(gelöst) vpn mit fritzbox und anderes netz

[averlon]

Hallo,
ich habe eine funktionierende VPN-Verbindung zwischen dem Lancom und einer entfernten FRITZ!Box. LAN-LAN-Kopplung.

Die FB nutzt das Standard-Netz (192.168.178.0/24).

Im IP-Routing habe ich einen Eintrag drin:

Code: Alles auswählen

cd /Setup/IP-Router/IP-Routing-Table 
add  192.168.178.0    255.255.255.0    0        0              {Peer-or-IP}  "IKE1_XX"             {Distance}  0        {Masquerade}  No         {Active}  Yes     {Comment}  "VPN-Verbindung"

Wenn ich jetzt aus meinem INTRANET im Browser https://192.168.178.1" aufrufe, dann kommt die Ansicht der FB.

So weit so gut!

Jetzt würde ich gerne das Netz 192.168.178.0/24 in meinem Netz anders nutzen, aber trotzdem die Verdingung beibehalten, möglichst, ohne die VPN-Konfiguration in der FB anzufassen.

Idee wäre, die FB aus meinem Netz z.B. mit 192.168.199.1 anzusprechen, obwohl die FB intern weiterhin das Netz 192.168.178.0/24 nutzt.

Ich bin mir nicht sicher, ob das "NAT" genannt wird.

Wie könnte ich das erreichen, ohne das interne Netz der FB zu ändern?

[Dr.Einstein]

Soweit mir bekannt ist unterstützt das LCOS kein Destination NAT in der Form, wo du es hier bräuchtest, zumal die SA-Aushandlung zwischen Lancom und Fritzbox ja auf die Original-IP zeigt. Ich denke, dein Vorhaben ist mit den gegebenen Mitteln nicht möglich.

[LoUiS]

Das sollte doch mit N:N-NAT umgesetzt werden koennen.
https://knowledgebase.lancom-systems.de ... d=32988863

Anders wie im Beispiel musst du die Umsetzung aber ja nur auf der LANCOM Seite vornehmen.
Ein Eintrag in die n:n Nat Tabelle und umstellen der VPN Regeln und Routing Tabelle auf das neue umgesetzte Netz sollten IMHO reichen.

[Dr.Einstein]

N:N Nat ändert sich aber die Quell IP Adresse aus deinem LAN, nicht die Ziel-IP, die angesteuert wird.

[LoUiS]

Stimmt, Du hast Recht, das war ein Denkfehler. Man brauchte das N:N NAT auf der anderen Seite.

[Dr.Einstein]

Auch nicht. Du brauchst Destination NAT im Lancom (in der Annahme, dass die Rückrichtung ebenfalls im Lancom korrigiert wird, was optional Source NAT in der Fritzbox wäre), kann er soweit mir bekannt ist nicht. Juniper Cisco zB kann das.

[averlon]

@Dr.Einstein

nur, damit ich keinen Fehler in der Beschreibung gemacht habe!

Aktuell kann ich aus meinem Netz z.B. einen Ping auf 192.168.178.1 machen und der geht über die gesetze IP-Route über den VPN-Kanal auf die FB und kommt auch wieder zurück. Oder eben eine HTTP-Verbindung.

Zukünftig, falls eine Umsetzung möglich ist, würde ich einen Ping auf 192.168.199.1 machen (wollen) und die wird, bevor das Paket auf den VPN-Kanal geschickt wird, auf 192.168.178.1 umgesetzt - und umgekehrt.

[Dr.Einstein]

Jap, das ist Destination NAT. Die willst die Ziel-IP Adresse nach passieren des Lancom Routers anpassen. N:N Mapping ändert die Quell IP Adresse, nicht die Ziel IP Adresse. Im LCOS gibt es seit einiger Zeit diverse Möglichkeiten, Quell IP Adressen zu NATten oder zu NAT/PATen, aber nicht die Ziel IP Adressen.

[LoUiS]

Jetzt weiss ich auch wieder woher ich das hatte. Ich habe das mal mit 2 LANCOM umgesetzt.
Auf der Seite, auf der hier die Fritzbox steht, hatte ich auch ein LANCOM stehen und habe dort vom 192.168.178.0/24 Quellnetz per N:N-NAT auf 192.168.1.0/24 umgesetzt und habe das VPN dann auf der anderen Seite zwischen 192.168.1.0 und dem dortigen lokalen Netz aufgebaut. Sorry fuer die Verwirrung.

[averlon]

Ich habe ja, wie geschrieben, eine funktionierende VPN-Verbindung zu der FB. Und zusätzlich habe ich eine Wireguard-Verbindung zu der FB (als Client vom SmartPhone bzw. PC).

Soweit ich das sehe wäre es am einfachsten den IP-Adressbereich in der FB zu ändern.

Ich fürchte nur, das wird über die VPN-Verbindung "tricky". Wenn ich den IP-Adressbereich der FB ändere bricht die VPN-Verdindung zusammen und ich kann nur hoffen, dass die Änderungen greifen und die VPN-Verbindung wieder kommt, wenn ich die Konfig im LANCOM angepasst habe.
Die Wireguard-Verbindung funktioniert dann auch nicht mehr, weil die noch auf dem "alten" IP-Bereich basiert. Die passt sich ja nicht automatisch an!

Da die FB ca. 800km entfernt steht ist mir das zu riskant! Wenn da was schief geht habe ich nur noch die Möglichkeit lokal ran zu gehen. Könnte dann etwas dauern! Personal ist nicht vor Ort (mit entsprechenden Kenntnissen).

Danke für die Ausführungen! Langfristig werde ich den IP-Bereich der FB ändern - sobald ich mal wieder vor Ort bin!

[Hagen2000]

Das Ändern der IP-Adresse erfordert einige Schritte: Du müsstest nicht nur die Netzwerkkonfiguration der FRITZ!Box ändern, sondern auch das VPN-Profil (bei IPSec), außerdem alle Geräte vor Ort durchstarten, die per DHCP arbeiten und sämtliche Geräte mit statischer IP-Konfiguration anpassen.

Von der Ferne könntest Du höchstens über einen PC mit TeamViewer arbeiten, über den Du dann wieder Zugriff auf die FRITZ!Box erhältst.

Du solltest außerdem berücksichtigen, dass das Gast-Netz der FRITZ!Box auch gleich "aus dem Weg" geräumt wird, also dessen Adresse ebenfalls in deinem Verbund eindeutig ist.

[averlon]

@Hagen2000 wie kann ich denn den IP-Bereich des Gastnetzes anpassen. Ich dachte bisher immer, der wäre fest vergeben. Ich habe hier bei mir eine FB für Testzwecke. Da ist das Gastnetz aktiviert, aber ich finde keine Einstellmöglichkeit für den IP-Adressbereich!

Heb mich mal aufs Pferd!

Unter IPV4-Adressen steht:
"Das Gastnetz der FRITZ!Box hat einen eigenen IP-Adressbereich, aus dem die FRITZ!Box den Gastgeräten die IP-Adressen vergibt. Der Adressbereich wird von der FRITZ!Box festgelegt und ist nicht veränderbar."

Gut, soweit ich gesehen habe ist das Gastnetz immer Heimnetz +1 (also 192.168.178.1/24 zu 192.168.179.1/24). Insofern kann man das "etwas" steuern!

[Hagen2000]

Ja, das ist schwierig: Wenn du dem Heimnetzwerk die 192.168.179.0 gibst, kannst du das Gastnetzwerk dadurch „aus dem Weg schieben“. Wenn Du das Heimnetzwerk dann wieder zurückstellst - oder auf einen anderen gewünschten Wert stellst - bleibt das Gastnetzwerk an seinem Ort. Ist echt umständlich gemacht. Die Regel +1 stimmt leider nicht.