VPN über Fritzbox WLAN in anderes Fritzbox Netz

[chillax]

Hi zusammen,

hab irgendwie ein Problem beim Aufbau einer VPN Verbindung mit dem iPhone.

Setup:
Beide Fritzboxen haben die neueste FW.
Ort A: Fritzbox mit eingerichtetem VPN Benutzer und NAS
Ort B: Fritzbox WLAN

VPN Verbindung wurde auf dem iPhone eingerichtet und funktioniert, solange das iPhone über mobile Daten verbunden ist.
Wenn das iPhone am Ort B über das WLAN einer Fritzbox verbunden ist, funktioniert das VPN zur anderen Fritzbox nicht.

Das kann doch nur ein kleines Einstellungsproblem sein - oder muss ich in der Fritzbox an der das NAS hängt einen Verbindung zwischen Fritzbox und anderen Netzwerken einrichten?

VPN funktioniert auch zum Teil aus anderen öffentlichen WLANs nur eben von der Fritzbox am Ort B nicht.
Muss doch dann iwas in der Einstellung an der Fritzbox am Ort B sein?

Freue mich über jede Hilfe/Tipp.

Danke

 

[thealex]

Eine der FritzBoxen muss weg von der Standard-IP-Range. Ansonsten klappt das nicht. Also was anderes als 192.168.178.X setzen

 

[Raijin]

Ich lehne mich mal aus dem Fenster und tippe darauf, dass beide Fritzboxxen mit dem Standard-AVM-Subnetz 192.168.178.0/24 laufen. Wenn das der Fall ist, wirst du keine funktionierende VPN-Verbindung herstellen können, weil die Geräte die Ziel-IP stets im lokalen Netzwerk suchen werden und niemals über das VPN gehen.

Verbindet man zwei Netzwerke mit einem VPN, müssen die jeweiligen Subnetze unterschiedlich sein und dürfen sich nicht überschneiden. Eine der Fritzboxxen muss also ein anderes Subnetz als 192.168.178.0/24 verwenden und ich würde dazu raten, dass es die Fritzbox ist, die von unterwegs erreicht werden soll.

 

[chrigu]

Entweder haben beide Boxen dieselbe subnetz Adresse oder einer hat ds-lite und nutzt ipsec (IPv4) statt wireguard(ipv6) ohne myfritz

 

[Raijin]

Sollte sich der Verdacht bestätigen, dass die Subnetze identisch sind, möchte ich dir ans Herz legen bei der Änderung eines der beiden kreativ zu sein.

192.168.0.0 - 192.168.255.255
172.16.0.0 - 172.31.255.255
10.0.0.0 - 10.255.255.255

Das sind die laut RFC1918 offiziell für private Netzwerke festgelegten Bereiche. Hier kann man sich nach Belieben austoben, sollte aber explizit die Startbereiche und bekannte Standard-Subnetze wie eben das von AVM meiden. Sei kreativ und such dir ein möglichst ungewöhnliches, aber dennoch leicht zu merkendes Subnetz raus. Ich verwende dazu Geburtstage und so wird aus dem 23.04. eben 172.23.4.0/24 als Subnetz. Die Wahrscheinlichkeit, dass du bei einem Kumpel, am Flughafen, einem Hotel, einer Ferienwohnung oder einem Hotspot irgendwo auf der Welt eben genau dieses Subnetz vorfindest, ist verschwindend gering. Standard-Fritzbox-Subnetze gibt es aber in Deutschland zu Hauf und zB 192.168.1.0/24 wirst du auch im tiefsten Dschungel noch finden, weil das bei gefühlt der Hälfte aller Router als Standardeinstellung ab Werk konfiguriert ist und von nahezu niemandem geändert wird.

 

[chillax]

@thealex @Raijin Erstmal vielen Dank euch beiden. Da habt ihr recht, beide haben Fritzboxen haben die gleiche IP-Adresse.

Ich würde gerne an der Fritzbox an der das NAS hängt, keine Änderungen machen.

Reicht es wenn ich bei der anderen Fritzbox die IP4 Adresse ändere? auf 192.168.178.150?
Oder auch noch was an der Subnetz-Maske ändern?

Kenn mich hier nicht so gut aus.. sorry.

 

[Arcaras]

Nein, reicht nicht, ist ja weiterhin das gleiche Netz. Lies dir den Text von Raijin doch noch einmal in Ruhe durch.

 

[PC69]

"Standard-Fritzbox-Subnetze gibt es aber in Deutschland zu Hauf und zB 192.168.1.0/24 wirst du auch im tiefsten Dschungel noch finden, weil das bei gefühlt der Hälfte aller Router als Standardeinstellung ab Werk konfiguriert ist und von nahezu niemandem geändert wird." - Ja, das sind die Speedport Router der Telekom.

 

[blackshuck]

Änder das eine Netz in zB 192.168.100.x mit 255.255.255.0 Submetzmaske

 

[meph!sto]

@thealex @Raijin Erstmal vielen Dank euch beiden. Da habt ihr recht, beide haben Fritzboxen haben die gleiche IP-Adresse.

Ich würde gerne an der Fritzbox an der das NAS hängt, keine Änderungen machen.

Reicht es wenn ich bei der anderen Fritzbox die IP4 Adresse ändere? auf 192.168.178.150?
Oder auch noch was an der Subnetz-Maske ändern?

...


Kenn mich hier nicht so gut aus.. sorry.

Deine 192.168.178.150 ist eine IP Adresse im Subnetz 192.168.178.0 und damit im gleichen Subnetz wie die andere Fritzbox ;-)

Die Transferleistung, was du du nun ändern musst, bekommst du selbst hin.

 

[chrigu]

Box a= 192.168.178.x
Box b = 192.168.2.x

 

[Raijin]

ch würde gerne an der Fritzbox an der das NAS hängt, keine Änderungen machen.

Reicht es wenn ich bei der anderen Fritzbox die IP4 Adresse ändere? auf 192.168.178.150?
Oder auch noch was an der Subnetz-Maske ändern?

Nein, es geht um das Subnetz und nicht nur um die IP-Adresse.

192.168.178.1 = IP der Fritzbox, aber 192.168.178.0 = Subnetz

Sieh es wie Straße und Hausnummer. Wenn sich zwei "Friesenstraße" kreuzen, bringt es dir nichts, wenn du einfach die Hausnummer änderst, weil du immer noch nicht weißt in welcher Friesenstraße das Haus denn liegt. Deswegen haben Straßen unterschiedliche Namen und so sollte es auch bei Subnetzen sein.

Idealerweise ändert man das Subnetz derjenigen Fritzbox, die man von irgendwo erreichen möchte. Warum? Weil man woanders nicht weiß ob man nicht doch wieder in einer "Friesenstraße" landet. Hockst du beispielsweise an der Ostsee in einer Ferienwohnung mit Fritzbox an der Wand, stehen die Chancen gut, dass dort das 08/15 AVM-Subnetz 192.168.178.0 und das kannst du in keinem Fall ändern. Bei deiner heimischen Fritzbox hast du aber freie Hand.

Ja, das sind die Speedport Router der Telekom.

Ne, Speedports haben 192.168.2.0/24 nicht 192.168.1.0/24, aber ja, das Speedport-Subnetz ist natürlich auch unpraktisch. Daher der Hinweis, dass man grundsätzlich die unteren Bereiche meiden sollte, weil ich jetzt nicht alle einschlägig bekannten Subnetze auflisten wollte... GLInet hat zB 192.168.8.0/24 und so weiter...

 

[Incanus]

Änder das eine Netz in zB 192.168.100.x mit 255.255.255.0 Submetzmaske

192.168.100.x von DOCSIS Providern als Remotezugang reserviert.

 

[Raijin]

Wie gesagt, möglichst kreativ sein. IP-Adressen sind technische Adressen und haben mit Kosmetik nichts zu tun. Sie müssen also nicht "schön aussehen". Natürlich lässt sich 100 besser merken als 87 oder so, aber daher ja der Hinweis auf Schemata wie zB Geburtstage, Hausnummern oder was weiß ich, womöglich sogar die Postleitzahl, wenn man nu nicht gerade in 99999 wohnt
Das oben beliebig aufgegriffene Beispiel 172.23.4.0/24 ist nahezu garantiert frei von potentiellen Subnetzkonflikten wie auch 10.87.94.0/24 oder 192.168.136.0/24 oder oder oder.. Kreativität wird langfristig belohnt. Ein Restrisiko besteht natürlich immer, aber je ungewöhnlicher das Subnetz umso kleiner das Risiko.

 

[thealex]

Ich würde gerne an der Fritzbox an der das NAS hängt, keine Änderungen machen.

Sind das beides deine Boxen? Ansonsten würde ich immer meine (Haupt-)Box zu Hause ändern. Denn du wirst das Problem sonst immer wieder haben, wenn du aus WLAN Netzen einer Default-FritzBox den VPN-Tunnel aufbauen willst. Die sind halt in Deutschland relativ weit verbreitet und die Masse ändert sicherlich nicht ihr Subnetz in den Einstellungen.

 

[chillax]

Nochmal vielen Dank an alle für die schnelle Hilfe!
War echt überrascht wie viele und vor allem auh wie schnell einem hier geholfen wird.

Funktioniert jetzt mit dem Standard Beispiel, jetzt kann ich mir ein kreatives überlegen

Ergänzung (11. Oktober 2023)

Sind das beides deine Boxen? Ansonsten würde ich immer meine (Haupt-)Box zu Hause ändern. Denn du wirst das Problem sonst immer wieder haben, wenn du aus WLAN Netzen einer Default-FritzBox den VPN-Tunnel aufbauen willst. Die sind halt in Deutschland relativ weit verbreitet und die Masse ändert sicherlich nicht ihr Subnetz in den Einstellungen.

Sind beides meine, danke. Das habe ich jetzt verstanden

 

[PC69]

Nein, es geht um das Subnetz und nicht nur um die IP-Adresse.

192.168.178.1 = IP der Fritzbox, aber 192.168.178.0 = Subnetz

Sieh es wie Straße und Hausnummer. Wenn sich zwei "Friesenstraße" kreuzen, bringt es dir nichts, wenn du einfach die Hausnummer änderst, weil du immer noch nicht weißt in welcher Friesenstraße das Haus denn liegt. Deswegen haben Straßen unterschiedliche Namen und so sollte es auch bei Subnetzen sein.

Idealerweise ändert man das Subnetz derjenigen Fritzbox, die man von irgendwo erreichen möchte. Warum? Weil man woanders nicht weiß ob man nicht doch wieder in einer "Friesenstraße" landet. Hockst du beispielsweise an der Ostsee in einer Ferienwohnung mit Fritzbox an der Wand, stehen die Chancen gut, dass dort das 08/15 AVM-Subnetz 192.168.178.0 und das kannst du in keinem Fall ändern. Bei deiner heimischen Fritzbox hast du aber freie Hand.



Ne, Speedports haben 192.168.2.0/24 nicht 192.168.1.0/24, aber ja, das Speedport-Subnetz ist natürlich auch unpraktisch. Daher der Hinweis, dass man grundsätzlich die unteren Bereiche meiden sollte, weil ich jetzt nicht alle einschlägig bekannten Subnetze auflisten wollte... GLInet hat zB 192.168.8.0/24 und so weiter...

Echt, die "2" im dritten Oktett? Danke für den Hinweis, ich hätte für die "1" fast meine Hand ins Feuer gelegt 👍