Heimnetzwerke per VPN zusammenschließen

[Crumar]

Hallo zusammen,

ich überlege, das Haus meines Vaters und meine Wohnung per VPN "zusammenzuschließen".

Bei meinem Vater ist eine Kabel Fritzbox (6360), bei mir eine 7490 und ein Archer C2.

Zusätzlich habe ich noch einen vServer Debian mit vollen root Rechten.

Ich würde auch gerne mich von außerhalb mit dem Handy ins VPN verbinden.

Für das Haus meines Vaters habe ich bereits dynDNS eingerichtet (auf meinem eigenen vServer), sodass ich da per SSH auf den raspberry komme, aber ich würde das gerne einfacher haben.

Ist das mit der genannten Hardware möglich? Man kann das ja über den AVM Fritz! Service machen, aber den würde ich gerne umgehen.

 

[Golgorod]

Die Fritzboxen haben einen IPSec Server integriert, das zusammenschalten von Remote Netzen ist damit kein Problem. Das geht sogar mittlerweile über den Assistenten und MyFritz! hat mit dem VPN wenig zu tun.

 

[chrigu]

sofern die kabel-fritze über richtiges ipv4 verfügt, gibt es für genau diesen fall eine genaue anleitung bei avm.de

sofern die kabelfritz nur über ds-lite statt dualstack verfügt, geht es nicht, da scheinbar ipv6 und vpn mit der fritzbox nicht funktioniert.

 

[Crumar]

Sie war kurzzeitig auf DS-Lite, das wurde aber glaub ich wieder zurückgebaut. Mein vServer hat sowohl IPv4 und v6 statisch und ich habe einen full DS Anschluss, dynamisch.

D.h. ich konfigurier openVPN auf meinem vServer, verbinde die beiden Fritzen mit diesem und kann dann z.b. mit dem Handy mich beim vServer einwählen und habe Zugriff auf alle Geräte im Netzwerk. Wie ist das mit den dynamischen IP Addressen, wenn ich davon ausgehe, das alle Anschlüsse regulär IPv4 haben? Benötige ich dann meine dynDNS lösung noch?

 

[chrigu]

vpn von router zu router sollte dyndns im router eingetragen werden. so brauchst du mit dem händy nur die ddns adresse zu wissen und diese im händy-vpn eintragen, der rest geht dann automatisch über den jeweiligen ddns dienst oder gratis mit myfritz!...

 

[d2boxSteve]

Vorsicht: OpenVPN ist SSL-VPN und die Fritzen machen doch nur IPSEC-VPN?
Auf dem vServer bräuchtest du dann sowas wie StrongSwan: https://www.strongswan.org/

Und dann evtl nach der Anleitung: https://seffner-schlesier.de/news/ipsec-zwischen-avm-fritzbox-und-strongswan/

 

[Crumar]

Alles klar, danke d2boxSteve. Eine Sache noch, gibt es eine Möglichkeit, dass so einzurichten, dass nicht jeglicher Internet Traffic dann über den vServer läuft?

 

[d2boxSteve]

Das ist doch nur eine Sache von Routen und dem Default-Gatway.

 

[Crumar]

Ah das ist gut, weil über den einen Home Anschluss Streaming Dienste genutzt werden und über den anderen Streaming + Online Gaming.

Dann werde ich mir das mal am Wochenende ansehen .

 

[Raijin]

Jo, Fritzboxxen können kein OpenVPN. Dafür müsstest du dann noch im Netzwerk selbst jeweils einen PI, o.ä. als Gateway einrichten, der dann OpenVPN zum vServer aufbaut.

Fritzboxxen können aber auch direkte VPNs untereinander aufbauen. Es kommt dabei aber wie oben erwähnt darauf an ob es sich um DS-Lite Anschlüsse handelt oder nicht. Wenn aber beide eine eigene IPv4 haben - und davon gehe ich aus, da du meintest du kommst per SSH bei deinem Vater rein - dann sollte das klappen, ohne vServer.

Falls es doch über den vServer laufen soll, wie oben erwähnt entweder per IPsec-Server und Fritzboxxen als Client oder eben mit OpenVPN und PIs.

Das Routing ist ein anderer Schnack. Ich hab selbst keine Fritzbox, aber soweit ich weiß kann man da auch statische Routen eintragen. Nu könnte man dort zB eine Route ins jeweils andere Subnetz über das VPN-Gateway leiten und gut is.


Vorsicht! Für eine saubere VPN-Verbindung müssen die jeweiligen Subnetze unterschiedlich sein! Wenn beide zB das Standard-Subnetz 192.168.178.0 von der Fritzbox haben, funktioniert das Routing nicht. Wenn man dann zB auf das gegenüberliegende NAS zugreifen will, dann wird das gar nicht erst über das VPN geschickt, sondern lokal gesucht --> nicht vorhanden.

Es empfiehlt sich also, die Subnetze umzustellen. Im Idealfall wählt man ungewöhnliche IP-Bereiche. Wenn du nämlich vom Handy aus oder zB mal vom Hotel aus verbinden willst, geht das Spielchen von vorne los. Ist dort ebenfalls eine Fritzbox mit Standard-Subnetz, kommst du wieder nicht daheim ins LAN.

192.168.0.0 - 192.168.255.255
172.16.0.0 - 172.31.255.255
10.0.0.0 - 10.255.255.255

Das sind die Bereiche, die für private Netzwerke reserviert sind. Da kann man sich austoben. Die unteren 192.168.x.0 Netze sind häufig verwendet (Speedports, Netgear, etc), die 192.168.178.0 und das .179er sind Fritzbox (letzteres für Gast-(W)LAN). Gut wäre also zB 172.23.48.0 und 172.23.49.0 (jew. Subnetzmaske 255.255.255.0). Um mir das besser merken zu können, habe ich mich zB an Geburtstagen orientiert