drauf lassen
a) auf FB1 und FB2 die Port-Freigaben alle löschen -> auf der FB 1 muss ich noch die Freigabe Myfritz für die FB2
drauf lassen
Ja, war nur Anregung, um das mal sauber aufzusetzen.
die FB 2 meldet mir:
"MyFRITZ! Fehler: Der MyFRITZ!-Name für das Gerät fritzbox2 kann trotz erfolgreicher Aktualisierung nicht
aufgelöst werden"
"MyFRITZ! Fehler: Der MyFRITZ!-Name für das Gerät fritzbox2 kann trotz erfolgreicher Aktualisierung nicht
aufgelöst werden"
Dann versucht der DynDNS-Client der Fritzbox wohl immer die WAN-IP der jeweilge Box zu registrieren (sinnvoller wäre die Quell-IP der Anfrage). Das kann für die FB2 nicht funktionieren, weil deren WAN-IP in der DMZ liegt und nicht öffentlich ist. Deshalb muss MyFritz (nur) auf der FB1 eingerichtet werden, um die öffentliche IP richtig aufzulösen.
Hi Richard,
besten Dank - recht hast du!
Da die FB 2, keine echte WAN-IP hat wird es auch nicht sauber fkt...das mit dem Tunnel auf die FB 2 wird wohl so nicht gehen!
Ich hatte die FB 2, ja parallel mit einem Account für myfritz versehen, dabei kam raus
Die FB 2 hat einmal im Online Monitor
MyFRITZ! https://blahblahblahblahddd.myfritz.net:999 -> hier ist die Anzeige/LED aus -> Der Pfad steht nicht sauber
Bei Myfritz in der FB2 ist die Meldung
Ihre FRITZ!Box ist bei MyFRITZ! angemeldet
-> das liegt sicherlich damit Zusammen,das die FB2 keine echte WAN - IP hat
In Myfritz.net -> ist diese auch als eigenständige FB 2 sichtbar, aber ein Zugriff ist nicht möglich
Hier die Kurzfom von AVM -> das Problem ist der Port 80
Der Tunnel auf FB 1 geht, leider kann ich die FB 3 nicht erreichen weil der Port 80 schon belegt ist, somit komme ich nur bis zur FB 2
"Der Webserver der FRITZ!Box läuft auf dem Port 80.
Das bedeutet vereinfacht gesagt, dass bei Ihnen drei FRITZ!Boxen vorhanden sind, deren Oberflächen alle über Port 80 erreichbar wären."
die FB 1 wird von außen angesteuert-> alles ok
die FB 2 wird mittels Portfreigabe erreicht
die FB 3 ist über den Port 80 nicht erreichbar, da man zum 2ten Mal eine Portfreigabe einrichten kann
Damit habe ich jetzt versch, Möglichkeiten
Ich dampfe alles ein
Ich nutze den LAN Port 4 in der FB 1 (hier kann man leider nicht die IP Adresse selbstständig wählen) und baue FB 2 ab
ich lasse alles so, super komme nur von außen nicht mehr rein
ich überlege mir eine echte Firewall zukaufen mit einem VPN Zugang?
Über Feedback und Tipps wäre ich noch dankbar, eine kleinigkeit teste ich nochmal.
Auf diesem Wege, sage ich besten Dank für den tollen und klassen Support!
Lg
besten Dank - recht hast du!
Da die FB 2, keine echte WAN-IP hat wird es auch nicht sauber fkt...das mit dem Tunnel auf die FB 2 wird wohl so nicht gehen!
Ich hatte die FB 2, ja parallel mit einem Account für myfritz versehen, dabei kam raus
Die FB 2 hat einmal im Online Monitor
MyFRITZ! https://blahblahblahblahddd.myfritz.net:999 -> hier ist die Anzeige/LED aus -> Der Pfad steht nicht sauber
Bei Myfritz in der FB2 ist die Meldung
Ihre FRITZ!Box ist bei MyFRITZ! angemeldet
-> das liegt sicherlich damit Zusammen,das die FB2 keine echte WAN - IP hat
In Myfritz.net -> ist diese auch als eigenständige FB 2 sichtbar, aber ein Zugriff ist nicht möglich
Hier die Kurzfom von AVM -> das Problem ist der Port 80
Der Tunnel auf FB 1 geht, leider kann ich die FB 3 nicht erreichen weil der Port 80 schon belegt ist, somit komme ich nur bis zur FB 2
"Der Webserver der FRITZ!Box läuft auf dem Port 80.
Das bedeutet vereinfacht gesagt, dass bei Ihnen drei FRITZ!Boxen vorhanden sind, deren Oberflächen alle über Port 80 erreichbar wären."
die FB 1 wird von außen angesteuert-> alles ok
die FB 2 wird mittels Portfreigabe erreicht
die FB 3 ist über den Port 80 nicht erreichbar, da man zum 2ten Mal eine Portfreigabe einrichten kann
Damit habe ich jetzt versch, Möglichkeiten
Ich dampfe alles ein
Ich nutze den LAN Port 4 in der FB 1 (hier kann man leider nicht die IP Adresse selbstständig wählen) und baue FB 2 ab
ich lasse alles so, super komme nur von außen nicht mehr rein
ich überlege mir eine echte Firewall zukaufen mit einem VPN Zugang?
Über Feedback und Tipps wäre ich noch dankbar, eine kleinigkeit teste ich nochmal.
Auf diesem Wege, sage ich besten Dank für den tollen und klassen Support!
Lg
Ich nutze den LAN Port 4 in der FB 1 (hier kann man leider nicht die IP Adresse selbstständig wählen)
Kann nicht sein und stimmt auch nicht. Was sollten denn FB User machen die statische IPs vorgegeben bekommen ?? Das ist Unsinn und kann man schon konfigurieren.Du solltest einen anderen Router nehmen der mehr und bessere Optionen hat das VPN zu realisieren wie z.B. einen Mikrotik RB 750 oder ne kleine Firewall wie die unten genannte. Damit klappt das stressfei und problemlos.
Tutorials dazu gibt es hier zuhauf im Forum:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
usw. usw.
Hi Aqui,
ich kann nur das Deuten was bei dem LAN Port 4 steht.
Die Adresse ist grau hinterlegt und ich kann sie nicht ändern, wenn du einen Tipp hast, bin ich dir sehr dankbar!
Hier der Text von der FB mit der neusten Firmware:
IPv4-Einstellungen - Gastnetz -
Das Gastnetz der FRITZ!Box hat einen eigenen IP-Adressbereich, aus dem die FRITZ!Box den Gastgeräten die IP-Adressen vergibt. Der Adressbereich wird von der
FRITZ!Box festgelegt und ist nicht veränderbar.
Das mit den anderen Firewall muss ich mal schauen.
Thx
ich kann nur das Deuten was bei dem LAN Port 4 steht.
Die Adresse ist grau hinterlegt und ich kann sie nicht ändern, wenn du einen Tipp hast, bin ich dir sehr dankbar!
Hier der Text von der FB mit der neusten Firmware:
IPv4-Einstellungen - Gastnetz -
Das Gastnetz der FRITZ!Box hat einen eigenen IP-Adressbereich, aus dem die FRITZ!Box den Gastgeräten die IP-Adressen vergibt. Der Adressbereich wird von der
FRITZ!Box festgelegt und ist nicht veränderbar.
Das mit den anderen Firewall muss ich mal schauen.
Thx
OK, das ist der Gastnetz Zugang ! Das ist eher eine sinnfreie Spielerei auf billigen Consumer Routern die sicherheitstechnisch nichts bringen.
Normal ist (wenigstens bei älteren FBs) das man das interne Modem deaktivieren kann und der WAN / Internet Port der FB dann ohne Modem auf einen Ethernet Port (LAN 1) rausgeschleift wird.
Dieser Port ist dann natürlich auch frei konfigurierbar.
Diese Gastport ist das nicht. Das ist auch nichts geroutetes, deshalb ist das bei dir auch ausgegraut.
Beschaff dir da dann lieger einen "richtigen" Router der diese Ports auch entsprechend routet. Die Gastfunktion ist unbrauchbar für dich in dem Umfeld da AVM dich da gängelt und dir eine freie Konfiguration verwehrt ! Falsches Produkt also.
Normal ist (wenigstens bei älteren FBs) das man das interne Modem deaktivieren kann und der WAN / Internet Port der FB dann ohne Modem auf einen Ethernet Port (LAN 1) rausgeschleift wird.
Dieser Port ist dann natürlich auch frei konfigurierbar.
Diese Gastport ist das nicht. Das ist auch nichts geroutetes, deshalb ist das bei dir auch ausgegraut.
Beschaff dir da dann lieger einen "richtigen" Router der diese Ports auch entsprechend routet. Die Gastfunktion ist unbrauchbar für dich in dem Umfeld da AVM dich da gängelt und dir eine freie Konfiguration verwehrt ! Falsches Produkt also.
Das Vorhaben funktioniert zweifellos auch mit Fritzboxen. Wenn Grundprinzipien nicht klar sind, hilft eine komplexere VPN-Firewall eher nicht weiter.
Um einen VPN-Tunnel zur FB2 aufzubauen, muss die in myfritz nicht "eigenständig" registriert sein. Es macht von außen gesehen keinen Unterschied, ob FB1 einen VPN-Server bereit stellt, oder FB2, auf den FB1 per Portweiterleitung verweist. Von außen kontaktierst du immer nur die öffentliche IP bzw. den zugehörigen DynDNS-Hostnamen, also FB1. Den Hostnamen kann prinzipiell jeder Client im Netz registrieren, aufgrund deren Beschränkungen allerdings eben keine Fritzbox hinter einem NAT-Router.
Das mit dem Port 80 der FB3 ist ja auch egal, wenn auf FB2 ein VPN-Tunnel endet.
Um einen VPN-Tunnel zur FB2 aufzubauen, muss die in myfritz nicht "eigenständig" registriert sein. Es macht von außen gesehen keinen Unterschied, ob FB1 einen VPN-Server bereit stellt, oder FB2, auf den FB1 per Portweiterleitung verweist. Von außen kontaktierst du immer nur die öffentliche IP bzw. den zugehörigen DynDNS-Hostnamen, also FB1. Den Hostnamen kann prinzipiell jeder Client im Netz registrieren, aufgrund deren Beschränkungen allerdings eben keine Fritzbox hinter einem NAT-Router.
Das mit dem Port 80 der FB3 ist ja auch egal, wenn auf FB2 ein VPN-Tunnel endet.
Zitat von @c.r.s.:
Um einen VPN-Tunnel zur FB2 aufzubauen, muss die in myfritz nicht "eigenständig" registriert sein.
Um einen VPN-Tunnel zur FB2 aufzubauen, muss die in myfritz nicht "eigenständig" registriert sein.
Hi, das geht leider nicht, (ist oben schon beschrieben), da myfritz keine echte WAN - IP bekommt.
Deshalb kann man die FB 2 auch in Myfritz sehen aber ein Zugriff ist nicht möglich.
Zitat von @Bastler0815:
Hi, das geht leider nicht, (ist oben schon beschrieben), da myfritz keine echte WAN - IP bekommt.
Deshalb kann man die FB 2 auch in Myfritz sehen aber ein Zugriff ist nicht möglich.
Hi, das geht leider nicht, (ist oben schon beschrieben), da myfritz keine echte WAN - IP bekommt.
Deshalb kann man die FB 2 auch in Myfritz sehen aber ein Zugriff ist nicht möglich.
Ja sicher, deshalb habe ich ja (inzwischen zweimal) die Lösung dafür beschrieben: Myfritz auf FB1.
Warum richtest du das nicht mal so ein, wie oben ausführlich diskutiert: Myfritz auf FB1, VPN-Port-/Protokollweiterleitung von FB1 auf FB2, VPN-Konfiguration auf FB2.
(Vielleicht wäre es besser, statt Myfritz einen "normalen" DynDNS-Anbieter zu benutzen, denn diese Myfritz-Funktion scheint dich nur zu verwirren)
Auch mit Myfritz bekommt die FB1 aber letztlich einen DynDNS-Hostnamen nach dem Muster blablabla.myfritz.net. Wenn damit der VPN-Client konfiguriert wird, kann dein VPN-Endgerät diesen Hostnamen auf die aktuelle WAN-IP der FB1 auflösen. Der VPN-Client kontaktiert damit die FB1. Die relevanten Ports sind jedoch auf FB2 weitergeleitet, dort wartet ein VPN-Server, also wird die Verbindung aufgebaut.
Hi,
thx, die Idee hat ja was für die FB 2 einen normalen DynDNS Anbieter zu verwenden, leider brauche ich die "Hauptfritzbox=FB2" in Myfritz.
Myfritz verwirrt mich überhaupt nicht, FB 2 und Myfritz geht nicht zusammen, ist auch vom Support so bestätigt.
Myfritz & VPN -Tunnel auf die FB 2 geht nicht-> da die FB 2 keine echte WAN -IP bekommt.
Die eine oder andere gute Idee habe ich mitgenommen...
thx, die Idee hat ja was für die FB 2 einen normalen DynDNS Anbieter zu verwenden, leider brauche ich die "Hauptfritzbox=FB2" in Myfritz.
Myfritz verwirrt mich überhaupt nicht, FB 2 und Myfritz geht nicht zusammen, ist auch vom Support so bestätigt.
Myfritz & VPN -Tunnel auf die FB 2 geht nicht-> da die FB 2 keine echte WAN -IP bekommt.
Die eine oder andere gute Idee habe ich mitgenommen...
Zitat von @Bastler0815:
thx, die Idee hat ja was für die FB 2 einen normalen DynDNS Anbieter zu verwenden
thx, die Idee hat ja was für die FB 2 einen normalen DynDNS Anbieter zu verwenden
Auf der FB2 funktioniert auch kein anderer DynDNS-Anbieter. Auch der wäre selbstverständlich auf FB1 einzutragen.
Ich geb's an der Stelle auf, oben steht oft genug, wie es funktioniert.
Hi, besten Dank!
wir wollten eine Lösung mit Myfritz, das was du oben geschrieben hast ist Klasse!
Das haben wir auch so gemacht, statt einen normalen Anbieter DynDNS haben wir halt Myfritz genommen
Die Frage die sich stellt wo ist der Unterschied zwischen Myfritz und einen normalen DynDns -> Noip, etc..?
Ich brauche zz. eine Lösung mit Myfritz und nicht mit anderen Anbieter-> deshalb hatte ich auch oben geschrieben besten Dank für den tollen Support und auch die FM gepostet oder z,B "ich überlege mir eine echte Firewall zukaufen mit einem VPN Zugang?"
@c.r.s -> wenn es nicht geht, muss ich das Ganze Thema Myfritz nachdenken! Da gebe ich dir recht!
Hast du den 2 FB mit einem anderen DynDNS Anbieter am laufen wo dieses den so geht?
Hast jemand Erfahrungen z.B. spdns / die anderen kenne ich auch, würde aber gerne auf ein Produkt aus dem Lande nehmen.
Gruß
wir wollten eine Lösung mit Myfritz, das was du oben geschrieben hast ist Klasse!
Das haben wir auch so gemacht, statt einen normalen Anbieter DynDNS haben wir halt Myfritz genommen
Die Frage die sich stellt wo ist der Unterschied zwischen Myfritz und einen normalen DynDns -> Noip, etc..?
Ich brauche zz. eine Lösung mit Myfritz und nicht mit anderen Anbieter-> deshalb hatte ich auch oben geschrieben besten Dank für den tollen Support und auch die FM gepostet oder z,B "ich überlege mir eine echte Firewall zukaufen mit einem VPN Zugang?"
@c.r.s -> wenn es nicht geht, muss ich das Ganze Thema Myfritz nachdenken! Da gebe ich dir recht!
Hast du den 2 FB mit einem anderen DynDNS Anbieter am laufen wo dieses den so geht?
Hast jemand Erfahrungen z.B. spdns / die anderen kenne ich auch, würde aber gerne auf ein Produkt aus dem Lande nehmen.
Gruß
Hallo zusammen,
zum Abschluss:
Das vorhanden lässt sich wie wie gewünscht nicht umsetzen, ich habe dazu auch den Support von AVM kontaktiert.
Die 2 FB wie sie geschaltet sind, lässt sich das vorhaben leider nicht so realisieren, in einer andere Art und Weise .Wie Modem, etc..schon
Besten Dank an alle für den Support!
zum Abschluss:
Das vorhanden lässt sich wie wie gewünscht nicht umsetzen, ich habe dazu auch den Support von AVM kontaktiert.
Die 2 FB wie sie geschaltet sind, lässt sich das vorhaben leider nicht so realisieren, in einer andere Art und Weise .Wie Modem, etc..schon
Besten Dank an alle für den Support!
