Fritzbox VLAN VPN Verbindung herstellen

[Behzad]

Hi allerseits,

ich habe zuhause folgende Config:
Kabel Anschluss --> Main Router --> Fritzbox

Die Fritzbox stellt bei mir das gesamte Netz zur Verfuegung. Die WebUi der Fritzbox kann ich erreichen indem ich ueber die oeffentliche IP des Main Routers und der Portfreigabe ran komme, also IPort. Jetzt moechte ich zusaetzlich noch eine VPN Verbindung herstellen. Leider bekomme ich das nicht hin. Dadurch das die Fritzbox keine oeffentliche IP hat, kann sie wohl keine Verbindung direkt zum Server aufbauen...
Ich muss also irgendwie diese oeffentliche IP an die Fritzbox weitergeben.

Bevor die Frage kommt warum ich den Main Router nicht im Bridge mode nutze: Hab ich gemacht, leider hatte ich pro Minute immer 1x fuer 1 2 Sekunden ein Package Loss von 100%...Warum auch immer

Kann mir da jemand helfen??

Danke

 

[IICARUS]

Hast du ein DS-Lite Anschluss, falls ja, kannst es vergessen.

Was ist DS-Lite und wie funktioniert es? | FRITZ!Box 7590

Was ist ein DS Lite Tunnel? Kann die FRITZ!Box am DS Lite Internetzugang eingesetzt werden? ✓ Hier finden Sie alle Antworten.

avm.de

 

[Behzad]

ne sollte dual Stack sein, da ich ja mit dem Bridge Mode auch VPN nutzen konnte. Ueber Wie ist meine IP gibts auch die ipv4 Adresse

 

[IICARUS]

Ok, dann musst du noch abwarten bis sich jemand meldet, der sich damit besser auskennt.

 

[godless.prayer]

Damit Du mit dem VPN der Fritzbox eine Verbindung aufbauen kannst, musst Du am Main Router die richtigen Ports auf die Fritzbox weiterleiten, so wie bei der WebUI.

Wenn ich mich richtig erinnere, sollten das die UDP Ports 500 und 4500 sein.

 

[Behzad]

Ist freigegeben. Nur sagt ja die Fritzbox, dass sie aufgrund der nicht vorhanden oeffentlichen IP keine Verbindung zum Server aufbauen kann.

Das steht auch nochmal hier

 

[DJKuhpisse]

Nenne doch mal bitte die IPs, die die FB dir anzeigt.
Was ist dein VPN-Server?
Die FB selbst? Dann braucht man da natürlich keine NAT-Regeln.

 

[Behzad]

VPN Server soll die FB selbst sein.

 

[Laudian]

Kannst du einmal die Fehlermeldung zeigen, die du bekommst?
Wenn die FritzBox selbst überprüft, ob sie eine öffentliche IPv4 Adresse oder eine lokale hat und den Start des VPN-Servers daraufhin abbricht, kannst du wohl wenig tun...

 

[DJKuhpisse]

Das ist kein DS-Lite, sondern nur CG-NAT. Mit dem Dinosaurierprotokoll IPv4 geht da nichts. Nimm IPv6. Sollte am anderen Standort kein IPv6 zur Verfügung stehen, teste mal einen Teredo-Tunnel.

 

[Behzad]

Wenn ich zum Punkt: Internet --> Freigaben --> Fritzbox Dienste gehe, steht das als Hinweis. Im Log (System --> Ereignisse) finde ich gar nichts dazu. Falls du meinst was der VPN Client sagt nur "The VPN server did not respond. Verify the server address and try reconnecting."

Das ist kein DS-Lite, sondern nur CG-NAT. Mit dem Dinosaurierprotokoll IPv4 geht da nichts. Nimm IPv6. Sollte am anderen Standort kein IPv6 zur Verfügung stehen, teste mal einen Teredo-Tunnel.

Werde das heute Abend testen koennen.

 

[DJKuhpisse]

Bitte erkläre uns, was du mit dem VPN erreichen willst. Dann gehen wir weiter zur Einrichtung.

 

[Laudian]

• UDP port 53 (DNS)
• UDP port 500 (ISAKMP)
• UDP port 4500 (NAT traversal)
• ESP ("Encapsulated Security Payload", IP protocol number 50)
  Note:The option for enabling the ESP protocol is often also called "IPsec Passthrough". You can find information on how to configure it in the manual, or consult the manufacturer of the firewall or router directly.

Das sind die Ports, die man laut AVM weiterleiten muss. Die hast du alle?

 

[DJKuhpisse]

Das sind die Ports, die man laut AVM weiterleiten muss. Die hast du alle?

Wie schon gesagt, das ist ne private IPv4-Adresse, da ist nix mit statischer NAT-Regel (Portweiterleitung). Ipv4 geht da nicht und man sollte dieses 40 Jahre alte Protokoll endlich links liegen lassen und das per IPv6 machen, was der Provider des TO erfreulicherweise anbietet.

 

[Laudian]

Der TE sagte doch, dass der VPN funktioniert, wenn er die FritzBox im Bridgemode nutzt. Dann sollte die IPv4 Adresse kein Problem darstellen, sofern die Portweiterleitung richtig konfiguriert ist.

Bei einer privaten IPv4 Adresse sollte beides nicht funktionieren. Oder sehe ich das falsch?

Edit: Spricht natürlich trotzdem nichts dagegen, direkt IPv6 zu benutzen. Mir geht es nur ums Prinzip.

 

[Behzad]

Bitte erkläre uns, was du mit dem VPN erreichen willst. Dann gehen wir weiter zur Einrichtung.

Ok also ein wenig zurueckspulen:
Ich habe vor kurzem meinem Provider gewechselt, von Telekom DSL zu Pyur Kabel. Vor dem Wechsel war meine FB 7590 direkt an der DSL Buchse angeschlossen und alles lief ganz easy. Da ich keine FB mit Kabel Anschluss besitze, nutze ich den Router vom Pyur. Den hatte ich zu Beginn im Bridge Mode genutzt um nichts an meinem Netzwerk aendern zu muessen, das Problem dabei hatte ich bereits erwaehnt. Ich bekam oefters Package Losses von 100%. Daher habe ich den Bridge Mode deaktiviert und jetzt den Main Router an den WAN Anschluss an meine FB gesteckt und dieser mitgeteilt das er ein VLAN erstellen soll (kann sein das ich zu weit ausgeholt habe )
Mit dem VPN will ich erreichen das ich an mein TrueNAS peer SSL rankomme und auf den daraufliegenden VMs zugreifen kann ohne diese exposen zu muessen.

 

[DJKuhpisse]

Bei einer privaten IPv4 Adresse sollte beides nicht funktionieren. Oder sehe ich das falsch?

Bei der privaten IPv4-Adresse kannst du von außen aus dem Internet nicht drauf, denn da wird beim Provider nochmal NAT gemacht.

jetzt den Main Router an den WAN Anschluss an meine FB gesteckt und dieser mitgeteilt das er ein VLAN erstellen soll (kann sein das ich zu weit ausgeholt habe )

Bitte stelle die FB mal als IP-Client ein und stecke das Kabel vom PYUR-Router an den LAN-Port. Dann muss beim Pyur-Teil ne Portweiterleitung für IPv4 eingerichtet werden. Bei IPv6 nur ne Ausnahme in der Firewall.

 

[Behzad]

Bitte stelle die FB mal als IP-Client ein und stecke das Kabel vom PYUR-Router an den LAN-Port. Dann muss beim Pyur-Teil ne Portweiterleitung für IPv4 eingerichtet werden. Bei IPv6 nur ne Ausnahme in der Firewall.

Werde das nachher austesten. Bin noch im Buero.

 

[Laudian]

Bei der privaten IPv4-Adresse kannst du von außen aus dem Internet nicht drauf, denn da wird beim Provider nochmal NAT gemacht.

Mir ist der Unterschied zwischen einer öffentlichen IPv4 Adresse und einer privaten schon klar. Aber der TE sagte weiter oben, dass der VPN funktioniert, wenn er sein Modem im Bridgemode benutzt (=alles wird an die dahinterliegende FritzBox weitergeleitet).

Von daher sollte er eine öffentliche IPv4 haben, keine private, und das Problem liegt an inkorrekter Portweiterleitung.

 

[DJKuhpisse]

Von daher sollte er eine öffentliche IPv4 haben, keine private, und das Problem liegt an inkorrekter Portweiterleitung.

Nein, das Problem liegt am doppelten NAT. Bridge-Modus bedeutet, dass das Teil wie ein Modem arbeitet und daher gar nicht routet (auch kein NAT). Wenn dann der Provider ne öffentliche IPv4 bietet kann es auch über IPv4 funktionieren. Man sollte aber bei DynDNS auch IPv6 aktivieren, sodass man das wo es geht nutzen kann und nicht auf den Uraltkram IPv4 angewiesen ist.