Was verstehst du unter freigegeben? M.E. muss der Port an die zweite FB weitergeleitet werden, Port Forwarding sollte es sein.

In der 6660 unter Freigaben - Portfreigaben habe ich den Port eingetragen, muss man das noch woanders machen?

Screenshot 2023-12-06 at 19-16-39 FRITZ!Box 6660 Cable.png

Warum muss da was freigegeben werden. Stehen die beiden irgendwie auch getrennt zueinander? Oder die 6660 nicht einfach nur ein Switch/AP im LAN der 7590.

Sind das zwei komplett getrennte Fritzen an zwei getrennten Internetanschlüssen. Dann muss doch nur der Client(PC oder Handy) die VPN Einstellungen der 7590 haben, da interessiert es ja nicht über welchem Netzt der Client gerade selbst am Internet hängt.

Ah, das hätte ich noch dazu schreiben können.. die 6660 ist das Modem und die 7590 ist dahinter über den WAN Port angeschlossen und somit in einem eigenem Netz.

Wenn ich dich richtig verstanden habe, sieht deine Konstellation so aus:
Internet -> Fbox 6660 WAN-Port
​​Bei dieser Konstellation muss in der ersten Box der Port freigegeben werden und an die zweite Box geleitet werden.

Vermutlich eher nicht. Bin mir nicht sicher, aber ich gehe davon aus, das die Fritze einfach ihre WAN-IP an MyFritz weitergibt. Die zweite Box hat aber keine WAN-IP im eigentlichen Sinne (ist ja eine interne der ersten Box).


Anderes Thema: Hör auf interne IPs zu maskieren (zumindest bei IPv4). Das ist völlig unnötig und bei Fragen zu Netzwerk auch absolut kontraproduktiv. Die einzige IP die evtl. schützenswert sein könnte, ist deine externe.

Korrekt so ist es aufgebaut.

Alles was ich bisher an Portfreigaben eingerichtet habe, ist die auf dem Screenshot.

Also müsste der Endpunkt auf die MyFritzAdresse der 6660 gehen?
Oder müsste der gesamte VPN an der Box enden und der Rest über die Portfreigabe laufen?


Okay, ist notiert

Die MyFritz-Adresse ist ja nichts anderes wie DynDNS, hierüber erfährt dein VPN-Client über welche IP er sich verbinden muss. Dies muss deine externe (öffentliche) IP sein, sonst kommst du ja nicht bei dir an. Nun bist du am Eingang der 6660, die Portweiterleitung schickt dich weiter zur 7590, die dann das VPN macht.

Nachteil in dieser Konfiguration: Du kannst die automatischen Funktionen (wie z.B. das Einrichten über den QR-Code) zwar benutzen, musst aber nachher die Adresse ändern, denn die 7590 weiß ja die MyFritz-Adresse der 6660 nicht.

Moin Andreas,

danke erst einmal für die Hilfe

Im Anhang ist ein Bild von der Konfiguration im Endgerät. Diese Daten beziehen sich alle auf die 7590 und wurden automatisch durch den QR Code erstellt.
Wenn ich das jetzt richtig verstehe muss ich da jetzt als Endpunkt die myfritz Adresse der 6660 angeben? Diese endet ja mit ...myfritz.net:+( dem Port des WG VPNS aus der 7590, welchen ich in der 6660 freigegeben habe.
Muss ich dort auch den Adressbereich anpassen? Die Box davor hat das Netz 192.168.198.x aus der Richtung geschaut, ist die 7590 somit auch in dem 198.x.

In der 6660 ist nur die Portweiterleitung für den WG-Port eingerichtet und kein VPN.
In der 7590 ist nur der automatisch erstellte WG Zugang aktiv und sonst nichts weiter geändert, korrekt?

image0.png

Viele Grüße
Fischi

Hab ich doch oben schon geschrieben.

Du hast doch selbst geschrieben, die 7590 baut ihr eigenes Netz auf und du willst doch mit deinem VPN-Client in das Netz der 7590, warum willst du dann die IPs der Client-Konfiguration an das Netz der 6660 anpassen? Deren einzigen Aufgaben in Bezug auf das VPN ist es doch nur, ankommende Verbindungen auf den entsprechenden Port der 7590 zu leiten (und wieder raus zu lassen), sowie ihre WAN(öffentliche)-IP an MyFritz weiterzugeben.


Nun zu deinem Screenshot: Ich würde dir nun empfehlen, alle VPN-Einstellungen in der Fritzbox und Client zu löschen und noch mal neu zu erstellen. Am Anfang hast du unnötig interne IPs maskiert und jetzt stellst du (zumindest in Teilen) private Keys für den VPN-Aufbau öffentlich sichtbar hier rein... Fehlt ja fast nur noch die richtige MyFritz-Adresse und jeder kann sich in dein Netz einwählen...




Um noch mal klar zu stellen, ich habe das alles nicht ausprobiert, das was ich bisher geschrieben habe, leitet sich logisch vom Aufbau her ab. Ob die Fritzbox den Verbindungsaufbau nachher akzeptiert, ist noch mal ne andere Geschichte und wirst du testen müssen.

Da es nicht funktioniert hat, wollte ich nur noch einmal nachfragen, ob ich das so richtig verstanden habe.

Screenshot ist geändert, ich habe den ganzen Krams eh noch einmal komplett von vorn gemacht, nun springt der Endpunkt beim Einschalten des VPN von der Myfritz Adresse der 6660 auf die IPv6 Adresse, welche ich unter dem Online-Monitor der Box finden kann.
Dann gehe ich davon aus, der Tunnel wird aufgebaut, aber etwas in der Weiterleitung zur 7590 stimmt nicht?

Hi,

warum lässt Du die 7590 als Router laufen, der ein eigenes Netz aufmacht? Lass die doch als IP-Client werkeln, mach das VPM an der 6660 und alles ist gut? Gibt es einen Grund, warum die 7590 ein eigenes Subnetz aufmacht?

Gruß, Waldemar

Moin Waldemar,

auf die 6660 kann noch jemand anderes zugreifen, deswegen hätte ich meine Sachen gerne in einem eignen Netz laufen.

viele Grüße
Fischi

Weil man sich vom "Providernetz" abkoppeln möchte. Sonst könnt man ja direkt das Netz der 6660 nutzen.

Also wenn ich schon 2 FBs hinter einander knallen würde, würde ich es so auch machen.

Es gibt aber diverse Fragen bei diesem Setup.

Meldet die zweite FB überhaupt die richtige Adresse an MyFritz? Immerhin weis die zweite Box nichts von dem NAT der ersten BOX. Ich hätte daher eher auf der erste Box das MyFritz eingerichtet. Damit würde zumindest die DNS Auslösung stimmen. Aber wenn der Provider nicht auch noch ein NAT macht (Dual-Stack-Lite). Dann klappt das komplette vorhaben nicht.

Wobei dann kommt das Problem mit dem IPv6 dazu. Macht die erste Box das DNS (MyFritz) stimmt da die IPv4 Adresse im DNS aber nicht für IPv6, da die zweite Fritzbox eine eigenen öffentliche IPv6 Adresse bekommt. Auch findet hier die Freigabe anders statt.

• Somit würde ich erstmal versuchen herauszufinden, ob du auf der 6660 überhaupt ein vollwertiges Internet (kein Dualstack-Lite) bekommen hast.
• Dann musst du schauen wie die IP Konfig von der zweiten ist. IPv4 oder Dualstack-Lite (auf der zweiten Box wäre es Dualstack-Lite weil die erste sicher NAT macht)
• Und dann kann man darüber reden, wie du Wireguard aufbauen möchtest. Denn bei DualStack Lite auf der ersten Box wird das nichts.