Zugriff auf LAN über Internet

hoitschau schrieb:
Er hat einen LTE Router, er hat eine Fritzbox für VPN, das reicht doch?
Zum Vergrößern anklicken....
Er verwendet zwei Geräte, wo vermutlich eines reichen würde. Und mit den zwei Geräten handelt er sich die Probleme ein, die er hat. Warum einfach, wenn es auch kompliziert geht. Ein doppeltes NAT ist selten eine gute Idee.

Aber ja, eine öffentliche IPv4 wäre auch hier Voraussetzung für die einfache Lösung.
 
hoitschau schrieb:
Hallo Zusammen

Ich finde die Hilfsbereitschaft in diesem Forum super, aber manchmal hab ich das Gefühl, dass die Antworten etwas komplizierter sind als nötig.

@orpheus77
Bei einer LTE Verbindung musst du zuerst klären, ob du vom Provider eine öffentlich erreichbare IP erhälst, oder hinter einem Carrier-Nat nur eine private IP (192.168.x.x, 10.x.x.x, 172.16.x.x)
Befindet sich die IP des WAN Ports deines Archer M500 in einem dieser Bereiche wirds schwierig, weil du nicht vom Internet her erreichbar bist, und beim Carrier-NAT kein Portforwarding einrichten kannst.

Solltest du eine öffentliche IP-Adresse zugeteilt bekommen, ist alles nicht so kompliziert.
Dann kommt es auf das VPN an, dass du nutzen möchtest.

Denn du richtest dann auf deinem Archer M500 ein Portforwarding zur IP-Adresse, welche die Fritzbox an der WAN-Schnittstelle vom Archer M500 zugeteilt bekommt, ein. (Tip, Fixe diese IP anhand der MAC-Adresse der Fritzbox in den Einstellungen des Archer M500, dann ändert sie nie. Das empfiehlt sich im allgemeinen auch für alle anderen Clients.

Für IPSec musst du in den Einstellungen des Archer M500 Port 500 und Port 4500 zur Fritzbox forwarden.
Für Wireguard 51820
Abgesehen davon wenn du für das VPN andere Ports konfiguriert hast, dann musst du natürlich diese forwarden.

Die Pakete der Clients im Internet werden dann nicht vom Archer M500 verarbeitet, sondern diese gelangen zur Fritzbox.
Auf der Fritzbox richtest du dann ganz normal den VPN-Server ein.

So erreichst du dann alle Geräte hinter der Fritzbox.

Dass das Webinterface der Fritzbox an der WN-Schnittstelle nicht erreichbar ist, ist normal, wenn es erreichbar wäre wäre das eher ein Sicherheitsrisiko.
Sobald du ja per VPN verbunden bist erreichst du Sie auf der IP-Adresse der LAN-Schnittstelle.

Aber wie gesagt, gib mal Bescheid was für einen Typ IP-Adresse du vom Provider an der WAN-Schnittstelle des Archer M500 zugeteilt erhällst.
Damit steht und fällt alles.
Zum Vergrößern anklicken....
Hi, ich komme aus der Netzwerktechnik, Begriffe sind also kein Problem.
DYNDNS ist eingerichtet.
Anscheinend funktioniert das Portforwarding am Archer nicht (Es ist übrigens kein M500 sondern ein MR200)
Ich habe auf der Fritzbox die WebGui von extern erreichbar gemacht (Danke für den Tipp) und vom NAS ein Interface testhalber ins Transfernetz gehängt. Beide Portweiterleitungen (virt. Server) laufen in ein Timeout. Direkt im Transfernetz ist beides erreichbar.
Ich habe noch einen anderen LTE Router, daher werd ich mal den Archer tauschen.
 
hoitschau schrieb:
welche ports hast du denn im forwarding konfiguriert?
und welche vpn technik möchtest du testen?
Zum Vergrößern anklicken....
5000 für den NAS und 5100 für das Webgui der Fritzbox
Hab es sowohl 1:1 als auch testweise von 80 und 443 auf die internen Ports probiert.

Ich möchte eigentlich gerne das VPN der Fritzbox benutzen.

Und das doppelte NAT hat einen Grund. Die Anforderung war, dass der LTE Router entfernt werden kann und einen eigenen DHCP Pool bereitstellt. Wobei aus ja auch kein doppeltes NAT ist sondern ein NAt und ein Routing
 
Da du aus der Netzwerktechnik kommst empfehle ich die nicht zu probieren, sonden aufzuzeichnen und zu analysieren ;-)
Kennst du "fritz.box/#cap" schon, und Wireshark?
Starte im Tracemenü der Fritzbox einen Trace auf der WAN -Schnittstelle.
Versuche dich zu verbinden.
Sichere das Tracefile und öffne es im Wireshark.
 
ok, diese Port-Forwardings kannst du löschen, sobald VPN läuft.
hoitschau schrieb:
Denn du richtest dann auf deinem Archer M500 ein Portforwarding zur IP-Adresse, welche die Fritzbox an der WAN-Schnittstelle vom Archer M500 zugeteilt bekommt, ein. (Tip, Fixe diese IP anhand der MAC-Adresse der Fritzbox in den Einstellungen des Archer M500, dann ändert sie nie. Das empfiehlt sich im allgemeinen auch für alle anderen Clients.

Für IPSec musst du in den Einstellungen des Archer M500 Port 500 und Port 4500 zur Fritzbox forwarden.
Für Wireguard 51820
Abgesehen davon wenn du für das VPN andere Ports konfiguriert hast, dann musst du natürlich diese forwarden.
Zum Vergrößern anklicken....
Du scheinst momentan hier zu hängen.
VPN nutzt eigene Ports, das hat mit Webinterface oder http/s nichts zu tun

Darum die Frage welche VPN-Technik du nutzen möchtest?
 
Du scheinst momentan hier zu hängen.
VPN nutzt eigene Ports, das hat mit Webinterface oder http/s nichts zu tun

Darum die Frage welche VPN-Technik du nutzen möchtest?
Zum Vergrößern anklicken....
Ja hier hängts und ich hab den Archer in Verdacht, weil das ist ja eigentlich keine Raketentechnik.
VPN ist der zweite Schritt, erstmal muss der Zugriff an sich funktionieren.

Da du aus der Netzwerktechnik kommst empfehle ich die nicht zu probieren, sonden aufzuzeichnen und zu analysieren ;-)
Kennst du "fritz.box/#cap" schon, und Wireshark?
Starte im Tracemenü der Fritzbox einen Trace auf der WAN -Schnittstelle.
Versuche dich zu verbinden.
Sichere das Tracefile und öffne es im Wireshark.
Zum Vergrößern anklicken....
Ich hätte mir auch nie gedacht das ich solche Probleme bekomme, aber mit SOHO Geräten ist es halt nicht so einfach.
Wo ist das Tracemenü in der Fritzbox? Das hab ich noch nicht gefunden, wäre aber sehr hilfreich. Im Systemlog steht ja nix drinnen.
 
orpheus77 schrieb:
erstmal muss der Zugriff an sich funktionieren
Zum Vergrößern anklicken....
Also ich nehm jetzt mal an, dass du das Webinterface beider Router erreichst, oder?
Nur damit wir uns verstehen.
Also du hast einen Client den du jeweils in das LAN der Router hängen kannst?

Oder müssen wir zuerst schauen dass du auf die Webinterfaces zugreifen kannst?

Hab grad gesehen dass du nur die LAN-IP der Fritzbox angegeben hast. Wie hast du die Fritzbox an den Archer MR200 angeschlossen? WAN Port der Fritzbox an LAN1 des Archer MR200?
Wenn nicht musst du das anpassen.
Dann bezieht die Fritzbox an der WAN-Schnittstelle ja eine IP aus dem Netz des Archer MR200 (192.168.0.xxx). DIese IP brauchst du für das forwarding. Die Adresse 192.168.1.253 hat die Fritzbox nur an der LAN-Schnittstelle.

Ansonsten folgendes:

Archer MR200:

- DYN-DNS hast du eingerichtet

- Fritzbox erhält an der WAN-Schnittstelle eine IP des Archer MR200 (gefixt damit diese nie ändert).

- Dann brauchs du hier nur noch Portforwardings einrichten:
- 443 https, wenn du das Webinterface der Fritzbox an der WAN-Schnittstelle erreichbar gemacht hast. 80 http bitte nicht nutzen, da unverschlüsselt. Dann erreichst du aber das Webinterface des Archer MR200 nicht mehr vom WAN aus, falls du das auch testest. Du hast ja den Port 443 nur einmal und kannst den beim Archer MR200 lassen (kein Forwarding) für dessen Webinterface, oder forwarden für das Webinterface der Fritzbox. Da du aber am Schluss VPN hast, musst du das Webinterface nicht erreichbar machen, das geht dann automatisch über das VPN. Und für die erst-Konfiguration ist es schon praktischer, wenn du einen Client im LAN hast. Also viel Text von mir, forwarding 443 brauchst du aber nicht wirklich.

- 51820 für Wireguard VPN (Im Archer MR200 konfiguriert, IP der WAN-Schnittstelle des Archer MR200 xxx.xxx.xxx.xxx:51820 zu IP des WAN-Interface der Fritzbox 192.168.0.xxx:51820

- 500 und 4500 für IPSec VPN (Im Archer MR200 konfiguriert, IP der WAN-Schnittstelle des Archer MR200 xxx.xxx.xxx.xxx:500 zu IP des WAN-Interface der Fritzbox 192.168.0.xxx:500 und IP:port der WAN-Schnittstelle des Archer MR200 xxx.xxx.xxx.xxx:4500 zu IP:port des WAN-Interface der Fritzbox 192.168.0.xxx:4500

Fritzbox:

Wenn du das Portforwarding im Archer MR200 eingerichtet hast, kannst du nun das VPN auf der Fritzbox einrichten.



Wie du siehst, eigentlich ganz einfach.
Portforwarding 51820 auf dem Archer MR200 zur Fritzbox einrichten.
Wireguard auf der Fritzbox aktivieren.
Mobiler Client Wireguard mit Ziel dyndnsadresse:51820 einrichten.
 
Zuletzt bearbeitet:
Hallo hoitschau,

die Grundkonfig passt. Ich erreiche die GUI der Fritzbox sowohl vom LAN als auch vom Transfernetz aus (nachdem ich den externen Zugriff angehakt habe). Die IP im Transfernetz habe ich im DHCP Pool des Archer fixiert.
Nur das Portforwarding funktioniert einfach nicht. Ich tausche heute den Archer gegen einen anderen LTE Router aus.
 
Hast du denn für die VPN Ports ein Portforwarding eingerichtet?
Für welche Ports hast du ein Portforwarding eingerichtet?
Was für einen VPN Client nutzt du?
Die Konfiguration muss ja auch beim neuen Gerät genau gleich angelegt werden, glaube nicht dass dir ein Tausch helfen wird.

Aber es würde vermutlich helfen die Fragen zu beantworten, dann könnten wir dich besser unterstützen.
Aus der Antwort "funktioniert einfach nicht" lässt sich nicht viel ableiten.
 
Wie schon geschrieben geht es noch nicht ums VPN sondern 2 einfache Portweiterleitungen auf 5000 (GUI des NAS) und 5100 (Gui der Fritzbox)
Beide sind vom Transfernetz erreichbar, übers Portforwarding läuft es in ein timeout.
 
Solange das nicht funktioniert brauch ich das VPN nicht testen
Nutzen möchte ich dann den shrewsoft VPN Client, weil der ja von AVM empfohlen wird.
 
orpheus77 schrieb:
sondern 2 einfache Portweiterleitungen
Zum Vergrößern anklicken....
Dann nenn das Kind doch einfach mal beim Namen und zwar in Form von...

WAN-IP-Router -> Port/Prot -> Ziel-IP

...und das bitte für "beide" Router :)

Btw ab und zu spackt so ein Router auch gern mal rum, behauptet, es wäre alles umgesetzt und würde funktionieren, dabei funktioniert genau garnix, in diesem Fall hilft es dann, wenn man den Kram löscht und nochmal anlegt und damits "hübsch&ordentlich" ist, direkt noch gefolgt von einem Neustart des Routers 😇
 
77.119.172.*:5000 -> 192.168.0.5:5000
77.119.172.*:5100 -> 192.168.0.5:5100

Neustart hab ich mehrmals gemacht.
Wie geschrieben - ich probier es heute mit einem anderen LTE Router.
 
Also wenn du das GUI des NAS (Port 5000) erreichbar machen willst, musst du den Port 5000 auf dem Archer MR200 zu Fritzbox forwarden, undauf der Fritzbox musst du den Port 5000 zum NAS forwarden.

Hast du das so konfiguriert?
 
Nein weil der NAS mit einem Interface im Transfernetz zwischen Router und Fritzbox hängt. Die Fritzbox spielt noch gar nicht mit.
Das LAN ist ja 192.168.1.*
 
Hm, jo, wenn das ganze dann direkt an's NAS geht, sollte es eigentlich auch funktionieren, hast das NAS ja mit einer Backe direkt ins entsprechende Netz gehängt... Bliebe noch die Frage: TCP/UDP? Kommt darauf an, was das NAS gern hätte (vermutlich TCP?) und ob auf dem NAS die Firewall aktiv ist und ein Zugriff von extern überhaupt erlaubt wäre :)
 
orpheus77 schrieb:
77.119.172.*:5000 -> 192.168.0.5:5000
77.119.172.*:5100 -> 192.168.0.5:5100
Zum Vergrößern anklicken....
Wenn das die Konfig des Archer MR200 ist, und die IP 192.168.0.5 die WAN-IP der Fritzbox ist, landen die Pakete schon mal bei der Fritzbox.

Wenn du jetzt das selbe noch in der Fritzbox einrichtets, dann kommen die Pakete zum NAS durch:

192.168.0.5:5000 -> 192.168.1.xxx:5000(IP des NAS)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Zurzeit aktive Besucher

Gesamt: 148 (Mitglieder: 8, Gäste: 140)

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
4.529
Beiträge
46.417
Mitglieder
4.165
Neuestes Mitglied
der_rob

Teilen

Zurück
Oben