Möchte per Fernwartung Zugriff auf Router hinter Fritzbox - wie?

[santander]

Hi!

Folgendes Szenario: Ich habe eine Fritzbox 7580 als Zugang zum Internet (Glasfaser) angeschlossen. An diese Fritzbox angeschlossen ist ein zweiter Asus-Router.

Der Fritzbox habe ich die IP-Adresse 192.168.2.1 zugewiesen, der Asus-Router hat die Adresse 192.168.1.1 .

Nun möchte ich von außerhalb auf den Asus-Router zugreifen. Welche Einstellungen (Portweiterleitungen etc.) muss ich in der Fritzbox machen, damit ich auf die LogIn-Maske des Asus-Routers komme?

Der Zugriff auf die Fritzbox klappt per "myfritz...." bereits. Nur weiß ich eben nicht, wie ich mich von unterwegs in den Asus-Router einloggen kann.

Die externe IP-Adresse meines Anschlusses ist mir bekannt (84.xxx.xxx.xx).

Nun stelle ich mir vor, dass es so gehen könnte:

Ich gebe ein

https://84.xxx.xxx.xx:99 (also Port 99)

und komme per eingestellter Portweiterleitung, also von Port 99 bei der Fritzbox auf den Port 443 des Asus-Routers. Dann erscheint das Login-Menü des Asus. Nur weiß ich eben nicht im Detail, wie man das in der Fritzbox einstellt.

 

[rezzler]

Der Fritzbox habe ich die IP-Adresse 192.168.2.1 zugewiesen, der Asus-Router hat die Adresse 192.168.1.1 .

Wie soll die Fritzbox dann auf den Asus zugreifen können? Das sind ja verschiedene Netze. Der Asus bräuchte dann eine 192.168.2.x

Nun möchte ich von außerhalb auf den Asus-Router zugreifen. Welche Einstellungen (Portweiterleitungen etc.) muss ich in der Fritzbox machen, damit ich auf die LogIn-Maske des Asus-Routers komme?

Aus meiner 4040: Internet -> Freigaben -> Portfreigaben.

 

[AB´solut SiD]

Grundlegend, hast du den Asus per WAN oder per LAN mit der Fritze verbunden?


Wenn LAN, wäre es wohl besser sich statt über Portfreigabe über eine vpn z.b. Wireguard mit dem Netz zu verbinden und dann auf den Asus im LAN zuzugreifen. ymho

 

[nutrix]

Dummblöde Lösung, 16er Netz in der Fritzbox (192.168.1.1/16 bzw 255.255.0.0), und dann NAT auf den Asus.

Bessere Lösung wäre eine statische Route
https://avm.de/service/wissensdaten...1_Statische-IP-Route-in-FRITZ-Box-einrichten/

 

[gaym0r]

@nutrix
Dann brauchste auch das /16er Netz auf dem Asus. :-)

Halte ich aber so oder so für fragwürdig, den Mgmt-Access auf Router aus dem Internet erreichbar zu machen.

 

[nutrix]

@nutrix
Dann brauchste auch das /16er Netz auf dem Asus. :-)

Warum, Du NATest doch vom 16er ins 24-Netz, das sollte so auch gehen.

 

[chrigu]

Über myfritz kommst du auf die fritzbox. Da der asus nicht im selben subnetz ist, musst du der fritzbox die Route zum asus und am asus die Route zur fritzbox eintragen, ausser du nutzt den wan Port der Fritz. Soweit ich das noch im Sinn habe ist eine Route über den wanport nicht möglich.
Mach es doch einfacher… asus vpn nutzen über IPv6 dann solltest du den asusrouter direkt ansprechen können. Vorsicht bei „fernzugriff“ der fritzbox… diese Option eher meiden weil unsicher, gescheiter auch direkt über vpn (wireguard) einwählen!

 

[gaym0r]

Warum, Du NATest doch vom 16er ins 24-Netz, das sollte so auch gehen.

Hab deinen ursprünglichen Post nochmal gelesen und es ergibt für mich noch weniger Sinn. Du willst der Fritzbox die gleiche IP-Adresse geben wie dem Asus-Router? Ich denke mal einfach das ist ein Tippfehler.
Aber wenn du eh die ganze IP-Adresse anpassen willst, warum nicht direkt richtig? Also beide in ein /24 Netz und fertig.

 

[redjack1000]

auf den Port 443 des Asus-Routers.

Ist denn Port 443 auf dem WAN Interace des Asus Router erreichbar?

CU
redjack

 

[nutrix]

Hab deinen ursprünglichen Post nochmal gelesen und es ergibt für mich noch weniger Sinn. Du willst der Fritzbox die gleiche IP-Adresse geben wie dem Asus-Router? Ich denke mal einfach das ist ein Tippfehler.

Natürlich nicht, bei mir ist der primäre Router immer 192.168.1.1, daher das Mißverständnis. Der 2.Router bekommt natürlich eine andere.

Aber wenn du eh die ganze IP-Adresse anpassen willst, warum nicht direkt richtig? Also beide in ein /24 Netz und fertig.

Kann man machen, wenn man über den 2.Router unbedingt ein Class-B Netz veralten will... Für die statische Router oder das NAT ist es an sich egal, da her eh per IP direkt umgesetzt wird.

 

[h00bi]

Ohne zu wissen wie der nicht näher beschriebene Asus Router konfiguriert ist, lässt sich die Frage eigentlich gar nicht beantworten.

Auf gar keinen Fall solltest du einfach das Webinterface des Asus Routers frei zugänglich ins Netz stellen.

 

[Bob.Dig]

Auf gar keinen Fall solltest du einfach das Webinterface des Asus Routers frei zugänglich ins Netz stellen.

Stimmt!

Bei meiner Firmware würde außerdem eh ein anderer Port genutzt werden:

Spoiler

Machen würde ich es aber eh nicht.

 

[santander]

Ohne zu wissen wie der nicht näher beschriebene Asus Router konfiguriert ist, lässt sich die Frage eigentlich gar nicht beantworten.

Also, der Asus-Router (es ist ein RT-AC86U) ist an einen LAN-Port der Fritzbox angeschlossen. Die Fritzbox wiederum per WAN an das Telekom-Glasfasermodem.

Auf dem Asus RT-AC86U läuft ein VPN-Client (Privado-VPN). Alle restlichen Geräte kommen per WLAN über den Asus in Internet. Eben mit einer verschleierten IP-Adresse, der von Privado-VPN.

Auf dem Asus-Router läuft eine Merlin-Firmware.

Auf gar keinen Fall solltest du einfach das Webinterface des Asus Routers frei zugänglich ins Netz stellen.

Wieso nicht? - Er ist doch mit passwortgesichert.

 

[Bob.Dig]

Also, der Asus-Router (es ist ein RT-AC86U) ist an einen LAN-Port der Fritzbox angeschlossen.

Aber wo am ASUS ist die Fritzbox angeschlossen, das war hier die eigentliche Frage, ich vermute am WAN-Port, sonst würde VPN auch nicht gehen bei der Kiste.

Ein Passwort alleine kann durch Brute Force geknackt werden. Warum zum Henker willst Du von außen auf den ASUS?

 

[santander]

Aber wo am ASUS ist die Fritzbox angeschlossen, das war hier die eigentliche Frage, ich vermute am WAN-Port, sonst würde VPN auch nicht gehen bei der Kiste.

Ja, Asus = WAN-Port zur Fritzbox.

Warum zum Henker willst Du von außen auf den ASUS?

Weil sich die VPN-Verbindung aufgehängt hat, und vom Asus-Routermenü aus manuell neu gestartet werden muss.

Ein Passwort alleine kann durch Brute Force geknackt werden.

Brute-Force ist etwas langwieriges, weil es a) über die Internetverbindung läuft, und b) nur relativ wenige mögliche Passwörter (vielleicht 20 pro Minute) über das Router-Interface durchprobiert werden können.

Gibt man 10 Mal (wie oft genau weiß ich jetzt nicht so genau) ein falsches Passwort ein, wird zudem die Eingabe für eine gewisse Zeit gesperrt. Schon dieser einfache Schutz macht eine BF-Attacke mit Milliarden Möglichkeiten zu einer Endlos-Angelegenheit.

Ich befinde mich momentan in einem Krankenhaus, und kann das ganze nicht von zuhause aus neu starten.

 

[Bob.Dig]

und kann das ganze nicht von zuhause aus neu starten.

Ich hatte ja gezeigt, dass man das durchaus absichern kann. Besser wäre es, Du würdest ein VPN, z.B. zur Fritzbox nutzen, um dann von dort auf den Asus zu verbinden.

So oder so wirst Du aber nicht auf den Asus kommen, egal, was Du jetzt auf der Fritzbox einstellst, wenn der Asus nicht zuvor dafür vorbereitet wurde. Der Asus muss für den Remote Access ja erst konfiguriert werden. Gute Besserung.

 

[chrigu]

Eben mit einer verschleierten IP-Adresse, der von Privado-VPN.

Das einzige was dieser vpn Dienstleister verschleiert ist wieviel Geld er mit deinen Daten verdient

 

[gaym0r]

@santander
Es geht weniger darum, dass das Passwort erraten werden könnte, sodndern darum, dass ein Zugriff auf das Management des Routers gegeben ist, was auch Tür und Tor öffnet für Exploits von vorhandenen Sicherheitslücken.

 

[AB´solut SiD]

Naja wenn der Asus über WAN mit der Fritzbox verbunden ist ist er natürlich auch durch eine Firewall geblockt, also müssten dort auch entsprechende Portweiterleitungen erfolgen.
Ich find das Konstrukt also eh komisch aber gut. Warum eigentlich die Fritzbox wenn sich eh alles über den gemoddeten Asus anmeldet??

 

[santander]

Ich find das Konstrukt also eh komisch aber gut. Warum eigentlich die Fritzbox wenn sich eh alles über den gemoddeten Asus anmeldet??

Ganz einfach: Weil die Fritzbox als Basis für die IP-Telefonie der Telekom dient. Dafür ist der Asus überhaupt nicht geeignet.

Aber da meine Mutter vor einigen Monaten ohnehin gestorben ist, hat sich das mit der Festnetztelefonie eigentlich erledigt. Ich selbst benötige gar kein Festnetztelefon. Einzig als Backup, wenn das Smartphone 'mal nicht funktioniert (z.B. Akku leer oder verlegt), hat es noch eine minimale Daseinsberechtigung.

Das einzige was dieser vpn Dienstleister verschleiert ist wieviel Geld er mit deinen Daten verdient

Er ist halt in meinen Augen trotzdem das kleinere Übel. Also Staat vs. VPN-Provider. Da habe ich als zahlender Kunde von dem VPN-Anbieter weniger zu befürchten als vom neuen, alten "Big Brother".

Ich mein' jetzt wegen möglicher Überwachung, Ausfindigmachen von Leuten, die sich politisch nicht korrekt (im Sinne des Staates) äußern etc. . Da hat so ein VPN-Dienst schon seine Berechtigung, finde ich.

Da arbeiten in diesem Staat ja schon extra neu gegründete Behörden mit hunderten von Mitarbeitern, die den ganzen Tag nix anderes machen (und im größten westlichen sind 's sogar 50.000 oder noch mehr).