myFritz, Fritzbox, VPN/Zugriff - komme nicht auf meine Fritzbox

[Sickculture]

Hallo,
nun stehe ich vor dem nächsten Problem:
Ich besitze eine M-Net 50mbit Leitung und von M-Net ist auch die Fritzbox 7490 mit der aktuellsten Firmware. Ich habe nun nach eurer Anleitung die Myfritz Daten eingeben, erhielt auch für meine Fritzbox einen Myfritz Account, welcher von der Fritzbox auch aktualisiert wird. Soweit so gut. Im Heimnetz sind alle Geräte über TCP-IP v4 an die Fritzbox angeschlossen. Jedes Gerät hat seine feste IP bekommen. Nun möchte ich von Außen auf mein Netzwerk in zwei Varianten zugreifen:

• VPN (ich habe die VPN Einrichtung mit der AVM Software nach Anleitung erledigt) auf das bestehende Netzwerk (sprich: mittels Portweiterleitung innerhalb der Fritzbox auf diverse Endgeräte wie Drucker, NAS, PC/Server)
• Über die myfritz Adresse zum einen die Fritzbox konfigurieren und zum anderen auf ein NAS mit einem Cloudserver zugreifen.

Und da habe ich schon das Problem:
Wenn ich die myfritz Seite im Browser aufrufe, sehe ich meine Fritzbox und deren aktuellen Adresse. Dann klicke ich weiter, muß das Zertifikat einmalig bestätigen und akzeptieren und komme dann nicht weiter. So wie ich das verstanden habe, soll das was mit IPv4 und IPv6 vom Provider zur Box zu tun haben. Ich bin da absolut nicht drin, in der Geschichte. Was kann ich tun? Eine feste IP Adresse zusätzlich bestellen kostet monatliche Gebühren.
Was mich wundert, ist das z.B. meine QNAP NAS von außen erreichbar über die myQNAP-NAS Seite ist.
Mich ärgert eben nur, dass mit der myFritz soviel Werbung gemacht wird, im Umkehrschluß ich diese kostenlose Lösung nicht verwenden kann. Nicht mal auf die FRITZ komme ich.

Habt ihr mir da eine Erklärung und eine Lösung?

 

[Funksignal]

Könnte mit dem Zertifikat zusammenhängen. Versuch mal in der Oberfläche (Internet -> MyFritz!-Konto) folgenden Haken zu setzen:

 

[Sickculture]

nein, das war´s leider nicht.

 

[benneq]

Ich hab auch so ein Problemchen mit meiner Box. Bei mir liegt's an der IPv6 Verbindung. In der Fritz!Box steht "FRITZ!Box verwendet einen DS-Lite-Tunnel" und dann war's das.

https://avm.de/service/fritzbox/fri...1611_Was-ist-DS-Lite-und-wie-funktioniert-es/
"Über IPv6 ist der Internetzugriff auf FRITZ!Box und Heimnetz auch am DS-Lite-Internetzugang möglich. Solche IPv6-Verbindungen können jedoch nur hergestellt werden, wenn beide Teilnehmer über eine IPv6-Internetanbindung verfügen. In den meisten Mobilfunknetzen und WLAN-Hotspots ist dies nicht der Fall."

Als Alternative habe ich nun einfach auf einem Rechner "TeamViewer" installiert, damit ich irgendwie von außen in mein Netzwerk komme

 

[Sickculture]

Genau das dachte ich mir. Das kann´s doch nicht sein. Teamviewer ist gut und recht, aber wenn ich eine Cloud-NAS hinter der Fritzbox betreibe, nützt mir das nicht viel. Außerdem möchte ich ja auch VPN u.a. Sachen machen.

 

[FranzvonAssisi]

Naja, wenn du dich vorher nicht über die Voraussetzungen informiert, ist das nicht AVMs Schuld!

Es wäre hilfreich, wenn du mal vernünftige Informationen über deine Verbindung über den ISP und die Verbindung des VPN-Clients rausrückst, sonst gibt's nicht mehr viel, was wir sagen können... (vor allem hinsichtlich DSLite und ipv4 und ipv6, wie genau "rufst du die myfritz Seite auf" und inwiefern kommst du nicht weiter)

Lg

 

[till69]

Bei M-Nets DS Lite hilft:

1. Verbindung über IPv6 (gibts mobil nicht immer)
2. Ein Portmapper (www.feste-ip.net)
3. Einen Portmapper selber bauen (www.netcup.de) (braucht gute Linux Kenntnisse)
4. Bei M-Net die IPv4 bestellen (4,95€/mtl.)
5. Bei M-Net gleich den richtigen Tarif bestellen (https://www.m-net.de/gamer-a-urban) ... leider nur für Neukunden

 

[Sickculture]

Kann man denn einen Portmapper auch selberbauen? Also ohne zuätzlichen Dienst und zusätzlichen Account/Provider Kosten? Oder kann man auf einem Webspace Hosting Server (ich habe bei 1+1 einen Business Hosting Tarif) einen Portmapper Dienst einrichten? Oder eben "einfach" eine Box vor die Fritzbox schalten, die dann diese Aufgabe erledigt. Gibt´s sowas?

 

[till69]

Selber bauen geht, aber nicht kostenlos. Man braucht einen Server mit IPv4 (und IPv6 für echtes Portmapping, ohne IPv6 geht z.B. mit einem OpenVPN Tunnel)

Und dann eben sehr gutes Linux Know-How

Würde an Deiner Stelle die IPv4 bei M-Net bestellen...

 

[Raijin]

VPN (ich habe die VPN Einrichtung mit eurer Software nach Anleitung erledigt) auf das bestehende Netzwerk (sprich: mittels Portweiterleitung innerhalb der Fritzbox auf diverse Endgeräte wie Drucker, NAS, PC/Server)

Hm? Wenn man eine VPN-Verbindung ins Heimnetzwerk hat, benötigt man eigentlich gar keine Portweiterleitungen. Portweiterleitungen sind nur an einer NAT-Grenze notwendig, da wo der Router die IPs des Heimnetzwerks mit seiner eigenen öffentlichen (bzw. DSLite-) IP ersetzt. Bei einem VPN wählt man sich jedoch direkt auf den Router ein und kann dann mittels Routing auf das komplette Heimnetzwerk zugreifen als säße man daheim auf der Couch.

Was das NAS von QNAP angeht, ist das vermutlich ein Cloud-Service. Dabei telefoniert das NAS nach Hause und ist dann über die Cloud bei QNAP erreichbar. Das wäre dann ganz ähnlich wie bei TeamViewer. Aus Sicht des Internet-Routers ist das eine ausgehende Verbindung und somit spielen DS-Lite, NAT, Portweiterleitungen, etc. keine Rolle.

Ein Portmapper ist im Prinzip nur ein Vermittler. Er wird via IPv4 angesprochen, leitet die Verbindung dann aber via IPv6 weiter. Das kann man auch selbst bauen, aber zum einen benötigt man dafür fortgeschrittene Kenntnisse und zum anderen geht das natürlich nur an einem Ort, der eben auch via IPv4 erreichbar ist - also nicht am DS-Lite Anschluss selbst, sondern zB auf einem gemieteten Server irgendwo im www. Ob das auch auf einem Webserver geht, hängt vom Tarif bzw. der Umsetzung seitens des Hosters ab und wieviel Kontrolle du über den Server hast. Wenn selbiger nämlich lediglich FTP-Zugang zum Upload einer Webseite und bestenfalls noch eine Admin-Page zur Installation vorgefertigter Pakete (zB Forum, Webshop, o.ä.), dann wird das nix. Bietet der Server hingegen auch SSH-Zugang nebst ausreichender Rechte, könnte das klappen. Allerdings kann man vor dieser Bastelei nur warnen, wenn du diesbezüglich kein KnowHow hast! Im worst case baust du dann nämlich das nächste Mitglied in den Botnetzen von anonymous und Co.........

 

[Sickculture]

Also nochmals zu Portmapping, was anscheinend das große Problem ist.
Was benötige ich um:
A) auf meinen eigenen Server zu gelangen (Es laufen VM Ware mit Windows 10 und FreeNas, dazu ein Nextcloud). Ich möchte auf die NAS mittels WebDAV und sFTP zugreifen, dazu auch noch vollen Zugriff auf die Steuerung der Virtualisierung haben (VPN?)
B) VPN Verbindung durch die Fritze zu meinem Home PC (Laptop).
C) QNAP NAS - hier kann ich auch über die myQNAP Oberfläche zugreifen und mittels WebDAV eine Verbindung aufbauen. Sollte dann auch so gehen. Idealerweise wäre es, wenn die QNAP dann auch so erreichbar wäre, wie im Heimnetz. Sprich mit gemappten Netzlaufwerk über WebDAV mittels Netdrive. Ich denke, das läuft auch über VPN, oder?
Das Thema Portmapping ist für mich Neuland. D.h. Dienste wie Feste-IP.net (gibt´s da auch andere???) wären für das Problem eine Lösung. Was muß sich in Zukunft seitens MNet/AVM ändern? Im Grunde hackt es zwischen diesen zwei Schnittstellen. Ab der Fritzbox kann ich ja mit Portfreigaben weiterrouten.
Oder habe ich noch irgendwo einen Denkfehler? IPv6 kenn ich mich nicht aus. Ich weiß, dass ich in meiner Windows Netzwerkumgebung auch IPv6 vergeben kann. Ich mache zuhause immer die IPv4 TCP IPs.
Kann ich mir das ganze sparen indem ich alles auf IPv6 umrüste? Zumindest versuche? Oder ist die Verbindung von MNet zur Fritze der Knackpunkt?

 

[Raijin]

Wenn man mehrere Dienste im Heimnetzwerk von außen erreichen will, rate ich dringendst zu einem VPN! Mit einem VPN schleppst du gewissermaßen immer ein virtuelles Netzwerkkabel mit dir rum und kannst es per Knopfdruck (=VPN verbinden) einstöpseln. Über die VPN-Verbindung kann man anschließend das komplette Heimnetzwerk mit allen darin enthaltenen Geräten und Diensten nutzen als säße man auf der Couch.

Portweiterleitungen sind bei VPN nicht notwendig bzw. wenn, dann nur für einen VPN-Server hinter dem Internetrouter.

Ohne VPN müsste man für jeden Dienst eingene Portweiterleitungen einrichten. FTP, HTTP(S), etc.. Dabei bestimmt der unsicherste Dienst die Gesamtsicherheit. So ist beispielsweise nacktes FTP komplett unverschlüsselt, inkl. Logins in Klartext! Das wäre so als würde man sich eine Tresortür als Haustür einbauen und dafür aber die Terassentür offen lassen - nix Sicherheit..

Hast du keine eigene öffentliche IPv4, hängst also an einem Anschluss mit DS-Lite, dann geht weder VPN noch Non-VPN (also einzelne Portweiterleitungen). Das ginge dann nur via IPv6 oder eben mittels eines IPv4 <>IPv6 Mappers. Welche Anbieter es neben feste-ip noch gibt, weiß ich ehrlich gesagt nicht.

Meiner Meinung nach wäre die einfachste Lösung und auch die mit dem geringsten Aufwand die gemietetr IPv4 direkt vom Provider. Portmapper kosten auch Geld und bedeuten eben auch zusätzlichen Aufwand, etc

 

[Sickculture]

naja - IPv4 kostet bei MNET auch einen stolzen Preis pro Monat Aufpreis (ich glaube um die 4-5 Euro/Monat).

Also ich habe eben einen alten Eintrag hier gefunden: https://www.ip-phone-forum.de/threa...ipv4-6-per-internet-ipv4-trotz-dslite.272583/

Rein theoretisch benötige ich für meine Umsetzung einen Portmapper auf einen OpenVPN Server in meinem Heimnetz. Den könnte ich entweder über meine QNAP (da gibt es OpenVPN Server zu installieren) oder eben auf meinem Server separat installieren (weiß noch nicht wie, aber geht sicherlich unter der VM Ware oder direkt in FreeNAS). D.h. ich greife von außen auf über feste-IP.net auf die Fritzbox mit Portweiterleitung zum OpenVPN Server zu. Der Rest erledigt sich dann von selbst, da ich dann Teil des Heimnetzwerks wäre. D.h. 1 Credit/Tag für eine Portweiterleitung zu OpenVPN, richtig?

Dann 2. Punkt: Nextcloud auf Heimserver. Diese soll wie eine Cloud von außen erreichbar sein (auch von Freunden/Kunden). D.h. eine separate Portweiterleitung auf Nextcloud. Ist glaube ich HTTPs Protokol? Ergo: 1 Credit/Tag für Nextcloud Port

3. Punkt wäre ein sFTP Zugriff auf meine beiden NAS Systeme. Benötige ich nicht unbedingt, da ich persönlich auch über VPN verbinden könnte, aber ggf. für Kunden???

4. Die Fritzbox erreiche ich dann wie gewohnt über VPN Verbindung zum OpenVPN Server hinter der Fritze, da ich ja im eigenen Heimnetz bin, oder?

Hab ich was vergessen? Webserver betreibe ich wegen mangelnder Leitungsstärke noch nicht. Das wäre noch ein Mapping von feste-ip.net.

Also für VPN und Nextcloud gehen dann pro Tag 2 Credits drauf, richtig? Mit sFTP wäre es drei? Das ganze dann als Universal Portmapper. Da habe ich 12 Ports pro Tag frei. ERGO 4,95 Euro im Jahr. Habe ich da was falsch verstanden? Oder werden andere Dienste seitens feste-ip.net benötigt?

 

[till69]

Wo der OpenVPN Server läuft ist egal, solange das Gerät IPv6 fähig ist, bei mir ist es z.B. eine Fritzbox 4040 mit OpenWRT.

Sonst soweit alles richtig ... einfach ausprobieren ... 50 Credits gibts ja for free