VPN Zugang bei gleichen Netzwerken

[zinnik]

Hallo,
ich habe da mal eine Frage die mich schon länger bedrückt.

Meine Fritzbox 7590 mit vielen Heimnetzwerk geräten über 100 Stück. Hat die IP Adresse 192.168.1.1 demzufolge die Netzwerkgeräte 192.168.1.10- 192.168.1.200
Ich hatte schon mehrmal s folgendes Problem zb im Urlaub wo auch eine Fritzbox steht mit dem gleichen Netzwerk 192.168.1.1
Da kann ich kein VPN zu mir nach hause aufbauen weil die beiden Netze gleich sind.
Soweit ist mir das klar. Habe jetzt auch gelesen das mein Netzwerk eine andere IP haben müsste damit das funktioniert.
Hier stellt sich mir aber die Frage?

Wenn ich meiner Fritzbox zb die 172.10.10.1 gebe. Dann muss ich doch auch meine ganzen Heimnetzgeräre ändern weil diese ja dann nicht mehr im gleichen IP Adressbereich sind?

Kann ich das irgendwie anders machen das ich zb nur dem VPN Zugang eine anderen IP Adressbereich gebe.

Ich hoffe ihr versteht was ich meine.

Danke für eure Hilfe.

LG SVEN

 

[blurrrr]

Hi

Kann ich das irgendwie anders machen das ich zb nur dem VPN Zugang eine anderen IP Adressbereich gebe.

Nein, das geht bei einer Fritzbox nicht.

Wenn ich meiner Fritzbox zb die 172.10.10.1 gebe. Dann muss ich doch auch meine ganzen Heimnetzgeräre ändern weil diese ja dann nicht mehr im gleichen IP Adressbereich sind?

Korrekt, wobei das meiste eigentlich via DHCP verteilt werden dürfte, heisst, dass Du eigentlich nur aktiv die Konfiguration bei Geräten anfassen musst, wo Du die IP-Adressen bzw. Netzinformationen statisch hinterlegt hast, bei allen anderen reicht eine erneute Herstellung der Verbindung (Kabel rein/raus, WLAN aus/an, oder einfach kurzerhand das Endgerät mal neustarten).

 

[zinnik]

Ja das ist leider ein Problem weil sehr viele Adressen statisch vergeben sind. Ich nutze noch ein Nas... wo einige Ports wie in anderen geräten konfiguriert sind. Zb auf dem Nas Laufen Docker und VMs und Datenbanken wo Ip Adressen konfiguriert sind.
Auf dem Smartphone und Pc sind Sync Jobs eingerichtet wo die Geräte alle feste Ip Adressen haben.
DNn läuft noch ein Openhab3 wo auch die Smarthome geräte Bridges von Hue, Phoscon, Gardena und das ganze Zeug feste Ip Adrsssen haben.
Da habe ich ehrlich gesagt garnicht mehr so den Überblick was ich wo überall eingerichtet habe und ich auch froh war das alles so läuft wie es ist.

Gibt es noch eine andere Lösung VPN Zugang zu erhalten wenn die Netzwerke gleich sind.
Was heist eigentlich statische IP v4 Route kann man dami was realisieren?

Lg

 

[Barungar]

Gibt es noch eine andere Lösung VPN Zugang zu erhalten wenn die Netzwerke gleich sind.

Das ist schwierig; das hat auch nicht mit der FritzBox zu tun. Man kann einfach kein VPN zwischen zwei gleichen Subnetzen machen. Man könnte auf beiden Seiten mit einem speziellen NAT arbeiten, in dem man dem anderen Netz jeweils fiktive IPs gibt, die dann auf dem VPN-Gateway "übersetz" werden. Aber das ist auch kein Spaß und ein enormer Aufwand. (Bei einer FritzBox nicht möglich.)

Der einfachste Weg ist einfach, bei einer der beiden FritzBoxen - ideal bei der mit dem kleinsten Netz - den IP-Bereich zu ändern.
Und sich für die Zukunft zu merken, nie mit den vorgeschlagenen Werten eines Gerätes agieren und niemals zwei FritzBoxen mit gleichem IP-Subnetz betreiben; da man nie weiß ob und wann man mal ein Routing/VPN etablieren will.

 

[Stationary]

Grundsätzlich gebe ich meinen Fritzboxen immer von vornherein neue IP-Bereiche (also niemals den Standardbereich), und auch immer aus eher ungebräuchlichen Bereichen, damit genau das genannte Problem nicht auftritt.
Ich würde den Weg gehen, zunächst einmal die Fritzbox zu ändern, die weniger fest vergebene IPs hat. Dann vielleicht später einmal, wenn mehr Zeit und Ruhe ist, auch die andere.
IP-Adressen lasse ich auch nur von der Fritzbox zentral verteilen, auf den Geräten trage ich so etwas nicht grundsätzlich nicht ein. So muß ich im Regelfall nur auf der Fritzbox etwas ändern - und vielleicht noch im pi-hole.

 

[zinnik]

Ich kann leider nur auf meiner Fritzbox wenn überhaupt was ändern. Und das ist die Fritzbox mit den sehr vielen Geräten.
Denn zb im Urlaub un einer Pension wenn ich da das Wlan nutze habe ich ja kein Zugriff auf die Boxen.

Tja dann werde ich wohl damit leben müssen... schade. Am Anfang wo alles Anfing ca 2015 da wusst eich noch nicht das dies mal alles so umfangreich wird. Das jetzt mein ganzes Smarthome aus Ip adressen, Ports und Rules besteht. Da ich auch kein Programmierer bin. Fällt mir das sehr schwer nochmal alles einzurichten.

 

[Stationary]

Denn zb im Urlaub un einer Pension wenn ich da das Wlan nutze habe ich ja kein Zugriff auf die Boxen.

Für den Urlaub habe ich für die Verbindung nach Hause immer eine mobile Fritzbox dabei (6820 LTE). Alles andere läßt sich aus dem wlan der Pension/des Hotels erledigen, aber wenn ich Zugriff navh Hause benötige, kommt die eigene Box zum Einsatz. Oder direkt VPN über das LTE des Mobiltelefons.

 

[zinnik]

Für den Urlaub habe ich für die Verbindung nach Hause immer eine mobile Fritzbox dabei (6820 LTE). Alles andere läßt sich aus dem wlan der Pension/des Hotels erledigen, aber wenn ich Zugriff navh Hause benötige, kommt die eigene Box zum Einsatz. Oder direkt VPN über das LTE des Mobiltelefons.

Wie muss ich das verstehen mit der mobilen Fritzbox. Vielleicht löst das ja schon mein Problem.

 

[Boxenluder]

Du könntest Dir auch eine Fritz!Box 7412 besorgen -gibt es in den Kleinanzeigen öfters für rd 10€- und sie mit OpenWRT flashen und als Wireguard-Server für Dein Heimnetz konfigurieren. Ob für Deine Zwecke die 7590 mit der Firmware 7.50 das hinbekommt, musst Du ausprobieren. IKEv2, was für Android >Vers.11 bei Neuinstallation vorgeschrieben ist (deshalb ja nie alte, angelegte Clients aus <Vers. 11übernommen, löschen, da diese noch IKEv1 beherrschen mit dem Zusatz "unsicher"), kann die 7.50er Firmware bereits mit bekanntem Problem.

 

[Stationary]

Wie muss ich das verstehen mit der mobilen Fritzbox

So:

Ist vom Format her die kleinste Fritzbox, unten hat sie einen Slot für eine SIM-Karte. Ich habe da beispielsweise eine von Edeka drin, 4 GB für ca. 10 Euro. Damit kann ich überall in Europa im LTE-Netzwerk eine VPN-Verbindung zu den großen Fritzboxen (drei Netzwerke, mit 7590, 6590 bzw. 7490) nach Hause aufbauen. Wenn Du nicht gerade vorhast, Filme von zu Hause zu streamen, sondern nur ein paar Dinge kontrollieren und schalten willst und gegebenenfalls gelegentlich mal auf eine NAS zu Hause zugreifen mußt, ist das Ding ganz praktisch.
Ich nehme die jeden Tag mit ins Büro und auch mit in den Urlaub.

 

[zinnik]

So:
Anhang anzeigen 2993
Ist vom Format her die kleinste Fritzbox, unten hat sie einen Slot für eine SIM-Karte. Ich habe da beispielsweise eine von Edeka drin, 4 GB für ca. 10 Euro. Damit kann ich überall in Europa im LTE-Netzwerk eine VPN-Verbindung zu den großen Fritzboxen (drei Netzwerke, mit 7590, 6590 bzw. 7490) nach Hause aufbauen. Wenn Du nicht gerade vorhast, Filme von zu Hause zu streamen, sondern nur ein paar Dinge kontrollieren und schalten willst und gegebenenfalls gelegentlich mal auf eine NAS zu Hause zugreifen mußt, ist das Ding ganz praktisch.
Ich nehme die jeden Tag mit ins Büro und auch mit in den Urlaub.

Ok danke für deine Erklärung. Aber dann könnte ich auch direkt vom Smartphone dasLte nutzen da einen Hotspot aufmachen. Dann das Notebook mit dem HOTSPOT verbinden und dann mit Wireguard VPN auf dem Notebook nach hause verbinden.

Nur leider von Hotel e8genen Wlan geht es nicht wenn die Netze IP Netze gleich sind.

Und wenn kein LTE oder Internetempfang im Zimmer ist dann wirds richtige blöd.

 

[Stationary]

Aber dann könnte ich auch direkt vom Smartphone dasLte nutzen da einen Hotspot aufmachen.

Jein. Ein Smartphone bietet Dir natürlich nicht den Komfort eines Routers. Weder was die Übertragungsgeschwindigkeit betrifft, noch der Anzahl der gleichzeitig verbundenen Geräte. Eine LAN-Buchse für den Rechner hat es auch nicht. LAN-LAN-Kopplung der mobilen Fritzbox mit der Heimfritzbox läßt Dich jedes Gerät zu Hause problemlos erreichen. Ist letztlich eine Komfortfrage, die man sich beantworten muß.

Das Problem mit dem hoteleigenen wlan löst Du meiner Ansicht nach nur, wenn Du Dich hinsetzt und Deinem Heimnetz einen neuen IP-Bereich verpaßt. Das ist einmal Arbeit, dafür wirst Du dann in Zukunft (fast) immer davon profitieren, außer Du gelangst in ein Hotelnetz, bei dem jemand die gleiche Idee hatte und zufälligerweise Deinen IP-Bereich gewählt hat. Bei 192.168.1.0/24 wird das sehr häufig der Fall sein, bei 192.168.x.0/24 (x irgendeine Zahl >10) seltener.

 

[blurrrr]

bei 192.168.x.0/24 (x irgendeine Zahl >10) seltener.

Da muss ich jetzt aber mal "jain" sagen In Deutschland wäre "178/179" nochmal so ein Ding, wie es bei ausländischen Anbietern aussieht, weiss ich nicht (dürfte aber auch "je nach Land" etwas sein) + natürlich die übergreifenden Geschichten, womit das mit >10 ja schon garnicht so verkehrt ist, aber hier in Deutschland mit der Fritzbox dennoch ins Auge gehen kann.

Eigentlich ganz witzig, denn im Zuge dessen bin ich grade noch über jenen hier gestolpert: https://kb.synology.com/de-de/SRM/tutorial/How_will_my_Synology_Router_do_when_having_detected_a_subnet_conflict Finde ich ja schon ein bisschen... hart... das Verhalten und auch so "garnicht" gewünscht... soviel zum Thema Subnetz....

 

[Stationary]

In Deutschland wäre "178/179" nochmal so ein Ding

Ja, das habe ich weggelassen. .178.0/24 betrifft meines Wissens nach Fritzboxen bis Baujahr ca. 2017. Spätere Modelle gehen mit der .1.0/24 an den Start.
.179.0/24 ist der Gastnetzbereich. Zu dem kann man ja kein VPN aufbauen und ich glaube, die Fritzbox läßt den Bereich auch nicht für das Hauptnetz zu. Somit ist .179.0/24 aus beiden Richtung für das Hauptnetz nicht interessant.

Also einigen wir uns auf x>10\{178,179}

Das Synology-Verhalten ist aber ein starkes Stück…

 

[Barungar]

Ich habe gute Erfahrungen mit 172.16.0.0/12 gemacht. Das scheint irgendwie der Bereich der privaten IPs zu sein, der am wenigsten Beachtung findet. Der ganze "SOHO-Krempel" und das "Heimspielzeug" ist in 192.168.0.0/16. Firmen denken meist auch direkt größer und nehmen 10.0.0.0/8. Und so fährt man gut, wenn man sich ein 24er Netz da raussucht z.B. 172.30.30.0/24 oder so.

 

[zinnik]

Ich habe gute Erfahrungen mit 172.16.0.0/12 gemacht. Das scheint irgendwie der Bereich der privaten IPs zu sein, der am wenigsten Beachtung findet. Der ganze "SOHO-Krempel" und das "Heimspielzeug" ist in 192.168.0.0/16. Firmen denken meist auch direkt größer und nehmen 10.0.0.0/8. Und so fährt man gut, wenn man sich ein 24er Netz da raussucht z.B. 172.30.30.0/24 oder so.

Und wieso hast du soviele netze. Könnte ich das bei mir nicht auch machen und mein Heimnetzzeug so belassen und nur den IP Bereich für das VPN so anpassen?

 

[the other]

Moinsen,
nein, das geht eben leider nicht.
Netzwerk aus dem der Kontaktversuch per VPN erfolgt (A) UNGLEICH VPN Tunnel Netzwerk (B) UNGLEICH Netzwerk in das der Kontaktversuch per VPN erfolgen soll (C)...

Also entweder A ändern (geht nunmal nicht immer, da oft fremdes Netzwerk) oder C (geht, weil in der Regel eigenes Netzwerk).

Warum einige Menschen daheim viele Netzwerksegmente haben: es werden gerne VLANs genutzt (oder andere Subnetze).

 

[Barungar]

Und wieso hast du soviele netze

Wieso viele Netze?! Ich verstehe die Frage nicht ganz. Ich habe lediglich gesagt, dass der 172er-Bereich recht unbeachtet ist und daher, aus meiner Sicht, ein idealer Bereich ist um darin sein Subnetz zu wählen.

Davon ab, habe ich, wie @the other schrieb schon mehrere VLANs, aber das hat einen anderen Grund. Ich betreibe auch nicht in jedem VLAN IPv4... das ist nur da, wo es leider noch notwendig ist. Ich habe auch VLANs, die sind IPv6-only.

Und @zinnik, ich glaube wir hatten Dir schon schon gesagt, dass es nicht geht, zwei identische IP-Subnetze über ein VPN (ohne aufwändiges NAT) zu verbinden. Es geht allein schon aus dem Grund nicht, weil die meisten Datenpakete niemals beim Router/VPN-Gateway ankommen würden.

Beispiel:

• Urlaubs-Netzwerk 192.168.178.0/24 mit FB auf 192.168.178.1
  • Laptop A im Urlaubs-Netz 192.168.178.33
• Heim-Netzwerk 192.168.178.0/24 mit FB auf 192.168.178.1
  • NAS im Heim-Netz auf 192.168.178.200

Auf dem Laptop soll nun eine auf eine Datei auf dem heimische NAS zugegriffen werden.
Im Explorer tippt man also \\192.168.178.200\tolle_Freigabe\ ein.
Der IP-Stack vom Laptop prüft nun, seine interne Routing-Tabelle und stellt fest:

• 0.0.0.0/0 (default Route aka. Standard-Gateway) passt
• 192.168.178.0/24 (lokales Netz) passt

Nun gibt es eine (interne) Regel beim Routing, die sagt, dass eine spezielle Router immer vorrang vor einer allgemeinen Route hat. ODer anders ausgedrückt, die "default Route" wird nur gewählt, wenn überhaupt keine andere Route gefunden wird.
In diesem Fall hat der Laptop jedoch die vermeintlich richtige Route als das lokale Netz gefunden, also prüft er nun seinen ARP Cache, ob er schon einen Eintrag für 192.168.178.200 (im Urlaubs-Netzwerk) hat. Es gibt nun zwei Möglichkeiten a) es gibt auch im Urlaubs-Netzwerk ein Gerät mit dieser IP oder b) es gibt dort kein passenden Gerät. In beiden Fälle wird letztlich das gleiche passieren, Dein heimisches NAS (und auch das VPN-Gateway) werden niemals erfahren, dass auf die zugegriffen werden sollte.

Damit aber schon der Client (das Laptop) merkt, dass nicht das 192.168.178.0/24 am Urlaubsort gemeint ist, muss es ein anderes Netz sein, dass angesprochen wird.

 

[blurrrr]

Wir können das auch ganz einfach machen... 2 Häuser, gleiche Hausnummer (10). Im ersten Haus bist Du Zuhause (Dein "LAN"), im zweiten Haus wohnt jemand anderes (Fremdnetz), Du befindest Dich derzeit mit einer weiteren Person im zweiten Haus. Dieser Person sagst Du nun: Geh in Hausnummer 10 in die Küche und hole mir den roten Topf. Wird diese Person das Haus verlassen? Vermutlich nicht, wozu auch, es ist ja "Hausnummer 10" und dort gibt es sicherlich auch eine Küche, aber vermutlich keinen roten Topf. Ergo kriegst Du die Rückmeldung, dass kein roter Topf zu finden war. Ende der Geschichte...

 

[Barungar]

@blurrrr Das mit den Häusern versteht doch keiner. Wieso sollten zwei Häuser in der gleichen Straße Nr. 10 sein?! Das würde keiner guten, deutschen Behörde passieren.