FB 7590 + TP Switch + Vlan + 2 IP Adressbereiche

Genau so ist es, ich will per VPN mit dem Smartphone auf die Fritzbox und von da dann zum VNC im Technik Netz.
Netz hinter dem Mikrotek in der VPN angeben? Bedeutet ich muss der Fritzbox VPN Verbindung sagen das es da ein 192.168.0.xxx Netz gibt? Mach ich das direkt in der VPN Einstellung der Fritzbox?
 
Je nachdem, wie Du es haben möchtest. Entweder alles durch den VPN-Tunnel schicken, oder nur den Traffic für die Netze hinter der Fritz!Box. Wenn Du z.B. Wireguard benutzt, musst Du die Wireguard-Konfiguration für den Client anpassen. Falls das direkt im Client nicht geht, wirst Du die VPN-Client-Konfigurationdatei anpassen und erneut im VPN-Client importieren müssen.
 
Ich nutze ipsec als vpn Verbindung zur Fritzbox. Ich möchte eigentlich nur den Zugriff auf den VNC ermöglichen und später ggf auf eine Überwachungskamera die dann auch hinter dem Mikrotek sitzt
 
Nutzt Du bzgl. dem VPN die AVM-App, oder den eingebauten VPN-Client vom Smartphone-Betriebssystem?

Ich habe hier leider nur eine ältere Android-Version auf einem Tablet. Wähle ich dort "IPSec" in den VPN-Einstellungen vom Android aus, gibt es dort einen Punkt namens "Erweiterte Optionen anzeigen". Danach kann ich DNS-Suchdomains, DNS-Server und "Weiterleitungsrouten" angeben. Letzteres ist dann genau das, was man haben will, da man dann dort noch die entsprechend gewünschten Netze der Gegenseite eintragen kann.

Falls es sich um ein iPhone handeln sollte, wäre man wohl besser damit bedient, wenn man die VPN-Konfiguration händisch erstellt. Zumindestens sehe ich keine Möglichkeit, da noch irgendwie an der - auf dem iPhone erstellen - VPN-Konfiguration rumzuschrauben. Dazu kannst Du z.B. den Apple Configurator nutzen (Mac/MacBook vorausgesetzt), oder die Konfiguration händisch in einem Text-Editor (z.B. Notepad) erstellen. Das ist allerdings (so rein via Notepad) nicht ganz trivial.

Alternativ könntest Du es auch mal via Wireguard versuchen, allerdings habe ich das nie groß genutzt, geschweige denn in Kombi mit einer Fritz!Box. Sollte die Fritz!Box aber eine entsprechende Konfigurationsdatei zum Download anbieten, könnte man diese erstmal am Rechner herunterladen, bearbeiten (gewünschte Netze hinzufügen) und dann auf das Smartphone übertragen.

Als letzte Alternative wäre da noch die Möglichkeit, dass man das VPN (IPSec oder Wireguard) über den Mikrotik laufen lässt.

Wenn Dir das alles zuviel Gebastel ist, gäbe es auch noch eine letzte - wenn auch unschöne - Möglichkeit: Was Du bisher an NAT kennst, ist ein "Source"-NAT (alles was intern (Source/Quelle) die Fritzbox verlässt, wird mit der WAN-IP der Fritz!Box maskiert). Das Gegenstück dazu kennst Du auch schon, üblicherweise "Portweiterleitung" genannt. Hier handelt es sich um ein "Destination"-NAT (alles was von extern an die WAN-IP geht, wird umgeschrieben zu einer internen IP - i.d.R. auf einen Port beschränkt).

Du könntest nun hingehen und am Mikrotik ein DNAT einrichten. Kommt etwas an der WAN-IP (VNC-Ports!) des Mikrotik-Routers an, wird das ganze weitergeleitet an Deinen VNC-Host. Für Deinen Client wäre das "Ziel" dann halt die WAN-IP vom Mikrotik-Router und von dort aus geht es dann via Portweiterleitung zum VNC-Host.
 
Nutze den Client vom Smartphone, die Einstellungen in der VPN Verbindung für die Routenweiterleitung hab ich auch gefunden, welche routen müssen in der Fritzbox und dem mikrotik Gesetz werden das es geht? Firewall regeln auch?
 

Anhänge

  • Screenshot_20250328_061629_Settings.jpg
    Screenshot_20250328_061629_Settings.jpg
    201,4 KB · Aufrufe: 6
Zuletzt bearbeitet:
Am einfachsten ist es, wenn Du einfach Deine gewünschten Netze angibst:

192.168.0.0/24
192.168.1.0/24
192.168.2.0/24

Im Mikrotik musst Du diesbezüglich garnichts mehr machen (halt nur dafür sorgen, dass die Clients aus dem Fritz!Box-LAN auch in die Mikrotik-Netze dürfen (Firewall-Regeln)).
 
Ich hab versucht die Firewall Regeln der Fritzbox einzustellen, klappt aber nicht wie ich mir das vorstelle.
Unter Internet ud Freigaben, kann ich zwar als Gerät den mikrotik hinzufügen und auch portfreigaben einstellen aber es klappt nicht wenn ich sage TCP Protokoll port 5900 für den vnc zulassen. Sonst finde ich keine Einstellung um der Fritzbox zu sagen lass mich in die Netze hinter dem Mikrotik. Die Eintragung das es noch 2 Netze gint mit 192.168.1.0/24 und 192.168.2.0/24 kann ich nicht setzen.

Bin ich in der falschen Einarbeitung der Fritzbox unterwegs?
 

Anhänge

  • 20250328_103420.jpg
    20250328_103420.jpg
    385,5 KB · Aufrufe: 3
  • 20250328_103510.jpg
    20250328_103510.jpg
    555,2 KB · Aufrufe: 3
Ähm... völlig falscher Dampfer... An der Fritz!Box wird "nichts" weiter gemacht. Die Fritz!Box hat die statischen Routen in die anderen Netze und stellt den VPN-Zugang bereit, ENDE. Du musst halt noch dafür Sorge tragen, dass Du aus dem Fritz!Box-Netz auch in die Netze hinter dem Mikrotik darfst. Wer sitzt zwischen Fritz!Box-LAN und Mikrotik-Netzwerken? Richtig, der Mikrotik-Router. Dort musst Du dann auch die entsprechenden Regeln anlegen.

Also auf dem Handy die o.g. Netze in der VPN-Verbindung eintragen. Damit schickt das Handy alles - was für angegebene Netze bestimmt ist - durch den Tunnel. Du kommst bei der Fritz!Box raus, die kennt ihr eigenes Netz sowieso. Zudem kennt sie nun auch die weiteren Netze hinter der Fritz!Box (hast Du ihr mit den statischen Routen mitgeteilt). Das einzige was jetzt quasi noch "im Weg" ist, ist die Firewall vom Mikrotik-Router.

Dort erlaubst Du entweder den Zugriff vom Fritz!Box-Netzwerk auf das gewünschte Zielnetzwerk mit allen Protokollen, oder Du sagst schon explizit, dass man aus dem Fritz!Box-Netzwerk "nur" auf einen bestimmten Host (VNC-Host) zugreifen darf und das auch nur über einen bestimmten Port/Protokoll (z.B. 5900/TCP).
 
Woher kommt denn jetzt das 88er Netz? Ich dachte, wir reden hier nur von 0, 1 und 2? 🙃 Aber sei's drum... Wenn 1 das Fritz!Box-Netzwerk ist und 0 ein Netz hinter dem Mikrotik-Router, dann sollte das soweit passen. Je nachdem, was Du so vor hast, könnte die Beschränkung auf das TCP-Protokoll, aber ggf. noch Probleme bereiten, von daher würde ich das (vorerst) mal aussen vor lassen und einfach nur Netz 1 zu 0 erlauben (Protokoll entspricht dann einfach "any", also allen).
 
Moinsen,
bei dem screenshot verstehe ich folgendes nicht:
wir reden hier die ganze Zeit von den Netzen:
192.168.0.0/24
192.168.1.0/24
192.168.2.0/24

Dein Bild zeigt für den mikrotik dagegen eine IP aus dem Netz 192.168.88.0/24 (vermutlich)...das kann so nicht gehen... ;)
Daher bin ich hier gerade etwas verwirrt, was du da genau eingerichtet hast...(und in meiner Verwirrung knapp langsamer als @blurrrr ;))
 
Ok, dann denk ich weiß ich wo der fehler liegt. Das 88er Netz ist vom mikrotik selbst, komischerweise wird er von der fritzbox als 1.30 angezeigt. Im den Einstellungen vom mikrotek steht die 88.1
Soll ich dem mikrotik eine eine andere IP zuordnen. Also fest die 192.168.1.30 und den DHCP im mikrotek deaktivieren?20250328_120048.jpg
 
DHCP für die Mikrotik-Netzwerke ist schon okay. WAN-seitig (im Fritz!Box-Netz) nimmst Du am besten eine IP, welche "nicht" im DHCP-Bereich der Fritz!Box liegt (fängt - meine ich - standardmässig bei .20 an). Könntest also z.B. hingehen und dem Ding die 1.2 geben. "88.1" ist noch die Standard-IP vom Mikrotik (LAN-seitig). Kannst Du so lassen, kannst Du aber auch ändern, wie Du es machst, bleibt ganz Dir überlassen. Wichtig wäre wohl erstmal der Zugriff aus dem Fritz!Box-Netzwerk auf das WAN-Interface vom Mikrotik und das am besten statisch (kannst in der Fritz!Box aber auch eine DHCP-Reservierung vornehmen, dass der Mikrotik-Router immer die gleiche WAN-IP von der Fritz!Box bekommt).
 
Ok, mikrotek bekommt von der fritzbox jetzt die 1.2 DHCP der fritzbox fängt bei 30 an. Die routen der fritzbox sind demnach auch auf 192.168.1.2 geändert und nicht mehr 1.30
Die Firewall im mikrotek ist auf forward src adress 192.168.1.0/24
Dst adress 192.168.0.0/24
Protocol kann ich kein any auswählen steht auf tcp
VPNauf dem Smartphone hat Weiterleitung zu 192.168.0.0/24
Wenn so alles richtig sein sollte, müsste es funktionieren, tut es leider nicht.
 
Hier mal ein paar Dinge dazu:

1) Schau mal, ob Du für Dein Handy etwas bekommst, was Dir einen Traceroute ermöglicht (unter Windows kannst Du sowas - nur mal zum gucken - auch direkt in der Eingabeaufforderung machen: tracert 8.8.8.8 als Beispiel, da kriegst Du den Weg der Pakete angezeigt) - nur damit Du weisst, worum es da geht.

2) Firewall-Logs des Mikrotik überprüfen. Vorher mal nachschauen, welche interne IP der VPN-Client bekommen hat und ggf. das Log danach filtern.

3) Auf dem Mikrotik gibt es etwas namens "torch" (weiss nur grade nicht genau wo, vermutlich unter Tools oder so), da sollte Dir aktive Verbindungen anzeigen, da kannst Du auch mal drüber schauen (vor allem, wenn Du grade versuchst, via VPN auf ein Netz hinter dem Mikrotik zuzugreifen).

EDIT: NAT-Regeln sind aber hoffentlich keine mehr aktiv?
 
Mit dem torch Tool sehe ich das ich per vpn ankomme und auf die 192.192.168.0.30 zugreifen will. Geht aber nichts raus.
Nat regeln im mikrotek sind noch 1 aktiv
Das ich von vom 2er Netz auch auf das 0er Netz und den vnc zugreifen kann
 
Don Bademeister schrieb:
Nat regeln im mikrotek sind noch 1 aktiv
Zum Vergrößern anklicken....
Das ist eher weniger gut....
Don Bademeister schrieb:
Das ich von vom 2er Netz auch auf das 0er Netz und den vnc zugreifen kann
Zum Vergrößern anklicken....
Dafür sind die Firewall-Regeln da, nicht die NAT-Regeln.

Folgendes Szenario:

NAT besagt: Alles was beim Mikrotik von internen Netzwerken nach "draussen" geht (via WAN-Interface) wird mit der WAN-IP vom Mikrotik überschrieben.

Nun läuft das ganze wie folgt ab:

Hinweg:
Quelle: 192.168.1.100
Ziel: 192.168.0.50

Soweit so gut, Paket wird auf dem Weg nicht verändert, Paket kommt sauber am Ziel an. Nun der Rückweg:

Teil1 (noch im Mikrotik-Netzwerk):
Quelle: 192.168.0.50
Ziel: 192.168.1.100

Teil2 (Paket hat Mikrotik-Netzwerk verlassen):
Quelle: 192.168.1.2
Ziel: 192.168.1.100

Fällt Dir dabei etwas auf? Da sich @the other auch hier beteiligt hat, ist das nun mal unsere "dritte" Partei:

Du schickst mir eine Anfrage. Ich erhalte die Anfrage und schicke Dir eine Antwort. Auf dem Weg zu Dir schnappt sich @the other aber mein Antwort schreiben, macht seinen Stempel drauf und will Dir nun diese Antwort zustellen. Diese wirst Du aber ablehnen, denn von @the other willst Du ja gar keine Antwort (Du hast ja auch nichts gefragt), sondern Du wartest auf die Antwort von mir.

Kurzum: Antwort von @the other verworfen (weil nicht angefordert), von mir kommt keine Antwort mehr (hatte ich ja schon geschickt). Ergo: Du kriegst einfach "gar keine" Antwort. Die vom "falschen" Absender wurde verworfen. Von daher: NAT abschalten! NAT gibt es bei Dir "nur" auf der Fritz!Box beim Übergang ins Internet. Die Regel solltest Du (meine ich) auch einfach erstmal nur "deaktivieren" können - zum testen halt.

Don Bademeister schrieb:
Mit dem torch Tool sehe ich das ich per vpn ankomme und auf die 192.192.168.0.30 zugreifen will. Geht aber nichts raus.
Zum Vergrößern anklicken....
Sagtest Du nicht, dass der Zugriff "ohne" VPN aus dem Fritz!Box funktioniert? Falls dem so ist, sollte der Rest auch funktionieren. Andernfalls dürfte der Zugriff aus dem Fritz!Box-Netz in ein Netz hinter dem Mikrotik auch nicht funktionieren.

Schalt erstmal die NAT-Regel auf dem Mikrotik aus und teste nochmal, falls es dann noch immer nicht geht, schauen wir weiter :)
 
Die nat Regel ist aus, der Zugriff wenn ich z.b per WLAN in der fritzbox bin geht nicht auf den vnc.
Wenn die nat Regel aus ist muss ich danach eine neue firewallregel einrichten dass 192.168.2.0/24 nach 192.168.0.0/ 24 darf?
Vorher hat ja die nat Regel mich weitergeleitet
 
the other schrieb:
192.168.0.0/24
192.168.1.0/24
192.168.2.0/24
Zum Vergrößern anklicken....
Ist das, was vorhanden ist. Was Du wie von wo nach wo erlauben willst, ist Dir überlassen. Du musst eigentlich nur sagen:

A nach B darf
B nach C darf
Rest ist verboten

Oder wie auch immer Du Dir das vorstellst. Du hast 3 Zimmer, von welchem Zimmer darf man in welche anderen Zimmer. Das ist es eigentlich schon.

Deswegen sagte ich ja auch "Firewall-Log" (nicht nur torch). Es ist ein himmelweiter Unterschied, ob ein Paket verworfen/abgelehnt wird, weil die "Firewall" es unterbindet, oder ob der Client ein Paket verwirft, weil es nicht zu dem passt, was er erwartet. Bei letzterer Situation wirst Du im Log des Mikrotik auch keine verworfenen/abgelehnten Pakete finden, ist ja alles ordentlich (wenn auch fälschlicherweise umgeschrieben) rausgegangen.
 
Ok, ich werde nachsehen was die logs sagen und ein paar regel einrichten. Bin übers Wochenende unterwegs und komm erst Montag dazu weiter zu testen.
Ich bedanke mich schonmal bei allen für Ihre Geduld und Ihr know how.
Meld mich wenn ich neues weiß
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Zurzeit aktive Besucher

Gesamt: 136 (Mitglieder: 5, Gäste: 131)

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
6.533
Beiträge
62.832
Mitglieder
6.745
Neuestes Mitglied
enes.a

Teilen

Zurück
Oben