Zwei Fritzboxen verbinden, IPSec oder WireGuard?

[pueh]

s.o. - welche Verbindung würdet ihr einrichten? Es geht um die neue Anbindung eines externen Haushaltes per VPN, ggf. kommt auch noch eine mobil genutzte Fritz als gesamt 3. Box dazu.

Da sowieso alles neu gemacht wird, bin ich frei in der Wahl. Getrennte IP-Netze sind bereits vorhanden, einmal 10.a.10.NN und einmal 10.b.10.NN, beide 255.255.255.0, wobei die Endgeräte, die sich teilweise an beiden (allen drei) Boxen in's W-LAN einloggen, dieselben letzten Stellen der IP haben.

Muss ich sonst noch was berücksichtigen? In einem Weg soll auch 'Ferndruck' funktionieren, also vom Laptop in Netz A auf Drucker in Netz B etwas ausdrucken...

 

[mblaster4711]

welche Verbindung würdet ihr einrichten

Da funktioniert moment nur IPSec, weil die Fritte für WireGuard nur den Server hat.

wobei die Endgeräte, die sich teilweise an beiden (allen drei) Boxen in's W-LAN einloggen, dieselben letzten Stellen der IP haben.

die Geräte sind ja nicht in beiden Weg ans gleichzeitig aktiv. Da ist das egal.

In einem Weg soll auch 'Ferndruck' funktionieren, also vom Laptop in Netz A auf Drucker in Netz B

hierbei muss man einfach die Drucker so einrichten, dass die über IP Protokoll ansprechbar sind.

kommt auch noch eine mobil genutzte Fritz als gesamt 3. Box dazu.

Die kann aber nur zu einer der beiden anderen Fritten ein VPN (gleichzeitig) aufbauen. Ob ein durchrouten von der 3. zur 2. und nochmals weiter zur 1. Fritte geht, weiß ich nicht (habe nur ein Kind das auf meine NAS zugreifen muss).
Von unterwegs nutze ich auf dem iPhone/Android IPSec und WireGuard am Windows Laptop.

Und warum

10.a.10.NN und einmal 10.b.10.NN

und nicht 10.1.1.n und 10.1.2.n ?
Die Frage ist nur interessehalber.
Da spart man sich Tipp-Arbeit beim Ping, beim Netzplan, Konfiguration etc.
Das komplett 10.0.0.0/8 ist ja privat.

 

[pueh]

Da funktioniert moment nur IPSec, weil die Fritte für WireGuard nur den Server hat.

schade, damit hat sich ja jegliche Überlegung in dieser Richtung (a oder b) erledigt...

die Geräte sind ja nicht in beiden Weg ans gleichzeitig aktiv. Da ist das egal.

war/ist auch eher der Übersichtlichkeit wegen, damit man sich nicht umgewöhnen muss.

Aber stimmt, gleichzeitig geht bei >150km auch schlecht, so ein W-LAN habe ich noch nicht erlebt...

hierbei muss man einfach die Drucker so einrichten, dass die über IP Protokoll ansprechbar sind.

ist nur einer - müsste klappen, da der per W-LAN *und* USB mit einer der Boxen verbunden ist.

Die kann aber nur zu einer der beiden anderen Fritten ein VPN (gleichzeitig) aufbauen. Ob ein durchrouten von der 3. zur 2. und nochmals weiter zur 1. Fritte geht, weiß ich nicht

soll dann, so habe ich es verstanden, "ein grosses" Netz geben - aber das ist noch lange nicht soweit...

Und warum ... nicht 10.1.1.n und 10.1.2.n ?
Die Frage ist nur interessehalber.
Da spart man sich Tipp-Arbeit beim Ping, beim Netzplan, Konfiguration etc.
Das komplett 10.0.0.0/8 ist ja privat.

richtig, ist historisch gewachsen, und hat auch ein bissel was mit Spleen zu tun

Eine Frage noch: Der jeweilige Internetzugang bleibt aber, wenn ich die jeweilige interne IP der Fritte als 'Gateway' eintrage, unverändert?! Die sollen nämlich nicht gekoppelt sein/werden...
hat sich erledigt, lesen half - "gesamten Netzwerkverkehr über die VPN-Verbindung abwickeln" ist der Punkt, der dann nicht aktiviert sein darf

 

[pueh]

hmmm, alles eingerichtet, klappt aber nicht...

Beide Boxen sind per myfritz.net eingeloggt (und ich in beiden per Ferwartung, beisst sich da evtl. was?), auch habe ich den Namen der Verbindung jetzt unterschiedlich eingegebe, aber dasselbe Passwort (wird irgendwo nirgends mehr abgefragt?)...

Auch eine direkte Anwahl der jeweiligen IP klappt logischerweise *nicht*...

Kann es ggf. damit zusammenhängen, dass eine Box via DSL (IPv4 *und* IPv6) und eine via externem Glasfasermodem am LAN1 (nur IPv4) am Internet hängt? Natürlich ist das VPN per IPv4 eingerichtet

Bin ein wenig ratlos...

 

[mblaster4711]

da der per W-LAN *und* USB mit einer der Boxen verbunden ist.

? *und* ?
Per USB an der Fritte, dann ist die IP der Fritte = IP für den Drucker.
Besser wäre es, wenn der Drucker selbst über (W)LAN verfügt, dann sind auch alle Funktionen verfügbar (Tintenstand, Scanner…).

und ich in beiden per Ferwartung, beisst sich da evtl. was?

Mit einem PC/Gerät ? JA
Mit zwei PCs/Geräten? NEIN

myfritz.net

Mag ich nicht, ich verwende DynDNS Dienst dnsHome.de

Kann es ggf. damit zusammenhängen, dass eine Box via DSL (IPv4 *und* IPv6) und eine via externem Glasfasermodem am LAN1 (nur IPv4) am Internet hängt? Natürlich ist das VPN per IPv4 eingerichtet

Beide IP 4 oder IP 6 wäre schöner.
Gemischt geht auch, ABER dann kann die Verbindung nur von IP6 zu IP4 aufgebaut werden. Somit benötigt auch nur die IP4 einen DynDNS.

Wenn das Glasfaser-Modem nur ein Modem ist und der Internetzugang über der Fritte geschieht (Benutzernamen, Passwort PPOE), dann ist alles gut. Aber dank IPv4

Bei der Box mit IPv4&6, ist das echtes IPv4 oder dieser DS-Lite Mist ? Mit DS-Lite ist die Fritte aus dem Internet nicht über IPv4 erreichbar.

Hier noch was zum nachlesen
WireGuard kann keine VPN-Verbindung zur FRITZ!Box herstellen | FRITZ!Box 7590

 

[pueh]

? *und* ?
Per USB an der Fritte, dann ist die IP der Fritte = IP für den Drucker.
Besser wäre es, wenn der Drucker selbst über (W)LAN verfügt, dann sind auch alle Funktionen verfügbar (Tintenstand, Scanner…).

schadet 'beides'? USB *und* W-LAN... War so, habe ich nicht geändert, könnte aber USB abziehen lassen

Mit einem PC/Gerät ? JA
Mit zwei PCs/Geräten? NEIN

oh, dann gehe ich mit einem mal runter - stört auch 'einmal internes Netz, einmal via myfritz' (vom selben PC) genauso?

Beide IP 4 oder IP 6 wäre schöner.

sind sie ja, beide IPv4. Einmal Telekom-DSL, einmal EWE-Glasfaser.

Wenn das Glasfaser-Modem nur ein Modem ist und der Internetzugang über der Fritte geschieht (Benutzernamen, Passwort PPOE), dann ist alles gut. Aber dank IPv4

ja, so isses.

Bei der Box mit IPv4&6, ist das echtes IPv4 oder dieser DS-Lite Mist ? Mit DS-Lite ist die Fritte aus dem Internet nicht über IPv4 erreichbar.

boah, müsste ich mal ausprobieren - reicht die IP im Browser eingeben (von mobil aus)?

Hier noch was zum nachlesen
WireGuard kann keine VPN-Verbindung zur FRITZ!Box herstellen | FRITZ!Box 7590

isch abbä nix Wireguard


aber nochmal zum Verständnis: Bei beiden Boxen dasselbe Passwort, aber unterschiedliche Namen der VPN-Verbindung passt? Und sollte man 'dauerhafte Verbindung' eher ein- oder ausschalten (im Sinne der Belastung und ggf. Stromverbrauch)?

Meine Einstellungen sind:

- beide Boxen IPv4 (einmal Telekom Magenta, einmal EWE-Glasfaser mit ext. Modem)

Box "Zentrale" (der Fritz-Anleitung folgend):
VPN-Kennwort: 123456 (beide Boxen dasselbe)
Name der VPN-Verbindung: 99-VPN-zenfil
Internetadresse Gegenstelle: x5***.myfritz.net
Internetadresse diese Fritz: 1b***.myfritz.net
IP-Netzwerk Gegenstelle: 10.A.30.N <- trage ich hier bei N die '(interne) IP der Fritzbox ein?
Subnet: 255.255.255.0
[X] VPN dauerhaft halten
[X] NetBIOS zulassen
keine weiteren Einstellungen unter "erweiterte"

Box "Filiale" (der Fritz-Anleitung folgend):
VPN-Kennwort: 123456 (beide Boxen dasselbe)
Name der VPN-Verbindung: 99-VPN-filzen
Internetadresse Gegenstelle: 1b***.myfritz.net
Internetadresse diese Fritz: x5***.myfritz.net
IP-Netzwerk Gegenstelle: 10.B.30.N <- trage ich hier bei N die '(interne) IP der Fritzbox ein?
Subnet: 255.255.255.0
[X] VPN dauerhaft halten
[X] NetBIOS zulassen
keine weiteren Einstellungen unter "erweiterte"

 

[mblaster4711]

boah, müsste ich mal ausprobieren

Telekom hat echtes IP4.

Wireguard

Ist für PC/Laptops und wenn’s sein muss auch für Android um sich von unterwegs zuhause einwählen zu können.
Haben tut es dir Fritte, sonst hättest du vermutlich nicht im Titel davon geschrieben.
Für die Endgeräte musst du es herunterladen und installieren…

schadet 'beides

Über WLAN kann ein Drucker mehr, als über USB. Besonders in der Hinsicht, wenn von mehrere PCs/Smartphones aus gedruckt werden soll.

Zum Rest kommt später noch Antworten, muss erst selbst an meiner Fritte gucken.

Beiträge automatisch zusammengeführt: 29.08.2023

10.A.30.N <- trage ich hier bei N die '(interne) IP der Fritzbox ein

Nein. Da muss eine 0 rein

 

[pueh]

done:
- IPv6 deaktiviert (Interneteinstellungen Box am Telekom-Anschluss)
- bei 'N' (beide Fritten) die Null eingetragen
- getestet, die 'entfernte' Fritz per *dortiger* interner IP zu erreichen
- LÄUFT
- auf den Drucker (feste IP) komme ich auch
- und dass er druckt, kriege ich auch noch hin...

DANKE, die Null war die Kleinigkeit, die ich falsch gemacht hatte!

 

[Tito]

Ich hänge mich mal hier mit rein, habe ein ähnliches Problem. Ich habe vor ein paar Monaten konfiguriert, dass ich auf die 7490 meiner Eltern zugreifen kann, per IPSEC. Dies hat bis vor kurzem auch funktioniert, ich kam auf die Box und auf angeschlossene Geräte. Dies funktionierte sogar von unterwegs, ich konnte per Wireguard auf meine 6591 und da in dieser der Fernzugang zur 7490 meiner Eltern eingerichtet war funktionierte alles.

Seit Samstag funktioniert es nicht mehr. Wenn ich mich nun auf meine 6591 einlogge, so steht auch kein grüner Punkt am Fernzugang "Eltern7490". Interessanterweise steht in meinem MyFritz Account (Der natürlich auf beiden Boxen eingerichtet ist), dass sich die Box zum letzten Mal im April mit MyFritz verbunden habe.

Ich vermute, dass die Probleme irgendwas mit dem kürzlichen Update auf 7.57 auf der 7490 zu tun haben.

Nun überlege ich, ob es ggf. sinnvoll ist, von IPSEC auf Wireguard umzuswitchen. Die 7490 unterstützt das zwar nicht vollständig, aber wenn ich das richtig sehe, so sind die beiden Punkte die nicht funktionieren lediglich:

• "Gesamten Netzwerkverkehr über die VPN-Verbindung senden"
• "Nur bestimmte Geräte im Heimnetz sollen über diese WireGuard-Verbindung erreichbar sein"

Die passende Anleitung von AVM findet sich hier:

WireGuard-VPN zwischen zwei FRITZ!Box-Netzwerken einrichten | AVM Deutschland

Kann mir bitte jemand sagen, welche der Boxen "Filiale" und "Zentrale" in der Anleitung nun die entfernte Box, also die meiner Eltern sein soll?

 

[pueh]

Kann mir bitte jemand sagen, welche der Boxen "Filiale" und "Zentrale" in der Anleitung nun die entfernte Box, also die meiner Eltern sein soll?

das kommt auf Deine Verteilung an - bist Du Chef of Fritzen, oder Mama+Papa/

 

[Tito]

Ich bin der Chef. Also es geht darum, dass ich wartungstechnisch auf die FB meiner Eltern zugreifen kann. Und das hat, wie oben beschrieben bis vor kurzem funktioniert. Auf der Fritzbox meiner Eltern läuft auch mein MyFritz-Account. Nur online steht in meinem Fritz-Account, dass sich die 7490 meiner Eltern seit April nicht mehr mit MyFritz verbunden hat.

Auf meiner 6591 läuft bereits Wireguard, damit ich von meinem Handy auf mein Heimnetz komme. Bei diesem Link:
WireGuard-VPN zwischen zwei FRITZ!Box-Netzwerken einrichten | AVM Deutschland
steht zB auch, dass ich bei bereits vorhandenem Wireguard die Einstellungen herunterladen soll.

Daher müsste ich auch wissen, was im besagten Beispiel nun Filiale und was Zentrale sein soll. Auf meiner 6591 läuft Wireguard bereits, auf der 7490 meiner Eltern nicht.

 

[pueh]

wo sitzt Scheff, Filiale oder Zentrale?

Mixed WG und IP funzt net...

 

[pueh]

so,jetzt nochmal mit 'richtiger' Tastatur, ist doch einfacher, vor allem beim Teilzitat:

Ich bin der Chef.

ok, Du bist der Depp, der Elterns Fritz am Laufen halten soll - woher kenne ich das nur?!

Also es geht darum, dass ich wartungstechnisch auf die FB meiner Eltern zugreifen kann.

s.o.

Auf der Fritzbox meiner Eltern läuft auch mein MyFritz-Account. Nur online steht in meinem Fritz-Account, dass sich die 7490 meiner Eltern seit April nicht mehr mit MyFritz verbunden hat.

aaah, letzteres ist ein sehr wichtiger Ansatz, da würde ich ansetzen... Weil (wenn Du via MF verbindest): kein MF, kein VPN... Geht ja auch nicht, wenn das Ziel 'offline' ist (iSv 'nicht als das erreichbar, was es sein soll). Ich habe lange per MF-Login gearbeitet, wurde mir aber zu doof, azusserdem musste ich aus anderem Grund auch beide Netze verbinden - es wird richtig klasse

Auf meiner 6591 läuft bereits Wireguard, damit ich von meinem Handy auf mein Heimnetz komme. Bei diesem Link:
WireGuard-VPN zwischen zwei FRITZ!Box-Netzwerken einrichten | AVM Deutschland
steht zB auch, dass ich bei bereits vorhandenem Wireguard die Einstellungen herunterladen soll.

irgendwo habe ich gelesen, dass zwei Fritzem mit WG verbinden nicht funktioniert - aber wenn ich mich ganz dunkel richtig erinnere, soll das mittlerweile funktionieren...

Ich habe es per myFritz-IPSEC realisiert, s.o., und das laeuft wunderbar - der Unterwegszugriff wird dann ein nächster Schritt, so ist's schon gut.

Daher müsste ich auch wissen, was im besagten Beispiel nun Filiale und was Zentrale sein soll. Auf meiner 6591 läuft Wireguard bereits, auf der 7490 meiner Eltern nicht.

also nochmal: Du Zentrale, Eltern Filiale - also kontrovers zur Genealogie

 

[mblaster4711]

@Tito
Eigentlich benötigst du kein Fritz-Fritz-VPN, nur um die Box Deiner Eltern fernzuwarten. Wenn WireGuard möglich ist, kannst du dich darüber verbinden, egal ob PC oder Smartphone.
Wichtig ist nur, dass die Fritte Deiner Eltern über ein FQN (DNS Name für die öffentliche IP der Fritte) erreichbar ist. Da sich die Box bei jeder neuen Internetverbindung eine neue IP Adresse ziehen kann, würde eben MyFritz oder DynDns benötigt, damit die Box immer über den selben Namen erreichbar ist ( mamapapafritzbox.dnshome.de ).

Ein Fritz-Fritz-VPN nutze ich mit meiner Tochter, damit KODi auf ihrem FireTV oder ihr Laptop auf mein NAS zugreifen kann.