CB3 fibre im DMZ Mode mit FB 7690

gianni-48 · 2025-03-20T16:38:22+00:00

Sunrise Community - I clienti aiutano gli altri clienti per tutto ciò che riguarda la televisione, Internet, il telefono e il cellulare. Registratevi ora!

gianni-48

Trotz den vielen Beiträgen im Forum die ich studiert habe, habe ich es nicht geschafft.
Wer kann mir bei der Konfiguration der FB 7690 helfen.
Vermutlich mache ziemlich viele Anfänger Fehler und benötige etwas Hand hold Time
Danke
Hans

Xydocq

hallo gianni-48

Anleitung findest du hier

gianni-48

Xydocq
Hallo Xydocq

Vielen Dank für deine Hilfe, die mir etwas Mut macht.
Ich habe die CB3 und die FB genau nach der Anleitung konfiguriert und nun habe ich auf der FB Internet und einige Teilnehmer haben sich angemeldet.
Als nächstes wollte ich bei der FB VPN wireguard einrichten.
Ein erster Test bei der Anmeldung auf myfritz.net hat die folgende Fehlermeldung gebracht:

Ihr FRITZ!-Gerät hat sich bei MyFRITZ!Net mit einer nicht öffentlich erreichbaren IPv4-Adresse registriert. Diese Adresse ist nicht aus dem Internet erreichbar. Die Weiterleitung auf Ihr FRITZ!-Gerät wird voraussichtlich scheitern.

Diese Meldung kann die folgenden Ursachen haben:
Ihr FRITZ!-Gerät ist nicht direkt mit dem Internetanschluss verbunden, sondern wird hinter einem anderen NAT-Router betrieben. Der MyFRITZ!-Internetzugriff kann nur genutzt werden, wenn Ihr FRITZ!-Gerät direkt mit dem Internetanschluss verbunden ist.

Was habe ich falsch gemacht, die CB3 ist im DMZ Mode
Ich hoffe du findest nochmal Zeit für mein Anfängerproblem
Danke und Gruss
Hans

Xydocq

gianni-48

Du hast nichts falsch gemacht. MyFritz!Net geht nicht, deshalb hier die Anleitung von Fritz zum Einrichten des VPN.

Die Connect Box 3 unterstützt folgende DDNS-Anbieter

no-ip.com und changeip.com bieten einen kostenlosen DDNS an.

BTW: Punkt 3 in der Anleitung ist bereits erledigt da DMZ alle Ports an die FritzBox weiterleitet.

gianni-48

Hallo gute Seele
Über das Wochende musste ich eine Pause einschalten, aber jetzt geht es wieder weiter
Dank dem Wissensdokument #3766 das du mir angegeben hast, habe ich vermutlich die Grundfunktionen korrekt hinbekommen.
Die sunrisebox ist im DMZ Mode und hat die IP 192.168.1.2.
Die 7690 steht auch auf 192.168.1.2, diese Adr. wurde ihr von der Sunrisebox zugeteilt.
Soll man die Adresse noch statisch machen, oder ist sie das automatisch richtig?

Auf der alten Anlage die ich ablösen will, habe ich eine DDNS von selfhost.de eingerichtet, das gut funktioniert.
Die Alarmanlage erreiche ich über eine Portweiterleitung, das funktioniert auch gut, aber scheinbar sollte man das besser über ein VPN machen.
Gemäss deinem Ratschlag habe ich versucht auch das Wissensdokument 3766 abzuarbeiten.
Bevor ich jeweils eine dumme Frage stelle versuche ich immer zuerst selber zu denken und das Problem zu verstehen, was mir leider nicht gelungen ist.
Habe ich richtig verstanden, muss ich DDNS 2mal einrichten, einmal auf der sunBox 3 und einmal auf der FB.
Wie kann ich kontrollieren, ob das auch funktioniert und wie rufe ich dann meine Alarmanlage aus der Ferne auf.
Bisher konnte ich im browser einfach die selfhost adresse und das Port eingeben.
Wie funktioniert das mit VPN?
Im Weitern habe ich noch 2 REOLINK Kameras. Die brauchen keine Portweiterleitung sondern sind über ein App verbunden, die über die Cloud funktioniert. Funktioniert diese app auch mit der sunrise Fritz Kombination und gibt es dabei etwas spezielles zu beachten?
Ich freue mich sehr, dass du so hilfsbereit bist. Ich würde es aber auch verstehen, wenn du das nicht gratis machen möchtest und würde gerne eine Gegenleistung erbringen.
Gruss
Hans

Xydocq

hallo gianni-48

Eine Gegenleistung ist nicht notwendig, mich wird es freuen, wenn dein Projekt zum Schluss gut funktioniert und das ist dann auch genug.

gianni-48 Soll man die Adresse noch statisch machen, oder ist sie das automatisch richtig?

Bei der WAN-Verbindung über DMZ tendiere ich persönlich zu einer statischen Einrichtung. Eine Einrichtung über DHCP mit reservierter IP wird ebenfalls funktionieren. Der Grund für meine Präferenz liegt bei der Einrichtung selbst. Manche Hersteller erlauben den Einsatz eines anderen DNS nicht wenn DHCP verwendet wird. Auch kann sich der DHCP mal aufhängen und eine andere IP vergeben, dies passiert äusserst selten führt dann aber meist zu etwas Verwirrung.

gianni-48 Habe ich richtig verstanden, muss ich DDNS 2mal einrichten, einmal auf der sunBox 3 und einmal auf der FB.

Ja und Nein. Der DDNS Dienst soll zuerst nur auf der FritzBox! eingerichtet werden. Die angegebene Adresse wird zur Erstellung des Wireguard-Zertifikats benötigt. Deshalb muss diese für die Einrichtung des VPN eingegeben werden. Sobald das VPN eingerichtet ist, muss der DDNS Dienst der FritzBox! “sabotiert” werden. Das heisst die Adresse oder das Passwort ändern, damit die FritzBox! kein Update mehr machen kann. Wie bei meinen Routern, wird die Adresse die dem WAN Port vergeben wird, von der FritzBox! mit der öffentlichen IP Adresse gleichgesetzt, was nur im Bridge Mode richtig ist. In allen anderen Fällen, sind diese IP Adressen unterschiedlich. Da die FritzBox! den DDNS Dienst nicht aktualisieren kann, muss nun ein Ersatz her. Die Connect Box 3 unterstützt selfhost.de nicht. Hier müsste ein Update Client verwendet werden. Dieser wird im Regelfall auf einem Rechner installiert und läuft unabhängig.

gianni-48 Wie funktioniert das mit VPN?

VPN bedeutet Virtuelles Privates Netzwerk. Port-Weiterleitungen sind im VPN Betrieb nicht mehr nötig. Es wird die lokale IP-Adresse des Geräts verwendet. Was vorher xxx.selfhost.de:9000 mit Port-Weiterleitung zu IP 192.168.1.200 war, ist im VPN 192.168.1.200. Jedes Gerät in deinem lokalen Netzwerk wird erreichbar sein. Geräte die über eine Cloud administriert werden, werden weiterhin über die Cloud verwaltet. Natürlich kannst du noch Port-Weiterleitungen einrichten. Diese werden dann nur auf der FritzBox! eingerichtet und die Geräte werden wie früher erreichbar sein. VPN bedeutet nicht, dass keine andere Verbindungsart mehr möglich ist. Von allen Verbindungsarten dürfte VPN aber die sicherste Variante sein.

Ich hoffe diese Informationen werden dir bei deinem Projekt weiterhelfen und zum Erfolg führen.

gianni-48

Xydocq

Guten Tag Xydocq
Zur Zeit ist Jeder Abend mit sunrise ausgefüllt.
Ich versuche immer zu verstehen was ich mache und nicht einfach nach einem Kochbuch vorzugehen und zu basteln bis es läuft.
Inzwischen habe ich bei changeip.com eine DDNS eingerichtet und auf der sunBox installiert.
Ich glaube es funktioniert.
Leider bin ich beim wiregard wieder hängen geblieben und zwar wegen dem DDNS in der FB.
Bei der sunbox ist die update URL vorinstalliert. Bei der FB nicht, muss man die URL selber eingeben, aber ich konnte bei changeip.com nirgends eine url update Adresse finden.
Dann habe ich mit selfhost probiert, aber ich habe da vielleicht einen Fehler gemacht, denn wiregard hat eine Fehlermeldung produziert.
Frage: darf man überhaupt 2 unterschiedliche DDNS Anbieter einsetzen.
Falls ja, werde ich eine weiteren Abend in selfhost.de ivestieren.
Falls no, bin ich dankbar bei der Hilfe die update URL bei changeip.com zu finden.
Danke und Gruss
Hans

Xydocq

hallo gianni-48

Ich selbst habe keine FritzBox! und kann lediglich auf die Wissens-Datenbank von Fritz verweisen.

gianni-48 Frage: darf man überhaupt 2 unterschiedliche DDNS Anbieter einsetzen.

Dürfte man schon, nur nicht für WireGuard da die URL (meinDDNS.xxxx.com) im Zertifikat verwendet wird. Demzufolge wird meinDDNS.yyyy.net nicht funktionieren.

Nun aber zurück zum Einrichten.

Als erstes überprüfe den DDNS Dienst der auf der Connect Box 3 eingerichtet wurde. Für Windows öffne die Eingabeaufforderung (cmd) gib dort dann `nslookup deineDDNS.adresse.net. Das Resultat sollte sich mit deiner öffentliche IP Adresse decken. Nach diesem Test sollte der DDNS Dienst auf der Connect Box 3 deaktiviert werden.

Nun wird der DDNS auf der FritzBox eingerichtet, folge den Anweisungen von Fritz.

Für die Eingabe der Update-URL verwende http://nic.ChangeIP.com/nic/update?u=<username>&p=<password>&hostname=<domain>&cmd=update

Für <username> deinen Benutzernamen einsetzen, für <password> dein Passwort und für <domain> die von dir gewählte Adresse.

Den Dienst einmal starten und erneut mit der Eingabeaufforderung überprüfen. Sollte nun die IP 192.168.1.2 als Resultat gezeigt werden hat das Update funktioniert. Jetzt wird WireGuard eingerichtet. Die Anleitungen hierzu solltest du haben.

Nachdem WireGuard eingerichtet ist muss der DDNS geändert werden. Gemäss FritzBox soll die URL verändert werden. Ich würde hier aus meinDDNS.xxxx.com einfach oldmeinDDNS.xxxx.com machen. Dann sieht man auch was man geändert hat.

Zum Schluss wird der DDNS Dienst auf der Connect Box 3 wieder gestartet. Ein erneuter Test sollte nun wieder die öffentliche IP Adresse anzeigen.

Danach sollte VPN mit WireGuard funktionieren.

gianni-48

Lieber Xydocq
Dank deiner Geduld war es mir möglich mich in das Netzwerkproblem einzuarbeiten. Nach mehrmaligem lesen deiner Anleitungen und einigem Pröbeln, beginne ich zu verstehen, wie das Zusammenspiel sunrisebox 3 im DMZ Mode mit Fritzbox funktionieren soll. Ich weiss jetzt wie eine DDNS funktioniert und ich denke ich habe erfolgreich bei changeip.com einen account und die Domaine mysun.dynamic-dns.net eingerichtet.
Allerdings macht mir wiregard jedes Mal eine Fehlermeldung

Was habe ich bisher gemacht?
Aus deinen mails und den Fritz Informationen habe ich mir den nachfolgenden Leitfaden zusammengestellt. Vielleicht habe ich nur ein Problem mit der Reihenfolge, denn aus deinen Antworten ist für mich nicht klar ersichtlich, was man zuerst machen muss.
Am 24.3. hast du gesagt, dass man DDNS zuerst auf der Fritzbox einrichten soll.
Aus dem mail vom 26.3. lese ich heraus, dass man mit der sunrisebox beginnen soll und wenn erfolgreich eingerichtet grad wieder deaktivieren soll.
Was ist nun richtig und weshalb ist der Ablauf so wichtig.

Eine weitere Verunsicherung erfolgt auf Grund meiner Experimente
Ich habe festgestellt, dass am WAN Port der Fritzbox, trotz DMZ und DDNS bei Sunrise und Fritz nie die öffentliche IP sichtbar ist. Es ist immer die IP die im DMZ Mode angegeben wurde. (Wird zwar in deinem mail vom 26.3. auch so angegeben)
Trotzdem, wie soll die die arme Fritzbox je herausfinden, wie die öffentliche IP lautet, auch wenn sie von der sunbox regelmässig upgedatet wird.
Das ist vielleicht das Problem, weshalb mir wireguard jedesmal wieder eine Fehlermeldung gibt.

Leifaden aus deinen mails und Fritz wissens DB
Xydocq mail vom 24.3.
Der DDNS Dienst soll zuerst nur auf der FritzBox! eingerichtet werden. Die angegebene Adresse wird zur Erstellung des Wireguard-Zertifikats benötigt. Deshalb muss diese für die Einrichtung des VPN eingegeben werden. Sobald das VPN eingerichtet ist, muss der DDNS Dienst der FritzBox! “sabotiert” werden. Das heisst die Adresse oder das Passwort ändern, damit die FritzBox! kein Update mehr machen kann.

Die Adresse die dem WAN Port vergeben wird von der FritzBox! mit der öffentlichen IP Adresse gleichgesetzt, was nur im Bridge Mode richtig ist. In allen anderen Fällen, sind diese IP Adressen unterschiedlich. Da die FritzBox! den DDNS Dienst nicht aktualisieren kann, muss nun ein Ersatz her.

Xydocq mail vom 26.3.
Nun aber zurück zum Einrichten. Als erstes überprüfe den DDNS Dienst der auf der Connect Box 3 eingerichtet wurde. Für Windows öffne die Eingabeaufforderung (cmd) gib dort dann:

nslookup mysun.dynamic-dns.net
Das Resultat sollte sich mit deiner öffentliche IP Adresse decken. Stimmt
Nach diesem Test sollte der DDNS Dienst auf der Connect Box 3 deaktiviert werden.
Nun wird der DDNS auf der FritzBox eingerichtet, folge den Anweisungen von Fritz.
(Wissensdokument 3)

Update URL   http://hans.minder@gmx.net: wie einloggen auf changeip @nic.changeip.com/nic/update?hostname=mysun.dynamic-dns.net
Domain Name:           mysun.dynamic-dns.net
Benutzername:           hans.minder@gmx.net
Kennwort:                   wie einloggen auf changeip.com

Den Dienst einmal starten und erneut mit der Eingabeaufforderung überprüfen.
Sollte nun die IP 192.168.1.2 als Resultat gezeigt werden, hat das Update funktioniert. Jetzt wird WireGuard eingerichtet. Die Anleitungen hierzu solltest du haben.
Nachdem WireGuard eingerichtet ist muss der DDNS geändert werden. Gemäss FritzBox soll die URL verändert werden. Ich würde hier aus meinDDNS.xxxx.com einfach oldmeinDDNS.xxxx.com machen. Dann sieht man auch was man geändert hat.

Zum Schluss wird der DDNS Dienst auf der Connect Box 3 wieder gestartet. Ein erneuter Test sollte nun wieder die öffentliche IP Adresse anzeigen.
Danach sollte VPN mit WireGuard funktionieren.
Fehlermeldung nach DDNS auf Fritz
Die vom Internetanbieter zugewiesene IPv4-Adresse ist keine öffentlich erreichbare IP-Adresse. Freigaben auf IPv4-Dienste der FRITZ!Box und auf Ihr IPv4-Heimnetz werden daher voraussichtlich nicht funktionieren.

Xydocq

hallo gianni-48

Deine Schlussfolgerungen sind zum grössten Teil korrekt.

Was die IP am WAN Port der Fritzbox betrifft: Die FritzBox hat das gleiche Problem wie meine Router. Die vermuten ebenfalls, dass die öffentliche IP und die IP des WAN Ports identisch sein müssen. Was nicht stimmen muss.

Bei meinen Routern ist es so, dass diese die öffentliche IP kennen und diese auch für den hauseigenen DDNS nutzen. Dieser ist in etwa vergleichbar mit MyFritz!Net. Sobald ich aber einen eigenen DDNS verwenden will (meine eigene Domäne), wird die IP des WAN Ports verwendet. Anstelle der öffentlichen IP (46.234.123.244) wird dann die lokale IP (192.168.1.2) verwendet. Ich habe diesbezüglich bereits beim Hersteller meiner Router reklamiert. Andere Router können zwischen öffentlicher IP und WAN Port IP unterscheiden. Zumindest konnten das meine alten TP-Link TL-ER6020.

Ich denke, dass du es ein kleines Missverständnis gab betreffend deaktivieren. Dies habe ich angemerkt, da der Dienst bereits von dir eingerichtet wurde und mit der Deaktivierung lediglich ein “Kampf” zwischen zwei UpDate-Clients verhindert werden sollte. Hierfür will ich mich entschuldigen.

Der Dienst wird auf der FritzBox nur zum Erstellen des VPN Zertifikats benötigt. Deshalb soll er dort zuerst eingerichtet und dann deaktiviert werden. Danach kommt der richtige UpDate-Client zum Einsatz damit die öffentliche IP übermittelt wird.

Bei einer Verbindung über VPN wird eine Anfrage an deine öffentliche IP Adresse gesendet. Da die Connect Box 3 nicht weiss was sie mit dieser Anfrage machen soll, würde diese abgelehnt und die VPN Verbindung käme nicht zustande. Unter Einsatz der DMZ wird die Connect Box 3 dazu gezwungen solche Anfragen nicht abzulehnen sondern diese an eine andere Adresse weiterzuleiten. Das bezeichnet man als NAT, auf deutsch Netzwerk Adressen Übersetzung. Die Anfrage richtet sich jetzt an die FritzBox. Stimmen die Parameter (URL, Passwort; Benutzername) wird die VPN Verbindung zustande kommen. Die FritzBox gestattet die Verbindung und sendet das Resultat zurück an die Connect Box 3, diese übersetzt das Resultat und sendet dieses zurück an die IP woher die Anfrage ursprünglich kam. Die Connect Box 3 fungiert die ganze Zeit nur als Vermittler.