Zugriff Macbook -> VPN Firtzbox > Mac mini

[JochenN]

Hallo,
ich habe gerade anlässlich der Anschaffung meines AmpliFi HD das Netz etwas umgebaut, siehe Anlage. Bisher war die Fritzbox die Zentrale, die IP Telefonie, VPN und WLAN gestellt hat. Alles im Netz hing - per Kabel oder WLAN - an der Fritzbox.
Um mit der AmpliFi HD ein Gast-WLAN aufspannen zu können, muss es als Router definiert sein. Die Fritzbox baut jetzt wie bisher ein 192.168.178.x Netz auf, an dem aber nur noch das AmpliFi per Kabel hängt, das WLAN der Fritzbox ist ausgeschaltet. Das AmpliFi baut ein sehr stabiles und weitreichendes 192.168.179.x Netz auf, an dem der Mac mini und ein Drucker per Kabel und der Rest per WLAN hängt.

Das Problem ist jetzt, dass ich per VPN und Bildschirmfreigabe nicht mehr auf meinen Mac mini komme. Der VPN User auf der Fritzbox hat eine 192.168.178.x IP Adresse, der Mac mini eine 192.168.179.x IP Adresse. Ich muss also eine Möglichkeit finden, dass von der Fritzbox aus das 179.x Netz sichtbar ist.

a) Habt Ihr Tipps diesbezüglich? Braucht man dazu eine Portweiterleitung, und wenn ja, welche?
b) Ich könnte sicher auf dem Mac mini eine Software a la TeamViewer installieren, aber die schlanke Lösung wie bisher (per VPN auf Fritzbox und dann per Bildschirmfreigabe auf den Mac mini) wäre mir deutlich lieber
c) Wenn das NICHT gehen sollte, wäre es eine Lösung, auf dem Mac mini macOS Server zu installieren und dort einen VPN Server zu betreiben?

Vielen Dank für Eure Hinweise!

 

[JochenN]

Niemand einen Tipp?

 

[noodyn]

hast du die Netzmaske angepasst? 255.255.255.0 wird dann ja nicht funktionieren.

 

[JochenN]

Hallo Noodyn, danke für deine Hilfe. Ich bin noch bei den Basics: Wie schaffe ich es, dass der VPN User auf der Fritzbox (192.168.178.202) die Geräte im Subnetz 192.168.179.0 sehen kann. Wo müsste ich die Netzmaske denn anpassen, wie von dir angesprochen?

 

[Olivetti]

das wird so nicht klappen. die fritzbox als nur-modem einzusetzen geht nicht, weil du 1. cable hast, 2. telefone dranhängen.
x.x.179.x ist bei fritzboxen grundsätzlich das quasi festverdrahtete gastnetz (kann man nur sehr umständlich ändern/x.x.180-182.x sind auch tabu). auch wenn das ausgeschaltet ist, weiss ich nicht, ob das nicht trotzdem eine rolle spielt. und vor allem hast du eben eine routerkaskade und vpn endet in der fritzbox.

1. hat amplifi kein vpn?
2. warum muss amplifi als router arbeiten, wegen gastnetz?

am einfachsten wäre in deinem fall tatsächlich teamviewer oder anydesk.

 

[JochenN]

1. hat amplifi kein vpn?
2. warum muss amplifi als router arbeiten, wegen gastnetz?
am einfachsten wäre in deinem fall tatsächlich teamviewer oder anydesk.

zu 1.: Nein, leider nicht
zu 2.: Ja, weil sonst kein Gastnetz. Ich überlege, ob ich eher ein Gastnetz brauche oder einen einfachen Zugriff über VPN auf meinen Mac mini

Ich habe mal etwas weiterrecherchiert: Vermutlich müsste ich eine cfg-Datei erstellen und auf die Fritzbox hochladen (die Frage ist dann: Wie hochladen vom Mac aus?) mit einem Eintrag wie: accesslist = "permit ip any 192.168.179.0 255.255.255.0". Frage an die Experten: Würde dann der Zugriff auf einen Mac im 192.168.179.x Netz klappen?

 

[bowman]

...die Fritze weiss ja nichts von deinem 179er Netz, vor allem dann nicht, wenn die Amplify als Router arbeitet. Also sollte man a) falls möglich die Amplify in einen Bridge-Modus schalten (dann hast du dort das 178er Netz der Fritze) oder b) du teilst der Fritze in deren statischer Routingtabelle mit, unter welcher IP (WAN-Seite der Amplify) sie das 179er Netz findet.

 

[JochenN]

...die Fritze weiss ja nichts von deinem 179er Netz, vor allem dann nicht, wenn die Amplify als Router arbeitet. Also sollte man (...) b) du teilst der Fritze in deren statischer Routingtabelle mit, unter welcher IP (WAN-Seite der Amplify) sie das 179er Netz findet.

Letzteres klingt super, das probiere ich mal aus und melde mich wieder. Herzlichen Dank schon mal.

 

[JochenN]

Leider klappt das nicht so einfach, man muss offenbar zusätzlich in einer Konfig-Datei noch Einträge wie
accesslist = "permit ip 192.168.178.0 255.255.255.0", "permit ip 192.168.179.0 255.255.255.0";
machen, wozu man ein Windows-Tool namens "Fritz!Fernzugang" braucht. Erstellen könnte man die cfg-Datei zur Not von Hand, aber zur FB hochladen muss man sie immer noch, und das geht leider nicht im Web-GUI der FB, sondern eben nur über das Windows-Tool...

An diesem Punkt hänge ich gerade, vielleicht hat jemand eine Lösung. Es gibt für Mac ein Tool im Mac App Store namens "VPN!Assistent" für kleines Geld. Ich habe denen eine Support-Anfrage geschickt, ob man mit diesem Tool Einträge wie den obigen machen kann. Antwort kommt aber leider keine...

 

[ObiTobi]

Leider klappt das nicht so einfach,

Was und wo versuchst Du genau es einzustellen? Neue Routen einzutragen ist an den Fritzen kein Problem und man braucht keine extra Tools.

Heimnetz/Heimnetzübersicht/Netzwerkeinstellungen

 

[JochenN]

Heimnetz/Heimnetzübersicht/Netzwerkeinstellungen

Genau da trage ich das auch ein ("Heimnetz/Heimnetzübersicht/Netzwerkeinstellungen/Statische Routingtabelle/
IPv4-Routen"). Bei

• IP Netzwerk: 192.168.179.0 (das IP Netzwerk, das von dem zweiten Router "AmpliFi HD" angelegt wird und das von der Fritzbox erreichbar sein soll)
• Subnetzmaske: 255.255.255.0
• Gateway: Die IP Adresse des zweiten Routers, die dieser im 192.168.178-er Netz der Fritzbox hat

Mit diesen Einstellungen ist es aber immer noch nicht möglich, vom 178-er Netz aus eine IP-Adresse im 179-er Netz zu erreichen. Daher bin ich auf Eintragungen wie unter #9 gestoßen, deren Eintragungen offenbar wirklich nur mit diesem Windows-Tool möglich sind, nicht aber über das Web-GUI der Fritzbox.

Mittlerweile bin ich auf die Idee verfallen, einfach eine VPN Verbindung von meinem Mac mini auf die Fritzbox einzurichten, so dass der Mac mini eine IP-Adresse im 178-er Netz bekommt. Das funktioniert auch, und alles wäre prima, ist aber auch keine Lösung, da dann alle Downloads vom Mac aus als Uploads von der Fritzbox aus gelten und ich meine nominellen 120 Mbit auf 6 Mbit (die Upload-Geschwindigkeit meines Unitymedia-Anschlusses) reduziere.

Dazu eine Frage: Kann man über das Terminal einstellen, dass in diesem Fall praktisch aller Netzwerk-Traffic, der vom Mac mini initiiert wird, nicht über VPN getunnelt, sondern über die normale Ethernet-Schnittstelle geht? Dann wäre das Problem gelöst.

 

[ObiTobi]

• IP Netzwerk: 192.168.179.0 (das IP Netzwerk, das von dem zweiten Router "AmpliFi HD" angelegt wird und das von der Fritzbox erreichbar sein soll)
• Subnetzmaske: 255.255.255.0
• Gateway: Die IP Adresse des zweiten Routers, die dieser im 192.168.178-er Netz der Fritzbox hat

Mit diesen Einstellungen ist es aber immer noch nicht möglich, vom 178-er Netz aus eine IP-Adresse im 179-er Netz zu erreichen.

Na ja dann stimmen Deine Routen nicht.
Welche IP's hat denn nun Dein "AmpliFi HD"

 

[JochenN]

Der AmpliFI Router hat in der Fritzbox die IP 192.168.178.50. Hier ist er im Moment das einzige Gerät, das eine IP Adresse von der Fritzbox bekommt, alle anderen Geräte hängen (per Kabel oder WLAN) am AmpliFi und haben daher IP Adressen aus dem 179-er Netz. Auch wenn ich als VPN User auf der Fritzbpx bin, habe ich eine 178-er Adresse. Daher "sehe" ich als VPN User derzeit keines meiner Geräte.

Na ja dann stimmen Deine Routen nicht.
Welche IP's hat denn nun Dein "AmpliFi HD"

Was stimmt denn an den Eintragungen nicht?

 

[ObiTobi]

Der AmpliFI Router hat in der Fritzbox die IP 192.168.178.50

Also deine Beschreibungen irritieren mich.
Was heißt hier "....Router hat in der Fritzbox....."?

Der AmpliFI Router hat nehme ich doch an 2 Netzwerkkarten. Eine im 192.168.178.50 und eine 192.168.179.X
Wenn Du jetzt mit einem Rechner im 192.168.178.0 Netz bist und dieser die Fritzbox als Defaultrouter hat dann musst Du zumindest die 2-te Karte von dem AmpliFI Router anpingen können.
Wenn das nicht geht dann hätte ich gerne die Fehlermeldung gesehen und was dann ggf. Traceroute sagt.

 

[JochenN]

Nochmal zur Klarstellung: Der AmpliFi HD Router hängt per Kabel an der Fritzbox und hat in deren Netz die IP 192.168.178.50. Er stellt seinerseits für mit ihm per Kabel oder WLAN verbundene Geräte das Subnetz 192.168.179.x zur Verfügung. Wenn ich auf der Fritzbox die statische IPv4-Route eintrage wie unter #11 angegeben, ist bspw. der Mac mini mit der IP 192.168.179.2 von der Fritzbox nicht erreichbar, auch nicht per Ping. Ob ich den AmpliFi (192.168.179.1) anpingen kann, muss ich heute Abend mal testen.

 

[roedert]

Warum nutzt du ausgerechnet 192.168.179.x ... kann sein dass man dies in der Fritzbox gar nicht als Route eintragen kann oder es ignoriert wird, da genau dieses Netz das Gästenetz der Fritzbox ist.
Nimm einfach ein anderes Netz .. 192.168.180.x zB

 

[JochenN]

OK, wenn das der Grund sein kann, probiere ich mal das 180er. Andererseits ist in der Fritzbox das Gästenetz (wie auch generell das WLAN) gar nicht aktiv.

Melde mich wieder. Danke!

 

[roedert]

Andererseits ist in der Fritzbox das Gästenetz (wie auch generell das WLAN) gar nicht aktiv.

Trotzdem ist dieser Adressbereich sicherlich intern "fest verdrahtet". Hatte auch schonmal dubiose Probleme mit einer Fritzbox - hatte diese im Netz 172.20.x.x eingerichet. Klappte auch alles - bis auf die Telefonie wo man mich nicht hören konnte.
Nach langer Fehlersuche bestätigte AVM, dass intern irgendwo auch ein Adressbereich 172.20.x.x. genutzt wird.

 

[Olivetti]

Warum nutzt du ausgerechnet 192.168.179.x

OK, wenn das der Grund sein kann, probiere ich mal das 180er.

#5
warum schreib ich eigentlich.

 

[JochenN]

#5
warum schreib ich eigentlich.

Da hast du recht, ich hatte deinen Post nicht mehr auf dem Radar... Oder hauptsächlich mit dem "das wird so nicht klappen."
Ich probiere mal einen Adressbereich wie 192.168.200.0 und melde mich mit dem Ergebnis. Vorab schon mal herzlichen Dank für Eure Hilfe!