IP Adresse außerhalb des Subnetzes im Fritzbox-Heimnetz von außen erreichen

[Michal]

Hallo,

ich habe ein nerviges Problem. Mein Netzwerk ist 10.0.0.1/24. Leider habe ich eine Siemens-SCADA Steuerung, die nur unter 192.168.0.x läuft. Mir ist das Ändern technisch untersagt und laut Techniker wäre das sehr schwierig und hätte viele Probleme. Sie würden normalerweise ein Gateway installieren....
Ich habe einfach meinem Computer eine zusätzliche IP Adresse (IP Alias) hinzugefügt und so kann ich auf die Steuerung lokal zugreifen.

Jetzt möchte ich aber auch per VPN auf die Steuerung zugreifen können. Hat jemand eine Idee, wie dies möglichst einfach zu bewerkstelligen wäre?
Reine Softwarekonfiguration bevorzugt. Natürlich kann ich mir einen alten router nehmen und ihn als "NAT" einsetzen, aber das wäre zusätzliche Hardware.
Außer der Fritzbox ist auch ein Unify Switch im Netzwerk. Die Fritz scheint meinen Nachforschungen zufolge keine IP-Alias zu können. Auch ist kein anderer Port an der Fritzbox möglich, da zwischen dem Gerät und der FB noch 2 Switche hängen und es ist recht weit weg.

Vielen Dank für Eure Ideen/Vorschläge!

 

[Loxley]

Wenn Du Deinen Computer aus der Ferne einschalten kannst dann verwende Deinen Computer via RDP. Ansonsten bleibt wohl nur ein zusätzlicher Router.

 

[Barungar]

Es muss kein Router sein, es reicht auf ein PC oder sonst ein Geräte das routen kann und mehr als eine IP verkraftet.
Es Layer 3-Switch, ein Raspberry Pi, ein PC, ein NAS, what ever... es muss nur eingeschaltet sein und in der FritzBox eine statische Router hinterlegt sein.

 

[Michal]

@Loxley: Das wäre so eine Notlösung, aber dann nutze ich den PC per RDP, um per VNC auf die Steuerung zuzugreifen. Kann ich am schnellsten implementieren, aber die Verzögerung wird wohl nervig sein.

@Barungar: Also auf dem PC mit den 2 IP Adressen läuft Win10. Kennst Du da eine Möglichkeit, dieses "Routing" mit Win10 Bordmitteln oder mit einem kleinen Utility zu bewerkstelligen?

 

[Barungar]

Der müsste schon routen... es wäre mir neu, wenn Windows es nicht tut. Du musst halt nur eine statische Route in Deinem Router hinterlegen.

Bei der FritzBox unter Heimnetz / Netzwerk / Netzwerkeinstellungen / IPv4-Routen



In das Feld Gateway muss dann die IP Deines PCs, der auch die 192.168.0.xer IP hat.
Anschließend sollte, wenn der PC läuft, das Teil im 192.168.0.0er Netz auch so erreichbar sein.
Vorausgesetzt, Dein PC mit seiner 192.168.0.xer IP ist auch das Standard-Gateway Deiner Siemens.

 

[Michal]

Hmm, also das geht so wohl nicht. Hier wird auch darüber geschrieben: https://administrator.de/forum/frit...teway-ausserhalb-des-netztes-73089705906.html

Ich baue ja eine VPN Verbindung zu der Fritzbox auf und da geht wohl das Routing nicht.

Jetzt habe ich aber noch einen WRT-AP im Netz "gefunden". Hatte ich ganz vergessen ;-)
Dem habe ich auch schon eine 192.168 IP zusätzlich verpasst und auch der kann das Gerät ansprechen. Jetzt stelle ich mir vor, ich könnte in dem Teil eine reguläre 10.0.0.0/24 Adresse anlegen, die transparent auf die 192.168.0.x "weiterleitet". Dann würde alles von überall funktionieren. Leider weiß ich noch nichtmal, wo ich dazu ansetzen müsste. Einen Router mit einem WAN und LAN Anschluss, wo ich das Gerät in die LAN-Buchse stecke und die WAN Buchse mit dem LAN verbinde, kann ich nachvollziehen. Das hier aber nicht.

 

[blurrrr]

Ich baue ja eine VPN Verbindung zu der Fritzbox auf und da geht wohl das Routing nicht.

Keine Ahnung, was Du da wo meinst zu lesen (hast Du das auch wirklich gelesen?), aber ein Router leitet Pakete nach seiner Routingtabelle weiter. Wenn die Fritz!Box eine Route in das entsprechende Netz hat (also weiss, über welches Gateway das entsprechende Netz zu finden ist), muss man nur noch dem Client mitteilen, dass dieses Netz ebenfalls über die VPN-Verbindung erreichbar ist. Vielleicht schaust Du Dir den dort erwähnten Link von aqui mal etwas genauer an: https://fritz.com/apps/knowledge-ba...-IP-Netzwerke-hinter-der-FRITZ-Box-zugreifen/

Jetzt stelle ich mir vor, ich könnte in dem Teil eine reguläre 10.0.0.0/24 Adresse anlegen, die transparent auf die 192.168.0.x "weiterleitet".

So wie Dein Setup ist, muss die Route nach "innen" auch allen beteiligten bekannt sein. VPN-Client + Fritz!Box + weiterer Router. Hab von WRT keine Ahnung, vllt kann Dein AP das ja auch. Das Zielgerät muss dann aber auch zwingend den AP als Gateway nutzen, sonst können die Pakete nicht zurück. Also einmal von extern rein die komplette Strecke bis zum Ziel und zurück ebenso.

 

[Michal]

Das habe ich gelesen:

Bei der Fritzbox und auch generell mit IPsec VPNs funktioniert dies NICHT über Routen! Kann es auch nicht, denn was in den Tunnel geroutet wird und was nicht bestimmt immer die Phase 2 im IPsec Setup. Das ist die o.a. ACL in der VPN Konfig Datei!

Also bis jetzt funktioniert es leider nicht. Habe die Route auf der Fritzbox und kann weder vom Handy mit Ipsec eine Verbindung bekommen, noch vom PC aus, wo ich im VPN sogar noch den 192.168.0.0/24 Bereich angeben konnte. Wobei ich zwar einerseits kaum glaube, das die Pakete zu dem PC mit den 2 Adressen durchkommen. Und andererseits kaum glauben kann das Windows10 dies so einfach "routet" ohne Zutun.

 

[blurrrr]

Wenn man 2 Fritz!Boxen via Site2Site-VPN verbindet und sich mit einem Client bei "einer" Fritz!Box via VPN einwählt, kann man dem Client auch noch die Router für das Netz der - via Site2Site-VPN angebundenen - entfernten Fritz!Box mitgeben. Das hat zumindestens vor knapp 10 Jahren funktioniert. Der "Client" muss halt wissen, dass er mehrere Netze über die VPN-Verbindung erreichen kann (VPN-Config), die VPN-Einwahl-Fritz!Box muss natürlich auch entsprechende Routen zu den Zielnetzen kennen.

Soweit das... Also gilt: Wenn die Fritz!Box entsprechende Routen "kennt" (Routingtabelle), kann sie die Pakete auch entsprechend weiterleiten.

Ganz banal kannst Du Dir das einfach wie Strassenkreuzungen (Router) und Strassen (Routen) vorstellen. Liegt eine Strasse an einer Kreuzung an, kannst Du diese Strasse auch befahren - ausser ein Verkehrspolizist (Firewall-Regel) hält Dich davon ab.

Also bis jetzt funktioniert es leider nicht. Habe die Route auf der Fritzbox und kann weder vom Handy mit Ipsec eine Verbindung bekommen, noch vom PC aus, wo ich im VPN sogar noch den 192.168.0.0/24 Bereich angeben konnte.

Die Route auf der Fritz!Box ist nur die halbe Miete! Sicherlich muss die Fritz!Box den Weg in das "innere" Netzwerk ebenso kennen, aber auch Deinem Client musst Du sagen, dass er das gewünschte Netz ebenfalls über das VPN erreicht (und nicht nur das, der Fritz!Box). Das ist ein ganz entscheidener Punkt, denn ansonsten schickt das Handy die Pakete erst garnicht in den VPN-Tunnel.

wo ich im VPN sogar noch den 192.168.0.0/24 Bereich angeben konnte

Das sollte dann aber funktionieren, ist natürlich fraglich, was Du wo angegeben hast.

Wobei ich zwar einerseits kaum glaube, das die Pakete zu dem PC mit den 2 Adressen durchkommen

Warum das?

Und andererseits kaum glauben kann das Windows10 dies so einfach "routet" ohne Zutun.

Das nicht, Routing muss schon explizit aktiviert werden + ggf. noch entsprechende Firewall-Einstellungen auf der W10-Kiste.

Ich hab jetzt genau "null" Ahnung von *WRT... Dein Accesspoint... hat der evtl. mehrere LAN-Ports? Möglich wäre halt auch (nicht schön, aber funktional), dass der AP einfach Mini-Router spielt mit 1-2 Ports. Das Siemens-Ding an einen Port (mit dem entsprechend benötigten Subnetz), Ausgang für das Netz dann über einen anderen Port + zusätzlich noch NAT (SNAT) drauf, dann werden die Pakete aus diesem Subnetz dann mit der WAN-IP des *WRT maskiert (ergo eine IP aus dem LAN der Fritz!Box). Dann machst Du es einfach wie bei jedem normalen Router: Portfreigabe vom WAN-Port X auf LAN-IP (Siemens) + ggf. noch eine Firewall-Regel, welche den Zugriff erlaubt.

Alternativ halt ohne NAT, dafür mit entsprechendem Routing. Das Siemens-Gerät muss dann aber auch ein entsprechendes Gateway aus dem eigenen Netz heraus haben, ansonsten funktioniert es nicht.