2. FritzBox für VPN Netz verwenden

[Simuletsplay]

Hallo zusammen,

ich habe folgende Vorstellung und wollte fragen OB und WIE es funktionieren könnte...

Ich habe an 2 Standorten jeweils eine Fritzbox.
Nun habe ich noch einen Router übrig, den ich gerne an einem Standort als "Subnetz" hinzufügen möchte, der dann aber gleichzeitig ein VPN zum 2. Standort aufbaut.
Also um es einmal grafisch darzustellen:



Ist das problemlos möglich?
Für Fragen bin ich gerne offen...


Vielen Dank und viele Grüße
Ben

 

[Barungar]

Mit leichten Einschränkungen sollte das möglich sein. Du wirst die Verbindung von Router 1 zu Router 3 nicht aufbauen können. Router 3 muss jeweils die Verbindung zu Router 1 initiieren. Das "Problem" an der Sache ist, dass Router 3 keine öffentliche IPv4 haben wird, mit etwas Glück hat er eine öffentliche IPv6. Eventuell kannst Du auch auf Router 2 Portweiterleitungen machen, die Router 3 das Leben erleichtern.

Aber für Dein Vorhaben ist die dritte FritzBox gar nicht notwendig. Du kannst das auch schon direkt mit Router 1 und Router 2 realisieren. Die FritzBox kann nämlich ein eigenes VPN-Subnetz erzeugen. Dazu gibst Du bei der Konfiguration des VPNs auf Router 2 einfach an, dass das VPN nur an einen dezidierten Port bereitgestellt werden soll und ein eigenes IP-Subnetz erhalten soll. Fertig! Du hast ein komplett abgeschottetes IP-Subnetz. Ganz ohne eine dritte FritzBox. Und wenn Du es direkt über Router 2 machst, entfallen auch alle Einschränkungen, die ich im Absatz zuvor erwähnt habe.

Hier das passende Screenshot, wie man es in den erweiterten Einstellungen des VPNs (auf Router 2) einrichten muss.


Damit bildet die FritzBox an LAN 2 ein eignes Netzwerk (VLAN), das man mit einem Switch abgreifen kann und in beliebig viele Ports multiplizieren kann. Auch für dieses Subnetz macht die FritzBox den DHCP-Server, allerdings mit dem hier angegebenen IP-Subnetz; sie selbst beansprucht dabei die .1 für sich. Die IPs oben sind einfach nur Beispiele, Du kannst da nach den Regeln der IP-Netze natürlich Deine Wunschangaben nehmen.

Zwischen den VPN-Subnetz, dem Heimnetz und dem Gastnetz gibt es dann keinerlei Verbindung. Du hast denn effektiv drei getrennte Netze (VLANs) am Standort von Router 2.

 

[Simuletsplay]

Moin,

ok das Prinzip OHNE 3. Router klingt ja einfacher...

Kann ich für das vLan dann auch eine eigene SSID einschalten? Oder brauche ich dafür einen AP an meinem Switch im vLan an dem LAN 2 Port an der FritzBox?

Du hast denn effektiv drei getrennte Netze (VLANs) am Standort von Router 2.

Wieso habe ich 3 getrennte Netze?
Es sind doch nur 2 getrennte Netze oder nicht?

In welchem Verhältnis steht das Heimnetz (also das Hauptnetz von Router 2) zu dem Netz von Router 1?
Muss ich hier Bedenken haben?
Werden bei der Einrichtung irgendwelche Geräte aus den jeweiligen Netzen betroffen sein? Oder wird alles weiterhin problemlos funktionieren?

Viele Grüße
Ben

 

[blurrrr]

Kann ich für das vLan dann auch eine eigene SSID einschalten? Oder brauche ich dafür einen AP an meinem Switch im vLan an dem LAN 2 Port an der FritzBox?

Könntest die 3. Fritzbox im Client-Modus betreiben, dann verhält sich das Ding einfach nur wie ein Accesspoint (mit integriertem Switch). Kannst Du dann einfach an besagten Port der 2. Fritzbox anschliessen.

EDIT:

Wieso habe ich 3 getrennte Netze?

Weil die 2. Fritzbox an einem LAN-Port nochmal ein extra Netz erzeugt, s. Screenshot von @Barungar.

 

[EOL2707]

Hi,

Kann ich für das vLan dann auch eine eigene SSID einschalten?

Nein, das geht mit einer FB nicht.

Oder brauche ich dafür einen AP an meinem Switch im vLan an dem LAN 2 Port an der FritzBox?

Genau.

Wieso habe ich 3 getrennte Netze?

Die FB verwaltet standardmäßig noch ein Gastnetzwerk, dass du in deinem Szenario nicht benötigst. Aber du könntest es für seinen eigentlichen Zweck als Gastnetz verwenden und dann wäre es ein drittes Subnetz, das die FB (Router#2) zur Verfügung stellt und das durch die Firewall der FB von den anderen Subnetzen getrennt ist.

In welchem Verhältnis steht das Heimnetz (also das Hauptnetz von Router 2) zu dem Netz von Router 1?

Die beiden Subnetze können nicht miteinander reden, d.h. es gibt keine Möglichkeit innerhalb der FB, Netzwerkpakete zwischen diesen Subnetzen zu routen.

Oder wird alles weiterhin problemlos funktionieren?

Die Subnetze an Router#1 und das VPN-Subnetz an Router#2 funktionieren an den jeweiligen FB autonom. Wenn eine VPN-Verbindung aufgebaut ist, können die Geräte im Heimnetz von Router#1 mit den Geräten im VPN-Subnetz von Router#2 (und umgekehrt) sprechen.
Der Heimnetz an Router#2 bleibt davon unberührt. Ich würde aber trotzdem empfehlen, dass das Subnetz für das jeweilige Heimnetz in einer der beiden FBen umkonfiguriert wird, weg von 192.168.178.0/24 z.B. auf 192.168.100.0/24.

VG