Vereinfachen von einen Heimnetzwerk

[DLMttH]

Ja genauso ist das, der Portunity Tunnel ist halt nur für die Feste IP da….

Bitte nicht feste und öffentliche IPv4 verwechseln. Brauchst du wirklich eine feste IPv4-Adresse? Falls vorhanden, würde die dynamische öffentliche IPv4-Adresse mit DynDNS vielleicht auch reichen. Dann kannst du den OpenWRT-Router auch abschaffen.

 

[Jailbreaker07]

Ist das OpenWRT gedönz wirklich notwendig?

Ja ist nötig, der OpenWRT Router baut einen Vpn Tunnel für die feste Ip auf über welche ich dann über einen anderen VPN Tunnel auf das Heimnetz zugreifen kann.

 

[Raijin]

-WAN Port von Open WRT Router und der FRITZ!Box über einen Switsch an den Glasfasermodem.

Das wird so aber nicht funktionieren. Ein Modem ist ein Modem und kein Router. Ein weitestgehend passives Gerät, welches zur Einwahl "benutzt" wird, so wie ein Telefon ein Telefon ist und nix tut solange niemand den Hörer abnimmt und wählt.
Am Modem kann nur ein einziger Client dranhängen und das ist dann derjenige, der ggfs die Einwahl/Login beim Provider vornimmt und die IP-Adresse vom Provider bekommt. Auch hier der Vergleich mit dem Telefon: Wenn jemand anderes bereits den Telefonhörer in der Hand hält, kannst du ihn nicht nehmen und telefonieren.

Weiter oben hatte ich zwei Beispielsetups gepostet. Ergänzen müssest du da lediglich den OpenWRT-Router für deine VPN-Konstruktion. Wobei wie gesagt auch dieser Router überflüssig wäre bzw. nicht als Router arbeiten müsste (sprich: LAN-only).

 

[Skywalker27]

Ja ist nötig, der OpenWRT Router baut einen Vpn Tunnel für die feste Ip auf über welche ich dann über einen anderen VPN Tunnel auf das Heimnetz zugreifen kann.

äh warum?

 

[Jailbreaker07]

Bitte nicht feste und öffentliche IPv4 verwechseln. Brauchst du wirklich eine feste IPv4-Adresse?

Sorry ich habe private und öffentliche ip verwechselt…. Die deutsche Glasfaser bietet nur eine private IPv4 Adresse an….

Ergänzung (13. Februar 2024)

äh warum?

Weil ich nur eine private ip habe… das mit der öffentlichen war ein Fehler….

 

[Raijin]

@Skywalker27
Mutmaßlich aufgrund mangelnder öffentlicher IP am Anschluss, also DS-Lite/CGN. Ist bei Glasfaser nicht selten, ähnlich wie bei Kabelinternet. Portunity ist ein VPN-Anbieter, der über das VPN einen "Rückweg" anbietet, also externer Zugriff auf den Tunnel-Ausgang am VPN-Server im Rechenzentrum von Portunity - im Gegensatz zu Cyberghost und Co, die keinerlei Zugriff auf den VPN-Tunnel von außen bieten.


Quasi so:

VPN#1: OpenWRT ---VPN---> Portunity (öffentliche IP aa.bb.cc.dd)

VPN#2: Smartphone ---VPN---> aa.bb.cc.dd --------VPN#1_in_VPN#2_gekapselt----> OpenWRT----> Synology


So umgeht man das Problem mit der nicht-öffentlichen IPv4 bei DS-Lite.

 

[Jailbreaker07]

Wobei wie gesagt auch dieser Router überflüssig wäre bzw. nicht als Router arbeiten müsste (sprich: LAN-only).

Für den ausgehenden VPN könnte ich auch sicherlich die Synology nehmen die auch der Server für den eingehenden VPN Tunnel ist… Muss nur schauen wie und ob das geht mit Portunity…

Ein Modem ist ein Modem und kein Router.

Danke für die Erklärung 👍

 

[Skywalker27]

das Wireguard VPN in der Fritzbox ist auch gar nicht verkehrt.

 

[Jailbreaker07]

Spoiler: Fritz Als HauptRouter mit GastLAN www
|
(WAN)
Fritzbox als HauptRouter (Gast-LAN) ----- (WAN) NachbarRouter
(LAN)
|
Jailbreakers LAN mit Kameras, NAS und allem

So habe ich es jetzt gemacht, jedoch funktioniert die Nachbars Fritzbox nicht an den Gast Lan Anschluss (keine Internetverbindung), diese habe ich jetzt erstmal an unseren Lan angeschlossen.

-An den Gastzugang ist jetzt der WAN Anschluss von OpenWRT Router.
-Die Kameras laufen im normalen Netz

So sind jetzt schonmal zwei Router weniger. Schön währe es natürlich wenn die Nachbars Fritzbox am Gast Lan funktionieren würde....

Vielen dank schonmal für die Hilfe und die Denkanstöße.....

Ergänzung (13. Februar 2024)

das Wireguard VPN in der Fritzbox ist auch gar nicht verkehrt.

Voraussetzungen / Einschränkungen​

• Die FRITZ!Box muss vom Internetanbieter entweder eine IPv6-Adresse oder eine öffentliche IPv4-Adresse erhalten.

also kommt das wohl nicht in frage......

 

[Raijin]

So habe ich es jetzt gemacht, jedoch funktioniert die Nachbars Fritzbox nicht an den Gast Lan Anschluss (keine Internetverbindung), diese habe ich jetzt erstmal an unseren Lan angeschlossen.

Wenn die NachbarFritte nicht am GastLAN läuft, dann ist da etwas falsch eingestellt. Eventuell ein Subnetzkonflikt oder gar statische IP-Einstellungen am WAN, die nicht zum GastLAN passen.
An deinem LAN sollte sie aber in keinem Fall angeschlossen werden, weil du so zwar nicht auf das Netzwerk deines Nachbarn zugreifen kannst, weil dessen Fritzbox per WAN-Firewall blockiert, aber dein Netzwerk ist für den Nachbarn offen wie ein Scheunentor. Er kann alle deine Geräte pingen und ggfs darauf zugreifen (mal von Logins abgesehen), weil die Firewall deiner Fritzbox nicht greift (ist ja LAN-intern) und die Firewall des Nachbarn auf Durchzug schaltet (ist ja ausgehender Traffic).

Die FRITZ!Box muss vom Internetanbieter entweder eine IPv6-Adresse oder eine öffentliche IPv4-Adresse erhalten.

Eine IPv6 solltest du eigentlich vom Provider bekommen. DS-Lite bzw. CGN bezieht sich auf IPv4, weil hier die IP-Adressen sich seit .. .. 20 Jahren dem Ende neigen. Deswegen gibt es ja solche Spielchen wie NAT am Router und seit geraumer Zeit eben auch auf Provider-Ebene, Carrier Grade NAT. In der Regel bekommt man aber parallel dazu eine öffentliche IPv6 bzw. gar ein ganzes Subnetz davon zur freien Verfügung. Deine Fritzbox sollte daher eigentlich per IPv6 erreichbar sein

 

[Jailbreaker07]

Deine Fritzbox sollte daher eigentlich per IPv6 erreichbar sein

Das kann ich mal probieren. Ist das restliche Netz dann auch über den VPN Server der Synology erreichbar?

Ergänzung (14. Februar 2024)

Wenn die NachbarFritte nicht am GastLAN läuft, dann ist da etwas falsch eingestellt.

Werde der Sache gleich auf den Grund gehen. Da war auch ein Kabelfehler, lief nur auf 100mbiit, nach der Behebung habe ich das am Gast LAN nicht mehr probiert.

 

[Skywalker27]

sorry wenn ich nochmal nachfragen. Aber warum willst du ein VPN auf der NAS wenn du direkt am Router eines haben kannst? Das ist ja ne Fritzbox oder?
Wireguard ist schnell und sicher. Der DynDNS Dienst von AVM ebenfalls.

 

[Jailbreaker07]

Aber warum willst du ein VPN auf der NAS wenn du direkt am Router eines haben kannst? Das ist ja ne Fritzbox oder?

Darüber habe ich noch nicht nachgedacht, da ich die Möglichkeit über IPv6 nicht in Betracht gezogen habe… (Ja, es ist eine Fritzbox) Wenn so auch das ganze VPn Netz erreichbar ist, werde ich das machen…

 

[Raijin]

Darum geht's ja gerade, VPN an der Fritzbox ausprobieren. Und ja, dann ist das ganze Netzwerk über das FritzVPN erreichbar, das ist ja Sinn der Sache.

 

[Jailbreaker07]

Wen das über der FRITZ!Box über Wire Guard geht dann währe noch eine Router wenig… bleiben dann nur noch 2 von 5 übrig. Das war ich eine sehr große Hilfe von auch 😏

Ergänzung (15. Februar 2024)

VPN Zugriff mit WireGuard geht problemlos. Sind evtl. auch portfreigaben darüber möglich? Ich denke das ist problematisch wenn die Kameras nur IPv4 können… Ansonsten aktiviere ich halt VPN um auf die Kameras zu gelange, ist ja sowieso sicherer…

 

[Raijin]

Ansonsten aktiviere ich halt VPN um auf die Kameras zu gelange, ist ja sowieso sicherer…

So und nicht anders. Zugriff auf das Heimnetz und die darin enthaltenen Komponenten nur per VPN, komme was wolle. Ausnahmen nur dann, wenn man seeeehr genau weiß was man da tut, welche Risiken das birgt und welche Folgen es haben kann..