Fritz-zu-Fritz VPN Einstellungen für komplettes IP Tunneling?

[mc-mike]

Hallo zusammen,
hätte mal ne knifflige Sache, wo ich schon stundenlang rum probiere aber nicht weiter komme.

Folgender Plan:
Es gibt eine Fritzbox am Standort 1 mit IP 1. Diese IP 1 würde ich gerne mittels VPN Tunnel für alle Verbindungen ins Internet einer zweiten Fritzbox an Standort 2 nutzen. Am Standort 2 gehe ich aber nicht direkt ins Netz sondern über das WLAN einer fremden Fritzbox (nennen wir sie Nr 3), auf die ich keinen Configzugriff habe.

Der Aufbau ist folgendermaßen:
Fritzbox am Standort 2 (IP Bereich 192.168.188.0) hängt per LAN an einem leistungsstarken Repeater, der per WLAN an der fremden Fritzbox 3 (192.168.178.0) hängt und deren DSL Verbindung nutzt. Den IP Bereich der FB 1 habe ich mit 192.168.168.0 konfiguriert.

Erster Erfolg ist, dass der VPN Tunnel zu funktionieren scheint, da er als aktiv angezeigt wird und ich auch mittels 192.168.168.1 auf die Config der FB 1 zugreifen kann.
Wenn ich mich nun aber mit dem Notebook mit FB 2 verbinde und im Web einen IP-Check mache dann zeigt es mir weiterhin die IP der Internetverbindung der fremden Fritzbox 3 an. Es scheinen also zumindest HTTP Daten nicht über FB 1 zu laufen.

Wie kann das sein und wie kann ich das hin bekommen?

Danke und Grüße!

 

[bu1137]

Du müsstest 192.168.168.1 als Default Gateway und ev. DNS Server setzen...

 

[Voltago]

Das wird so nicht funktionieren @bu... Das Gateway muss im lokalen Subnetz des Clients sein, da der Client das Gateway benötigt, um nicht lokale Netze - sei das Internet oder per VPN verbundene Remote-Netze - zu erreichen.

Der DNS hat damit auch nichts zu tun.

Du müsstest der Fritzbox 2 beibringen, alle Pakete aus dem lokalen Netz über Fritzbox 1 zu routen.
Stichwort Policy-based Routing

Das wird - fürchte ich - die Möglichkeiten der Fritzbox überschreiten.

 

[nebulus]

Lass den ganzen Fritzbox Krempel sein und installiere openVPN auf beiden Seiten. An Fritzbox 1 kommt ein Raspberry-Pi mit openVPN Server. An deinen PC, egal wo auf der Welt und egal an was für einen Anschluß, kommt die openVPN Client Software drauf. Mit einem Mauskick verbindest Du dann das lokale Netz von FB1 mit deinem externen PC. Das ist dann so, als wäre dein externen PC im lokalen LAN, direkt an FB1 angeschlossen. Diesen gibt man dann auch als deault Route an.

 

[mc-mike]

Naja ich wills ja gerade ohne Software VPN Client lösen. Außerdem wollte ich noch ein DECT IP Phone anschließen, was ich an der FritzBox auch direkt könnte.
Bräuchte ich ja anderweitig 2 OpenVPN Server + einen zusätzlichen Access Point + Voip Basistation

Habs auch mit den Fritz Fernzugang Software VPN Client getestet und der routet komischerweise alles über die FritzBox 1. Da sehe ich dann auch deren IP. Muss also irgendwie an der Config der Fritzbox 2 liegen.

Hier noch die Configdatei, falls sich jemand damit auskennt

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "X.myfritz.net";
                always_renew = yes;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "X.myfritz.net";
                localid {
                        fqdn = "X.myfritz.net";
                }
                remoteid {
                        fqdn = "X.myfritz.net";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "X";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.188.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.168.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.168.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

 

[engine]

Du gehts über FB3 ins Internet, auf den du keinen config-Zugang hast. Was soll denn bei einem Web-IP-check anderes heraus kommen als die öffentliche IP von FB3?

Mach mal bitte eine Skizze mit allen Daten, IP, VPN-Verbindung usw. ...

 

[Golgorod]

Spiele mal ein wenig an den accesslist Einstellungen der FB2. So mal aus dem Kopf und ohne zu testen:
accesslist = "reject udp any any eq 53",
"reject udp any any eq 500",
"reject udp any any eq 4500",
"permit ip any any";

Sollte funktionieren. Test mal bitte..

Aber AVM bietet auch eine andere Lösung an:
https://avm.de/service/fritzbox/fri...xen-fuer-einzelne-LAN-Anschluesse-einrichten/

 

[mc-mike]

Vielen Dank Golgorod! Funktioniert einwandfrei.

Was machen die Codezeilen genau? Port 53,500 und 4500 sperren und den Rest umrouten?

Ein letztes Problem, das ich noch lösen muss: Den LAN Ports den VPN Zugriff verwehren, dass, wenn die Box 2 unbeaufsichtigt rum steht (was sie wird) keiner über ein simples Lankabel auf Box 1 zugreifen kann.
Geht das irgendwie einigermaßen sicher (nicht so halbsicher wie mit MAC filtern) ?
Schwierigkeit ist dass ich ja LAN Port 1 noch brauche um die Box mit dem Repeater zu verbinden.