TP-Link ER605 VPN Router (Standalone) hinter FritzBox mit WireGuard - nur Router IP von außen erreichbar

[shadowworld]

Hallo zusammen, habe folgende Konfiguration hier:

• FritzBox 7590 an Telekom-DSL (dynamische IP) mit MyFritz, lokale IP = 192.168.99.1
• daran hängt eine Watchguard-Firewall mit der IP 192.168.1.2 (steckt in LAN1 der FritzBox) und dahinter ein Netz mit 4 PCs und einer NAS (Synology)
• NAS Synology (nur 1 LAN-Port) hinter Firewall IP = 192.168.1.6
• TP-Link ER605 v2 VPN-Router IP = 192.168.1.4 im LAN, WAN = 192.168.99.101 (WAN ist in LAN2 der FritzBox gesteckt, LAN in den Switch, an dem die Watchguard hängt)
• Portweiterleitung UDP des Listen Ports in FritzBox an die IP 192.168.99.101

Folgendes soll gemacht werden: auf der NAS liegen Daten, die im Netz benötigt werden. Nun soll aber möglichst mit einem privaten PC von außerhalb auch auf die NAS zugegriffen werden können. Mit dem WireGuard der FB kommt man natürlich nicht an der Watchguard Firewall vorbei und in das 1er Netz. Auf die Watchguard Firewall gibt es keinen Zugriff, diese wird von einer externen Firma administriert und die helfen uns auch nicht, den Zugriff einzurichten. Daher war meine Idee, einen weiteren VPN-Router sozusagen dazwischen zu schalten, der im 1er Netz hängt und auf den man sich einwählen kann. Der Router ist in dem 1er LAN problemlos erreichbar.

Die WireGuard Konfiguration habe ich nach folgender Anleitung eingerichtet:
https://www.tp-link.com/de/support/faq/3559/

Die Einwahl funktioniert auch, jedoch komme ich nur auf die IP des Routers (1.4), auf keine anderen IPs im LAN. Auch wenn ich meine Internet-IP anzeigen lasse, habe ich die IP des Anschlusses, auf den ich mich eingewählt habe, der Traffic läuft also über die VPN. Lt. der Anleitung soll man ja Zugriff bekommen auf die Geräte im LAN. Muss noch irgend eine Route eingerichtet werden? Hierzu habe ich auch diverse Foren durchsucht und nur Sachen gefunden, die nicht direkt mit meinem Anwendungsfall zusammenhängen, z.B.:
https://community.tp-link.com/en/business/forum/topic/273806

Ich habe auch mal die Einwahl nur über die gerade aktuelle IP-Adresse (IPv4) probiert, auch mit dem von TP-Link angebotenen VPN-Client anstelle des normalen WireGuard-Client. an MyFritz liegt es also nicht...

Was habe ich womöglich übersehen? Wie könnte man es evtl. anders einrichten? Die NAS muss aber hinter der Watchguard-Firewall bleiben und kann nicht an die FritzBox angeschlossen werden.

Vielen Dank schon mal für Eure Ideen

 

[dj-melo]

mal nach AVM Anleitung machen wenn AVM genutzt wird https://avm.de/service/vpn/wireguard-vpn-zur-fritzbox-am-computer-einrichten/ die Geräte im Heimnetzt sollten dann über Ihre IP erreichbar sein evtl fehlt noch ein Watchguard eintrag das weiß ich grade nicht.

 

[h3@d1355_h0r53]

Ich kenne das Verhalten in einfacher Form nur daher, dass ein Gerät kein IPv6 kann. Dann kommt man nicht weiter als bis zu dem Gerät, das von der Fritzbox eine "interne" IPv6 zugewiesen bekommt, aber dahinter sieht man nichts mehr. Und der ER605 kann über VPN kein IPv6. Vielleicht im Hinterkopf behalten bei der Fehlersuche.

 

[Tepesch]

Das hängt am Routing. Der Router kennt dein Transfernetz für das VPN, die Clients dahinter aber nicht. Das wird mit der zusätzlichen Route gemeint sein.

Derzeit ist es so: du sendest eine Anfrage an z.B. das NAS, das geht über den Router und an das NAS. Du kommst aus dem Transfernetz, was aber das NAS nicht kennt, also sendet es die Antwort stumpf an das Standardgateway, was aber die Watchguard ist. Diese kennt aber dein Transfernetz nicht.

Um das zu umgehen mußt du nun allen Clients mitteilen, dass der Traffic an das Transfernetz über den neuen Router gehen soll. Dazu muß man Routen eintragen. Richtig blöd wird es nur, wenn die Watchguard auch ein Transfernetz mit den selben IP-Einstellungen hat, dann geht entweder das eine oder das andere.

 

[Simanova]

Fakten zum Thema:

1. Die Watchguard Firewall unterstützt alle möglichen VPN Verbindungsmöglichkeiten, angefangen von ike1, ike2, SSL VPN. etc.

2. Einen VPN Router hinter einer Watchguard zu betreiben ist nur möglich, wenn man in der Watchguard Firewall andere VPN Verbindungen (IPSEC) zulässt, siehe Screenshot

3. Synology NAS unterstützen einen VPN Server - dazu bei den Apps den VPN Server installieren. Als Client kann dann z.b OpenVPN genutzt werden.

4. Es muss in der Fritzbox eine Exposed Host Regel existieren, die alle Datenpakete an die Watchguard weiterleitet, da sonst 2 Firewalls im Netzwerk aktiv sind.


Lösungsmöglichkeiten:

A. Die externe Firma hilft euch bei der Watchguard Konfiguration. Wenn nicht, sucht euch ne andere Firma.

B. Du schließt den TP Link Router an die Fritzbox an und leitest alle VPN Pakete mittels Portweiterleitung an den TP Link Router. Danach DHCP auf dem TPLink Router ausschalten und den TP Link an den Hauptswitch anschließen. Jetzt hast du 2 Netzwerke auf dem Switch. Gibst du nun einem Client eine feste IP im Netzwerkbereich des TP Link Routers, kannst du über den TP Link Router nach außen kommunizieren.

C. Sofern die Watchguard kein Application Control hat, kannst du OpenVPN auf der NAS frei nutzen. Wichtig ist, dass die OpenVPN einen Standardport nutzt, z.b UDP 443. Ohne Application Control kann die Watchguard Firewall das nicht filtern und lässt die OpenVPN SSL Pakete einfach durch.

 

[shadowworld]

Vielen Dank schon mal für Eure Hilfe, aber es ist wie folgt:
@dj-melo Ich verbinde mich nicht auf die FritzBox, damit würde ich nicht in das andere Netz kommen. Daher hilft auch keine Anleitung von AVM.
@h3@d1355_h0r53 Ich denke, IPv6 spielt hier keine Rolle? Soll eigentlich alles über die IPv4 Adressen laufen.
@Tepesch Das klingt logisch, jetzt muss ich es nur noch verstehen und gelöst bekommen 🙈
@Simanova Der ER605 soll ja nicht hinter der Watchguard sein, sozusagen "daneben". Beide bekommen ihr Internet direkt von der FritzBox. DHCP ist im Übrigen auf dem ER605 aus, da ja die Watchguard schon einen DHCP-Server laufen hat. So, wie Deine Variante B, ist es ja (fast) aufgebaut.

Ich wollte ja mit meiner Konfiguration oben die Watchguard "umgehen", d.h. der Traffic über das Wireguard-VPN soll an der Watchguard vorbei gehen. Die Idee war, dass ich mich per Wireguard direkt auf den ER605 verbinde, das funktioniert ja auch soweit. Die FritzBox lässt es auch durch mit der Portfreigabe. Nur dann komme ich nicht weiter auf die NAS. Das würde mir schon reichen. Mehr Geräte im Netz müssen nicht erreicht werden. Ich denke schon, dass es was mit den Routen zu tun hat.

In der FritzBox gibt es im Übrigen folgende Einträge für die Watchguard Firewall (dortige IP 192.168.99.254):
TCP 22002
UDP 500
UDP 4500
ESP

Hier ist scheinbar auch ein VPN über IPSec eingerichtet. Aber an die Watchguard kommen wir überhaupt nicht ran, wie schon gesagt. Die wird zentral verwaltet.

Die Firma kann nicht so einfach gewechselt werden, da es sich um CGM (CompuGroup Medical) handelt, die die Arztpraxis, um die es geht, hardware- und softwareseitig betreuen. Es geht hier um die Praxis vom Vater meiner Freundin. Diese macht in der Praxis QM und dafür liegen die ganzen Daten auf der NAS. Das würde sie nun gern von zu Hause machen wollen bzw. müssen (krankheitsbedingt). CGM wie gesagt ist keine Hilfe, die unterstützen diese Einrichtung in keinster Weise. Und ich bin mit meinem Latein am Ende...

 

[Tepesch]

Wenn es nur um das NAS geht, dann mußt du dort einen Routeneintrag hinzufügen. Wie das bei dem NAS geht, weiß ich leider nicht. Aber vom Prinzip her wäre es in etwa so: aller Traffic, der an das Transfernetz soll, muß an den neuen Router gehen. Unter Windows wäre es der Befehl (bezogen auf deine Informationen und der Anleitung von TP-Link): route -p add 10.0.0.0 mask 255.255.255.0 192.168.1.4
Nun mußt du nur noch das Equivalent für das Synologie suchen und schauen, wie man es dort rein bekommt, das kann ich leider nicht beantworten, aber vielleicht weiß es ja jemand anderes hier =)