Swisscom Box 3 Statische Route funktioniert nicht wie erwartet

@Peti 

Die Frage ist sehr schwierig zu verstehen.

Eine Skizze Deiner Netzwerkaufteilung würde helfen.

Was ist die VPN-Box für ein Gerät, ist das ein Router?

Wieviele unabhängige Netze mit eigenem IP-Bereich möchtest Du betreiben?

Bei der IB3 hast Du die Subnetzmaske 255.255.0.0 angegeben - ist das ein Druckfehler in Deinem Text, oder Absicht?

Was ist das Ziel Deines Netzwerkdesigns? (denn vielleicht gäbe es ja auch einfachere Lösungen)

Danke für Deine Antwort, versuche es nochmals zu erklären:

Die VPN Box ist eine Fritz-Box und verbindet (dauerhaftes VPN) eine Aussenstelle mit meiner lokalen Infrastruktur hinter der IB3.

Ja - 255.255.0.0 ist korrekt, habe hinter der IB3 eine B-Klasse um besser die IP's strukturieren zu können - ist aber nicht wirklich relevant, könnte auch eine C-Klasse sein.

Ziel war es eine bestehende Infrastruktur hinter der IB3 mit einer anderen Infrastruktur mit 10.143.99.0 permanent zu verbinden (Support, Backup  etc. )  Der Standort 10.143.99.0 hatte schon eine Fritz-Box also war es das Einfachste eine Fritz-Box hinter der IB3 zu installieren und so ein Fritz-Box to Fritz-Box VPN zu bauen.  Die Fritz-Box hängt am IB3 am Gäste-Netz (DMZ) - VPN 1977.

Eigentlich funktioniert alles sehr gut, bis auf das Routing auf den Clients. Habe mal temporär auf dem Windows PC folgende Route gemacht

 route add 10.143.99.0 mask 255.255.255.0 172.20.250.201

so funktioniert alles perfekt - aber so etwas ist für DHCP Clients nicht tauglich.

Hilft das etwas ? 

@Peti 

Die statische Route von der IB3 auf die Fritzbox macht ja nur Sinn, falls Du Clients direkt im Netz der IB3 betreiben willst, welche dann auf Dein internes Netz durchgreifen können sollen.

Betreibst Du alle Clients direkt im Netz der Fritte, entfällt die Notwendigkeit für eine statische Route auf der IB3 völlig.

Was das Gäste-Netzwerk der IB3 (meinst Du da die VLAN-ID 1977?) bei Dir jetzt genau für eine Rolle spielt, habe ich auch noch nicht verstanden, denn für die „bündelweise“ Weiterleitung (fast) aller eingehenden Ports von der IB3 auf die Fritte würde die ganz normale DMZ-Funktion der IB3 ausreichen.

Eine statische Route in Kombination mit einer VLAN-ID (eigentlich gedacht für das Gästenetzwerk der WLAN-Box hinter einem Netzwerkswitch) dünkt mich nun doch sehr exotisch, denn das Gästenetzwerk ist ja absichtlich so definiert, dass man damit eben genau nicht auf interne Ressourcen zugreifen kann.

Ja, es geht um die Client hinter der IB3, welchen neben dem Internet via IB3 auf auf das VPN 10.143.99.0 der Remote Site zugreifen wollen und umgekehrt - dafür war die Route in der IB3 gedacht.

Die Route hat nichts mit dem VL 1977 zu tun und ist hier vermutlich eher irreführend .... 

@Peti ich werde auch nicht ganz schlau aus deinem Beschrieb. Wenn ich das richtig interpretiere, fehlt schon noch was. Was bei mir geht, ist folgendes:

- wenn ich von meiner IB3 aus auf einen kaskadierten Router zugreifen will, dann mache ich das mit einer statischen Route.

- wenn ich nun noch von aussen auf das Netz hinter dem kaskadierten Router zugreifen will, mit VPN, dann stelle ich den kaskadierten Router noch in die DMZ, und definiere dann auf oder hinter dem kaskadierten Router den VPN-Dienst.

- will ich mit VPN von aussen auf das Netz der IB3 zugreifen, geht das mit dem VPN-Client auf der IB3 direkt, oder ich stelle ein Gerät ins Netz der IB3, das den VPN-Tunnel aufbauen kann; dazu muss ich dann eine Portweiterleitung auf die IP des VPN-Gerätes auf der IB3 einrichten.

All das funktioniert eigentlich sauber mit der IB3, habe das aktuell so in Betrieb.

Das deckt dann eigentlich auch deinen Fall ab?

---

@Peti  schrieb:

Ja, es geht um die Client hinter der IB3, welchen neben dem Internet via IB3 auf auf das VPN 10.143.99.0 der Remote Site zugreifen wollen und umgekehrt - dafür war die Route in der IB3 gedacht.

 

Die Route hat nichts mit dem VL 1977 zu tun und ist hier vermutlich eher irreführend .... 

---

Funktioniert es denn wenn Du einen Client PC direkt via DHCP im Netz der Fritte anmeldest?

@kaetho 

Ich glaube das Spezielle an der Netzwerkidee von @Peti liegt darin, dass die zur IB3 kaskadierte Fritzbox gleichzeitig auch noch als VPN-Client für den Zugriff auf eine andere Off-Site Fritzbox dient (das Konzept ist also Site-to-Site VPN)

Ob man nun da mittels einer statischen Route direkt aus dem Netz der IB3 via Zugriff auf das kaskadierte Netz den VPN-Client-Teil einer Fritzbox ansprechen kann, weiss ich nicht.

Denke aber eher, dass dies nur direkt aus dem Netz der Fritzbox funktioniert.

Evtl. hast du ein Problem mit der Route metric. Ist es in der FRITZ!Box möglich die Route nochmals von Hand einzutragen, obwohl sie im Hintergrund wegen dem IPSec Tunnel schon existiert?

@Peti 

VPN zwischen zwei Fritzboxen, ausgehend von zusätzlichen IP-Netzen bei den jeweiligen Fritzboxen erfordert ev. auch noch zusätzliche VPN-Definitionen um den Traffic in den VPN-Tunnel zu „zwingen“.

Hier noch ein zusätzlicher AVM-Wissensbeitrag.

Vielleicht hilft der ja auch noch:

https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7490/230_Uber-VPN-Verbindung-zwischen-zwei-FRI... 

Ja das funktioniert.

Genau ... Ich vermute nun was das Problem ist: die IB3 mit der Route zur Fritzbox kann nur Verkehr welcher vom Internet kommt weiterleiten, d.h wenn ich via VPN der IB3 ins Netz gelange funktioniert die Route perfekt. Wenn ich mich aber im LAN der IB3 befinde routet die IB3 den ankommenden Verkehr für das Netz der Fritz-Box nicht wieder zurück aufs LAN zur Fritz-Box. Die IB3 kann nicht LAN - Verkehr gemäss statischer Route wieder zum LAN "rausrouten". Hast Du eine Idee wie man das Lösen könnte für die Clients am LAN ?

@Peti 

In einem Heimnetzwerk separate IP-Netze abzutrennen und dann sogleich via statische Routen wieder zu verbinden, macht ja meistens gar keinen Sinn.

D.h. normalerweise betreibt man dann alle seine Client-Geräte innerhalb des via Kaskade abgetrennten internen Netzes, d.h. in Deinem Fall also direkt im Netz der Fritzbox.

Bei diesem Konzept agiert die Internetbox dann nur noch als reiner Zugangsrouter zum Internet, aber nicht mehr als Router für das interne Netzwerk.

Als Variante davon kann man aber natürlich das Netz der Internetbox dann auch noch als „untrusted Environement“ benutzen und z.B. da noch direkt TV-Boxen und andere IoT-Geräte reinhängen, welche gar keine Verbindung ins interne Netz benötigen.

Eine statische Route um die Abschottung des internen Netzes dann gleich wieder zu durchbrechen, kommt dann natürlich sowieso nicht in Frage.

Mir ist schon klar, dass Du eigentlich gar keine Routerkaskade erzeugen wolltest, sondern nur Deine Fritzbox-Site-to-Site-Situation lösen, aber mit scheint der Weg, das IB3-eigene Netz nur für TV-Boxen plus ev. andere Geräte, welche gar keinen Zugriff auf das interne Netz oder auf die VPN-Verbindung der Fritzbox benötigen eigentlich der einfachste.

Ansonsten, falls Du doch ein einzelnes Netz ohne interne Netzwerkgrenzen betreiben möchtest, noch weiter „gründeln“ in Wissensartikeln und Foren zur Fritzbox, ob sich da mit ergänzenden Konfigurationen auf der „Fritte“ noch was machen lässt…

Did you ever find a solution to this? I have the same problem. I've found that when I use a switch to connect devices, things work as expected. When I rely on the IB3, they do not.

See diagram at IB3 Lab [OneDrive]

Would be nice if this worked.