Trotzt WireGuard VPN nur Zugang zur FritzBox nicht in Heimnetz

[Christie’s]

Hallo zusammen,
ich habe mir auf meiner FritzBox cable 6591 eine WireGuard VPN Verbindung zum meinem Smartphone eingerichtet. Der Zugang zur FRITZ!Box (welchen ich auf die Adresse 192.168.1.1 geändert habe) klappt auch. Wenn ich jedoch andere Adressen eingebe, welche sich in meinem Heimnetz befinden, habe ich kein Zugang.
So komme ich normalerweise, wenn ich die IP meines TP-Link Routers eingebe (192.168.0.1) oder meines Servers (192.168.0.120), direkt auf diese Geräte, wenn ich mich zuhause befinde.
Wenn ich von wo anders das VPN benutze, komme ich jedoch nur bis zur FRITZ!Box.
Was mache ich falsch?

 

[blurrrr]

Hallo,

liegt vermutlich einfach daran, dass "192.168.1.x" nicht "192.168.0.x" ist. Wurde das bedacht? Ferner ist die Netz-Topologie noch relevant, von daher wäre es nicht verkehrt, wenn man den Netzaufbau mal kurz darlegen/skizzieren würde.

 

[Christie’s]

Danke erstmal für die schnelle Antwort.
Topologie ist anbei!
Momentan ist an der FRITZBOx nur der TP-Link Router angeschlossen. Alles danach läuft über den Router. Das auch nur, weil ich momentan noch über Kabel Laufe und die FritzBox aktuell noch als Zischen Station brauche.
Ich habe bereits versucht die Ip der FRITZBOx auf 192.168.0.1 zu ändern, jedoch kann der TP-Link Router dann Keine IP mehr beziehen. Zwar kann ich in der FRITZBOx eine Zuweisen, diese wird jedoch nicht übernommen. Auch wenn ich im TP-Link Router selber die Adresse auf 192.168.0.2 ändern will, klappt das nicht. Aktuell läuft es so, das die FRITZbOx wie gesagt über 192.168.1.1 läuft. Der TP-Link Router selber läuft über 192.168.0.1. In der FRITZBOx ist er jedoch auch unter der Adresse 192.168.1.20 eingetragen. Somit kann ich wenn ich mich im Heimnetz befinde sowohl über die Adresse 192.168.0.1 als auch über 192.168.1.20 zugreifen.

 

[Christie’s]

interessant ist auch, das sobald ich mit einer FritzBox außerhalb meines Netzwerkes verbunden bin und dann den VPN aktiviere. Habe ich wohl zwar Verbindung zum VPN, jedoch zu sonst nichts. Nicht mal ins Internet mehr. Über mobile Verbindung am Handy komme ich übers VPN ins Internet

 

[blurrrr]

Mit der Wireguard-Verbindung über die Fritzbox gilt vermutlich nur 192.168.1.0/24. Wenn da nichts anderes mitgeteilt wird, gilt da auch nur die Route durch den Tunnel für 192.168.1.0/24. Die Fritzbox bräuchte eine statische Route, damit sie weiss, dass das Netz 192.168.0.0/24 hinter dem TP-Link-Router zu finden ist (über die WAN-IP des TP-Link als Gateway in dieses Netz). Setzt allerdings voraus, dass der TP-Link dabei auch mitspielt. Alternativ VPN via TP-Link und dem Client als Route noch zusätzlich die 192.168.1.0/24 mitgeben.

 

[Christie’s]

Ne, die FRITZ!Box ist über WAN ans Internet angeschlossen. Nicht der TP-Link Router. Der TP-Link Router bezieht sein Internet von der FRITZBOx.

 

[blurrrr]

Das hab ich schon verstanden, nur kommst Du ja anscheinend über das Fritzbox-VPN "nur" in das Netz der Fritzbox (nicht dahinter).

Fritzbox WAN: x.x.x.x
Fritzbox LAN: 192.168.1.1

TP-Link WAN: 192.168.1.20
TP-Link LAN: 192.168.0.1

Somit ergibt sich:

<WAN> Fritzbox <LAN 192.168.1.0/24> TP-Link <LAN 192.168.0.0/24>

Landest Du nun nur im vorderen Netz (Fritzbox) und wird dem VPN-Client auch nichts anderes mitgeteilt, hast Du eben auch "nur" Zugriff auf das vordere Segment. Dem Client muss gesagt werden, dass das Netz 192.168.0.0/24 ebenfalls durch den Tunnel soll, ebenso muss der Fritzbox gesagt werden, dass sich das Netz 192.168.0.0/24 über die 192.168.1.20 erreichen lässt. Fraglich ist dann noch, ob der TP-Link die entsprechenden Pakete auch durchlässt.

 

[Christie’s]

Sorry, von mir falsch gelesen.
Wie genau stelle ich das denn in der FritzBox ein?

 

[blurrrr]

So wie es hier beschrieben ist: https://avm.de/service/wissensdaten...1_Statische-IP-Route-in-FRITZ-Box-einrichten/

 

[Christie’s]

Ay, Danke! Hab ich gemacht. 192.168.1.20 als IP und Gateway eingetragen 255.255.255.0 als Subnetz. Aber es klappt weiterhin nicht. Du meintest jetzt, das der TP-Link Router das eventuell nicht durchlässt? Also muss ich das dort auch freigeben?

 

[blurrrr]

Wenn die Fritzbox die Route kennt, ist das schön für die Fritzbox, nutzt Dir aber nichts, wenn Dein VPN keine Pakete für das Netz 192.168.0.0/24 durch den Tunnel schickt. Das müsste man dem Client also auch noch irgendwie sagen. Vermutlich müsste man dafür die Wireguard-Verbindung bearbeiten (oder ggf. einfach neu erstellen, keine Ahnung, ich nutze kein Wireguard auf der Fritzbox).

Fakt ist aber, dass Pakete "nicht einfach so" von aussen nach innen dürfen. Das gilt bei der Fritzbox (daher auch Portfreigaben/-weiterleitungen), als auch für den TP-Link-Router. Wenn der TP-Link-Router die Möglichkeit dazu bietet, kannst Du dort "NAT" abschalten und ggf. entsprechende Firewall-Regel-Anpassungen vornehmen.

Ob NAT aktiv ist, kannst Du ggf. im TP-Link-Router einsehen, oder z.B. wenn Du Dich auf der Fritzbox anmeldest (aus dem TP-Link-Netz). Entweder kommt der Login dort dann von einer 192.168.0.x-IP, oder von der 192.168.1.20 (dann ist NAT aktiv bzw. SNAT).

 

[Christie’s]

Ich danke dir vielmals! Ich werde jetzt ein wenig rum probieren. Hast mir super auf die Sprünge geholfen!