Dual NAT: UDM Pro hinter Fritzbox 6591 (Kabel) ist von außen nicht erreichbar

  • Hallo an alle zusammen, ich bin neu in diesem Forum.
    Ich habe seit einigen Wochen mit einem Problem in meinem Netzwerk zu kämpfen, das ich bei der Arbeit verwende.
    Situationsbeschreibung: Ich habe FritzBox 6591 (Vodafone 1000-Kabel, Busanschluss, OS7.13) schon lange verwendet. Vor einigen Wochen habe ich UDM Pro und USW Pro 48 gekauft.


    Ich habe ein Problem mit doppeltem NAT, UDM erhält eine interne IP-Adresse von FritzBox und es gibt keine öffentliche IP-Adresse, von der aus UDM von außen zugänglich wäre. Aus diesem Grund kann ich kein VPN einrichten.

    Meine Konfiguration: WAN1 auf UDM Pro ist mit FritzBox Port 1 (6591) verbunden, DHCP ist in den FritzBox-Einstellungen aktiviert, DHCP ist auch in den UDM-Einstellungen unter WAN1 aktiviert.


    Meine öffentliche IP-Adresse: 77.22.xxx.xx
    FB-Netzwerk: 192.168.178.0/24
    Fritzbox IP: 192.168.178.1
    IP UDM (WAN1): 192.168.178.141


    UDM LAN: 10.1.1.0/24
    UDM: 10.1.1.1
    USW: 10.1.1.48


    Vom Netzwerk 192.168.178.0/24 kann ich nicht auf Clients (hinter UDM) zugreifen, die sich im Netzwerk 10.1.1.0/24 befinden. Umgekehrt funktioniert alles normal.


    Ich habe viele Artikel in verschiedenen Foren zu meinem Thema gelesen. Ich muss darauf hinweisen, dass meine FritBox 6591 nicht über die Bridge-Modus-Option verfügt, auch unter der Option "Zugangsart" habe ich nicht die Option "Portkonfiguration". Ich habe mehrmals mit dem Vodafone-Kundendienst gesprochen und er hat mir keine Lösungen angeboten. Ich habe versucht, UDM in den FB-Einstellungen als Exposed Host festzulegen, aber es hat auch nicht funktioniert.


    Hat jemand eine Lösung? Vielleicht habe ich in den Einstellungen etwas falsch eingestellt?


    Jeder Rat ist willkommen!


    VG Matija

  • Du könntest die Fritzbox als VPN Endpoint nutzen und entsprechende Firewallrules auf der UDM definieren (WAN IN, siehe Bild). Die VPN Tunnel für die einzelnen Clients, in meinem Fall fünf Stück, enden auf der Fritzbox immer unter den IPs 192.168.xxx.201 ff. Pakete von diesen Adressen müssen durch die FW dürfen.



    Gruß,

    gr00ve

    FRITZ!Box 7490 - USG-Pro-4 - Cloud Key Gen2+ - Pi-hole - USW-24-POE - US-8-60W - 2x USW-Flex-Mini - 3x UAP-AC-PRO

  • Hallo gr00ve,

    Können Sie das etwas besser erklären, ich bin neu in all dem. Welche Daten muss ich wo eingeben? Vielleicht habe ich etwas falsch geschrieben?

    Die folgende Firewall-Regel ist in UDM Pro festgelegt:







    Ich habe vergessen zu erwähnen, dass ich derzeit eine VPN-Verbindung zwischen zwei FBs hergestellt habe, einer zu Hause und einer im Büro. Ich werde eine Skizze veröffentlichen, um sie besser zu verstehen

    Skizze:





  • Das ist nicht trivial. :|

    Dazu muss man die access lists der Fritz Boxen verändern, was aber nicht über das User Interface geht, sondern nur, in dem man die vpn.config Dateien der beiden Boxen entsprechend anpasst. Außerdem muss man Static Routes definieren. Hier gibt es dazu eine Anleitung.


    Gruß,

    gr00ve

    FRITZ!Box 7490 - USG-Pro-4 - Cloud Key Gen2+ - Pi-hole - USW-24-POE - US-8-60W - 2x USW-Flex-Mini - 3x UAP-AC-PRO

    Einmal editiert, zuletzt von gr00ve ()

  • razor

    Hat den Titel des Themas von „Problem: Dual NAT UDM Pro hinter der Fritzbox 6591 (Kabel), UDM Pro ist nicht von außen erreichbar“ zu „Dual NAT: UDM Pro hinter Fritzbox 6591 (Kabel) ist von außen nicht erreichbar“ geändert.
  • Hallo Gr00ve,


    Ich habe diesen Anleitung im Internet gefunden (Welches passt zu meiner Beschreibung der Situation): Accessing multiple IP networks behind a FRITZ!Box over VPN connection between two FRITZ!Boxes | AVM International


    Aktuelle Situation: Jetzt kann von der FritzBox B (Büro) "192.168.178.0/24" Netzwerk zum UDM Pro Netzwerk (Büro) "10.1.1.0/24" kommen, was vorher nicht möglich war. Ich kann jedoch immer noch nicht über das VPN-Netzwerk von der FritzBox A (Home) "192.168.10.0/24" auf das UDM Pro-Netzwerk zugreifen. Um über das FritzBox A-Netzwerk (Home) in das UDM Pro-Netzwerk zu gelangen, muss ich zuerst den Computer im FritzBox B-Netzwerk (Büro) über MTSC und dann über diesen Computer in das UDM Pro-Netzwerk eingeben.


    Problem: Wenn die "..." cfg-Datei, die ich wie im Handbuch beschrieben geändert und dann in FritzBox A (Home) importiert habe, in der Benutzeroberfläche unter "VPN-Verbindungen zwischen FRITZ! Box und anderen Netzwerken" nicht sichtbar ist, nur die alte ist sichtbare VPN-Verbindung, die zwei FritzBoxen verbindet und die zuvor eingerichtet wurde (Bild).




    Hast du eine Lösung? Könnten die Änderungen in einer vorhandenen VPN-Verbindung gespeichert werden? Sollte ich vielleicht die "..." cfg-Datei (die ich auch geändert habe) in FritzBox B (Büro) importieren?


    VG, Matija


  • gr00ve,


    Vielleicht habe ich einen Fehler im "..." cfg-Dokument gefunden. (Bild)
    Für das FritzBox B-Netzwerk (Büro) "192.168.178.0/24" lautete die Subnetzmaske: 255.255.255.255
    Ich glaube nicht, dass das stimmt, also habe ich diese Daten in: 255.255.255.0 geändert

    Ich werde heute versuchen, eine neue "..." cfg-Datei zu importieren. Ich werde mich bei Änderungen an Sie wenden




    VG Matija

  • gr00ve,


    Gibt es vielleicht eine Lösung dafür im Bild unten? Dies ist das einzige, was ich in den VPN LAN-2-LAN-Einstellungen zwischen zwei FritzBoxen ändern kann, ohne die neue "..." cfg-Datei erneut importieren zu müssen.




    In den Einstellungen von FritzBox B: Ich markiere den LAN-Port, an den das UDM-Pro angeschlossen ist, unter Netzwerk-Präfix: 10.1.1.0, Subnetzmaske: 255.255.255.0

    Glaubst du, das macht Sinn?


  • Hallo,


    Ich habe eine neue Skizze erstellt, um die Darstellung meines Problems zu vereinfachen. Vielleicht würde sich jemand anderes mit einer Idee in die Diskussion einmischen.




    Aktuelle Situation:

    Von Netzwerk 192.168.10.0/24 über VPN (L2L) habe ich Zugriff auf das Netzwerk 192.168.178.0/24

    Von Netzwerk 192.168.178.0/24 über VPN (L2L) habe ich Zugriff auf das Netzwerk 192.168.10.0/24

    Von Netzwerk 10.1.1.0/24 über VPN (L2L) habe ich Zugriff auf das Netzwerk 129.168.10.0/24

    Von Netzwerk 192.168.178.0/24 habe ich Zugriff auf das Netzwerk 10.1.1.0/24

    Von Netzwerk 10.1.1.0/24 habe ich Zugriff auf das Netzwerk 192.168.178.0/24


    Problem:

    Von 192.168.10.0/24 über VPN (L2L) habe ich NICHT Zugriff auf das Netzwerk 10.1.1.0/24


    VG, Matija


  • matijaF

    Genau zu diesem Problem läuft meine Anfrage bei AVM. Die Fritzbox A muß wissen, daß sie Traffic mit Ziel 10.1.1.0/24 durch den Tunnel zu Box B routen muß. Daher muß in der Config Datei dieses Netz auch als Remote Netzwerk eingetragen sein, zusätzlich zu 192.168.178.0/24. Wie der Eintrag genau lautet (Syntax), ist Gegenstand meiner Anfrage. Das müsste irgendwie wie folgt aussehen:

    Code
    phase2remoteid {
    ipnet {
    ipaddr = 192.168.178.0,
    ipaddr = 10.1.1.0;
    mask = 255.255.255.0;
    }
    }


    Ich weiß aber nicht, ob das genauso richtig ist oder ob auch an anderer Stelle noch was eingetragen werden muß. Ich könnte jetzt experimentieren, aber dazu müsste ich immer hin und her fahren, da frage ich lieber beim Support nach und mache es dann beim ersten Mal richtig. ;)

    Wenn Du durch Experimentieren drauf kommst, sag mir bescheid.

    Zusätzlich wird es wahrscheinlich auch in der UDM eine Firewallregel brauchen, damit Pakete mit Source 192.168.10.0/24 durchdürfen. Das geht im USG über Groups, wie die UDM das macht, weiß ich leider nicht.


    Edit: ich sehe gerade, die Firewall Regeln hast Du schon. Dann kann es nur an der Config liegen.


    Gruß,

    gr00ve

    FRITZ!Box 7490 - USG-Pro-4 - Cloud Key Gen2+ - Pi-hole - USW-24-POE - US-8-60W - 2x USW-Flex-Mini - 3x UAP-AC-PRO

  • matijaF


    Sodale, entgegen dem, was ich gestern geschrieben hatte, wollte ich jetzt doch nicht auf AVM warten und habe selbst recherchiert.


    Deine VPN Config von Fritz Box A (Home) muß wie folgt aussehen:


    Code
    phase2remoteid {
    ipnet {
    ipaddr = 0.0.0.0;
    mask = 0.0.0.0;
    }
    }
    phase2ss = "esp-all-all/ah-none/comp-all/pfs";
    accesslist = "permit ip any 192.168.178.0 255.255.255.0",
    "permit ip any 10.1.1.0 255.255.255.0";
    }


    In der Originaldatei, die von Fritz-Fernzugang-Einrichten erzeugt wird, steht bei "phase2remoteid" das gegenüberliegende Netz. Sind dort aber, wie bei Dir und mir, mehrere Netze vorhanden, muß da ipaddr = 0.0.0.0; und mask = 0.0.0.0; stehen und die Remotenetze kommen in die Accesslist (Achtung auf Komma und Semikolon, die sind wichtig). So funktioniert es und ich komme von der Remotesite in alle meine Subnetze.:thumbup:


    Die Fritzbox routet mit dieser Konfiguration den Traffic für die Netze aus der Acceslist durch den Tunnel und alles Andere wird normal behandelt. Das habe ich über tracert verifiziert.


    Gruß,

    gr00ve

    FRITZ!Box 7490 - USG-Pro-4 - Cloud Key Gen2+ - Pi-hole - USW-24-POE - US-8-60W - 2x USW-Flex-Mini - 3x UAP-AC-PRO

  • Hallo gr00ve,


    Vielen Dank für die Antwort. Meine Meinung ist die gleiche, dass das Problem in der cfg-Datei "..." liegt, die ich in FB A (Home) importieren möchte. Gestern hatte ich auch "Spaß" mit diesem Problem, aber erfolglos.


    Vielen Dank für den Vorschlag und ich hoffe, dass alles sowohl für mich als auch für Sie funktioniert. Heute Nachmittag werde ich die "..." cfg-Datei ändern und in FB importieren.


    Können Sie bitte überprüfen, ob alles in meiner "..." cfg-Datei mit Ihrer übereinstimmt und ob alles korrekt ist? (Bild)




    Wenn mit der "..." cfg-Datei alles in Ordnung ist, werde ich sie heute Nachmittag testen und mich mit Feedback bei Ihnen melden (hoffentlich erfolgreich) :)


    Und noch eine Frage: Wenn ich die cfg-Datei "..." in FB B importiere, ändert sich in der LAN-2-LAN-VPN-Verbindung zwischen den beiden Fritzboxen nichts? Alles wird normal funktionieren?


    VG und schönes Wochenende, Matija


  • Servus,


    schaut soweit gut aus. Nur bitte einen anderen Pre Shared Key nehmen, denn den kennt jetzt das ganze Internet. ;)



    An der Box B würde ich außer dem neuen Key gar nichts ändern, da es in Richtung Office -> Home ja funktioniert. Die Änderung hat ja auf die Verbindung selbst keinen Einfluss, sondern nur auf das Routing in Box A.

    Viel Erfolg!


    Gruß,

    gr00ve

    FRITZ!Box 7490 - USG-Pro-4 - Cloud Key Gen2+ - Pi-hole - USW-24-POE - US-8-60W - 2x USW-Flex-Mini - 3x UAP-AC-PRO

  • gr00ve ,


    Ich habe das modifizierte "..." cfg importiert und leider funktioniert es bei mir nicht und ich habe immer noch keinen Zugriff auf das 10.1.1.0/24 Netzwerk über eine VPN-Verbindung.

    Glaubst du, ich habe etwas Falsches in die cfg-Datei "..." eingegeben? Ich habe mehrmals nachgesehen und keinen Fehler gefunden. Ich habe die vorhandene LAN-2-LAN-VPN-Verbindung gelöscht und die CFG-Datei importiert, kann aber immer noch nicht auf das gewünschte Netzwerk zugreifen


    Die Datei, die ich in FritzBox A importiere, lautet: "MyFritz Adresse FritzBox A" .cfg

    Haben Sie eine Idee, wo der Fehler liegen könnte?


    Ich werde Bilder vom Command tracert posten, vielleicht hilft das, das Problem zu löse.

    Tracert 10.1.1.204


    Tracert 192.168.178.85





  • matijaF

    Ich vermute, daß da der Tunnel nicht steht. Hast Du in beiden Boxen den gleichen PSK? Vielleicht ein Tippfehler oder die Config Datei nur in Box A geändert und den Key in Box B gleich belassen? Kommst Du von Netz 192.168.10.0/24 auf 192 .168.178.0/24? Funktioniert ein Ping auf auf Box B?

    Code
    ping 192.168.178.1

    Wenn diese Fehler ausgeschlossen sind, poste mal bitte Screenshots Deiner FW Rules in der UDM und der static routes in Box B.


    Gruß,

    gr00ve

    FRITZ!Box 7490 - USG-Pro-4 - Cloud Key Gen2+ - Pi-hole - USW-24-POE - US-8-60W - 2x USW-Flex-Mini - 3x UAP-AC-PRO