Zugriff auf Oberfäche von Gl.inet VPN Router

[ubiNeuling]

Hallo an alle

Ich sage es gleich vorweg, ich bin absoluter Neuling in der Netzwerkgeschichte, ich habe zwar meine Überwachungskameras selbst installiert und ins Netzwerk gehängt, dass war es aber auch schon.....

Ich habe eine Fritzbox 7590 (aktuelle Firmware 7.2), an diese habe ich einen Gl.inet Creta an den LAN Port gehängt.

Darauf habe ich den Wiregguard Server aktiviert eine feste IP in der Fritzbox vergeben und auf der Fritzbox eine Portweiterleitung für den "kleinen" erstellt.

Außerdem habe ich einen zweiten Gl.inet Router (Slate) den ich mitnehme in den Urlaub (Client), um über diesen einen VPN Tunnel zur Fritzbox herzustellen.

Wir machen Campingurlaub und da haben wir immer wieder Plätze mit Hotspots, zum einen ist es Sicherer mit VPN und zum anderen muss ich nicht immer alle Geräte einzeln verbinden, sondern nur einmal den Router und kann dann, mit allen anderen Geräten über das Wlan des "kleinen" surfen!

Außerdem habe ich dann auch den netten Nebeneffekt, dass ich dem Geoblocking im Ausland aus dem Weg gehe!

Ich habe beide kleinen Router eingerichtet und der VPN Tunnel (Wireguard) läuft auch und nun zu meinem Problem!

Ich möchte natürlich auch, vom Urlaub aus, auf mein Heimnetz zugreifen, dass funktioniert auch, ich kann auf alle Geräte zugreifen aber NICHT auf den Creta der an der Fritzbox hängt!

Ich kann auch zuhause im Wlan Netz der Fritzbox nicht auf die Oberfläche zugreifen und ich verstehe nicht warum?
Ich muss immer ein LAN Kabel an den Creta anschließen, damit ich Zugriff zur Oberfläche über 192.168.8.1 habe!

Was zum Teufel mache ich hier falsch?

Ich hoffe es kann mir hier jemand helfen, ich hatte diese Frage in einem anderen Forum gestellt und bin nur Dumm angeredet worden.... 😭

Gruß Ursula

 

[UweP44]

Doppelt vergebene LAN IP Adressen?
Die x.x.x.1 hat ja eigentlich immer der Router = Fritzbox

Oder verschiedene Subnetzbereiche zB Router x.x.1.1 und Glinet x.x.8.1 aber durch die Netmask 255.255.255.0 wird verhindert, dass man ins andere Subnetz kommt.

 

[carnival55]

Entweder das was @UweP44 vermutet, oder du musst evtl. den Zugriff auf die Konfig-Oberfläche via Wlan bzw aus einem anderen Netz im Creta extra erlauben/freischalten.

 

[lokon]

Das Problem könnte eine Firewall-Regel auf der WAN Schnittstelle am Gl.inet Creta sein - der Abruf der Oberfläche über WAN ist per default blockiert.

 

[ubiNeuling]

Also die Fritzbox hat die IP 192.168.178.1....
lokon, ich kann in der Oberfläche des Creta Policies erstellen, hat das etwas damit zu tun?

 

[UweP44]

Das Problem könnte eine Firewall-Regel auf der WAN Schnittstelle am Gl.inet Creta sein - der Abruf der Oberfläche über WAN ist per default blockiert.

Macht ja eigentlich auch Sinn, denn sonst könnte jemand ja in einem unbewachten Moment über das externe Gerät das Gateway daheim manipulieren, um zB eigene Zugänge einzurichten.

Also die Fritzbox hat die IP 192.168.178.1....

Wenn der PC dann zB die IP Adresse 192.168.178.22 hat mit Netmask 255.255.255.0 , dann kann er nicht auf die LAN IP des Glinet zugreifen, wenn dessen LAN IP 192.168.8.1 lautet.
Die Lösung könnte sein, am PC die Netmask auf 255.255.0.0 zu setzen.

 

[carnival55]

Im gl.inet Forum gibt's auch noch einen Tipp, wie man über den WAN-Port auf die Admin Oberfläche kommt: -Link- (anderes Modell, aber sollte übertragbar sein)

 

[ubiNeuling]

oje, mein Englisch ist unterirdisch und dann noch Fachsimpelei....
da komme ich nicht weiter, habe ich das jetzt richtig verstanden, dass das Problem nicht in der Fritzbox einzustellen ist, sondern im Creta?
Habe mal ein Screenshot angehängt....

 

[carnival55]

Im creta mal den Vorschlag von @UweP44 ausprobieren und "Netzmaske" auf 255.255.0.0 ändern

 

[ubiNeuling]

Habe es gefunden, aber nein trotz ändern, kein Zugriff... in der Fritzbox sieht das so aus ....

wenn ich auf die "Terrasse" klicke, komme ich auf die OF von der Kamera, aber bei der Creta kann man schon gar nicht klicken

Ergänzung (5. September 2020)

Ich habe jetzt mal umgestellt auf DHCP und folgendes noch gefunden, aber nichts verändert.... wäre das etwas?

 

[carnival55]

Mir fehlen gerade per Ferndiagnose die Ideen. Und meinen gl.inet habe ich auch nicht zur Hand ums ausprobieren zu können.

 

[ubiNeuling]

Mist, mir geht es ja nur darum, erstens muss ich ständig ins Büro rennen und das LAN Kabel an den Creta anschließen und wenn ich ja mal im Urlaub etwas verstellen will, komme ich nicht ran...
Ich habe aber noch Zeit bis Dienstag, am Mittwoch fahren wir weg ;-)

Ergänzung (5. September 2020)

Habe noch was gefunden, ist da was dabei?

 

[Olunixus]

Ich möchte natürlich auch, vom Urlaub aus, auf mein Heimnetz zugreifen, dass funktioniert auch, ich kann auf alle Geräte zugreifen aber NICHT auf den Creta der an der Fritzbox hängt!

Die Verbindung mit dem VPN testest du, indem du mit deinem Handy über Mobilfunk einen Hotspot erstellst, in den sich dein Client einwählt? Und dann ein anderes Gerät an den Client hängen, der dann via VPN auf Internet, deine Fritzbox und anderen Geräte im 192.168.178.x-Netz (außer Creta VPN Server) zugreifen kann - hab ich das soweit richtig verstanden?

Mit welcher IP-Adresse versuchst du denn auf den Creta via VPN zuzugreifen? Siehst du, welche IP-Adresse du vom VPN-Server zugewiesen bekommst?

Und ich würde für zuhause ein IP-Subnetz nutzen, was in keinem Router Standardmäßig voreingestellt ist. Wenn jetzt auf deinem Campingplatz ebenfalls Adresse aus dem 192.168.178.x-Netz verteilt werden, hast du ein Problem! Typische für viele Router (die mir gerade einfallen) sind .0.x ; .1.x ; .2.x ; .178.x ; .179.x

 

[lokon]

Die Firmware des GL.Inet basiert auf OpenWrt - Guides dafür könnten hilfreich sein.

• Firewall des GL.Inet deaktivieren
• Firewall Regeln der Zone WAN anpassen : WAN ist normalerweise nicht vertrauenswürdig - in deinem Fall aber schon (da Fritzbox) - das VPN ist dagegen das "böse" Netz
• Firewall Regel für Webzugriff über WAN - Traffic Rules (Port 80, 443) - erstellen / erlauben

anders Konfigurieren

- GL.Inet als dumb AP / Managed Switch konfigurieren : hier würde der GL.Inet keine eigenen IPs verteilen - das Kabel von WAN in LAN umstecken, DHCP ausschalten bzw. feste IPs einstellen

Edit: Die Fritzbox muss auch wissen, dass an ihrem "Client" , der 192.168.178.x über LAN hat ein ganzen Netz mit 192.168.8.X hängt.
Diese Information (statische Route) muss bekannt sein, sonst würde die Fritzbox normal aufgrund der eigenen Routingtabelle diese (.8.X) Pakete an den Provider / Wan der Fritzbox senden.

 

[ubiNeuling]

Die Verbindung mit dem VPN testest du, indem du mit deinem Handy über Mobilfunk einen Hotspot erstellst, in den sich dein Client einwählt? Und dann ein anderes Gerät an den Client hängen, der dann via VPN auf Internet, deine Fritzbox und anderen Geräte im 192.168.178.x-Netz (außer Creta VPN Server) zugreifen kann - hab ich das soweit richtig verstanden?

Genauso habe ich es gemacht!

Mit welcher IP-Adresse versuchst du denn auf den Creta via VPN zuzugreifen? Siehst du, welche IP-Adresse du vom VPN-Server zugewiesen bekommst?

Mit der IP die die Fritzbox für den Creta vergeben hat!

Und ich würde für zuhause ein IP-Subnetz nutzen, was in keinem Router Standardmäßig voreingestellt ist. Wenn jetzt auf deinem Campingplatz ebenfalls Adresse aus dem 192.168.178.x-Netz verteilt werden, hast du ein Problem! Typische für viele Router (die mir gerade einfallen) sind .0.x ; .1.x ; .2.x ; .178.x ; .179.x

Dass schaffe ich nicht, dafür habe ich, glaube ich zu wenig Ahnung, dafür bräuchte ich dann eine genaue Anleitung und das kann ich von dir nicht verlangen!

Firewall des GL.Inet deaktivieren

Wie?
Wo?

GL.Inet als dumb AP / Managed Switch konfigurieren : hier würde der GL.Inet keine eigenen IPs verteilen - das Kabel von WAN in LAN umstecken, DHCP ausschalten bzw. feste IPs einstellen

Auch dafür bräuchte ich eine genaue Anleitung...

Ich glaube, dass habe ich mir einfacher vorgestellt, ich möchte natürlich auch nicht an der Fritzbox rumspielen und riskieren, dass alles andere nicht mehr richtig funktioniert!

 

[lokon]

Wie?

Über die OpenWrt Oberfläche. Diese ist auf dem GLInet Gerät auch aktiv.

siehe https://docs.gl-inet.com/en/3/setup/travel_ac_router/more_settings/

Click Advanced to direct to Luci which is the default web interface of OpenWrt. You can check the detailed system log or conduct more advanced configurations there.

Dort ist unter System -> Startup eine Liste von Diensten - u.a. Firewall - die gestoppt (temporär, nach Neustart wieder aktiv) und/oder deaktiviert (nach Neustart inaktiv) werden kann.

Ich glaube, dass habe ich mir einfacher vorgestellt

VPN / Wireguard sind ja "Profilösungen" - normalerweise unterstützen 08-15 Plastikrouter das nicht.

.

 

[Olunixus]

Mit der IP die die Fritzbox für den Creta vergeben hat!

Versuche es bei dieser Konfiguration mal mit der IP-Adresse aus dem Gl.inet-Netz. Müsste dann die 192.168.8.1 sein.

 

[ubiNeuling]

Versuche es bei dieser Konfiguration mal mit der IP-Adresse aus dem Gl.inet-Netz. Müsste dann die 192.168.8.1 sein.

Habe ich, geht auch nicht

Ergänzung (6. September 2020)

Na toll, jetzt hatte ich mal versucht das Netzwerk am Creta auf Access Point umzustellen, da konnte ich dann auch sofort über die Fritzbox Oberfläche auf die Creta zugreifen, hatte aber kein VPN mehr!! Vorher hatte ich versucht auf dem Creta einen Port zu öffenen (80), hatte aber auch nicht funktioniert!
Dann habe ich wieder auf dem Creta umgestellt auf Router und jetzt funktioniert mein Wireguard VPN nicht mehr....TOLL

Ergänzung (6. September 2020)

Häääää
Jetzt verstehe ich die Welt nicht mehr, jetzt kann ich auf die Oberfläche zugreifen, dort wird mir angezeigt, dass VPN nicht geht (Screenshot).
Sicherheitshalber habe ich das aber nochmal gegengecheckt mit dem Handy vom Mobilfunknetz, funktioniert???? Ich kann vom Handy aus, auf die Oberfläche des Creta zugreifen?!
Was geht da denn jetzt ab?

Ergänzung (6. September 2020)

Dort ist unter System -> Startup eine Liste von Diensten - u.a. Firewall - die gestoppt (temporär, nach Neustart wieder aktiv) und/oder deaktiviert (nach Neustart inaktiv) werden kann.

Wäre dort die Einstellung und was genau soll ich da deaktivieren

 

[lokon]

System -> Startup ist ein anderes Menü - es ist bebildert in diesem github issue

Dein Bild ist aus der Firewall-Steuerung bei luci (Name des Web-UIs von OpenWrt).
"INPUT" -> darunter fällt zB das Web-UI - es ist ein lokaler Dienst (siehe iptables auf wiki.ubuntuusers )
- also INPUT von REJECT auf ACCEPT ändern würde auch funktionieren (ähnlich Traffic Rules)
Die Frage wäre dann nur von welcher Zone aus das Paket kommt also welche Filterregel greift.

Edit: die GL.inet-Geräte unterstützen dank OpenWrt den Zugriff per SSH und danach die verschiedensten Diagnosewerkzeuge. OpenWrt ist eine recht normale Linux-Distribution - nur für Router.
Diagnosewerkzeuge wie : iproute2 (ip-full als Paketname), mtr, tcpdump ... funktionieren - es gibt auch Web-UI-Apps (luci-app-...) die das teilweise über Webinterface machen können ( luci-app-commands )

 

[ubiNeuling]

ich habe es gefunden , aber was genau, muss ich hier deaktivieren?

Ich denke, ich lassen das alles mal wie es ist u d teste es nächste Woche im Urlaub!

Vorerst mal vielen lieben Dank an alle die mir hier geholfen haben!👌👍