Statische Route funktioniert nicht (immer)

[HaPeKa]

Da mein Provider den Internetanschluss von 1GB/s auf 2.5GB/s aufgerüstet hat, habe ich mich entschlossen, mein Heimnetzwerk anzupassen. Bisher habe ich eine Zyxel ZyWall 110 für den Internetzugriff und das Heimnetz genutzt, WireGuard VPN habe ich über ein Raspi mit piVPN realisiert.

Jetzt habe ich eine FritzBox 7690 im Einsatz und alles läuft soweit gut. Die ZyWall 110 habe ich nicht mehr direkt am Internet, sondern vial FritzBox. Alles, was hinter der ZyWall ist, kann ich über eine statische Route erreichen. Die ZyWall ist jetzt 192.168.5.9 und alles hinter der ZyWall nach wie vor im 192.168.3.0 Netz. Die statische Route von 192.168.3.0 / 255.255.255.0 via 192.168.5.9 funktioniert, alle Geräte dahinter sind erreichbar und laufen.

Nun habe ich das Raspi mit piVPN als 192.168.5.6 direkt ins Fritzbox-Netzwerk gehängt und die Portweiterleitung aktiviert. Soweit so gut, ich kann mit allen Clients wie bisher ohne Umkonfigurieren eine VPN Verbindung zum Heimnetz aufbauen. piVPN macht aber auch noch einige Netzverbindungen zu 2 weiteren Raspis in der Familie, damit ich Support leisten kann. Ein Remote Raspi ist beispielsweise vom piVPN Raspi über die Adresse 10.6.0.9 erreichbar.

Auf der ZyWall hatte ich eine statische Route 10.6.0.0 / 255.255.255.0 auf 192.168.3.6 (piVPN Raspi). Wenn ich dann auf meinem PC in der Powershell ssh user@10.6.0.9 eingegeben habe, war ich direkt mit dem Remote Raspi verbunden. Ich konnte mit scp user@10.6.0.9:file Files aus einem Austausch-Directory direkt auf meinen PC herunter- oder hochladen. Die ZyWALL hatte also keine Probleme mit einer statischen Route 10.6.0.0 auf 192.168.3.6.

Gebe ich nun auf der Fritzbox diese Route ein (10.6.0.0 / 255.255.255.0 via 192.168.5.6) bekomme ich keine Verbindung hin, d.h., die statische Route funktioniert nicht so wie auf der ZyWALL. Gibt es bei der FritzBox irgendwelche Einstellungen, die ich noch vornehmen muss? Wie gesagt, statische Route aufs 192.168.3.0er Netz via 192.168.5.9 geht, 10.6.0.0 via 192.168.5.6 nicht. Ich würde die ZyWALL gerne ganz ablösen, und nicht mehr weiter als Stromfresser im Netz betreiben.

Was habe ich übersehen? Was mache ich falsch? Vielen Dank für eure Hinweise!

 

[NorbertHH]

Hi
kannst Du hier mal ein Netzdiagramm posten, damit man einfacher nachvollziehen kann, welche Netze wo angeschlossen sind? Bei statischen Riuten müssen diese immer auf beiden Seiten eingerichtet und bekannt sein, damit nicht nur der Hinweg, sondern auch der Rückweg korrekt funktioniert…

 

[HaPeKa]

Das sieht so aus:



In der Fritz!Box habe ich 2 statische Routen:

Das Netz 192.168.3.0 / 255.255.255.0 ist über 192.168.5.9 erreichbar -> funktioniert
Das Netz 10.6.0.0 / 255.255.255.0 ist über 192.168.5.6 erreichbar -> funktioniert nicht

Vor der Umstellung auf die Fritz!box war Raspi 1 (piVPN für WireGuard VPN Zugriff) als 192.168.3.6 im Heimnetz. Auf der ZyWALL gab es auch eine statische Route 10.6.0.0 / 255.255.255.0 über 192.168.3.6, die hat funktioniert.

Zum Beispiel: mit ssh pi@10.6.0.9 konnte ich mich am Raspi2 einloggen oder mit scp pi@10.6.0.9:file konnte ich ein File vom Raspi2 zu mir auf die Festplatte kopieren. Das geht jetzt hinter der Fritz!Box nicht mehr. Es kommt ein Time Out.

Selbstverständlich kann ich mich mit ssh pi@192.168.5.6 auf dem Raspi1 einloggen und von dort aus dann mit ssh pi@10.6.0.9 weiter auf's Raspi2. Elegant wäre es jedoch in einem Schritt. Und für mich ist nicht ersichtlich, warum die statische Route zum 10er Netz nicht funktioniert.

 

[HaPeKa]

Bei statischen Riuten müssen diese immer auf beiden Seiten eingerichtet und bekannt sein, damit nicht nur der Hinweg, sondern auch der Rückweg korrekt funktioniert…

Danke für den Hinweis. Habe jetzt mal TraceRoute bemüht und gesehen, dass bei TraceRoute 10.6.0.9 der Weg bis zu 192.168.5.6 geht, das heisst, die statische Route funktioniert, also muss es am Rückweg liegen, der zur ZyWALL offensichtlich korrekt war, bei der Fritz!Box nun nicht mehr. Ich muss mich mal mit der piVPN config beschäftigen und schauen, was es da zu ändern gibt.

Andererseits plane ich eh, den Raspi piVPN Server ausser Betrieb zu nehmen, da die Fritz!Box WireGuard VPN ebenfalls beherrscht, auch von Netz zu Netz.

 

[NorbertHH]

Ich muss mich mal mit der piVPN config beschäftigen und schauen, was es da zu ändern gibt.

Korrekt, auf dem RasPi mit der IP 192.168.5.6 muss eine statische Route zum Netz 10.6.0.0 eingerichtet werden, denn dieser RasPi wird als Default Gateway ja sicher die Fritzbox (192.168.5.1) eingerichtet haben und nicht das 10.6.0.0er Netz, das war möglicherweise auf der ZyWall anders konfiguriert...

 

[HaPeKa]

Also der Default Gateway von 192.168.5.6 muss schon 192.168.5.1 sein, sonst ist er weg vom Internet.
192.168.5.6 ist ja ein WireGuard VPN Server, der mit dem Netzwerk 192.168.5.0 verbunden ist.
Das Client-Netzwerk ist 10.6.0.0, also alle Clients, die sich mit dem VPN Server verbinden, bekommen eine IP aus dem Client-Netzwerk.
Zur Zeit sind 18 Clients konfiguriert, die sich mit dem VPN Server verbinden können:

pi@piVPN:~ $ ip route
default via 192.168.5.1 dev eth0 proto dhcp src 192.168.5.6 metric 202 mtu 1500
10.6.0.2 dev wg0 scope link
10.6.0.3 dev wg0 scope link
10.6.0.4 dev wg0 scope link
10.6.0.5 dev wg0 scope link
10.6.0.6 dev wg0 scope link
10.6.0.7 dev wg0 scope link
10.6.0.8 dev wg0 scope link
10.6.0.9 dev wg0 scope link
10.6.0.10 dev wg0 scope link
10.6.0.11 dev wg0 scope link
10.6.0.12 dev wg0 scope link
10.6.0.13 dev wg0 scope link
10.6.0.14 dev wg0 scope link
10.6.0.15 dev wg0 scope link
10.6.0.16 dev wg0 scope link
10.6.0.17 dev wg0 scope link
10.6.0.18 dev wg0 scope link
192.168.5.0/24 dev eth0 proto dhcp scope link src 192.168.5.6 metric 202 mtu 1500

Aus meiner Sicht sollte das Raspi die Route zum 10.6.0.0 Netz kennen ...
Beim Wechsel vom ZyWALL Netz ins Fritz!Box Netz habe ich am Raspi keine Einstellungen vorgenommen. Es bekommt seine fixe IP vom Router. Die ZyWALL hat ihm 192.168.3.6 zugeteilt, die Fritz!Box jetzt 192.168.5.6.

Als aus dem ZyWALL Netz eine ssh Verbindung zu einem VPN Client im 10.6.0.0 Netz gemacht wurde, kam die zustande, jetzt nicht mehr.

 

[NorbertHH]

Das Client-Netzwerk ist 10.6.0.0, also alle Clients, die sich mit dem VPN Server verbinden, bekommen eine IP aus dem Client-Netzwerk.

Korrekt, aber welches Default Gateway bekommen die VPN-Clients? Aus meiner Sicht müssen diese Clients das DefGw 10.6.0.1 haben, was die Netzwerkkarte / der virtuelle Adapter wg0 auf dem RasPi1 sein müsste...

 

[HaPeKa]

Du hast recht, ich muss in den Clients noch das 3er Netz ins 5er Netz ändern.
So sieht die IP Route von 10.6.0.9 aus:

pi@ADUpiFour:~ $ ip route
default via 192.168.1.254 dev wlan0 proto dhcp src 192.168.1.14 metric 303
10.6.0.0/24 dev wg0 proto kernel scope link src 10.6.0.9
192.168.1.0/24 dev wlan0 proto dhcp scope link src 192.168.1.14 metric 303
192.168.3.0/24 dev wg0 scope link

Dort muss die Route zurück zum neuen 5er Netz rein!

Vielen Dank für die nützlichen Hinweise!

Nachtrag:
Ich musste zusätzlich noch das File /etc/wireguard/wg0.conf editieren, dort gehört AllowedIPs = 192.168.5.0/24, 10.6.0.1/32 rein.
So läuft jetzt alles wie gewünscht. Happy Routing