Zugriff aus Fritzbox VPN auf Geräte hinter UDM-Pro

Es gibt 13 Antworten in diesem Thema, welches 2.265 mal aufgerufen wurde. Der letzte Beitrag () ist von bic.

    Hallo,


    ich habe folgendes Problem.

    An 2 Standorten wurde eine VPN Verbindung zwischen 2 Fritzboxen eingerichtet.

    Standort A - Fritzbox A - 192.168.172.1

    Standord B - Fritzbox B - 192.168.65.1 (LAN UDM-PRO 192.168.16.0/24)

    Die beiden Netze sehen sich und können angepingt werden. Nun möchte ich, dass wenn ich von Standort A auf Geräte von Standort B zugreifen, welche hinter der UDM Pro (LAN 192.168.16.0/24) sind.

    Am Standort B liegt der WAN Anschluss an der UDM-PRO mit der IP 192.168.65.20 an.

    An der Fritzbox B habe ich eine Route 192.168.16.0 255.255.255.0 192.168.65.20.

    In der UDM Pro ein Internet In angelegt.

    Hier habe ich eine Gruppe mit dem Subnetz der Fritzbox B (192.168.65.0/24) angelegt und Ausgewählt.

    Als Ziel habe ich das Netzwerk LAN ausgewählt.

    Leider habe ich aber keinerlei Zugriff auf Geräte hinter der UDM Pro. z.B. 192.168.16.x.


    Was habe ich noch vergessen?


    Bitte um Hilfe hierzu.


    Gruß,

    Tom

    Was meinst Du damit genau. Ich soll auf die WAN Schnittstelle 192.168.65.20 ein VPN aufsetzen. Damit ich von FritzBox A eine Verbindung hinbekomme?

    Jetzt habe ich aber das Problem, dass ich bei einem Kunden keine FritzBox sondern Lancom-Router dort stehen habe.

    Kannst du bitte etwas mehr als nur ein paar Wörter dazu schreiben.

    Zitat von Dammal

    Kannst du bitte etwas mehr als nur ein paar Wörter dazu schreiben.

    Sorry, aber wer mit den Informationen hiner dem Berg hält, bist doch Du. Nicht einmal welche Art VPN Du verwendest, erwähnst Du und jetzt taucht auch noch ein Lancom-Router nebst einem Kunden auf.

    Hallo Dammal ,


    Du musst dem Standort A klar machen, dass das Netz 192.168.16.0 (UniFi-LAN) via 192.168.65.20 zu erreichen ist, denn die Box A kennt ja nur das LAN der Box B, nicht aber das LAN hinter der UDM hinter Box B.


    Das sollte mit einer statischen Route in Box A für das gesamte Netz am Standort A möglich sein. Wenn es nur für einzelne Clients sein soll, dann könntest Du die Route auch dort konfigurieren. Das ist aber nicht sicherer als es gleich in der Box zu konfigurieren.


    Security by obscurity :winking_face:


    Bedenke außerdem, dass es keine Überschneidungen der IP-Adressen über alle am VPN teilnehmenden geben darf.

    Zitat von Dammal

    In der UDM Pro ein Internet In angelegt.

    Hier habe ich eine Gruppe mit dem Subnetz der Fritzbox B (192.168.65.0/24) angelegt und Ausgewählt.

    Als Ziel habe ich das Netzwerk LAN ausgewählt.

    Leider habe ich aber keinerlei Zugriff auf Geräte hinter der UDM Pro. z.B. 192.168.16.x.

    Was hast Du angelegt?!?


    Dass in Fritte A und B Routen für das jeweils andere Fritten LAN vorhanden sind, setze ich mal voraus.

    Du musst in jedem Fall In Fritte A und B eine Statische Route für das Netz 192.168.16.0/24 eintragen, da ansonsten die Pakete auf Fritte A direkt mal ins Internet abbiegen und nicht in den Tunnel. Fehlt der Tunnel in Fritte B, biegen die Pakete dann hier ins Internet ab.

    Dann musst Du in der UDM Firewall bei Internet/In erlauben dass Pakete von Source 192.168.172.0/24 in dein Netz der UDM dürfen.


    Sowas ähnliches habe ich vor kurzem mit einem Wireguardclient auf eine Fritzbox und dann Zugriff auf ein dahinterliegendes LAN (aber mit edge Router X) konfiguriert. Jetzt bin ich mir nicht mehr ganz sicher, warum ich das musste... Ich habe im Edge Router das Masquerade angepasst... das wird in der UDM nicht gehen, wenn ich mich nicht irre

    In der Fritzbox A kann ich keine Route für das Netz 192.168.16.0/24 anlegen. Sagt er ungültig.

    In der Fritzbox B hab ich die Route angelegt. 192.168.16.0/24 mit der MASK 255.255.255.0 über die 192.168.65.20 (WAN Anschluss der UDM-Pro)


    Wie bekomme ich jetzt die Route so hin, dass meine Fritzbox A weiß, dass sie über den VPN Tunnel auf das Netzwerk 192.168.65.0 zugreifen kann und hier dann über die Route auf das LAN (192.168.16.0) hinter der UDM.

    Laut tracert biegen mit meine Pakete direkt nach der Fritzbox A ab.

    Zitat von Dammal

    In der Fritzbox A kann ich keine Route für das Netz 192.168.16.0/24 anlegen. Sagt er ungültig.

    Was genau hast Du da eingetragen? Als Gateway dann aber nicht die 192.168.65.20 ??? Die kannst Du da nicht nehmen, da die nicht direkt über ein Interface erreichbar ist. Da muss theoretisch die Route auf die Fritte B zeigen (IP vom Transfernetz, wenn überhaupt existent).


    Läuft dann so ab: Client schickt Paket zu Fritte A, die schickt das Paket zu Fritte B und diese an die UDM und das ganze halt nur wenn die Routen da sind. Die umgekehrte Richtung sollte klappen wenn die UDM die Fritte B als Standardgateway nutzt und Fritte B dürfte das Netz vom Client an Fritta A kennen.

    Zitat von DoPe

    und diese an die UDM und das ganze halt nur wenn die Routen da sind.

    Genau ... und die UDM meint dann immer noch, der Kram kommt aus dem Internet und macht dicht, respektive gar nicht erst auf - da kann man dann Routen anlegen, so viel man will :frowning_face:


    By the way - wenn man zwei VPN-fähige, an den Netzwerkkanten stehende Kisten per site2site, daher per LAN-LAN-Kopplung verbindet (so wie der TE mit seinen zwei Fritten) braucht man sich i.d.R. um Routen nicht zu kümmern. Diese werden automatisch eingerichtet und zwar für die Netze, welche über Kreuz miteinander verbunden werden sollen - bei "richtigen" VPN-Routern können das auf beiden Seiten auch gern mal mehrere sein.

    Zitat von bic

    By the way - wenn man zwei VPN-fähige, an den Netzwerkkanten stehende Kisten per site2site, daher per LAN-LAN-Kopplung verbindet (so wie der TE mit seinen zwei Fritten) braucht man sich i.d.R. um Routen nicht zu kümmern. Diese werden automatisch eingerichtet und zwar für die Netze, welche über Kreuz miteinander verbunden werden sollen - bei "richtigen" VPN-Routern können das auf beiden Seiten auch gern mal mehrere sein.

    Dabei gebe ich Dir grundsätzlich recht. Allerdings kennt ja die Box A das UniFi-LAN hinter der UDM hinter Box B nicht. Daher bin ich der Meinung, dass der TE um das Setzen von statischen Routen nicht umhinkommen wird. Wenn die Gateways jeweils alle hinter ihm liegenden Netze kennt, dann sollte immernoch gegenseitig klar sein, welche GW für welches VLAN zuständig ist. Sonst geht alles erstmal ins Inter, wie ja auch DoPe hier schrieb:

    Zitat von DoPe

    Dass in Fritte A und B Routen für das jeweils andere Fritten LAN vorhanden sind, setze ich mal voraus.

    Du musst in jedem Fall In Fritte A und B eine Statische Route für das Netz 192.168.16.0/24 eintragen, da ansonsten die Pakete auf Fritte A direkt mal ins Internet abbiegen und nicht in den Tunnel. Fehlt der Tunnel in Fritte B, biegen die Pakete dann hier ins Internet ab.

    Dann musst Du in der UDM Firewall bei Internet/In erlauben dass Pakete von Source 192.168.172.0/24 in dein Netz der UDM dürfen.


    Sowas ähnliches habe ich vor kurzem mit einem Wireguardclient auf eine Fritzbox und dann Zugriff auf ein dahinterliegendes LAN (aber mit edge Router X) konfiguriert. Jetzt bin ich mir nicht mehr ganz sicher, warum ich das musste... Ich habe im Edge Router das Masquerade angepasst... das wird in der UDM nicht gehen, wenn ich mich nicht irre

    Mir ist eingefallen warum ich das masquarade angepasst habe. Wenn der client was von einem Gerät hinter dem Edge (hier udm) wollte, dann hat der edge das antwortpaket mit seiner wan ip ersetzt, also geNATd ... was dazu führt dass der Client das Paket droppt weil nicht erwarteter Absender.


    Das Problem wird man wohl nicht gefixt bekommen am WAN der UDM.


    Also eher s2s zwischen fritte A und UDM und das Lan von fritte 2 in die UDM als vlan.


    Vermutlich ginge auch ein fake transfer lan mittels zusätzlichem edge oder ähnlichem zwischen udm und fritte B. Aber das wäre nur ne idee, die ich jetzt nicht bis zu ende durchdacht habe... ist ja auch bissl overkill