Kompletter Zugriff aufs VPN Netzwerk

[Blauesfeuer90]

Hallo,
ich hätte gerne einen kompletten Zugriff auf mein Netzwerk (z.B. auf mein Drucker und auf mein Receiver über die App) über VPN!
Mein Problem ist aber das ich über meine Synology mit OpenVPN und mit WireGuard auf der Fritzbox nur Zugriff auf meine FritzBox erlange!
Ich hatte schonmal vollen Zugriff auf alles, aber jetzt hab ich eine neue Fritzbox und Synology!
Welche Einstellungen muss ich machen um mein Problem zu lösen?

Vielen Dank im voraus!

MFG

 

[Zero_Official]

wir hätten gerne mehr info....
mit was greifst du zu? alles in einem ip netz? womit hattest du schon mal zugriff?

 

[Raijin]

Laut Anleitung von Synology mit OpenVPN, gefunden über eine simple google-suche:

10. Setzen Sie ein Häkchen bei Clients den Server-LAN-Zugriff erlauben, damit Clients auf das Server-LAN zugreifen können.

Quelle: Synology Knowledge Center

Bei der Fritzbox wird das ähnlich sein, aber danach google ich jetzt nicht auch noch


Wichtig ist grundsätzlich, dass sich beim Fernzugriff auf ein Netzwerk via VPN die Subnetze ( "IP-Bereiche" ) von lokal und entferntem Netzwerk nicht überschneiden. Heißt: Wenn man gerade beim Kumpel hinter seiner Fritzbox sitzt, die das AVM-Standard-Subnetz 192.168.178.0/24 verwendet, und man auch zu Hause eben diese Werkseinstellung nutzt, ist kein Zugriff auf das heimische Netzwerk möglich, weil die Subnetze kollidieren. Daher sollte man das Subnetz der eigenen Fritzbox möglichst ungewöhnlich wählen, um die Wahrscheinlichkeit eines Konflikts zu minimieren.

192.168.0.0 - 192.168.255.255
172.16.0.0 - 172.31.255.255
10.0.0.0 - 10.255.255.255

In diesen Bereichen kann man sich austoben und das heimische Subnetz zB auf 192.168.117.0/24 konfigurieren oder 172.23.4.0/24, 10.139.48.0/24 oder oder oder... Die jeweiligen Anfangsbereiche sollte man auch meiden, also nicht 192.168.0.0/24 - 192.168.2.0/24 verwenden, weil das wiederum Standardeinstellungen von zahlreichen anderen Routern sind. Sei kreativ und wähle eine möglichst ungewöhnliche Kombination. Ich orientiere mich beispielsweise an Geburtstagen und baue diese ins Subnetz ein, um sie mir besser merken zu können.

 

[Blauesfeuer90]

Vielen Dank für die Antwort! Leider hab ich in der Materie nicht sooo viel Ahnung!
Hab ich das Richtig verstanden das ich einfach die IP Adresse in den IP4 Einstellungen von der FritzBox ändern soll?
Also die Subnetzmaske 255.255.255.0 auf zum Beispiel deiner Beispiel Adresse?
(https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/19_IP-Adresse-der-FRITZ-Box-andern/)

 

[Raijin]

Ne, Subnetze bzw. IP-Adressen funktionieren wie folgt:
(vereinfachte Form und trotzdem wird's leider länger..)

Die Subnetzmaske zeigt an welcher Teil einer IP-Adresse zum Subnetz gehört und welcher Teil die eigentliche Geräteadresse darstellt. Subnetz und Geräteadresse kannst du dir vorstellen die Straße und Hausnummer.

IP = 192.168.178.1
Subnetzmaske = 255.255.255.0
=> Die 255er Blöcke der Subnetzmaske bedeuten, dass dieser Teil der IP das Subnetz definiert, die Straße
===> Daraus folgt: Subnetzteil aka Straße = 192.168.178
=> Der 0er Block der Subnetzmaske bedeutet, dass dieser Teil der IP die Geräteadresse darstellt, die HausNr
===> Daraus folgt: Geräteadresse aka Hausnummer = 1


Wenn man zwei Netzwerke mit demselben Subnetz via VPN miteinander verbindet, stellt sich das bildlich gesprochen so dar als wenn es zwei "Fritz-Meier-Straße" in der Stadt gibt. Nu kommt bei Pizza Paule eine Bestellung für "Fritz-Meier-Straße 17" rein. Super, Pizza Paule sitzt ja selbst in der "Fritz-Meier-Straße" und Basti Bote mit dem Drahtesel los zur HausNr 17. Dort öffnet Steffi Satt, die gar keine Pizza bestellt hat und auch nicht hungrig ist. Stattdessen sitzt nun aber Kalle Kohldampf am anderen Ende der Stadt in der anderen "Fritz-Meier-Straße 17" und wartet vergeblich auf seine Pizza... Ungefähr so läuft das auch bei VPNs zwischen identischen Subnetzen ab.


Als ich schrieb, dass du dein Subnetz umstellen solltest sobald du mit VPNs arbeitest, war damit sozusagen die Straße gemeint. 192.168.178.x ist bei gefühlt 999 von 1000 Fritzboxxen eingestellt und sobald man zwischen diesen Netzwerken eine VPN-Verbindung herstellen will, klingelt Basti Bote an der falschen Haustür

Die Lösung wäre die Umbenennung einer der Straßen. Da du kaum beeinflussen kannst was dein Kumpel in seiner Fritzbox einstellt oder wie das Netzwerk eines Hotels, o.ä. konfiguriert ist, kannst du nur deine eigene Straße ändern.

Heißt:
Die IP der Fritzbox könnte beispielsweise wie folgt geändert werden:

IP = 192.168.117.1
Subnetzmaske = 255.255.255.0

Die Subnetzmaske bleibt gleich, weil nach wie vor die ersten drei Teile der IP die Straße darstellen. Eben jene Straße heißt nun aber anders, nämlich 192.168.117. Bist du nun bei deinem Kumpel oder in einem Hotel mit einer Fritzbox auf Werkseinstellung, kann das VPN deine Heimatstraße eindeutig identifizieren, weil sie eben nicht denselben Namen trägt, wie die lokale Netzwerkstraße beim Kumpel bzw. im Hotel.

 

[qiller]

Mein Problem ist aber das ich über meine Synology mit OpenVPN und mit WireGuard auf der Fritzbox nur Zugriff auf meine FritzBox erlange!

Bitte auf eine VPN Methode beschränken, ich empfehle mal Wireguard, weil das schon direkt auf deiner Fritzbox laufen wird. Der OpenVPN Server auf der Synology wird sicherlich hinter dem NAT der Fritzbox laufen und benötigt daher Rückrouten, die du in der FB einrichten müsstest. Ich habe bisher leider noch kein Wireguard auf der FB ausprobiert, aber ich vermute mal stark, dass es nur eine kleine Option in den VPN-Einstellungen ist, die du aktivieren musst, um den Zugriff aufs komplette LAN über das VPN zuzulassen. Das wird wahrscheinlich standardmäßig aus Sicherheitsgründen deaktiviert sein.

Edit: Hab mal bisschen gesucht und nur diesen Screenshot gefunden.

Das rot markierte darf nicht angehakt sein (anscheinend lässt die FB standardmäßig wohl doch den kompletten Wireguard-Traffic durch).

Edit2: Und oben gesagtes von Rajin muss natürlich trotzdem eingehalten werden. Bei gerouteten VPN-Netzwerken müssen das lokale und das Remote-Netzwerk unterschiedliche Netzadressen verwenden.

 

[Blauesfeuer90]

So jetzt hatte ich mal wieder ein bisschen Zeit mich zu kümmern! Also die IP-Adresse der FritzBox wurde geändert!
Das Problem bei WireGuard besteht weiterhin, von OpenVPN hab ich noch nicht getestet, da ich erst die Freigaben für die Synology erst wieder machen muss!
Ich hab überall in der Fritzbox nach diesem Häkchen gesucht, aber nichts gefunden! Ich hab auch keine Erweitere Einstellungen für WireGuard!
Zu den erweiterten Einstellungen zu WireGuard hab ich herausgefunden das die 7590ax wohl diese Einstellung nicht anbietet! Mal hoffen das das Problem mit ein paar Updates seitens AVM behoben wird!

PS.: Ich hab eine FritzBox7590ax

MFG Köstner

 

[Blauesfeuer90]

Also für OpenVPN ist das Problem jetzt gelöst! Und für WireGuard heißt es abwarten auf ein Update würde ich jetzt Mal sagen! Außer jemand hat noch ein anderen Vorschlag!? Bis dahin ist WireGuard für mich erstmal absolut nutzlos!