Fritzboxen via VPN verbinden

[Bannister0946]

Guten Morgen!

ich habe mich gestern erstmalig an das Thema gewagt, zwei Fritzboxen via Wireguard VPN standortübergreifend zu verbinden.
Und das scheint mir auch gelungen zu sein!

Allerdings bin ich mit der Situation noch nicht ganz einverstanden.
Anbei eine Skizze der IST Situation:


Auf Fritzbox A habe ich die WG Config erstellt und auf Fritzbox B importiert. Seitdem steht die VPN zwischen beiden Standorten.
Auf Fritzbox A ist folgende Option aktiv:
"Nur bestimmte Geräte im Heimnetz sollen über diese WireGuard®-Verbindung erreichbar sein"

Hier habe ich denn meine NAS mit der 192.168.108.250 ausgewählt.
Mein Gedanke war, dass vom Heimnetz B der Zugriff nur auf die NAS von Heimnetz A zugegriffen werden kann.
Das klappt auch. Heimnetz B kann die Fritzbox A und die NAS aus Heimnetz A erreichen. Alle Anderen Gerät sind im Heimnetz A nicht erreichbar. Bis jetzt alles super.

Auf der Fritzbox B habe ich Option ""Nur bestimmte Geräte im Heimnetz sollen über diese WireGuard®-Verbindung erreichbar sein" NICHT aktiviert, weil ich alle Geräte vom Heimnetz B aus dem Heimnetz A erreichen möchte.

Das scheint aber nicht zu klappen.
Denn ich kann NUR von meiner NAS aus dem Heimnetz A kann ich auf alle Geräte auf Heimnetz B zugreifen. Von meinem Computer aus A ist kein Zugriff möglich, erst wenn ich diese auf der Fritzbox A auch freischalte. Dann ist dieser aber auch aus B erreichbar - das möchte ich wiederrum nicht.

Verstehe ich hier diese Option falsch oder habe ich einen Konfig Fehler?

 

[Nero FX]

Es ist die Frage wie das technisch läuft. Es ist, rein technisch, korrekt.

Datentransfer ist immer Versand und Empfang. Dein PC darf ins Netzwerk B Anfragen stellen aber der Client in Netzwerk B darf keine Daten an deinen PC schicken und so kommt eben nix an. Die Fritz!Boxen können nicht unterscheiden von welcher Seite welche Datenverbindung wirklich initialisiert wurde das würde die Hardware der Fritz!box recht schnell überfordern.

Daher gibt einfach deinen PC auch frei und schon funktioniert es.
Wenn du deinen PC dann vor anderen Geräten in Netzwerk B schützen willst kannst du das genauer eingrenzen mit der Windows Firewall. zB. gibst du Datentransfer oder Ports nur von dem NAS in Netzwerk B frei und natürlich alles aus dem lokalen Netz. Das kann man alles in der Firewall anpassen. Ist natürlich etwas Arbeit.

ggf. hilft dir Windows 10 Firewall Control da etwas da die Oberfläche einfacher ist das die Windows integrierte Oberfläche.


Was du testen kannst:
Wenn du die Option zur Einschränkungen aktivierst aber bei allen den Haken drin lässt funktioniert es dann?
Nutzt du DNS Namen oder die IP Adresse? Mach mal einen Tracert auf von deinem PC, wo scheitert es, also wo werden die Pakete nicht weitergeleitet?

Ansonsten würde ich mit IPSec VPN testen ob das Verhalten da auch vorhanden ist.

 

[Raijin]

Die Fritz!Boxen können nicht unterscheiden von welcher Seite welche Datenverbindung wirklich initialisiert wurde das würde die Hardware der Fritz!box recht schnell überfordern.

Die Fritzbox weiß schon von wo nach wo die Verbindung hergestellt wurde - herkömmliches Connection Tracking. Das macht sie permanent, 24 Stunden am Tag, 7 Tage die Woche, 365 Tage im Jahr, am WAN-Port. Sonst könnte kein Fritzboxnutzer jemals irgendeine Internetseite aufrufen, weil der Aufruf einer Seite aus- und die Antwort mit dem Inhalt eingehend ist - obwohl die WAN-Firewall eingehend ja eigentlich blockiert. Ein Router merkt sich aber bei ausgehenden Verbinden den Quell-Port und dieser bekommt sozusagen eine Ausnahmegenehmigung in der Firewall für die zu erwartende Antwort.

Derselbe Mechanismus könnte prinzipiell auch bei der VPN-Verbindung Anwendung finden und das hätte ich offen gestanden auch erwartet. Auch hier kann die Fritzbox zumindest theoretisch die Verbindungsanfragen (SYN Request) nebst Quell-Port tracken und die Antworten darauf ebenfalls per (temporärer) Ausnahme zulassen. Warum sie es im vorliegenden Fall scheinbar nicht tut, kommt mir komisch vor.

Daher gibt einfach deinen PC auch frei und schon funktioniert es. Wenn du das genauer eingrenzen willst musst du die Windows Firewall entsprechend anpassen.

Das wäre auch mein Vorschlag. Wenn sich die Fritzbox so verhält wie sie es scheinbar tut, dann bleibt kaum eine Alternative als den PC ebenfalls freizugeben und ihn anschließend mit seiner eigenen Firewall abzusichern. Ich weiß allerdings nicht ob Fritzboxxen bei VPN auch NATten. Heißt: Sieht man am PC ob eingehende Verbindungen aus dem Remote Subnetz kommen oder NATtet die lokale Fritte mit ihre lokalen IP? Das wäre nämlich unpraktisch, weil die Firewall dann nur alles blocken kann oder gar nichts, inkl. lokalem Traffic.

 

[Bannister0946]

Ja, wenn ich den PC freigebe, dann komme ich auch auf die andere Seite.
Aber das hätte ich anhand der Beschreibung so nicht verstanden

 

[qiller]

Die FB ist halt auch keine richtige Firewall. Ich kenns z.B. vom IPFire, da kannst du bei Site2Site-OpenVPN-Verbindungen angeben, auf welche Netze man zugereifen kann und sogar zusätzlich noch per FW-Regeln das weiter konkretisieren. Standardmäßig gibts bei S2S-Verbindungen auch ein beiderseitiges Source-NAT, sprich das eigentliche VPN-Transport-Subnet muss nirgends freigeschaltet oder sonstwie betrachtet werden. Vlt fehlt das bei der FB WG-Konfiguration (hab das selber auch noch nie eingesetzt, kann da also auch nur mutmaßen).

Dass bei der Wireguard-Nutzung das Connection Tracking nicht funktioniert, und ansonsten schon, würd ich jedenfalls auch komisch finden. Entzieht sich mir jedenfalls jeglicher Logik das so zu implentieren (wenns so ist).

 

[Raijin]

Die FB ist halt auch keine richtige Firewall.
[..]
Standardmäßig gibts bei S2S-Verbindungen auch ein beiderseitiges Source-NAT, sprich das eigentliche VPN-Transport-Subnet muss nirgends freigeschaltet oder sonstwie betrachtet werden. Vlt fehlt das bei der FB WG-Konfiguration

Es kann natürlich sein, dass du damit Recht hast. Womöglich kollidieren hier gewissermaßen zwei verschiedene Szenarien, der Fernzugriff aka Client-to-Site vs Standortverbindung aka Site-to-Site. Dieser Haken für die Zugriffsbeschränkungen ist vielleicht nur für den ersten Fall gedacht, aber nicht für Standortverbindungen mit Beschränkungen in beide Richtungen.

Die Frage ist wie viel Einfluss man bei Fritzboxxen auf die Wireguard-Config hat. Letztendlich erstellt die Fritzbox ja nur anhand der Vorgaben des Wizards in der GUI eine Standard-Config, die man aber ggfs nachbearbeiten und wieder einspielen kann? Bei Fritzboxxen bin ich aber leider blank

 

[s1ave77]

die man aber ggfs nachbearbeiten und wieder einspielen kann?

Sind Hash-gesichert, ist nicht so trivial, das manuell zu machen, sonst wird die verworfen. War auch unklar, ob die Änderungen alle greifen, soweit ich das gelesen habe.

 

[Raijin]

Wäre auch zu einfach gewesen. Schade.

 

[hildefeuer]

Der TE hat nicht gepostet um welche FB es sich handelt. Bei 7490 geht das eh nicht, weil soweit ich das sehen konnte nicht implementiert wurde Side to Side.
Klar das File, was Clients einlesen, kann man editieren. Den filenamen nimmt der Client sogleich zur Benennung der Verbindung.

 

[Bannister0946]

Fritzbox 5530 > Fritzbox 6660