Portweiterleitung im VPN zwischen zwei Fritzboxen

Snowdonia

New member
Hallo Community,

eins vorab, ich hab schon danach ausgiebig gesucht und keine Antwort gefunden. Aber vllt hat jemand von Euch eine Lösung oder Alternative.
Also ich hab zwei Fritzboxen und folgendes Ziel und Infos:
  • FBox 1:
    • hat eine öffentlich zugängliche IP
    • ist per DynDNS erreichbar
  • FBox 2:
    • ist zwar im Internet, hat jedoch keine öffentliche IP
    • DynDNS funktioniert demnach nicht
    • FB ist nicht von aussen direkt erreichbar
  • Ziel:
    • Portweiterleitung von Fritzbox 1 zu einem Gerät/Raspi im Netz von FB2
  • Was funktioniert:
    • Ich habe FB1 und FB2 per Fritzbox-eigenem VPN miteinander gekoppelt. D.h. ich kann aus dem Netz von FB1 (192.168.179.xxx) auf das Netz von FB2 (192.168.178.xxx) zugreifen und umgekehrt auch. Innerhalb des LANs sind alle Geräte sichtbar
    • die Verbindung wird stabil gehalten bzw bei Neustart wieder aufgebaut
  • Was nicht funktioniert:
    • die Einstellung und Aktivierung eine Portfreigabe/Portweiterleitung im Menü von FB1 auf ein Gerät im Netz von FB2, obwohl beide FBs ja gekoppelt sind.
    • wenn ich diese Portfreigabe in der FB1 unter Internet/Freigabe/Portfreigaben versuche einzurichten, bringt die FB eine Fehlermeldung nach Eingabe der IP:
      "Es ist ein Fehler aufgetreten.
      Fehlerbeschreibung: Die IP-Adresse liegt nicht in einem zulässigen Netz der FRITZ!Box."
Tja, was kann ich nun tun? Ich frage mich, ob es generell nicht möglich ist, eine derartige Portfreigabe einzurichten, oder ob ich irgendwo einen Fehler habe, z.B. bei den IP-Bereichen oder der Subnetzmaske. Die muss ich doppelt definieren und muss gestehen, dass mir diese relativ unklar ist.
Für eine Antwort bin ich dankbar.
Viele Grüße...
 
ch kann aus dem Netz von FB1 (192.168.179.xxx) auf das Netz von FB2 (192.168.178.xxx) zugreifen und umgekehrt auch
Das wundert mich ein wenig, das alles funktioniert. Ist natürlich schön für Dich, aber normal "zickt" die FritzBox ziemlich rum, wenn man das Netz 192.168.179.0/24 nutzen will, das ist in der Firmwäre nämlich dem "Gastnetz" vorbehalten.


Fehlerbeschreibung: Die IP-Adresse liegt nicht in einem zulässigen Netz der FRITZ!Box.
An der Fehlermeldung erkennst Du, dass die FritzBox darauf "programmiert" ist, nur Freigaben für Geräte zu erlauben, die in ihrem LAN sind, also in dem IP-Adressbereich, den Du in der Box konfiguriert hast.

Spontan fällt mir da nur "ein Trick" ein, in dem Du im Netz der FritzBox 1 ein Gerät vorhältst, dass dann die Kommunikation zum Gerät im Netz der FritzBox 2 übernimmt.

Als SOHO-Router erwartet vermutlich niemand, dass man eine Portfreigabe auf ein Gerät vornehmen will, dass sich in einem anderen als dem direkten, heimischen Netz der FritzBox befindet. Die Funktion verhindert sicher ganz, ganz viele Fehler von 08/15-Usern, die "schnell mal eine Portweiterleitung" machen möchten und sich "ein bisschen bei der IP vertippten".


Tja, was kann ich nun tun? Ich frage mich, ob es generell nicht möglich ist, eine derartige Portfreigabe einzurichten

Meiner Ansicht nach wird es generell nicht möglich sein.


FBox 2:
  • ist zwar im Internet, hat jedoch keine öffentliche IP
Eine Frage am Rande... wie realisierst Du eine VPN-Verbindung zwischen den beiden FritzBoxen, wenn die FB2 keine "öffentliche IP" hat?
 
Zuletzt bearbeitet:
Hy.

Mal ganz konkret gefragt was genau hast du vor bzw. Was willst du wo wie und wann erreichen?

Wenn ich es richtig lesen willst du ner DyDNS auf FB1 dann auf FB2 und hier dann an ein spezielles Gerät.

Was mir als erstes einfällt du kannst VPN direkt auf ein per LAN verbundenes Gerät freigeben in der FB. Hier muss ich zugestehen das ich das noch nie selbst Probiert habe aber für mein Verständnis kannst du das Gerät dann direkt ansprechen in FB1.

Andere Idee wäre Port auf FB2 freigeben und in FB2 dann weiter ans Gerät.
 
Danke für Eure Antworten. Ich will mal versuchen Eure Fragen zu beantworten:
Eine Frage am Rande... wie realisierst Du eine VPN-Verbindung zwischen den beiden FritzBoxen, wenn die FB2 keine "öffentliche IP" hat?
Da gibts direkt die Option in den FBs. Unter Internet/Freigaben/VPN lassen sich alle Parameter eintragen und ein Häkchen setzen bei "Verbindung dauerhaft halten". Damit hält FB2 (also die versteckte FB) dauerhaft die Verbindung zu FB1. Hab ich nach dieser Anleitung vorgenommen: https://www.youtube.com/watch?v=ag8fBiji_aU

Spontan fällt mir da nur "ein Trick" ein, in dem Du im Netz der FritzBox 1 ein Gerät vorhältst, dass dann die Kommunikation zum Gerät im Netz der FritzBox 2 übernimmt.
Ja, das war auch meine Idee und mit einer anderen FB und einem Raspi hab ich einen reverse ssh tunnel zwischen zwei Raspis aufgebaut, so dass ich über den Raspi im Netz einer FB3 mit öffentlicher IP entsprechend meinen Raspi im Netz der FB2 (ohne öffentliche IP) erreichen kann und dort z.B. mein Grafana Dashboard sehe. Das alle ohne Nutzung des Fritz-VPN-Tunnels. Das Problem dabei war und ist, dass die Raspis nicht sonderlich zuverlässig sind. D.h. es fällt immer mal einer aus, weil beispielsweise die MicroSD Fehler entwickelt oder ein anderes Problem auftritt. Zum anderen ist das mit bashScript-Schreiben verbunden, was ich nicht sonderlich komfortabel finde, denn nach spätestens einem halben Jahr ist die Erinnerung an Script und Ort verloren und ich fange wieder bei null an.

Mal ganz konkret gefragt was genau hast du vor bzw. Was willst du wo wie und wann erreichen?
Ich möchte aufs Heimnetz meiner FB2 per Portweiterleitung zugreifen, z.B. hab ich dort einen Raspi laufen, auf dem läuft ioBroker und Grafana und ich zeichne dort die Daten der Wetterstation und des Balkonkraftwerkes auf. Das Ganze wird dann mit Grafana schön visualisiert und ich würde es gern von ausserhalb aufrufen können. Nun bekommt FB2 aber keine öffentliche IP (bzw nur für 5€ Aufpreis pro Monat) und die 60€ pro Jahr wollte ich gern mit einem Workaround sparen. Das VPN zwischen zwei FB plus Portforwarding schien ein guter Weg.
Was mir als erstes einfällt du kannst VPN direkt auf ein per LAN verbundenes Gerät freigeben in der FB. Hier muss ich zugestehen das ich das noch nie selbst Probiert habe aber für mein Verständnis kannst du das Gerät dann direkt ansprechen in FB1.
Mhhhh, muss ich testen. Die Netze der beiden FB benötigen aber unterschiedliche IP Bereiche und wenn ich von FB1 direkt ein VPN auf ein Gerät im Netz von FB2 anlegen möchte ... gehts wahrscheinlich nicht, da Gerät 2 keine FB ist. Hab ich noch nicht probiert oder durchdacht....

Andere Idee wäre Port auf FB2 freigeben und in FB2 dann weiter ans Gerät.
Dann wäre die Portweiterleitung von FB1 direkt auf FB2 und dann weiter aufs Gerät. Geht auch nicht, da FB2 keine IP im Heimnetz von FB1 hat und dementsprechend der Fehler wieder auftaucht.
 
Eine Frage am Rande... wie realisierst Du eine VPN-Verbindung zwischen den beiden FritzBoxen, wenn die FB2 keine "öffentliche IP" hat?
Da gibts direkt die Option in den FBs. Unter Internet/Freigaben/VPN lassen sich alle Parameter eintragen und ein Häkchen setzen bei "Verbindung dauerhaft halten". Damit hält FB2 (also die versteckte FB) dauerhaft die Verbindung zu FB1. Hab ich nach dieser Anleitung vorgenommen: https://www.youtube.com/watch?v=ag8fBiji_aU

Ich kenne die Option "dauerhaft halten". Aber wenn die FB2 keine öffentliche IP hat... Wie finden die beiden Boxen dann zueinander?! Auch für eienn VPN-Tunnel muss FB1 mit FB2 über IP sprechen können; was in meiner Vorstellung nicht geht, wenn FB2 keine öffentliche IP hat.
 
Eine Frage am Rande... wie realisierst Du eine VPN-Verbindung zwischen den beiden FritzBoxen, wenn die FB2 keine "öffentliche IP" hat?
Die FB zwei braucht keine öffentliche IP sie ist hier „Client“ und baut in etwa deinem Handy die VPN zur FB mit öffentlicher IP auf.

Gerät 2 keine FB ist
Ich denke du hast eine VPN zwischen zwei FBs?

Dann wäre die Portweiterleitung von FB1 direkt auf FB2 und dann weiter aufs Gerät. Geht auch nicht, da FB2 keine IP im Heimnetz von FB1 hat und dementsprechend der Fehler wieder auftaucht.
Bei der VPN bekommt die FB wie dein Handy auch eine IP von der FB meist irgendwo über 200.

Hat die FB 2 keine IPv6 Anbindung? Dann kannst es auch mit Einschränkungen direkt machen.
 
Ich kenne die Option "dauerhaft halten". Aber wenn die FB2 keine öffentliche IP hat... Wie finden die beiden Boxen dann zueinander?! Auch für eienn VPN-Tunnel muss FB1 mit FB2 über IP sprechen können; was in meiner Vorstellung nicht geht, wenn FB2 keine öffentliche IP hat.
Warste schneller wie ich. Die FB 2 baut die Verbindung zur FB 1 auf über die Aufgebaute Verbindung läuft die Kommunikation es braucht somit nur eine eine öffentliche IP
 
Das mit "Gerät 2 ist keine FB" war nur eine Antwort auf den Post von Spielebernd. Ziel ist immer noch den VPN Tunnel zwischen den beiden FB zu nutzen. Und ja es stimmt. FB1 kann FB2 nicht direkt erreichen, aber FB2 kann FB1 erreichen und baut den Tunnel auf und hält ihn dauerhaft offen. Sollte FB2 neu starten, dann wird der Tunnel von FB2 wieder aufgebaut, da ja die Option "dauerhaft halten" aktiv ist.
Ok, aber wenn ich mir die Antworten so anschaue, dann läuft es wahrscheinlich darauf hinaus, im Netz von FB1 einen kleinen Rechner zu haben, welche dann ein Forwarding aufs das Zielgerät im Netz von FB2 macht.
 
Die FB2 bekommt in FB 1 eine IP Adresse für die VPN Verbindung
Danke fürs Feedback.
Falls die Aussage: "FB2 bekommt in FB1 eine IP Adresse" stimmt, kann ich die IP Adresse nirgendwo in der Fritzbox finden. Auch ein IP Scan in den beiden Netzen bringt keine Erkenntnis, welche IP die FB2 von FB1 bekommen könnte. In FB1 (und auch in FB2) gibt es im Menü zur Portfreigabe bereits alle bekannten und angemeldeten Geräte und da taucht die jeweils andere FB nicht auf.
 
Wenn die Fritzbox keine Weiterleitung an ein nicht-lokales Netz zulässt, wirst Du da schlichtweg "garnichts" machen können. Die einzige Option welche bleibt, wäre eine Art "Mittelsmann" im Netz der FB1. Was willst Du denn überhaupt im FB2-Netz von aussen erreichbar machen?

Es kommt halt darauf an, was genau Du im Netz der FB2 erreichen willst.... Am einfachsten wäre es wohl das Gerät einfach ins Netz der FB1 umzuziehen, verstehe aber auch durchaus, dass sowas ggf. nicht möglich ist. Wäre es eine einfache Webanwendung, wäre das Stichwort "Reverse-Proxy" wohl die einfachste Variante (extern redet mit Reverse-Proxy, Reverse-Proxy redet mit Ziel im Remote-Netz).

Wenn der Zugriff nur für Dich sein soll, kannst Du ggf. auch hingehen und einfach eine VPN-Verbindung einrichten. Je nachdem Einrichtungsmöglichkeiten/Endgerät besteht da noch die Option zusätzliche Netze in der VPN-Verbindung anzugeben (beim Shrewsoft-VPN-Client z.B. geht sowas). Da könntest Du einfach zusätzlich das interne Netz der FB2 angeben und würdest mit dem VPN-Client sowohl ins Netz der FB1, als auch ins Netz der FB2 kommen. Zumindestens ging das früher ganz problemlos.
 
Danke für die ausführliche Antwort.
Wenn die Fritzbox keine Weiterleitung an ein nicht-lokales Netz zulässt, wirst Du da schlichtweg "garnichts" machen können.
Das fürchte ich inzwischen auch.
Die einzige Option welche bleibt, wäre eine Art "Mittelsmann" im Netz der FB1. Was willst Du denn überhaupt im FB2-Netz von aussen erreichbar machen?
Im Netz von FB2 sitzt ein Raspi mit ioBroker und Grafana mit der Aufgabe Temperaturen und Verbräuche aufzuzeichnen und ggf mal den elektrischen Heizstab einzuschalten. Im Wesentlichen macht das Teil aber nur Monitoring und Visualisierung. Da FB2 von aussen nicht erreichbar ist (keine öffentliche IP vom Provider), wollte ich über den Umweg über FB1 nehmen.
Es kommt halt darauf an, was genau Du im Netz der FB2 erreichen willst.... Am einfachsten wäre es wohl das Gerät einfach ins Netz der FB1 umzuziehen, verstehe aber auch durchaus, dass sowas ggf. nicht möglich ist.
Möglich ist es schon, allerdings wäre dieses Gerät dann ein weiterer Raspi und mit denen hab ich nicht die besten Erfahrungen. Meist gibt es nach einer Weile einen Crash und das Ding geht offline. Ich vermute bei sowas immer die MicroSD-Card als Fehler. Da FB1 und deren Netz ca 150km von meinem Wohnort entfernt liegen und ich nur alle paar Wochen dort hinkomme, ist ein schneller Reboot des FB1-Netz-Raspis nur schwer möglich.
Wäre es eine einfache Webanwendung, wäre das Stichwort "Reverse-Proxy" wohl die einfachste Variante (extern redet mit Reverse-Proxy, Reverse-Proxy redet mit Ziel im Remote-Netz).
Letztlich ist es eine reine Webanwendung und ssh. Zwei Ports für Grafana und ioBroker und einen für ssh.
Wenn der Zugriff nur für Dich sein soll, kannst Du ggf. auch hingehen und einfach eine VPN-Verbindung einrichten. Je nachdem Einrichtungsmöglichkeiten/Endgerät besteht da noch die Option zusätzliche Netze in der VPN-Verbindung anzugeben (beim Shrewsoft-VPN-Client z.B. geht sowas). Da könntest Du einfach zusätzlich das interne Netz der FB2 angeben und würdest mit dem VPN-Client sowohl ins Netz der FB1, als auch ins Netz der FB2 kommen. Zumindestens ging das früher ganz problemlos.
Muss ich mir mal anschauen. Danke.
 
Danke fürs Feedback.
Falls die Aussage: "FB2 bekommt in FB1 eine IP Adresse" stimmt, kann ich die IP Adresse nirgendwo in der Fritzbox finden. Auch ein IP Scan in den beiden Netzen bringt keine Erkenntnis, welche IP die FB2 von FB1 bekommen könnte. In FB1 (und auch in FB2) gibt es im Menü zur Portfreigabe bereits alle bekannten und angemeldeten Geräte und da taucht die jeweils andere FB nicht auf.
Hm jetzt bin ich mir hier auch nicht mehr ganz so sicher 😂. Ich kann es aktuell auch leider nicht nachstellen. Die IP müsste wenn unter „Heimnetz - Netzwerk“ zu finden sein.

Mir würde hier noch eine IP-Route einfallen ob die aber über VPN einzurichten geht kann ich nicht sagen.

Bekommt deine FB2 eine IPv6 und das Endgerät von dem aus du zugreifen möchtest? Wenn ja kannst du den Zugang auch hierüber machen eventuell auch über VPN direkt zur FB2
 
Letztlich ist es eine reine Webanwendung und ssh. Zwei Ports für Grafana und ioBroker und einen für ssh.

Variante 1) SSH-Tunnel (SOCKS-Proxy), musste dann bei Dir aber einen lokalen SOCKS-Proxy im Browser hinterlegen. Damit wird Dein SSH-Host als Proxy für den Browser genutzt (alle ausgehenden Webrequests gehen dann über den SSH-Host)

Variante 2) Reverse-Proxy einsetzen im primären Netz einsetzen, Du sprichst mit dem Reverse-Proxy, der Reverse-Proxy mit den Anwendungen im Zielnetz.

Ansonsten halt .... wenn die VPN-Verbindung sowieso mit einem Laptop aufgebaut wird, nimm einfach den Shrewsoft-VPN-Client, leg die Verbindung dort an und bei den Routen (ganz zum Schluss) trägst Du einfach zusätzlich das zweite Netz ein. Die (öffentlich erreichbare) Fritzbox kennt dann auch den Weg ins andere Netz und wie gesagt, früher hat sowas auch einfach funktioniert, das sieht dann z.B. so aus:

1680633546092.png

Eigentlich steht das auf automatisch, oder das Zielnetz ist fix eingetragen, in diesem Fall sind einfach beide Netze angegeben (beide Netze sind auch via Site2Site-VPN miteinander verbunden). Somit wählt man sich bei einem Standort ein und erreicht durch diese Konfiguration auch direkt den zweiten Standort. Allerdings: Ohne Gewähr, so hat es früher jedenfalls mal funktioniert, allerdings hab ich schon seit etlichen Jahren nichts mehr mit einem Fritzbox-VPN (in Kombi mit mehreren Standorten) zu tun gehabt ☺️

Je nachdem, womit Du die VPN-Verbindung aufbaust (z.B. Handy)... evtl. hat es dort ja ähnliche Möglichkeiten (zusätzliche Routen), einfach mal ausprobieren 🙃
 

Zurzeit aktive Besucher

Keine Mitglieder online.

Letzte Anleitungen

Statistik des Forums

Themen
4.869
Beiträge
49.042
Mitglieder
4.529
Neuestes Mitglied
wg172
Zurück
Oben