Aktuelles
Von:
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Support VPN Tunnel zwischen Fritzbox7530 und 7490

kautz8953

kautz8953

Power Elite User
Premium
Registriert
21. April 2013
Beiträge
2.197
Lösungen
1
Reaktionspunkte
2.844
Punkte
2.010
Ort
Keine ahnung
Hey zusammen, ich hoffe das mir hier jemand helfen kann.

Ich habe folgendes Problem:

ich würde gern ein Gerät was bei meinen Eltern steht in mein Heimnetzwerk einbinden bzw. Über meinen Internet Anschluss surfen lassen.

Dafür habe ich eine VPN Verbindung zwischen den Boxen eingerichtet.

Die IP von meinem Netzwerk liegt da bei den Standard Einstellungen. Die meiner Eltern quasi auch bei dem Standard 188 Präfix vom Vorschlag. Das Gerät was über die VPN Verbindung ausgewählt wurde kriegt eine eigene Präfix 190. was auch alles einwandfrei funktioniert. Es ist nur so das sobald dieses Gerät über den VPN Tunnel surft die kompletten Netzwerkverbindungen sowie die Telefonie über SIP nicht mehr funktioniert.

Ist das was ich da mache mit dem Modell 7490 überhaupt möglich? Oder wo könnte ich da einen Fehler gemacht haben?

Wäre über eine Unterstützung oder Antwort dankbar.

Schöne Grüße.
 
Lösung
prisrak
Das geht grundsätzlich mit der FRITZ!Box 7490, aber mit ein paar Einschränkungen – gerade bei klassischen IPsec-VPNs zwischen zwei Boxen.
Was du gerade erlebst, klingt nach einem Routing-Problem, weil die FRITZ!Box beim „dritten Präfix“ alles in den Tunnel schickt und dadurch dein Heimnetz blockiert wird.

Kurz erklärt:​

  • Wenn du eine LAN-LAN-Kopplung machst (zwischen zwei FRITZ!Boxen), dann baut AVM standardmäßig ein eigenes Subnetz je Standort auf.
  • Sobald du aber ein einzelnes Gerät „zwingen“ willst, über deinen Anschluss zu surfen, versucht die Box, den kompletten Traffic durch den Tunnel zu schicken → und blockiert sich dabei selbst (Telefonie, Internet).

Lösungsmöglichkeiten:​

...
Nach Datum sortieren Nach Stimmen sortieren
Da bin ich gespannt, ob das bei dir auch so klappt, daher bitte um Feedback dazu
Kurz: Ja – das geht sauber mit DS-Lite, ohne Portmapper. Der Trick ist: den VPN-Transport über IPv6 aufbauen, aber darin IPv4 zum LAN routen. Dann erreichst du auch einen rein-IPv4-Host wie den Gira X1 über den Tunnel.

Was hier (sehr wahrscheinlich) passiert​

  • DS-Lite = kein eingehendes öffentliches IPv4 beim Kunden. Eingehendes IPv6 geht.
  • Dein VPN kommt per IPv6 rein, transportiert aber nur IPv6 – und der X1 spricht nur IPv4 → deshalb kein Zugriff.

Lösung A (empfohlen, “privat”, kostenlos): WireGuard v6-Transport, v4-Routing im Tunnel​


Setz beim Kunden eine kleine Kiste (RasPi / OpenWrt / Linux-Mini-PC) als WG-Server hin:

  1. WireGuard-Server (beim Kunden)
    • WG lauscht auf IPv6, z. B. UDP/51820 → im Router/Firewall IPv6-Port freigeben.
    • Tunnel-Adressen: innen IPv4 (z. B. 10.7.0.1/24). Optional zusätzlich ein v6-/64, aber nicht nötig.
    • IPv4-Forwarding aktivieren und ins LAN routen/NATen.
    • Code: 
      # /etc/wireguard/wg0.conf  (Server, Kundenstandort)
[Interface]
Address = 10.7.0.1/24
ListenPort = 51820
PrivateKey = <server-privkey>

# IPv4 Forwarding + (falls keine statische Route im Gateway möglich) NAT ins LAN
PostUp   = sysctl -w net.ipv4.ip_forward=1
PostUp   = iptables -t nat -A POSTROUTING -s 10.7.0.0/24 -o eth0 -j MASQUERADE
PostDown = iptables -t nat -D POSTROUTING -s 10.7.0.0/24 -o eth0 -j MASQUERADE

[Peer] # Dein Handy/Laptop
PublicKey = <client-pubkey>
AllowedIPs = 10.7.0.2/32
    Eleganter als NAT: Im LAN-Gateway (z. B. Router) eine statische Route für 10.7.0.0/24 → WG-Server setzen, dann kannst du das NAT im WG-Server weglassen.
    Zum Vergrößern anklicken....
  2. WireGuard-Client (Handy/Laptop)

    Verbinden per IPv6 Endpoint (AAAA-Record oder nackte IPv6 in eckigen Klammern).
    • Im Client AllowedIPs gezielt nur die X1-IP (oder das ganze LAN) eintragen – das sind IPv4-Netze, die über den v6-Transport gehen.
    • Code: 
      # wg0.conf (Client)
[Interface]
Address = 10.7.0.2/32
PrivateKey = <client-privkey>
DNS = 10.7.0.1

[Peer]
PublicKey = <server-pubkey>
Endpoint = [2001:db8:...]:51820   # öffentliche IPv6 des Kunden
PersistentKeepalive = 25
# Nur den X1 durch den Tunnel, Beispiel: 192.168.1.50
AllowedIPs = 10.7.0.0/24, 192.168.1.50/32
    Ergebnis: Der Tunnel steht über IPv6, aber du erreichst per IPv4 den X1 (z. B.
    Sie müssen registriert sein, um Links zu sehen.
    :...) durch das WG-Interface.

  1. Firewall-Hinweise
    • Auf dem Kundenrouter: IPv6-UDP/51820 erlauben.
    • Auf dem WG-Server: ggf. ufw/firewalld Regeln für Weiterleitung setzen.
    • Optional: Statt “ganzes LAN” nur die X1-IP über AllowedIPs freigeben (Least Privilege).
Das funktioniert auch dann, wenn dein Client unterwegs nur IPv4 hat?
– Direkt nein (der Server ist IPv6-only erreichbar). In Deutschland haben die meisten Mobilnetze aber IPv6; falls du mal in einem v4-Only-WLAN sitzt, nimm Lösung B.
Zum Vergrößern anklicken....

Lösung B (universell, auch bei v4-Only-Clients): kleiner VPS als Hub​

  • Beim Kunden: WG-Site-Tunnel nach außen zu einem günstigen VPS (v4+v6).
  • Du verbindest dich zum VPS (v4 oder v6), der routed zum Kunden.
  • Kostet ein paar €/Monat, aber kein Portmapper und volle Kontrolle (eigener “privater” Tunnel).

Lösung C (am schnellsten eingerichtet, kostenlos im kleinen Rahmen)​

  • Tailscale oder ZeroTier auf einem RasPi beim Kunden als Subnet Router für 192.168.1.0/24 bzw. nur 192.168.1.50/32.
  • Kein Port-Forwarding nötig, DS-Lite egal.
  • Für “wirklich privat” kannst du Headscale (Self-Hosted Tailscale-Control-Server) betreiben – braucht aber trotzdem irgendeinen erreichbaren Server im Internet.

Lösung D (wenn’s der Provider zulässt)​

  • Beim ISP auf echtes Dual-Stack umstellen lassen (manchmal kostenlos im Business-Profil). Dann könntest du auch klassisch per v4 arbeiten.

Kurzer Troubleshooting-Leitfaden​

  • Tunnel steht, aber X1 nicht erreichbar:
    • ip a → hat der Client 10.7.0.2?
    • wg show → Handshake frisch?
    • ping 10.7.0.1 geht?
    • Vom WG-Server: ping 192.168.1.50 → erreichbar?
    • Wenn ja, fehlt meist Forwarding/Route/NAT zwischen WG-Server und LAN.
  • Aus Hotel-WLAN (v4-Only) klappt es nicht → nutze Lösung B (VPS-Hub) oder C (Tailscale).
 
Positive Stimme 0 Negative Stimme
Hallo zusammen, ich habe jetzt mal den Gli.Net Router eingerichtet. Die wireguard Verbindung funktioniert auch. Aber der Apple TV surft dennoch über den eigentlichen Internet Anschluss. Habe da jetzt keine Einstellungen gefunden wo ich das anpassen könnte. Ich hoffe das mir jemand einen tip geben kann.

Momentan ist folgendes eingerichtet:
Wireguard wie Handy zur FRITZ!Box. Und dann hab ich mir die Daten als cfg runter geladen und im Gli.net Router bei Wireguard Client eingetragen. Also wie gesagt Zugriff auf meine netzwerkgeräte funktionieren. Aber die Geräte die ich in lan einstecke Server nach wie vor über den Lokalen Internet Anschluss.

Edit:

Mit Standard cfg die die FRITZ!Box als normaler Client erstellt kriege ich so Zugriff auf das Heimnetzwerk. Sobald ich den Internet Zugang nur auf VPN beschränke ist es vorbei mit Traffic.

Habe das ganze hier getestet zuhause über WLAN vom Nachbarn.

Dann habe ich mir gedacht der findet wohl die Routen nicht. Und habe mal eine Router zu Router wireguard Verbindung gemacht.


Alles Standard Einstellungen von den IP-Adressen.
Bei der FRITZ!box steht entferntes Netzwerk: 192.168.8.0/24


Die cfg Datei habe ich wie folgt angepasst:

[Interface]
Address = 192.168.8.1/24
ListenPort = 62687
PrivateKey = xxxxxx
DNS = 192.168.178.1, 192.168.8.1
MTU = 1420


[Peer]
AllowedIPs = 192.168.8.0/24, 0.0.0.0/0
Endpoint = dyndns:54317
PublicKey = xxxxx
PresharedKey = xxxxxx

Der VPN verbindet so aber ich habe so Garkeinen Netzwerk Zugriff, und Internet geht auch ohne die „nur VPN Sperre“ auch nicht.

An DS-Lite kann es nicht liegen. Hat keiner der Internet Anschlüsse. Haben alle dynamische V4 Adressen.

Ansonsten ist die Funktion mit dem reinen Client Zugriff mit dem Ding schon vielversprechend für meine anderen Vorhaben. Jedoch benötige ich bei meinen Eltern ja eigendlich den Internet fern Zugang :) also quasi ist der lokale Netzwerk Traffic hupe geht ja nur darum das das Gerät von meinem privaten Anschluss surft um diese kack Fremder Haushalt Sperre zu umgehen.


Edit: habe was gefunden, es wird wohl die LUCI Anwendung installiert werden müssen für meine Funktion. Trinke aber jetzt erstmal ein kühles blondes :)
 
Zuletzt bearbeitet:
Positive Stimme 0 Negative Stimme

Ähnliche Themen

kautz8953
Support VPN zwischen 2 FRITZ!Boxen für einen LAN Anschluss.
Antworten
6
Aufrufe
260
kautz8953
kautz8953
V
  • Gelöst
Support VPN Verbindung - Zugriff auf Geräte hinter Fritzbox nicht möglich
2
Antworten
24
Aufrufe
2K
badabum2
B
edgonzo
  • Artikel Artikel
Hardware & Software Neue Fritz!OS 8.20 für 7590
2
Antworten
20
Aufrufe
3K
Typ16
T
M
  • Gelöst
Dreambox, E3RemotePro und PiVPN
Antworten
6
Aufrufe
780
majormajo
M
prisrak
  • Artikel Artikel
PC & Internet So leiten Sie den gesamten Computerverkehr über einen VPN-Server um
Antworten
4
Aufrufe
3K
gefattern
G
Zurück
Oben