13
FritzboxLAN2LAN mit dahinterliegendem Router: Nur One-Way-Routing möglich
Hallo zusammen,
leider habe ich zwei Plasterouter vom Typ FritzBox 7490 aufgehalst bekommen und habe Schwierigkeiten ein hinter einem VPN Tunnel liegendes Netzwerk zu routen.
Das folgende Setup besteht:
Wie man sieht habe ich die access-list Einträge bereits in die VPN-Config von FritzBox A geschmuggelt.
Allerdings funktioniert das Routing immernoch nur in eine Richtung.
Habt Ihr vielleicht eine Idee für eine weitere Diagnose?
Gibt es bei den Plasteroutern die Möglichkeit die gesamte Routingtabelle einzusehen?
Viele Grüße und Vielen Dank im Voraus.
leider habe ich zwei Plasterouter vom Typ FritzBox 7490 aufgehalst bekommen und habe Schwierigkeiten ein hinter einem VPN Tunnel liegendes Netzwerk zu routen.
Das folgende Setup besteht:
Wie man sieht habe ich die access-list Einträge bereits in die VPN-Config von FritzBox A geschmuggelt.
Allerdings funktioniert das Routing immernoch nur in eine Richtung.
Habt Ihr vielleicht eine Idee für eine weitere Diagnose?
Gibt es bei den Plasteroutern die Möglichkeit die gesamte Routingtabelle einzusehen?
Viele Grüße und Vielen Dank im Voraus.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 322298
Url: https://administrator.de/contentid/322298
Printed on: April 26, 2024 at 13:04 o'clock
13 Comments
Latest comment
Moin,
Hast Du in den Fritzboxen auch die entsprechenden statischen Routen eingetragen? Was sagt traceroute, wie weit die Pakete kommen?
lks
Hast Du in den Fritzboxen auch die entsprechenden statischen Routen eingetragen? Was sagt traceroute, wie weit die Pakete kommen?
lks
Moin Moin,
Leider gibt es an der FritzBox keine Möglichkeit die tatsächlich gültige Routingtabelle anzuzeigen.
Soweit ich es verstanden habe erstellt FritzBoxA durch die access-list in der VPN-Config automatisch eine entsprechende Route zu FritzBoxB und dem Netz 192.168.1.0/24.
In der FritzBoxB habe ich eine statische Route zu 192.168.1.0/24 via 192.168.180.21 (Router C) manuell via WebInterface eingetragen.
Im Router C habe ich die Route zu FritzBoxA 192.168.178.0/24 via FritzBoxB 192.168.180.1 gesetzt.
Traceroute ausgehend von Client C (funktioniert):
Leider gibt es an der FritzBox keine Möglichkeit die tatsächlich gültige Routingtabelle anzuzeigen.
Soweit ich es verstanden habe erstellt FritzBoxA durch die access-list in der VPN-Config automatisch eine entsprechende Route zu FritzBoxB und dem Netz 192.168.1.0/24.
In der FritzBoxB habe ich eine statische Route zu 192.168.1.0/24 via 192.168.180.21 (Router C) manuell via WebInterface eingetragen.
Im Router C habe ich die Route zu FritzBoxA 192.168.178.0/24 via FritzBoxB 192.168.180.1 gesetzt.
Traceroute ausgehend von Client C (funktioniert):
traceroute to 192.168.178.31 (192.168.178.31), 30 hops max, 40 byte packets
1 rtr-aug-00-01 (192.168.1.250) 0.327 ms 0.23 ms 0.207 ms
2 192.168.180.1 (192.168.180.1) 1.144 ms 1.208 ms 1.057 ms
3 192.168.178.31 (192.168.178.31) 26.266 ms 27.033 ms 26.384 ms
4 192.168.178.31 (192.168.178.31) 26.945 ms 26.513 ms 26.462 msTraceroute ausgehend von Client A (funktioniert nicht):
traceroute to 192.168.1.180 (192.168.1.180), 30 hops max, 40 byte packets
1 fritz.box (192.168.178.1) 0.965 ms 0.699 ms 0.711 ms
2 localhost (192.168.1.180) 25.513 ms 25.882 ms 26.031 ms
3 localhost (192.168.1.180) 26.802 ms 25.995 ms 26.556 ms
4 * * *
5 * * * 2 localhost (192.168.1.180) 25.513 ms 25.882 ms 26.031 ms
Sicher daß Du die richigen Netze hast und keine Zahlendreher?
Ansonsten scheint entweder fritzbox B oder Router C ein problem mit dem Routing zu haben. Ich würde einfach mal in der Fritzbox mitsniffen.
lks
Moin ...
Ich würde den Fehler am Router C suchen ... wozu soll der dienen?
Vermutlich kommt dir dort NAT in die Quere
VG
Ashnod
Ich würde den Fehler am Router C suchen ... wozu soll der dienen?
Vermutlich kommt dir dort NAT in die Quere
VG
Ashnod
Dazu wäre es gut zu wissen, was für ein Router das ist.
lks
Das AVM Portal beschreibt selber so ein Szenario was fehlerfrei funktioniert:
https://avm.de/service/fritzbox/fritzbox-7390/wissensdatenbank/publicati ...
Problem wird sicher sein das oben die "FritzBüx A" in einer einfachen Kaskade arbeitet und wie immer das aktive NAT (IP Translation) am WAN Port dort nicht abschaltbar ist bei der FB.
Damit bleiben dann logischerweise alle Inbound Sessions an der dortigen NAT Firewall hängen ! Die Problematik ist hier beschrieben:
Kopplung von 2 Routern am DSL Port
Das wird ohne einen HW Tausch nicht gehen. Nimm einen 35 Euro Mikrotik, der löst das im Handumdrehen:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
(Kapitel "Routen mit Router")
https://avm.de/service/fritzbox/fritzbox-7390/wissensdatenbank/publicati ...
Problem wird sicher sein das oben die "FritzBüx A" in einer einfachen Kaskade arbeitet und wie immer das aktive NAT (IP Translation) am WAN Port dort nicht abschaltbar ist bei der FB.
Damit bleiben dann logischerweise alle Inbound Sessions an der dortigen NAT Firewall hängen ! Die Problematik ist hier beschrieben:
Kopplung von 2 Routern am DSL Port
Das wird ohne einen HW Tausch nicht gehen. Nimm einen 35 Euro Mikrotik, der löst das im Handumdrehen:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
(Kapitel "Routen mit Router")
Der Router C ist ein DrayTek 3200n Multi-WAN.
Die FritzBoxB dient als vDSL Modem und stellt den VPN-Tunnel zur FritzBoxA her.
Die WAN Schnittstelle des Router C ist in der Fritzbox als DMZ host eingerichtet sodass der Router C die FritzBox nur als "Modem" für DSL nutzt. Ebenfalls hat diese Schnittstelle ein WAN-IP-Alias mit der externen IP der FritzBoxBoxB.
Bei dem Routing von VPN-Verkehr von 192.168.178.31 => 192.168.178.1 => 192168.180.1 => 192.168.180.21/192.168.1.250 => 192.168.1.180 sehe ich keine problematischen NAT Punkte sondern nur Routing.
Danke für den Tipp mit der FritzBox Sniffing-Funktion. Werde ich versuchen.
Zitat von @SnowCrush:
Bei dem Routing von VPN-Verkehr von 192.168.178.31 => 192.168.178.1 => 192168.180.1 => 192.168.180.21/192.168.1.250 => 192.168.1.180 sehe ich keine problematischen NAT Punkte sondern nur Routing.
Bei dem Routing von VPN-Verkehr von 192.168.178.31 => 192.168.178.1 => 192168.180.1 => 192.168.180.21/192.168.1.250 => 192.168.1.180 sehe ich keine problematischen NAT Punkte sondern nur Routing.
Bist Du sicher, daß der Draytek wirklich kein NAT macht?
lks
Ein simpler 2 minütiger Wireshark Trace würde dem TO das eindeutig zeigen. Vermutlich reichts mal wieder dafür nicht 
Steht zu vermuten das der NAT macht, denn das Fehlerbild passt dazu....
Steht zu vermuten das der NAT macht, denn das Fehlerbild passt dazu....
Zitat von @SnowCrush:
Der Router C ist ein DrayTek 3200n Multi-WAN.
Die FritzBoxB dient als vDSL Modem und stellt den VPN-Tunnel zur FritzBoxA her.
Der Router C ist ein DrayTek 3200n Multi-WAN.
Die FritzBoxB dient als vDSL Modem und stellt den VPN-Tunnel zur FritzBoxA her.
Am besten liest du selbst nochmal was du hier schreibst und dann entdecke die Fehler
Wenn die FB nur als Modem dienen soll, warum ist sie dann für VPN zuständig und soll eine DMZ aufstellen?
In dem Fall wäre die VPN-Verbiindung auf deinem Router C zu terminieren.
Die WAN Schnittstelle des Router C ist in der Fritzbox als DMZ host eingerichtet sodass der Router C die FritzBox nur als "Modem" für DSL nutzt. Ebenfalls hat diese Schnittstelle ein WAN-IP-Alias mit der externen IP der FritzBoxBoxB.
Hier schreibst du selbst das die WAN-Schnittstelle im DMZ-Netz der FB(Modem!!) liegt.
Bist du dir jetzt 100% sicher das auf dieser WAN-Schnittstelle kein NAT den eingehenden Verkehr behindert?
VG
Ashnod
Wie immer vermutlich der laienhafte Umgang mit dem Begriff Modem und Router
Moderne FritzBoxen sind ja gar nicht mehr als reine Modes zu konfigurieren. Vermutlich also auch hier.
Die Zeichnung oben ist ja so zu verstehen das FritzBüx A und B den VPN Tunnel etablieren und der "Router" C einfach in einer Kaskade angeschlossen ist.
Höchstwahrscheinlich mit aktiviertem NAT auf dem WAN Port was dann die "Einbahnstraße" erklärt. (Siehe Tutorial)
Dazu muss der TO aber nochmal wasserdichtes Feedback geben. Am besten mit einem Screenshot der klar zeigt das NAT hier auf dem WAN Port deaktiviert ist.
Andernfalls suchen wir uns einen Wolf.
Moderne FritzBoxen sind ja gar nicht mehr als reine Modes zu konfigurieren. Vermutlich also auch hier.
Die Zeichnung oben ist ja so zu verstehen das FritzBüx A und B den VPN Tunnel etablieren und der "Router" C einfach in einer Kaskade angeschlossen ist.
Höchstwahrscheinlich mit aktiviertem NAT auf dem WAN Port was dann die "Einbahnstraße" erklärt. (Siehe Tutorial)
Dazu muss der TO aber nochmal wasserdichtes Feedback geben. Am besten mit einem Screenshot der klar zeigt das NAT hier auf dem WAN Port deaktiviert ist.
Andernfalls suchen wir uns einen Wolf.
Zitat von @aqui:
Wie immer vermutlich der laienhafte Umgang mit dem Begriff Modem und Router
Moderne FritzBoxen sind ja gar nicht mehr als reine Modes zu konfigurieren. Vermutlich also auch hier.
Die Zeichnung oben ist ja so zu verstehen das FritzBüx A und B den VPN Tunnel etablieren und der "Router" C einfach in einer Kaskade angeschlossen ist.
Wie immer vermutlich der laienhafte Umgang mit dem Begriff Modem und Router
Moderne FritzBoxen sind ja gar nicht mehr als reine Modes zu konfigurieren. Vermutlich also auch hier.
Die Zeichnung oben ist ja so zu verstehen das FritzBüx A und B den VPN Tunnel etablieren und der "Router" C einfach in einer Kaskade angeschlossen ist.
Korrekt. "Router" wäre in diesem Falle wohl korrekter gewesen. Sorry.
Höchstwahrscheinlich mit aktiviertem NAT auf dem WAN Port was dann die "Einbahnstraße" erklärt. (Siehe Tutorial)
Dazu muss der TO aber nochmal wasserdichtes Feedback geben. Am besten mit einem Screenshot der klar zeigt das NAT hier auf dem WAN Port deaktiviert ist.
Andernfalls suchen wir uns einen Wolf.
Dazu muss der TO aber nochmal wasserdichtes Feedback geben. Am besten mit einem Screenshot der klar zeigt das NAT hier auf dem WAN Port deaktiviert ist.
Andernfalls suchen wir uns einen Wolf.
Ebenfalls korrekt.. An der WAN Schnittstelle ist MultiNAT-aktiviert.
Wireshark traces zeigen ICMP von ClientA zu ClientC an der WAN Schnittstelle von Router C ankommen.
RouterC NAT blockt diese allerdings.
Andererseits ist es keine Option das NAT an der WAN Schnittstelle abzuschalten da diese, abgesehen vom VPN Tunnel, auch als allgemeines WAN für dahinterliegende clients genutzt wird.
Es ist tatsächlich einfacher ein RouterC=>FritzBoxA VPN durch FritzBoxB aufzubauen als dieses NAT zu umgehen.
Das Setup funktioniert nun wunderbar.
RouterC und FritzBoxA kommunizieren via IPsec und die Firewall von RouterC regelt welche Clients sich gegenseitig erreichen können.
Die FritzBoxB stellt dabei weiterhin lediglich den VDSL Zugang für RouterC bereit.
Danke für den Hinweis auf das RouterC-NAT.
An der WAN Schnittstelle ist MultiNAT-aktiviert.
Wie vermutet....!RouterC NAT blockt diese allerdings.
War klar, denn da rennt die NAT Firewall.Andererseits ist es keine Option das NAT an der WAN Schnittstelle abzuschalten da diese, abgesehen vom VPN Tunnel, auch als allgemeines WAN für dahinterliegende clients genutzt wird..
Sorry, aber diese Argumentation ist ja technischer Quatsch !Für die Clients bleibt das ja auch ohne NAT der WAN Port. Nur eben das die Client IPs nicht am WAN Port auf dessen IP per NAT umgesetzt wird.
Das bewirkt dann das du ein transparentes Routing machst und der Zugriff auf das NAS sauber funktioniert !
Guckst du hier:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Mit aktiviertem NAT werden Clients und Endgeräte am WAN Netzwerk niemals das NAS ereichen können weil die NAT Firewall einen Sessionaufbau von außen nach innen nicht zulässt. Der tiefere Sinn von NAT.
Aber gut wenns nun mit dem Workaround klappt...