Fritzbox 7590AX/Amazon Eero - VPN Subnetz

E

epicbenz

New member
Hi zusammen,

ich habe folgendes Setup, an dem ich gerade etwas verzweifle:
- Fritzbox 7590 AX (quasi als Modem, WLAN deaktiviert)
- Amazon Eero (per LAN an der Fritzbox, DHCP läuft hierüber, also kein Bridge Modus)
- Synology NAS am LAN des Amazon Eero (damit ja auch in dessen Subnetz)

Ich möchte nun per VPN (IPSec) am iPhone auf die Fritzbox zugreifen (VPN ist eingerichtet und funktioniert) und damit dann aber auch auf das NAS zugreifen können.
Wenn ich es richtig verstanden habe, dann baut die Fritzbox als erstes Gerät nach dem Internet das erste Subnetz auf (in meinem Falle mit der IP: 192.168.178.1-> Router-IP / 192.168.178.0 IP-Bereich?). Darin hat der per LAN angeschlossene Eero die IP-Adresse: 192.168.178.47

Dann baut der Eero nochmal selbst ein Subnetz auf, in meinem Fall IP-Adresse Eero-Router: 192.168.4.1.
Darin habe ich dem NAS die feste IP: 192.168.4.168 zugewiesen.

So wie ich das glaube verstanden zu haben, muss ich jetzt das "durchschleifen" der IP-Adresse des NAS im Eero-Subnetz in das Fritzbox Subnetz ermöglichen?
Dafür habe ich in der Eero App für die feste IP-Adresse des NAS (192.168.4.168) die Portfreigaben UDP 4500 und UDP 500 aktiviert/geöffnet.

Anschließend habe ich an der Fritzbox unter Heimnetz/Netzwerk/Netzwerkeinstellungen/IPv4-Route die folgenden Eingaben gemacht:
- Netzwerk: 192.168.4.0
- Submaske: 255.255.255.0
- Gateway: 192.168.178.47

Leider ohne Erfolg. Was noch zu erwähnen ist: wenn ich am Macbook mit dem Eero WLAN verbunden bin (mich mit dem MacBook also im Subnetz des Eeros befinde), dann kann ich trotzdem mittels 192.168.178.1 auf die Fritzbox zugreifen, obwohl das doch die IP-Adresse im Subnetz der Fritzbox ist? Heißt das nicht, dass die Weiterreichung vom Subnetz der Fritzbox zum Eero funktioniert, und anders herum nur nicht?


Viel Text, aber ich wollte möglichst viele Fragen direkt klären. Die Firewall der Synology habe ich testweise auch deaktiviert, leider ohne Erfolg.
 
Hi,
epicbenz schrieb:
Dafür habe ich in der Eero App für die feste IP-Adresse des NAS (192.168.4.168) die Portfreigaben UDP 4500 und UDP 500 aktiviert/geöffnet.
Zum Vergrößern anklicken....
die Fritzbox ist nicht "nur" Modem, sondern auch Router. Somit landest Du dann "nur" im Netz der Fritzbox. Mit der statischen Route teilst Du der Fritzbox dann mit, über welches Gateway sie das gewünschte Netz (4) erreichen kann. Die Ports, welche Du in der Eero-App freigeschaltet hast, sind IPSec-Ports, das hat da aber schon nichts mehr zu suchen, da diese Ports bereits von der Fritzbox verwendet werden. Alternativ schleifst Du die Ports via Portweiterleitung weiter an den Eero und verbindest Dich direkt zu diesem via VPN, oder - und das ist eher üblich - Du belässt das Konstrukt so, wie es derzeit ist (Zugang zu Deinem Heimnetzwerk hast Du ja so bereits) und kümmerst nur noch darum, dass Du das "innere" etwas aufräumst. Verhält sich im Grunde schon so, wie wenn Du hinter der Fritzbox z.B. eine pfSense/OPNsense/etc. hast.

Variante a) Du möchtest garnicht, dass etwas aus dem Fritzbox-Netz in das Eero-Netz kann. In diesem Fall wäre das VPN dann eher auf dem Eero zu terminieren, anstatt auf der Fritzbox
Variante b) Es ist Dir egal, Du willst nur, dass es funktioniert. Da wäre es dann die Variante mit der statischen Route auf der Fritzbox. Die Firewall des Eero muss dann natürlich auch den Traffic vom Netz der Fritzbox in sein Netz lassen (Firewall-Regeln). Hinzu kommt noch ein anderer Umstand namens "NAT". Vermutlich wird standardmässig alles was das Eero-Netz "verlässt" mit der WAN-IP des Eero (in Deinem Fall halt 192.168.178.47). Dies geschieht in den Headern der Netzwerkpakete. Das Problem ist nun folgendes dabei: Du schickst eine Anfrage an die Syno. Deine Quell-IP ist die aus dem Fritzbox-Netz, die Ziel-IP ist die Syno (192.168.4.168). Kurz formuliert sieht es so aus:

Anfrage:
Quelle: 192.168.178.x (Deine dynamische VPN-Client-IP)
Ziel: 192.168.4.168

Kommt das Paket auch bei der Syno an, wird sie Dir eine Antwort schicken. Diese Antwort muss dann wieder durch den Eero-Router. Wenn dort NAT aktiv ist, wird er allerdings die interne IP der Syno nehmen (192.168.4.168) und sie durch seine eigene WAN-Adresse ersetzen (192.168.178.47). Somit kommt ein Paket bei Deinem Client an, von welchem er garnichts weiss (und auch nicht wissen will) und verwirft dieses Paket dann einfach. Das würde dann so aussehen:

Antwort:
Quelle: 192.168.178.47
Ziel: 192.168.178.x (Deine dynamische VPN-Client-IP)

Übersetzt könnte man auch sagen: Du fragst Person A nach etwas (und willst die Antwort auch "nur" von Person A haben), aber Person B antwortet Dir (wobei Du diese "nicht erwünschte" Antwort dann ignorierst).

Die Lösung wäre hier, dass NAT auf dem Eero deaktiviert wird. Habe grade mal kurz geschaut, entsprechende Einstellungen solltest Du auf dem Eero vermutlich unter "Erweiterter Einstellungen / DHCP & NAT" finden. Das solltest Du aber auch nur testen, wenn Du Dich grade lokal im Netz des Eero befindest, oder das Gerät über seine WAN-IP erreichen kannst (falls irgendwas schief geht, kannst Du die Einstellung ja auch wieder auf den Ursprungszustand setzen).
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Zurzeit aktive Besucher

Gesamt: 148 (Mitglieder: 4, Gäste: 144)

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
6.604
Beiträge
63.431
Mitglieder
6.844
Neuestes Mitglied
der_pierre

Teilen

Zurück
Oben