Fritzbox VLAN VPN Verbindung herstellen

Behzad

PC-Selbstbauer(in)
Hi allerseits,

ich habe zuhause folgende Config:
Kabel Anschluss --> Main Router --> Fritzbox

Die Fritzbox stellt bei mir das gesamte Netz zur Verfuegung. Die WebUi der Fritzbox kann ich erreichen indem ich ueber die oeffentliche IP des Main Routers und der Portfreigabe ran komme, also IP:Port. Jetzt moechte ich zusaetzlich noch eine VPN Verbindung herstellen. Leider bekomme ich das nicht hin. Dadurch das die Fritzbox keine oeffentliche IP hat, kann sie wohl keine Verbindung direkt zum Server aufbauen...
Ich muss also irgendwie diese oeffentliche IP an die Fritzbox weitergeben.

Bevor die Frage kommt warum ich den Main Router nicht im Bridge mode nutze: Hab ich gemacht, leider hatte ich pro Minute immer 1x fuer 1 2 Sekunden ein Package Loss von 100%...Warum auch immer

Kann mir da jemand helfen??

Danke :D
 
TE
TE
B

Behzad

PC-Selbstbauer(in)
ne sollte dual Stack sein, da ich ja mit dem Bridge Mode auch VPN nutzen konnte. Ueber Wie ist meine IP gibts auch die ipv4 Adresse
 

godless.prayer

Komplett-PC-Käufer(in)
Damit Du mit dem VPN der Fritzbox eine Verbindung aufbauen kannst, musst Du am Main Router die richtigen Ports auf die Fritzbox weiterleiten, so wie bei der WebUI.

Wenn ich mich richtig erinnere, sollten das die UDP Ports 500 und 4500 sein.
 

DJKuhpisse

BIOS-Overclocker(in)
Nenne doch mal bitte die IPs, die die FB dir anzeigt.
Was ist dein VPN-Server?
Die FB selbst? Dann braucht man da natürlich keine NAT-Regeln.
 
TE
TE
B

Behzad

PC-Selbstbauer(in)
VPN Server soll die FB selbst sein.
Screenshot 2022-07-18 at 19.20.48.png
 

Laudian

Moderator
Teammitglied
Kannst du einmal die Fehlermeldung zeigen, die du bekommst?
Wenn die FritzBox selbst überprüft, ob sie eine öffentliche IPv4 Adresse oder eine lokale hat und den Start des VPN-Servers daraufhin abbricht, kannst du wohl wenig tun...
 

DJKuhpisse

BIOS-Overclocker(in)
Das ist kein DS-Lite, sondern nur CG-NAT. Mit dem Dinosaurierprotokoll IPv4 geht da nichts. Nimm IPv6. Sollte am anderen Standort kein IPv6 zur Verfügung stehen, teste mal einen Teredo-Tunnel.
 
TE
TE
B

Behzad

PC-Selbstbauer(in)
Wenn ich zum Punkt: Internet --> Freigaben --> Fritzbox Dienste gehe, steht das als Hinweis. Im Log (System --> Ereignisse) finde ich gar nichts dazu. Falls du meinst was der VPN Client sagt nur "The VPN server did not respond. Verify the server address and try reconnecting."

Screenshot 2022-07-18 at 19.38.58.png

Das ist kein DS-Lite, sondern nur CG-NAT. Mit dem Dinosaurierprotokoll IPv4 geht da nichts. Nimm IPv6. Sollte am anderen Standort kein IPv6 zur Verfügung stehen, teste mal einen Teredo-Tunnel.
Werde das heute Abend testen koennen.
 

Laudian

Moderator
Teammitglied
  • UDP port 53 (DNS)
  • UDP port 500 (ISAKMP)
  • UDP port 4500 (NAT traversal)
  • ESP ("Encapsulated Security Payload", IP protocol number 50)
    Note:The option for enabling the ESP protocol is often also called "IPsec Passthrough". You can find information on how to configure it in the manual, or consult the manufacturer of the firewall or router directly.

Das sind die Ports, die man laut AVM weiterleiten muss. Die hast du alle?
 

DJKuhpisse

BIOS-Overclocker(in)
Das sind die Ports, die man laut AVM weiterleiten muss. Die hast du alle?
Wie schon gesagt, das ist ne private IPv4-Adresse, da ist nix mit statischer NAT-Regel (Portweiterleitung). Ipv4 geht da nicht und man sollte dieses 40 Jahre alte Protokoll endlich links liegen lassen und das per IPv6 machen, was der Provider des TO erfreulicherweise anbietet.
 

Laudian

Moderator
Teammitglied
Der TE sagte doch, dass der VPN funktioniert, wenn er die FritzBox im Bridgemode nutzt. Dann sollte die IPv4 Adresse kein Problem darstellen, sofern die Portweiterleitung richtig konfiguriert ist.

Bei einer privaten IPv4 Adresse sollte beides nicht funktionieren. Oder sehe ich das falsch?

Edit: Spricht natürlich trotzdem nichts dagegen, direkt IPv6 zu benutzen. Mir geht es nur ums Prinzip.
 
TE
TE
B

Behzad

PC-Selbstbauer(in)
Bitte erkläre uns, was du mit dem VPN erreichen willst. Dann gehen wir weiter zur Einrichtung.
Ok also ein wenig zurueckspulen:
Ich habe vor kurzem meinem Provider gewechselt, von Telekom DSL zu Pyur Kabel. Vor dem Wechsel war meine FB 7590 direkt an der DSL Buchse angeschlossen und alles lief ganz easy. Da ich keine FB mit Kabel Anschluss besitze, nutze ich den Router vom Pyur. Den hatte ich zu Beginn im Bridge Mode genutzt um nichts an meinem Netzwerk aendern zu muessen, das Problem dabei hatte ich bereits erwaehnt. Ich bekam oefters Package Losses von 100%. Daher habe ich den Bridge Mode deaktiviert und jetzt den Main Router an den WAN Anschluss an meine FB gesteckt und dieser mitgeteilt das er ein VLAN erstellen soll (kann sein das ich zu weit ausgeholt habe :-D)
Mit dem VPN will ich erreichen das ich an mein TrueNAS peer SSL rankomme und auf den daraufliegenden VMs zugreifen kann ohne diese exposen zu muessen.
 

DJKuhpisse

BIOS-Overclocker(in)
Bei einer privaten IPv4 Adresse sollte beides nicht funktionieren. Oder sehe ich das falsch?
Bei der privaten IPv4-Adresse kannst du von außen aus dem Internet nicht drauf, denn da wird beim Provider nochmal NAT gemacht.
jetzt den Main Router an den WAN Anschluss an meine FB gesteckt und dieser mitgeteilt das er ein VLAN erstellen soll (kann sein das ich zu weit ausgeholt habe :-D)
Bitte stelle die FB mal als IP-Client ein und stecke das Kabel vom PYUR-Router an den LAN-Port. Dann muss beim Pyur-Teil ne Portweiterleitung für IPv4 eingerichtet werden. Bei IPv6 nur ne Ausnahme in der Firewall.
 

Laudian

Moderator
Teammitglied
Bei der privaten IPv4-Adresse kannst du von außen aus dem Internet nicht drauf, denn da wird beim Provider nochmal NAT gemacht.
Mir ist der Unterschied zwischen einer öffentlichen IPv4 Adresse und einer privaten schon klar. Aber der TE sagte weiter oben, dass der VPN funktioniert, wenn er sein Modem im Bridgemode benutzt (=alles wird an die dahinterliegende FritzBox weitergeleitet).

Von daher sollte er eine öffentliche IPv4 haben, keine private, und das Problem liegt an inkorrekter Portweiterleitung.
 

DJKuhpisse

BIOS-Overclocker(in)
Von daher sollte er eine öffentliche IPv4 haben, keine private, und das Problem liegt an inkorrekter Portweiterleitung.
Nein, das Problem liegt am doppelten NAT. Bridge-Modus bedeutet, dass das Teil wie ein Modem arbeitet und daher gar nicht routet (auch kein NAT). Wenn dann der Provider ne öffentliche IPv4 bietet kann es auch über IPv4 funktionieren. Man sollte aber bei DynDNS auch IPv6 aktivieren, sodass man das wo es geht nutzen kann und nicht auf den Uraltkram IPv4 angewiesen ist.
 
Oben Unten