Switch über VPN nicht erreichbar

[arcade99]

Hallo zusammen,

vielleicht hat einer von Euch eine Idee, warum ich hier immer scheitere...

Ich habe eine Fritz!Box 4060 (192.168.1.1) hinter einem DG FTTH Anschluss. In meinem Heimnetzwerk setze ich mehrere Netgear Switches ein. Ein GS108Ev3 und 3 GS105Ev2. Alle Switches haben eine feste IP (162.168.1.10 - 192.168.1.13) und alle sind im Heimnetzwerk erreichbar. Verbinde ich mich über Wireguard mit meiner Fritz!Box, dann komme ich auf die 3 GS105Ev2 drauf. Die GS108Ev3 ist hingegen nicht erreichbar. 3 Switsches (auch der Problematische) sind direkt mit der 4060 verbunden. Einer hängt hinter dem GS108Ev3. Aber nur der GS108Ev3 lässt keinen Zugriff über VPN zu.

Die Firmware ist in allen Fällen aktuell. VLAN ist nicht konfiguriert.

Ich habe keine Idee, woran das liegen könnte. Ihr?

DANKE :-)

 

[Zero_Official]

wenn die switche so konfiguriert sind das die tauschbar sind, klemm doch den widerspenstigen direkt an die Fritze und teste...

 

[arcade99]

Der problematische GS108Ev3 ist schon direkt verbunden (1. Screenshot). Auf einen dahinter hängenden GS105Ev2 (2. Screenshot) komme ich auch über VPN drauf.

 

[E.o.B]

Hallo,
hast du mal geschaut, ob bei dem v3 vielleicht irgend eine Regel hinterlegt ist, die den Zugriff irgendwie limitiert?
Das ist bisher die izige Idee, die mir dazu einfällt.

 

[arcade99]

Ich habe alles in der GUI durchgesehen und nichts gefunden. Insbesondere habe ich alle Einstellungen zwischen dem problematischen Switch und den anderen verglichen. Alle Einstellungen sind gleich. Wirklich viel gibt es da aber auch nicht. VLAN und QoS.

am Ende geht die Welt ja nicht unter, wenn ich da über VPN nicht drauf komme, aber irgendwie stört es mich eben trotzdem immer wieder. Einfach weil es nicht klappt. 😊

 

[dms]

@arcade99 - kann mann die konfig in einem lesbaren Format (TXT/XML/JSON) exportieren und Diffen - nicht das die GUI etwas ungewollt maskiert

 

[riversource]

Auch die VPN Konfiguration kann für die Probleme verantwortlich sein, z.B. über die Allowed IPs oder Adresskonflikte.

 

[arcade99]

Da fragst du mich was. Ich bin (leider) reiner Anwender und habe keine tieferen Kenntnisse und freue ich schon, dass sonst alles läuft, was ich hier so mit gefährlichem Halbwissen mache. 🙈

Ergänzung (8. Oktober 2023)

Auch die VPN Konfiguration kann für die Probleme verantwortlich sein, z.B. über die Allowed IPs oder Adresskonflikte.

So sieht die Wireguard Config aus.

Ergänzung (8. Oktober 2023)

Wenn ich mich richtig erinnere, dann hat der Zugriff über VPN in der Vergangenheit auch funktioniert. Was habe ich seitdem geändert: ich bin von IPSec auf Wireguard gewechselt, nachdem das zusätzlich in der FRITZ!Box verfügbar wurde.

 

[Zero_Official]

ist die Firmware überall gleich?

 

[chrigu]

Wurde ipsec richtig abgestellt?

 

[arcade99]

ist die Firmware überall gleich?

Alle 4 haben die aktuelle Firmware. Allerdings haben beide Gerätetypen unterschiedliche FW Versionen. Siehe Screenshot im Eingangsposting.

Ergänzung (8. Oktober 2023)

Wurde ipsec richtig abgestellt?

Die IPSec Verbindung wurde in der Fritz!Box und auch auf den Clients gelöscht.

Euch allen schon mal herzlichen Dank für Euer Mitdenken und damit damit verbundene Hilfe. Ich weiß das sehr zu schätzen!

 

[dms]

A) ACLs oder ähnliches hast du nicht - anbei mal ein Muster

B) im Überwachungsreiter ist der Connectversuch jeweils zu sehen?

 

[arcade99]

Das gibt es bei meinen Netgear Switches alles nicht. Ich habe mal von allen Bereichen der Weboberfläche Screenshots gemacht.

 

[dms]

Danke, hatte bei Überwachung etwas mehr erwartet

 

[riversource]

AVM baut beim Wireguard VPN ja eine ziemliche Sonderlocke, indem sie kein dediziertes Transportnetz nutzen, sondern dem Client eine IP aus dem lokalen Netz geben und dann Proxy-ARP machen. Vielleicht geht dabei was schief.

Hat der Switch sowas wie eine Port-Mirror Funktion? Du könntest über einen Paketmitschnitt der Fritzbox und einen zeitgleichen Mitschnitt am Switch den Verbindungsversuch des VPN Clients präzise tracen. Kommt das Paket an der Fritzbox an und was macht sie damit? Kommt es beim Switch an? Wird es beantwortet, und wenn ja, wie? Siehst du die ARP Pakete im LAN und auf dem VPN? Vergleiche es auch mit erfolgreichen Verbindungen.

 

[arcade99]

Das übersteigt leider mein Wissen/Verständnis von Netzwerktechnik

Ich werde heute Nachmittag mal probieren, erneut eine IPSec Verbindung einzurichten und schauen, ob ich darüber draufkomme. Wenn dem so ist, dann liegt es ja offenbar an Wireguard. Merkwürdig wäre aber für mich dann dennoch, warum die drei anderen Netgear Switches keine Probleme machen. Die unterscheiden sich aus meiner Sicht im Wesentlichen nur dadurch, dass die 3 anderen 5 Port Versionen sind und der Problematische die 8 Port Version ist. Ansonsten ist das technisch glaube ich aus der gleichen Serie. GS105E vs. GS108E.

Ergänzung (8. Oktober 2023)

Jetzt bin ich zu blöd, eine IPSec Verbindung einzurichten. Ganz merkwürdiges Verhalten. Richte ich IPSec auf der Fritz!Box ein, dann verliert diese jedes Mal beim Speichern die Internetverbindung. Die steht dann zwar Sekunden später wieder und auch die myfritz Verbindung baut sich wieder auf. Auf meinem iPad bekomme ich beim Verbindungsversuch allerdings immer den Hinweis, dass der VPN Server nicht gefunden wird. Sehr merkwürdig, weil ich diese Verbindung vor der Einführung von Wireguard mit FritzOS 7.5 schon unzählige Male eingerichtet hatte und es hat immer geklappt. Einen neuen Fritz Benutzer habe ich auch eingerichtet gehabt. In der Zwischenzeit ist bei uns aber auch die Umstellung von Telekom SV-VDSL auf DG FTTH gekommen. Obwohl myfritz eigentlich ja auch über IPv6 funktioniert und das klappt über Wireguard ja auch völlig problemlos.

 

[norKoeri]

Das übersteigt leider mein Wissen/Verständnis von Netzwerktechnik

Netgear → System → Überwachung → Portspiegelung. Du hängst dann einen Computer an jenen Port, hast Wireshark laufen und schneidest den Ethernet-Port mit. Wenn die Anfragen aufschlagen, dann … schauen wir uns gemeinsam an.