Wireguard VPN Verbindung aus einem Fritzbox-Netzwerk zur anderen Fritzbox nicht möglich.

Crazydrummer

New member
Hallo zusammen, ich brauche bitte mal eure Hilfe.

Folgendes Setup:
fritzbox 1 (7590) hängt per WAN Port an einem Modem. Die FB hat das Heimnetz mit der IP 192.168.1.1 und 255.255.255.0 als Subnetz

fritzbox 2 (7590, anderer Standort) hängt ebenso per WAN Port an einem Modem. Die FB hat das Heimnetz mit der IP 192.168.188.1 und 255.255.255.0 als Subnetz.

Eine VPN Verbindung vom Handy zu den Fritzboxen ist von außerhalb jederzeit möglich. Befinde ich mich aber mit dem Handy in WLAN einer Fritzbox, und möchte die VPN Verbindung zur anderen Fritzbox aufbauen, dann klappt das nicht. Ich sehe zwar den Schlüssel für VPN, empfange aber keinen Traffic und kann auch keine Seiten im Browser aufrufen etc...
Wo liegt der Fehler, bzw was mache ich falsch?
 
Zuletzt bearbeitet:
Erste Vermutung Dual Stack Lite. Kannst Du das bestätigen? Bzw. könntest Du sagen, welche Art von Anschlüssen bzw. welche Provider auf beiden Seiten im Spiel sind? Welcher DynDNS-Dienst kommt zum Einsatz?
 
Erste Vermutung Dual Stack Lite. Kannst Du das bestätigen? Bzw. könntest Du sagen, welche Art von Anschlüssen bzw. welche Provider auf beiden Seiten im Spiel sind? Welcher DynDNS-Dienst kommt zum Einsatz?
Also bei Box 1 hängt ein Kabelmodem des Österreichischen Providers "Kabelplus" am WAN Port der Fritzbox. Ist ein Modell von Technicolor und unterstützt kein IPv6, lediglich IPv4.

An der zweiten Box hängt ein 5g Modem von Drei (Mobile Provider aus Österreich).

DS Light halte ich daher eher für unwahrscheinlich...?


Edit: ich habe ausserdem auch versucht den IP Bereich in einem Netzwerk komplett zu ändern, auf 172.16.0.x, hat aber auch weiterhin nicht geklappt.
 
DS Light halte ich daher eher für unwahrscheinlich.
Bei Kabelanschluß und Mobilfunk hat dann @Barungar wohl doch eher Recht, bei beiden Anschlußarten könnte eine nicht-öffentliche IPv4 vorliegen, Stichwort CGNAT. Gerade Kabelanschluß ist ein DS Lite-Kandidat.

Wundert mich dann aber doch, daß Du Dich vom Smartphone von außerhalb verbinden kannst.
 
Sorry hatte es nur im Titel stehen, nicht im Text. Es ist eine Wireguard VPN Verbindung.
Und wie schon geschrieben, solange ich mit dem Handy nicht im WLAN bin, klappt es wunderbar, sobald ich jedoch im WLAN bin, dann war es das....
 
Bei Kabelanschluß und Mobilfunk hat dann @Barungar wohl doch eher Recht, bei beiden Anschlußarten könnte eine nicht-öffentliche IPv4 vorliegen, Stichwort CGNAT. Gerade Kabelanschluß ist ein DS Lite-Kandidat.

Wundert mich dann aber doch, daß Du Dich vom Smartphone von außerhalb verbinden kannst.
Aber dann dürfte ich doch von Handy ohne WLAN auch nicht drauf kommen, oder? Habs inzwischen mit beiden Boxen probiert, sind beide erreichbar, solange ich mich eben nicht in einem der Heimnetze im WLAN befinde. Prinzipiell sind beide Fritzboxen auch über den Fritzbox Dienst aus dem Internet erreichbar, das Wireguard Protokoll nimmt auch diese Addresse als Ziel. Theoretisch hätte ich auch noch eine noIP DDNS Option, aber da AVM ja das auch mit dem eigenen Dienst schafft, habe ich die NoIP Variante noch garnicht versucht.
 
Meine Vermutung war, dass aus dem Mobilfunknetz einfach saubere IPv6-VPN-Verbindungen aufgebaut würden und es nur beim Box-zu-Box-VPN Schwierigkeiten mit der IPv4 gibt. Es wäre aber weiterhin denkbar, wenn einer der beiden Anschlüsse ein Dual Stack Lite ist und der andere ein reiner IPv4-Anschluss ist. Da kann es dann sehr wohl zu solchen "Missverständnissen" kommen.

Ich verstehe Dich so, dass der Anschluss am Kabel nur IPv4 hat?! Das ist zwar sehr seltsam, aber wäre dennoch möglich. Gerade aber im Mobilfunk-Bereich ist Dual Stack Lite sehr üblich, also dass Du dort nur eine echte IPv6 und eine "unbrauchbare" IPv4 hast.

Das würde dann vom Smartphone aus dem Mobilfunk immer noch klappen. Das Smartphone macht dann einfach zur FritzBox 1 IPv4 und zur FritzBox 2 IPv6. Aber wenn die beiden FritzBoxen dann zusammenkommen sollen, dann gibt es ein Problem. Die eine (FritzBox 1) spricht laut Deinen Aussagen "nur" IPv4 und die andere (FritzBox 2) ist vermutlich an einem Dual Stack Lite und kann daher eigentlich nur "richtig" IPv6.

Dann wäre das Ergebnis aus dem Mobilfunk vom Smartphone okay (zu beiden; siehe oben) und Box-zu-Box eben negativ. Das deckt sich auch mit der Erkenntnis, dass wenn das Smartphone in einem der beiden WLANs ist, dann auch kein VPN mehr aufbauen kann. Da kommen dann die gleichen Faktoren ins Spiel.

Die Lösung wäre entweder Anschluss 1 IPv6 beibringen (zu bevorzugen!) oder Anschluss 2 echtes "Dual Stack" (inkl. funktionale IPv4) anfordern.

Um das ganze aus der Welt der Spekulation rauszuholen, müsstest Du uns aber schon mit den Informationen zur Konnectivität versorgen. Also welche IPv4-&IPv6-Adressen haben die beiden Boxen. Dabei müssen es nicht die vollständigen IPs sein, aber man muss schon noch erkennen können, ob es "echte" IPs sind oder ob eventuell Sonderebereiche zum Einsatz kommen (private IPs oder NAT-IPs). Auch die Connectmeldung aus der Fritz Box kann hilfreich sein.

Echtes Dual Stack sieht z.B. so aus:
1679750277573.png
 
Zuletzt bearbeitet:
Meine Vermutung ist die gleiche wie @Barungar schreibt. Bei Mobilfunk bin ich mir nicht ganz sicher was aber auch gehen könnte von der Mobilfunkanbindung die eine private IPv4 hat eine VPN zur anderen mit öffentlicher IPv4 aufzubauen. Also LAN-LAN Kopplung.
 
Meine Vermutung war, dass aus dem Mobilfunknetz einfach saubere IPv6-VPN-Verbindungen aufgebaut würden und es nur beim Box-zu-Box-VPN Schwierigkeiten mit der IPv4 gibt. Es wäre aber weiterhin denkbar, wenn einer der beiden Anschlüsse ein Dual Stack Lite ist und der andere ein reiner IPv4-Anschluss ist. Da kann es dann sehr wohl zu solchen "Missverständnissen" kommen.

Ich verstehe Dich so, dass der Anschluss am Kabel nur IPv4 hat?! Das ist zwar sehr seltsam, aber wäre dennoch möglich. Gerade aber im Mobilfunk-Bereich ist Dual Stack Lite sehr üblich, also dass Du dort nur eine echte IPv6 und eine "unbrauchbare" IPv4 hast.

Das würde dann vom Smartphone aus dem Mobilfunk immer noch klappen. Das Smartphone macht dann einfach zur FritzBox 1 IPv4 und zur FritzBox 2 IPv6. Aber wenn die beiden FritzBoxen dann zusammenkommen sollen, dann gibt es ein Problem. Die eine (FritzBox 1) spricht laut Deinen Aussagen "nur" IPv4 und die andere (FritzBox 2) ist vermutlich an einem Dual Stack Lite und kann daher eigentlich nur "richtig" IPv6.

Dann wäre das Ergebnis aus dem Mobilfunk vom Smartphone okay (zu beiden; siehe oben) und Box-zu-Box eben negativ. Das deckt sich auch mit der Erkenntnis, dass wenn das Smartphone in einem der beiden WLANs ist, dann auch kein VPN mehr aufbauen kann. Da kommen dann die gleichen Faktoren ins Spiel.

Die Lösung wäre entweder Anschluss 1 IPv6 beibringen (zu bevorzugen!) oder Anschluss 2 echtes "Dual Stack" (inkl. funktionale IPv4) anfordern.

Um das ganze aus der Welt der Spekulation rauszuholen, müsstest Du uns aber schon mit den Informationen zur Konnectivität versorgen. Also welche IPv4-&IPv6-Adressen haben die beiden Boxen. Dabei müssen es nicht die vollständigen IPs sein, aber man muss schon noch erkennen können, ob es "echte" IPs sind oder ob eventuell Sonderebereiche zum Einsatz kommen (private IPs oder NAT-IPs). Auch die Connectmeldung aus der Fritz Box kann hilfreich sein.

Echtes Dual Stack sieht z.B. so aus:
Anhang anzeigen 3444
@Barungar Schon mal tausend Dank für deine Geduld und Hilfe.... Netzwerktechnik ist nicht gerade meine Stärke ;)
Also prinzipiell brauche ich die Verbindung eh nur mehr für ca 3 Monate, danach gibt es nur mehr ein Heimnetz.

Anbei einmal die Screenshots:
Heimnetz1:
Heimnetz1.png
Dazu die Verbindungsmeldung:
ConnectionHeimnetz1.png

und ja, die FB hier läuft im Subnetz des Kabel-Routers, aber eben auch als Router. Das ist die IP des Kabel-Routers:
ModemKabelplus.png

Und im Heimnetz 2 schaut es dann so aus:
Heimnetz2.png

Verbindungsmeldung:
ConnectionHeimnetz2.png

brauchst du sonst noch infos?
 
Mich wundert gerade das du VPN übers Handy nutzen kannst. Sicher das du den VPN zur FB aufbaust?

FB hat ne private IP vom Router hier ist zwar eine öffentliche vorhanden aber der eingerichte MyFritz Dienst löst hier auf die private auf. IPv6 haste hier nicht.

An der 2 FB haste auch nur eine private IPv4 und IPv6 ist auch keins da.

Die Meldung der WireGuard Verbindung sieht mir so aus als würde FB 2 eine Verbindung irgendwo hin aufbauen.

Hast du im Router vor FB 1 was eingerichtet?
 
Mich wundert gerade das du VPN übers Handy nutzen kannst. Sicher das du den VPN zur FB aufbaust?
Ja, darum sind die Screenshots aus dem Netz2 ja auch Handy Screenshots ;) Die Wireguardverbindung ist die vom Handy (zu FB 2) Interessanterweise geht aber meine VPN Verbindung zur FB1 nicht mehr, vielleicht steckt da der Haken... obwohl ich mir sicher bin, dass es schon mal geklappt hat. Aber aktuell komme ich mit dem Handy nur auf die FB2, nicht auf die FB1

Im Router vor der FB1 sind nur Standard Portweiterleitungen drinnen, die aber alle nicht die Wireguard Ports betreffen. bzw habe ich auch schon versucht alle zu deaktivieren, und dann noch die Wireguard Ports vom Router an die FB1 weiter zu leiten, hatte aber auch keinen Erfolg gebracht.

also ich steh echt am langsam am Schlauch. vorallem, da die FB1 ja auch üeber die myfritz Adresse erreichbar ist, etc...
 
Das ist beides sehr seltsam. Beide FritzBoxen haben private IPv4. Damit sollte eigentlich gar kein VPN vom Smartphone möglich sein.
 
Wenn du am Router von FB 1 Portsfreigeben kannst sollte folgendes gehen:

DynDNS in Router vor der FB 1, Port zur FB 1 freigeben. WireGuard oder IPSec Config in FB 1 erstellen und in FB 2 hoch laden. Fürs Handy auch an FB 1 eine Config erstellen.

Somit Baust du zu FB 1 nur eine VPN auf und erreichst beide Netzte.

Ich seh gerade es gut nur IPSec da WireGuard scheinbar immer die in der Box eingerichteten DynDNS nimmt. https://avm.de/service/wissensdaten...wischen-zwei-FRITZ-Box-Netzwerken-einrichten/

Sollte klappen aber ohne Gewähr hab’s so noch nie getestet.
 
Wenn du am Router von FB 1 Portsfreigeben kannst sollte folgendes gehen:

DynDNS in Router vor der FB 1, Port zur FB 1 freigeben. WireGuard oder IPSec Config in FB 1 erstellen und in FB 2 hoch laden. Fürs Handy auch an FB 1 eine Config erstellen.

Somit Baust du zu FB 1 nur eine VPN auf und erreichst beide Netzte.

Ich seh gerade es gut nur IPSec da WireGuard scheinbar immer die in der Box eingerichteten DynDNS nimmt. https://avm.de/service/wissensdaten...wischen-zwei-FRITZ-Box-Netzwerken-einrichten/

Sollte klappen aber ohne Gewähr hab’s so noch nie getestet.
Also, das werde ich dann heute mal versuchen, gebe dann Bescheid ob es geklappt hat. Was ich gestern noch geschafft habe, war die Wireguard Verbindung zur FB1. Ich hab einfach die myfritz Adresse in der Wireguard Config am Handy durch die externe IP des Kabelmodems (die ist bei mir seit Jahren immer die selbe IP, auch wenn offiziell keine fixe IP vergeben wird 😉) ersetzt und den entsprechenden Port im Kabelmodem an die Fritzbox weitergeleitet. Somit komme ich jetzt mal per Handy wieder auf beide Fritzboxen, solange ich halt nicht im WLAN bin. Dein Vorschlag mit der Direktverbindung der Fritzboxen kommt als nächstes dran.
 

Letzte Anleitungen

Statistik des Forums

Themen
4.388
Beiträge
45.290
Mitglieder
3.989
Neuestes Mitglied
Dr.Snuggles
Zurück
Oben