Support Speziell: mehrere Fritzboxen per VPN verbinden

[iXware]

Hallo zusammen,

ich habe ein für mich spezielles Problem, bei dessen Lösung ich Hilfe benötige.

folgende Situation:
Fritzbox A (3490 V.7.31- mit Freetz + wireguard)
Fritzbox B (7590 V. 8.20 - mit Freetz)
Fritzbox C (7590 - Firmware unbekannt, vermutilich aktuell, kein Freetz)

IPSec-VPN zwischen Fritzbox A und Fritzbox B funktioniert

Ziel:
das Netz hinter Fritzbox C soll auf das Netz hinter Fritzbox A zugreifen können (am liebsten nur auf bestimmte Hosts), aber auf keinen Fall auf das Netz hinter Fritzbox B. Und das Netz hinter Fritzbox B soll auch nicht auf das Netz hinter Fritzbox C zugreifen können aber auf das komplette Netz hinter Fritzbox A. Das Netz hinter Fritzbox A darf aber auf keinen Fall auf eins der anderen Netze zugreifen..

Frage: ist das überhaupt mit den Fritzboxen möglich? Wenn ja, wie kann ich das erreichen?

 

[prisrak]

Hallo!

Danke, dass du das so genau beschreibst — das ist tatsächlich eine eher ungewöhnliche VPN-Topologie, und mit , und / muss man dabei ein paar Eigenheiten beachten.
Ich gehe Schritt für Schritt durch, was möglich ist und was nicht — und wie man es trotzdem erreichen kann.

Spoiler: Info KI

---

Ausgangslage​

• Fritzbox A (3490)
  • Firmware 7.31
  • Mit und
• Fritzbox B (7590)
  • Firmware 8.20
  • Mit
  • Per klassischem -VPN mit A verbunden → funktioniert
• Fritzbox C (7590)
  • Firmware vermutlich aktuell
  • Kein
  • Soll auf bestimmte Hosts hinter A zugreifen
  • Darf keinen Zugriff auf Netz von B bekommen
  • Netz von B darf keinen Zugriff auf Netz von C bekommen
  • Netz von A darf auf keines der beiden anderen Netze zugreifen

Kurz:

• B → A (Vollzugriff)
• C → A (Teilzugriff, nur bestimmte Hosts)
• B ↔ C (kein Zugriff)
• A → B/C (kein Zugriff)

---

Was mit Standard-Fritzbox-VPN nicht geht​

• Die eingebaute VPN-Funktion der -Fritzboxen (IPSec) kann nur Site-to-Site mit vollständiger Routenweitergabe.
• Sie kann keine Firewall-/Routing-Policies: Wenn zwei Netze per Site-to-Site verbunden sind, routet sie standardmäßig den gesamten Traffic zwischen ihnen.
• Es gibt kein Policy-Based Routing, keine Access Control Lists, keine Paketfilter zwischen VPNs.

Daher ist die gewünschte Trennung mit Bordmitteln allein nicht umsetzbar.
Aber: Mit lässt sich das erzwingen.

---

🛠 Lösungskonzept: A als VPN-Zentralrouter mit Firewall​

Da A schon Freetz und WireGuard hat, kannst du A so konfigurieren, dass:

• A für B per IPSec und für C per WireGuard ein Gateway ist.
• Auf A richtest du Routing und Firewall-Regeln (iptables)so ein, dass:
  • Verbindungen aus B nur zu A dürfen
  • Verbindungen aus C nur zu bestimmten Hosts in A dürfen
  • Verbindungen aus A ins VPN komplett blockiert werden
  • Verbindungen zwischen B und C blockiert werden

Vorteil: Du brauchst auf B und C nichts Komplexes, nur die VPN-Anbindung — die komplette Steuerung macht A.

---

Beispiel-Setup (schematisch)​

Netzwerke​

Box	LAN-Netz	VPN-Verbindung	Besonderheiten
A	192.168.1.0/24	WireGuard & IPSec	zentrale Firewall
B	192.168.2.0/24	IPSec zu A	darf nur auf 192.168.1.0/24
C	192.168.3.0/24	WireGuard zu A	darf nur auf 192.168.1.100 & .101

---

Umsetzung auf Fritzbox A​

1. WireGuard-Tunnel für C einrichten
   • über Freetz-Weboberfläche ein WireGuard-Peer erstellen
   • AllowedIPs = 192.168.3.0/24
2. IPSec-Tunnel für B beibehalten
   • funktioniert bereits
   • Routen nach 192.168.2.0/24 sind vorhanden
3. Firewall-Regeln mit iptables
   

   # Annahme: wg0 ist WireGuard-Interface für C, ipsec0 ist IPSec-Interface für B
   
   # alles standardmäßig verbieten
   iptables -P FORWARD DROP
   
   # B (192.168.2.0/24) darf auf alles im Netz von A
   iptables -A FORWARD -s 192.168.2.0/24 -d 192.168.1.0/24 -j ACCEPT
   
   # C (192.168.3.0/24) darf nur auf bestimmte Hosts
   iptables -A FORWARD -s 192.168.3.0/24 -d 192.168.1.100 -j ACCEPT
   iptables -A FORWARD -s 192.168.3.0/24 -d 192.168.1.101 -j ACCEPT
   
   # Verbiete alles von A nach B oder C
   iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.2.0/24 -j DROP
   iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.3.0/24 -j DROP
   
   # Verbiete direkten Verkehr zwischen B und C
   iptables -A FORWARD -s 192.168.2.0/24 -d 192.168.3.0/24 -j DROP
   iptables -A FORWARD -s 192.168.3.0/24 -d 192.168.2.0/24 -j DROP

4. IP-Forwarding aktivieren (falls nicht)
   

   echo 1 > /proc/sys/net/ipv4/ip_forward

5. Statische Routenfür B und C auf A einrichten
   • In der Freetz-Umgebung unter /etc/network/interfaces oder /etc/iproute2/rt_tables
   • Oder via Weboberfläche statisch eintragen

---

Wichtige Hinweise​

• Diese Konfiguration muss auf A persistent gemacht werden (z. B. über Freetz-Startskripte), da iptables nach Neustart zurückgesetzt wird.
• Box C braucht kein Freetz, nur einen WireGuard-Client (z. B. auf einem einzelnen Host hinter C, falls keine Freetz-Integration möglich ist).
• Alternativ kann man auf C ein separates Gerät (Raspberry Pi, Router) mit WireGuard nutzen, um die Fritzbox nicht modifizieren zu müssen.

---

Ergebnis​

• B sieht A (vollständig)
• C sieht nur bestimmte Hosts in A
• B sieht C nicht
• C sieht B nicht
• A sieht niemanden (keine ausgehenden Regeln erlaubt)