johnnytest
Goto Top

Zwei Netzwerke (FritzBox) via VPN verbinden - Zugang für alle Gerät mit einer SSID und IP

Guten Morgen,

aktuell stehe ich etwas auf dem Schlauch und habe einen Knoten im Kopf.

Ich betreibe zwei Netzwerke Segmente. Das eine Netzwerk steht bei meinen Eltern, SSID: Router1, das anderer bei mir, SSID: Router2, beide sind über die Fritz!Boxen 7490 via VPN mit dem MyFritz! Dienst verbunden. Der Ping Befehl funktioniert und auf die Hardware des anderen Netzwerksegments kann uneingeschränkt in beiden Richtungen zugegriffen werden.
Da ich nicht auf jeden Smartphone zwei WLAN Profile einrichten und pflegen möchte, dachte ich mir mein Leben zu vereinfachen indem ich beide SSID auf „Router“ umbenenne und passe die Passphrase ebenfalls gleich an. Jedes Smartphone hält die Netzwerkkonfiguration für sein Heimatnetz. Das heißt, dass die Smartphones von meinen Eltern die Netzwerkkonfiguration von dem aktuellen „Router1“ und mein Smartphone die Konfiguration von „Router2“, mein Router, erhalten.

Das Ziel soll sein, dass wenn ich mich bei meinen Eltern aufhalte mein Smartphone sich mit dem Router2 verbindet über das WLAN von Router1.

Meine Versuche:

1. WLAN funktioniert, Meldung des Smartphones, Verbunden, kein Internet!
2. Anpassung des DNS Servers auf den Lokalen Router von Router1, ohne Erfolg.
3. Testweise das Gateway abgeändert auf das von Router1, kein Erfolg.
4. IP Adressbereich abgeändert. Router1: 10.15.1.0/27 und Router2: 10.15.1.32/27 (zwei Netzwerksegmente im gleichen Adressbereich), leider auch ohne Erfolg.

Mir ist nicht klar, warum trotz verbundenen VPNS der beiden Fritz!Boxen das Smartphone sich nicht in seinen Heimnetzwerk registrieren kann. Dachte, dass der Router1 bei nicht bekannter IP die Anfrage weiterleitet.
Separate VPN Verbindungen möchte ich nicht einrichten, da diese mit Apps auf Android instabil laufen und keine Autoverbindung zulassen. Mit VPN über das Betriebssystem Android habe ich keine Erfahrung, da diese meist eine zu hohe Sicherheitsanforderung zum Entsperren stellen, dass dieses auf wenig Akzeptanz bei meinen Eltern stößt.

Ich hoffe, dass ich mich bei dieser Thematik unterstützen könnt.
Beste Grüße
Oli
netzwerk

Content-Key: 325016

Url: https://administrator.de/contentid/325016

Ausgedruckt am: 19.03.2024 um 10:03 Uhr

Mitglied: aqui
aqui 29.12.2016 aktualisiert um 12:02:57 Uhr
Goto Top
dachte ich mir mein Leben zu vereinfachen indem ich beide SSID auf „Router“ umbenenne und passe die Passphrase ebenfalls gleich an.
Nicht denken sondern nachdenken...!
Der WLAN Client assoziiert nie mit der SSID sondern immer mit der BSSID, was die Mac Adresse des APs ist und die ist immer einzigartig. Es nutzt also nix wenn du nur den Namen gleich wählst, du brauchst beide Profile auf BSSID Basis im Smartphone. Dann connected das Smartphone auch automatisch imemr am Standort in das WLAN.
Hier kann dann auch die SSID unterschiedlich sein...sollte sogar !
Das Ziel soll sein, dass wenn ich mich bei meinen Eltern aufhalte mein Smartphone sich mit dem Router2 verbindet über das WLAN von Router1.
Was meinst du genau damit ??
Das alle Daten von diesem Smartphone via VPN Tunnel zu Router 2 gehen und von dort ins Internet ??
Das geht wenn du das Default Gateway von Router 1 auf den VPN Tunnel umbiegst.
Das betrifft dann aber logischerweise ALLE Endgeräte an Router 1 !!!
Um nur einzig dein Smartphone komplett in den VPN Tunnel zu routen alle anderen Geräte aber nicht benötigts du ein Feature was sich Policy Based Routing nennt (PBR).
So ein billiger Plastik Consumer Router wie die Fritzbox supportet sowas aber nicht. Das geht nur mit "richtiger" Router Hardware.
Normal ist das die FB nur IP Pakete mit dem remoten Zielnetz als Zieladresse in den VPN Tunnel routet und alles andere eben lokal.
Das kann man entsprechend einstellen das auch alles in den VPN Tunnel geht, dann aber für alle Endgeräte:
http://blog.netplanet.org/2012/03/02/fritzbox-als-secure-gateway-ganz-e ...
Wie gesagt nur das Smartphone komplett über den Tunnel zu schicken kann die FB mit ihrer HW nicht leisten...
das Smartphone sich nicht in seinen Heimnetzwerk registrieren kann
Die Frage was für dich das ominöse Wort "registrieren" bedeutet ?? Ist das eine Anwendung ??
Bedenek das dauch das Smartphone nur IP Pakete ins Netz sendet. Diese haben eine Absender IP Adresse (z.B. Netzwerk Router 1) und eine Zieladresse (z.B. Netzwerk Router 2).
Nur einzig und allein danach geht der Router in seiner Wegefindung mehr nicht. Was in diesen Paketen für Dienste übertragen und realisiert werden interessiert einen Router herzlich wenig, der liest nur die IP Adressen der Pakete alles andere interesisert ihn nicht die Bohne...
Mitglied: JohnnyTest
JohnnyTest 29.12.2016 um 13:37:59 Uhr
Goto Top
Vielen Dank für die Antwort.

Um bei meinen Beispiel zu bleiben. Ich benötige zwei Subnetze, damit ich den VPN Tunnel zwischen den Fritz!Boxen aufbauen kann.
Jetzt wollte ich bei meinen Eltern, Router1, mich mit den umgeänderten Routerdaten meine Routers anmelden per WLAN.

Meine Eltern habe das Netz. 10.15.1.0/27 und mein Smartphone hat die IP 10.29.1.3/27. Die Verbindung über WLAN ist instabil und ich bekomme kein Internet, weil -vermute ich- der Router1 die IP Adresse des Smartphones, 10.29.1.3/27, von Router2 nicht an mein Router2, IP 10.29.1.0/27 weiterleitet und selber kann der Router1 mit der IP Adresse nichts anfangen oder geht das? Der eine Router, hier Router1, soll durch die VPN Verbindung wissen, dass wenn Anfragen in das andere Netzt gestellt werden, er diese Anfrage an den Router des zuständigen Segmentes stellen soll und die Geräte dort in das Netzwerk verbindet. Der VPN zwischen den FritzBoxen funktioniert ja. Anders gefragt, ist es zwingend nötig, dass mein Smartphone eine IP-Adresse von meinen Eltern erhält um mit dem Netzwerk zu arbeiten oder kann mein Smartphone sich über meine Eltern Router in meinen Netzwerk und den dazugehörigen Einstellungen verbinden?
Mitglied: aqui
aqui 29.12.2016 aktualisiert um 20:43:24 Uhr
Goto Top
Ich benötige zwei Subnetze, damit ich den VPN Tunnel zwischen den Fritz!Boxen aufbauen kann.
Das ist eine Grundvoraussetzung beim Betrieb von VPNs. Ansonsten wäre ja eine eindeutige Wegefindung im IP unmöglich ! Siehe auch:
VPNs einrichten mit PPTP
Jetzt wollte ich bei meinen Eltern, Router1, mich mit den umgeänderten Routerdaten meine Routers anmelden
WAS bitte meinst du mit "Anmelden" ???
Meinst du damit das WLAN WPA2 Passwort oder was ??
Meine Eltern habe das Netz. 10.15.1.0/27
OK, das bedeutet gültige Endgeräte IP Adressen von 10.15.1.1 bis 10.15.1.30
und mein Smartphone hat die IP 10.29.1.3/27
Mmmhhh... Hat es diese IP im Netzwerk deiner Eltern ??
Das geht so dann natürlich nicht, denn dein Smartphone befindet sich ja dann in einem völlig fremden IP netzwerk. So mit dieser Endgeräte IP kann das Phone niemals im Netzwerk deiner Eltern kommunizieren...klar denn es hat eine völlig falsche IP für das Eltern Netzwerk. Das Phone wäre völlig isoliert darin.
Ist auch sehr komisch, denn normalerweise sollte dein Phone im WLAN deiner Eltern ja dynmaisch vom DHCP Server deren Router 1 eine gültige IP Adresse aus deren lokalen 10.15.1.0 /27 Netz bekommen !!!
Warum ist das nicht der Fall ?? Arbeitest du etwa mit statischen IPs ??
und selber kann der Router1 mit der IP Adresse nichts anfangen
Richtig ! Klar, denn der ist in einem falschen IP Netz wie oben schon gesagt !
oder geht das?
Nein ! Natürlich nicht ! Erste Klasse Grundlagen der IP Adressierung ! face-wink
Der eine Router, hier Router1, soll durch die VPN Verbindung wissen, dass wenn Anfragen in das andere Netzt gestellt werden, er diese Anfrage an den Router des zuständigen Segmentes stellen soll
Das macht er ja auch....
  • Er routet alles was ins Internet gehen soll lokal ins Internet
  • Er routet alles was ins remote 10.29.1.3 /27 Netzwerk soll in den VPN Tunnel zu Router 2
  • Also genau so wie es sein soll. Works as designed...

Beispiel:
Wenn du also mit deinem Smartphone im Netz der Eltern bist, solltest du dort dynamisch vom DHCP Server des dortigen Routers ja eine IP Adresse z.B. 10.15.1.20 bekommen. Soweit so gut....
Wenn du jetzt Oma die Bilder vom Enkel aus der Sandkiste, gesichert auf deinem heimischen NAS mit der dortigen IP 10.29.1.30 zeigen willst, erkennt der Router 1 das er das Zielnetz (IP NAS) über den VPN Tunnel via Router 2 erreicht.
Das IP Paket kommt also dort am NAS an via Router 1 - VPN Tunnel - Router 2, wird mit den Bilddaten dann vom NAS mit der Absender IP 10.29.1.30 via VPN Tunnel an die Ziel IP 10.15.1.20, (sprich dein Smartphone) wieder in Omas Netz gesendet.
Und Tadaaa... schon sieht Oma die Bilder auf deinem Smartphone, oder ihrem Smart TV oder ihrem iPad oder was auch immer.
Das VPN tut also was es soll und wie VPNs schon seit Jahrzehnten arbeiten !!
Der VPN Tunnel über das Internet ist also quasi sowas wie eine feste Standleitung zwischen Omas Netzwerk und deinem zuhause und vice versa. Genau DAS ist ja auch der tiefere Sinn von VPNs.
Wo ist da denn jetzt dein wirkliches Problem ??
ist es zwingend nötig, dass mein Smartphone eine IP-Adresse von meinen Eltern erhält um mit dem Netzwerk zu arbeiten
Ja !
Die Erklärung wie sich ein IP Paket in dem VPN Umfeld bewegt hast du ja nun anhand der "Bildergeschichte" oben gelesen. Da kommt man aber auch mit dem gesunden Menschenverstand selber drauf wenn man sich nur mal in Ruhe überlegt WIE sich IP Pakete im Netzwerk bewegen.
Und warum sollte das auch ein Problem sein...dein Smartphone bekommt ja dynamisch per DHCP am jeweilgen Router immer die richtige IP Adresse, völlig egal ob du bei den Eltern bist oder zuhause.
Du musst also rein gar nix machen außer das Smartphone einschlaten und dich im jeweiligen WLAN anmelden was ja bei entsprechendem Profil auch automatisch geht.
Einfacher gehts ja nun wirklich nicht...