Fritzbox LAN-LAN Kopplung nur für Zugriff aus USB

[Lenny88]

Hallo,

folgende Situation: über Fritzbox 7590 an Standort A sollen verschlüsselte Backups per Duplicacy auf die externe Platte an Fritzbox 7520 an Standort B geschickt werden. Auf beiden Routern ist FritzOS 7.5 inkl. Wireguard installiert und ich habe testweise sowohl über IPsec als auch Wireguard eine Lan-Lan Kopplung eingerichtet.
Duplicacy unterstützt kein FTPS sodass das als Option wegfällt.

Ich möchte nur/ausschließlich, dass der USB Speicher von Standort B in Standort A erreichbar ist per SMB, ein Vollzugriff von Standort A auf B wäre auch ok. Es sollen aber keine Geräte oder sonst etwas von Standort A über Standort B erreichbar sein.

Wie erreiche ich das nun am besten?

• welche Art der Verbindung sollte ich wählen IPsec oder Wireguard?
  • IPsec scheint mehr Optionen zu bieten, z.B. könnte man auch "Verbindung zu einem Firemn VPN" auswählen, falls das was bringen würde? Zudem gibt es die Option "nur bestimmte Geräte nutzen die VPN Verbindung", welche auch interessant sein könnte.
• mit welchen Einstellungen sollte die Verbindung genutzt werden, um mein Ziel zu erreichen? Und muss ich das auf beiden Seiten dann komplett analog zueinander einstellen oder reicht es nur auf einer Seite?

Danke euch!

 

[babykanzler]

hi

du musst es gehen soll musst auf passen das die beiden fritz.box nicht
gleichen ip Adressen haben zum beispiel

beide fritz.box müsse

A = 192.168.188.1
B = 192.168.199.1

bei avm YouTube gibt es ein Video dazu

 

[Lenny88]

Hi,

das ist ein Missverständnis - die Verbindung steht und der Zugriff funktioniert.
Es geht nur darum, welche Einstellungen optimal sind um nur einen einseitigen Zugriff auf den USB Speicher zu erreichen.

Gruß

 

[Raijin]

Du widersprichst dir ein wenig, was das Verständnis für dein Anliegen alles andere als einfach macht.

Ich möchte nur/ausschließlich, dass der USB Speicher von Standort B in Standort A erreichbar ist per SMB, ein Vollzugriff von Standort A auf B wäre auch ok. Es sollen aber keine Geräte oder sonst etwas von Standort A über Standort B erreichbar sein.

Es geht nur darum, welche Einstellungen optimal sind um nur einen einseitigen Zugriff auf den USB Speicher zu erreichen.

Mir ist nicht ganz klar was jetzt konkret dein Problem ist bzw. was du erreichen willst. Erst sprichst du allgemein davon, dass keine Geräte erreichbar sein sollen, dann geht's dir aber wieder scheinbar nur um den USB-Speicher. Das passt nicht zusammen.


Die rudimentäre NAS-Funktion des USB-Speichers an der Fritzbox bietet soweit ich weiß (hab keine Fritzbox) keine tiefergehenden Einstellungen. Das ist wirklich nur eine Notlösung, ein Miniminiminimini-NAS. Wenn du mehr Eingriffsmöglichkeiten haben möchtest, führt an einem dedizierten NAS kaum ein Weg vorbei.

Die LAN-LAN-Kopplung wie AVM ein Site2Site-VPN nennt, verbindet ganz bewusst zwei Netzwerke über VPN miteinander. Der Grundgedanke ist dabei ein gegenseitiger Zugriff auf das gesamte Netzwerk. Es kann sein, dass man in den Firewall-Einstellungen den Zugriff auf den Router selbst begrenzen kann, aber das kann ich mangels eigener Fritzbox nicht beurteilen. Technisch wäre es gar kein Problem, aber es ist die Frage ob AVM das in der GUI vorgesehen hat.


Was den USB-Speicher als solchen angeht, kann ich dein Problem auch nur bedingt nachvollziehen. Eine Freigabe für "USB-als-NAS" ist doch auch bei der Fritzbox mit Benutzername und Passwort gesichert. Eben diesen Login bekommen nur die befugten Personen bzw. Geräte und der Rest könnte sich zwar theoretisch mit dem USB-NAS verbinden, aber praktisch es fehlt am korrekten Login.

 

[Lenny88]

Sorry wenn es zu kompliziert gedacht/geschrieben war.
Konkret: ich möchte von zu Hause (Standort A) auf den USB Speicher an Standort B zugreifen können um dort Backups abzulegen.
Standort B soll aber keinerlei Zugriff auf Geräte, Freigaben etc. Von Standort A haben.

Hoffe damit ist die Anforderung klarer geworden.
Ich vermute, dass es durchaus mehrere Möglichkeiten geben könnte das zu erreichen, hätte aber gerne eine Einschätzung zur optimalen Vorgehensweise.

 

[Pete11]

Man kann für die lokale Fritzbox einen Benutzer mit Passwort einrichten (und den Standardbenutzerzugriff löschen). Ohne Kenntnis von Benutzername und Passwort ist auch ein lokaler Zugriff auf die Fritzbox nicht möglich. Eine separate Einstellung, die nur den Zugriff auf den USB-Speicher sperrt, gibt es nicht.

 

[Raijin]

Dann ist die LAN-LAN-Kopplung als solche wenig sinnvoll. Der Sinn und Zweck dieser VPN-Verbindung steckt ja bereits im Namen. Stattdessen musst du wohl eine der Fritzbox als normalen Client mit dem VPN-Server der anderen Fritzbox verbinden.

AVM schreibt dazu:

Bei der Einrichtung einer IPSec-VPN-Verbindung zwischen zwei FRITZ!Boxen werden standardmäßig beide Netzwerke miteinander verbunden (LAN-LAN-Kopplung). Dadurch ist der Zugriff auf alle Geräte im jeweils anderen Netzwerk möglich und sämtliche IP-basierten Dienste wie E-Mail-Server, Datenbanken und Dateiserver können standortübergreifend genutzt werden.

Sie können die VPN-Verbindung zwischen den FRITZ!Boxen aber auch so einrichten, dass sich eine der FRITZ!Boxen wie ein VPN-Client verhält. Bei einer solchen Client-LAN-Kopplung kann nur aus dem Netzwerk der als VPN-Client eingerichteten FRITZ!Box auf Geräte im Netzwerk der als VPN-Server eingesetzten FRITZ!Box zugegriffen werden. Der Zugriff aus dem Netzwerk des VPN-Servers auf Geräte im Netzwerk des VPN-Clients ist nicht möglich.

Quelle: AVM Wissensdatenbank



Auf der Übersichtsseite zu FritzVPN ist auch die Vorgehensweise mit WireGuard verlinkt.

 

[Lenny88]

Danke @Raijin da habe ich den Wald vor lauter Bäumen nicht gesehen, weil ich mich so auf die LAN-LAN Kopplung fixiert habe.
Werde die von dir verlinkte Option morgen mal testen!

 

[Lenny88]

So bin jetzt endlich noch mal intensiv ans testen gekommen.
Bei der entfernten Fritzbox habe ich einen Nutzer angelegt, der folgende Berechtigungen hat:

• Zugriff auf NAS Inhalte
• VPN

Bei dieser Fritzbox ist auch der USB-Speicher per SMB Freigabe freigegeben.

Auf der Fritzbox zu Hause habe ich mich nun als VPN Client verbunden. Netbios ist in der Verbindung aktiviert.
Die Verbindung steht seit gestern Abend, aber ein Zugriff auf die "entfernte" SMB Freigabe funktioniert nicht. Er findet die Freigabe einfach nicht.
Wenn die Fritz Boxen per LAN LAN Kopplung verbunden sind, funktioniert der Zugriff auf die SMB Freigabe.
Ping aus dem Heimnetz auf die entfernte Fritzbox geht durch.

Habt ihr noch einen Tipp für mich, wo ich nach einem Fehler suchen soll?

 

[Raijin]

Dann ist der SMB-Server scheinbar nur bei LAN-LAN via VPN erreichbar.

Die Sache ist die: Bei All-In-One-Geräten wie Fritzbox und Co gibt es weitestgehend nur voreingestellte Konfigurationsprofile ohne die Möglichkeit, sie relevant zu modifizieren. Wenn etwas in einem der zur Auswahl stehenden Modi nicht funktioniert, dann ist das intern in den Settings für diesen Modus nun mal nicht vorgesehen. Im oben zitierten Auszug von der AVM-Seite steht beispielsweise, dass der Client auf alle Geräte im Servernetzwerk zugreifen kann (dazu zählt dann auch die Fritzbox selbst), aber andersherum geht das nicht und auch das schließt mutmaßlich die entsprechende Fritzbox bzw ihren SMB-Server mit ein.

Ich will nicht sagen, dass es dafür nicht vielleicht doch irgendwo einen Haken gibt, sondern nur, dass solche Router-VPNs eben primär für den Remotezugriff auf das gesamte Netzwerk gedacht sind. Detaileinstellungen sind nicht in der Regel nicht vorgesehen.

Leider habe ich keine Praxis mit Fritzboxxen und kann daher nur raten, aber bei Wireguard kann man beispielsweise in der Profildatei explizit einzelne IPs "erlauben" - passend dazu heißt die Option auch "AllowedIPs". Eventuell kann man das wg-Profil der einen Fritzbox dementsprechend modifizieren. Ob das klappt? Keine Ahnung.

Wenn alle Stricke reißen, musst du eben auf eine freiere Plattform umsteigen und zB einen Raspberry PI oder dergleichen als VPN-Endpunkt (Server oder Client, je nachdem in welche Richtung es gehen soll) einrichten und dich vom VPN der Blackbox namens Fritzbox lösen. Dann hast du volle Kontrolle über das VPN und kannst genau definieren was darf und was nicht.

Alternativ pfeifst du auf das Pseudo-NAS via USB und synchronisierst die Daten über einen Cloudspeicher....

 

[Lenny88]

So, wieder einen kleinen Schritt weiter und vor dem nächsten Problem.

Nachdem ich folgende Anleitung gelesen hatte wusste ich, dass mein Vorhaben grundsätzlich funktionieren muss:
https://avm.de/service/wissensdaten...-VPN-auf-USB-Speicher-an-FRITZ-Box-zugreifen/

Ich habe dann erst versucht per Browser auf den USB Speicher zuzugreifen, was auch ging, ohne das ich irgendeine Änderung in den Einstellungen gemacht hätte.
Danach, warum auch immer, funktionierte auf einmal auch der Zugriff per SMB auf die Netzwerkfreigabe
Nunja, soweit so gut - der Zugriff auf den USB Speicher funktioniert nun, aber die Performance ist unterirdisch.
Bei LAN-LAN Kopplung per IPSec konnte ich meinen sagenhaften Upload Speed von ca. 1,4 MB/Sek ausnutzen, beim Zugriff auf die nun funktionierende Freigabe dauert es ca. 10 Minuten, bis überhaupt die Ordnerstruktur (mit einem (!) leeren Ordner) angezeigt wird.
Nunja, ich recherchiere mal weiter woran das jetzt wieder liegen könnte.

 

[chrigu]

Fritzbox usb war noch nie schnell, damals als ich die 7490 hatte, waren 10mbps intern Luxus. Ipsec über usb-Speicher mit vielen kleinen Dateien durchs Internet … könnte in etwa Hinhauen.