VPN in gleiches Subnetz

[_anonymous0815_]

Also zum Thema IPV6 und Fritzbox. DS lite hieß der Quatsch glaub ich bei der Telekom.

Die Telekom vermarket (noch) kein DS-Lite bei DSL.

Ich hatte das so gemacht, dass ich ein Script bei mir auf nen Client laufen ließ, dass die aktuelle IPv4 Adresse über nen curl abgefragt hat

Dann hattest Du kein DS-Lite, denn ein IPv4-Zugriff vom Internet funktioniert nicht, wenn Deine Fritte hinter einem CG NAT sitzt.

 

[SebbiSt]

Welche VPN-Software nutzt Du denn? FritzVPN? Wireguard? OpenVPN? Letztere wären Ersterem vorzuziehen.

FritzVPN. Ggf. lese ich mich dann mal in OpenVPN ein, um ipv6 VPN hinzubekommen.

 

[Hancock]

stimmt, gerade getestet: in der Virtual Box lande ich dann trotzdem auf meiner eigenen Fritzbox

Wie sieht die route aus? Ohne VPN ist natürlich dann 10.0.0.1/NAT->Physikalisch->fritzbox.
Mit VPN am laufen sollten die route aber dann 192.168.2.1/tun bevorzugen, und das geht dann übers VPN raus. (Das VPN muss in der VM verbunden werden.)

Gerade getestet, das funktioniert auch mit meinem Heimnetz (also ich mach nen VPN zu mir auf und Ping dann die FB über mein VPN Server.

EDIT: OK, ich hab nen tun mit NAT als VPN Server, also ist es 10.8.0.2/tun->VPN(10.0.0.1/VBox NAT, Physical 192.168.2.x->FB->Telekom->FB->VPN Server)->10.8.0.1/NAT->192.168.2.y->FB, Latenz ist (hoffentlich nur im Heimnetz :-D) stolze 2.3 ms :-P.

 

[M-X]

Also zum Thema IPV6 und Fritzbox. DS lite hieß der Quatsch glaub ich bei der Telekom.

Die Telekom ist einer der wenigen Provider die dir noch eine echte IPv4 Adresse geben. Und auch das würde am Problem nichts ändern das es sich hier um einen Adressenkonflikt im internen Netz handel.

 

[_anonymous0815_]

FritzVPN. Ggf. lese ich mich dann mal in OpenVPN ein, um ipv6 VPN hinzubekommen.

OpenVPN ist so eine Sache... ich nutze es weil ich damals von Wireguard nichts wusste, aber Wireguard ist einfacher zu konfigurieren und in der Performance schneller, außerdem wird es in den Fritz!Labor-Versionen nativ unterstützt.

 

[xexex]

FritzVPN. Ggf. lese ich mich dann mal in OpenVPN ein, um ipv6 VPN hinzubekommen.

Was versprichst du dir denn von IPv6? Zwar könntest du damit die unterschiedlichen IPv6 Netze per VPN verbinden, die IPv4 Problematik löst du damit jedoch nicht. Allen Geräten eine erreichbare IPv6 Adresse zu verpassen ist auf jeden Fall mehr Aufwand, als einfach die IPv4 Netzadresse auf einem der Router und den Clients zu ändern.

Worüber reden wir hier, vielleicht von einer Stunde Arbeit, änderst halt an einem Standort überall die Adresse von 178 auf 78 und fertig. Ein Tipp am Rande für die Zukunft, bei jeder Netzeinrichtung einfach die Hausnummer statt 0,1 oder 178 nehmen.

 

[Raijin]

Reden wir hier von privaten Heimnetzwerken? Wenn ja, sehe ich das Problem nicht, das Subnetz zu ändern.

Normalerweise läuft ein Heimnetzwerk zu 100% über den DHCP-Server. Alle Clients bekommen also eine automatische IP-Adresse. Nur bei Servergeräten, sei es ein NAS, ein Drucker oder dergleichen, arbeitet man mit statischen Reservierungen im DHCP oder in Ausnahmefällen mit statischen IPs am Gerät selbst.

Wenn man sich das Leben natürlich selbst schwer macht und DHCP links liegen lässt wie auch DNS/Hostnamen, hat sich selbst ins Knie geschossen. Das Argument "zu viel Arbeit" ist dann selbstverschuldet und man hat eben Pech... Lieber vorher darüber nachdenken als hinterher nach einer Krücke zu suchen.

Die Grundregel schlechthin bei VPN lautet nun mal, eindeutige nicht überschneidende Subnetze zu verwenden.


Es ist wie es ist, Subnetz ändern und gut is.


Kleiner Tipp noch: Sofern auch ein Fernzugriff aus Hotels, Ferienwohnungen, etc gewünscht ist, würde ich BEIDE Subnetze ändern. Sonst machst du nach dem nächsten Urlaub den nächsten Thread auf, weil die doofe FeWo an der Ostsee ja auch 192.168.1.0/24 verwendet......

Du solltest übrigens NICHT einfach auf 192.168.2.0/24 oder so wechseln, weil du sonst womöglich vom Regen in die Traufe kommst. Auch das ist nämlich eines der meistgenutzten privaten Subnetze. Sei kreativ und such dir irgendwas ungewöhnliches im Bereich von RFC 1918 aus:

192.168.0.0 - 192.168.255.255
172.16.0.0 - 172.31.255.255
10.0.0.0 - 10.255.255.255

 

[Raijin]

Noch etwas zum Stichwort "zweite IP" oder "NAT" :

Grundsätzlich sind das schon Ansätze, mit denen man einen Workaround bauen kann. Wie so oft kommt es aber auf die Details an. Beides ist mit Fritzboxxen nicht möglich, da die Fritzbox selbst keine zweite IP haben kann (abgesehen von der Notfall-IP im APIPA-Bereich 169.254.x.y) und die NAT-Fähigkeiten sich auf 08/15 Portweiterleitungen beschränken. 1:1 NAT funktioniert so nicht. Daher gingen die Tips in diese Richtung auch größtenteils mit der Erwähnung einer VM, o.ä. einher.

Gegen die Einarbeitung und die Einrichtung so eines Setups ist der Aufwand, ein paar IP-Adressen umzustellen und ggfs die DHCP-Reservierungen zu überarbeiten, allerdings verschwindend gering - insbesondere wenn man dazu auf fremde Hilfe angewiesen wäre. Oder ist das KnowHow bezüglich Routing, NAT und ggfs Linux vorhanden? Den Wechsel in ein neues Subnetz hat man binnen einer Stunde erledigt, wenn man sich Zeit lässt....

Sofern es hingegen nur um "Support" geht und keine Datenverbindungen zum gegenüberliegenden Netzwerk (zB zu einem dortigen NAS) benötigt werden, ist ein VPN-Tunnel nebst Änderung der IPs, etc. womöglich auch gar nicht nötig. Für simples "Kannst du mal gucken was die Fehlermeldung bedeutet" kann man auch wie bereits vorgeschlagen TeamViewer, AnyDesk oder dergleichen verwenden. Über eine TV-Session zu einem PC/Laptop kann man auch problemlos auf die dortige Fritzbox zugreifen. Ist die Fritzbox selbst das Problem und die Internetverbindung ist tot, geht sowieso nix mehr, egal ob mit VPN, TeamViewer oder dergleichen.

 

[SebbiSt]

Danke euch für den ganzen wertvollen Input :-) Werde mir im Winter mal Zeit nehmen mein Netzwerk neu zu konfigurieren und bis dahin mit der Hotspot-Lösung klar kommen.

 

[isd]

Verbinde dich doch einfach für die Fernwartung mit deinem Gast-Netzwerk auf der Fritzbox. Das hat dann einen anderen IP-Adressraum. Dann kannst du danach die VPN-Verbindung ins andere Netz aufbauen und dich mit dem entfernten IP-Netz verbinden und dort auch zugreifen.

 

[Raijin]

@isd : Schreibst du das jetzt nur auf blauen Dunst oder ist das ein nachgewiesener gangbarer Weg? Kommt man via FritzVPN auf das Gastnetzwerk drauf? Normalerweise blockiert die Fritzbox Traffic zwischen Haupt- und Gastnetzwerk, weil das ja der Sinn der Gastfunktion ist. Würde mich wundern, wenn man das via FritzVPN aushebeln kann. Ich lasse mich aber gerne eines besseren belehren, weil ich keinerlei Berührungspunkte mit AVM-Hardware hatte und habe.

 

[Pete11]

Ich denke, @isd meint das anders als es sich im ersten Augenblick liest. Das Gastnetz der Fritzbox ist ziemlich abgeschottet. Aber ich kann mich aus dem Gastnetz heraus natürlich mit dem Internet verbinden. Wenn ich damit eine VPN-Verbindung zum "normalen" Netz der Fritzbox aufbauen kann, habe ich wieder Zugriff auf alles, was da freigegeben ist.
Der Beitrag von @isd hat mich auf eine gute Idee gebracht. Damit kann man VPN-Verbindungen ins Heimnetz testen, ohne einen 2. Internetzugang aufbauen zu müssen. Bisher habe ich das mit Handy-Tethering gemacht.

 

[Raijin]

Hm, das kann natürlich sein. Es ist aber fraglich ob das über die Standortverbindung zweier Fritzboxxen funktioniert. Ich würde darauf tippen, dass man dazu eher den VPN-Client auf dem PC im Gastnetzwerk nutzen muss, um die VPN-Verbindung zur anderen Fritzbox herzustellen. Einen Versuch ist es aber wert.

 

[isd]

Aus dem Gastnetzwerk heraus über die VPN-Verbindung (Fritz-Fernzugang) auf der anderen Fritzbox einwählen.
Ist getestet und funktioniert.
Mit Handy-Tethering geht es natürlich auch, dann kostet es aber Datenvolumen und setzt Empfang voraus.

 

[SaxnPaule]

Ein Tipp am Rande für die Zukunft, bei jeder Netzeinrichtung einfach die Hausnummer statt 0,1 oder 178 nehmen.

Dachte mir eben, gute Idee und leicht zu merken.
Dann hab ich fast meinen Kaffe ausgespuckt, weil ich merkte, dass es in meinem Fall nix bringen würde 🤣

Ich hab die 1, mein Bruder ebenfalls und Eltern + Schwiegereltern jeweils >254

Normalerweise läuft ein Heimnetzwerk zu 100% über den DHCP-Server. Alle Clients bekommen also eine automatische IP-Adresse. Nur bei Servergeräten, sei es ein NAS, ein Drucker oder dergleichen, arbeitet man mit statischen Reservierungen im DHCP oder in Ausnahmefällen mit statischen IPs am Gerät selbst.

Ich bin einer von den "Selbst ins Knie geschossen Kandidaten". Alle Geräte (34 Stück) die dauerhaft in meinem Netzwerk sind, werden statisch am Endgerät selbst konfiguriert. Ansonsten müsste ich ja bei jedem Routerwechsel (im Schnitt alle 2 Jahre) den Krempel neu konfigurieren.

 

[xexex]

Ich hab die 1, mein Bruder ebenfalls und Eltern + Schwiegereltern jeweils >254

Ich habe mir vor Jahren angewöhnt, wenn die Nummer >254, dann einfach nur die letzten beiden Ziffern nehmen. Ausgezahlt hat sich das einige Jahre später, als immer mehr Kunden angefangen haben VPN zu nutzen oder Dienste in die (Private) Cloud auslagerten. Man hat so viele Überschneidungen vermieden, die teilweise einen aufwändigen Umbau der Netze erfordert hätten.

Natürlich kann man so nicht alle Konflikte vermeiden, aber Firmen die ihrem Kunden einfach immer 0,1 oder sowas in der Richtung verpasst haben, mussten weit häufiger die Netze anpassen.

 

[Raijin]

Ich wähle meine Subnetze anhand von Geburtstagen aus. 10.20.4.0/24 steht zB für den 20.4. - obvious
Man kann das natürlich auch umdrehen und 10.4.20.0/24 draus machen, wie man mag. Zwar bewegt man sich dann nur im Bereich von 1-12 bzw. 1-31, aber solange man nicht am 1. Januar geboren ist, spielt das keine Rolle, weil das Subnetz ausreichend ungewöhnlich ist.

Vorteil des Ganzen: Man vergisst wichtige Geburtstage nicht mehr, weil man sie in den IP-Adressen stehen hat

Ich bin einer von den "Selbst ins Knie geschossen Kandidaten". Alle Geräte (34 Stück) die dauerhaft in meinem Netzwerk sind, werden statisch am Endgerät selbst konfiguriert. Ansonsten müsste ich ja bei jedem Routerwechsel (im Schnitt alle 2 Jahre) den Krempel neu konfigurieren.

Sinnvoller wäre es da mutmaßlich, den DHCP-Server vom Router auf ein anderes Gerät zu migrieren. Wenn du zB pihole in dein Netzwerk einbaust, kannst du den dortigen DHCP-Server nutzen. Ein Routerwechsel läuft dann lediglich darauf hinaus, dass man die IP des Routers ändert - musst du bei deinem Konzept ja auch - und den DHCP-Server abschaltet. Mein letzter Routertausch hat mich 3 Minuten gekostet, weil die Kiste 2:30 zum Hochfahren gebraucht hat. Mein DHCP läuft allerdings auf nem EdgeRouter, aber das ist einerlei.

 

[SebbiSt]

Geniale Idee mit dem Gastzugang! Kann bestätigen, dass das einwandfrei funktioniert und werde es in Zukunft so nutzen :-)