ComputerBase Menü
Aktuelles

VPN FRITZ!BOX Wireguard Sicherheit?

D

Der_Picknicker

Lt. Commander
Registriert
Nov. 2020
Beiträge
1.591
Hi zusammen,

ich habe meine FRITZ!Box jetzt auf 7.50 aktualisiert. Da bietet sich ja die Nutzung von Wireguard an, um auf das eigene Netz zuzugreifen. Jetzt möchte ich aber ungerne, dass dies in irgendeiner Weise ein Sicherheitsrisiko darstellt.
Daher ergeben sich folgende Fragen:
  • Ist es möglich mit der FRITZ!Box die Verbindung via VPN so einzuschränken, dass nur bestimmte Geräte erreichbar sind?
  • Wie sicher ist VPN im Vergleich zu Portforwarding?
  • Welche best Practise sollte man einhalten?

Ich möchte folgendes erreichen:
  • Homeasistant außerhalb zugänglich machen —> Vorher habe ich dies mit PortForwarding und ReverseProxy gemacht (DuckDNS)
  • Synology nas ohne QuickConnect (letzteres ist ziemlich langsam…)

Vielen Dank.
 
Der_Picknicker schrieb:
Wie sicher ist VPN im Vergleich zu Portforwarding?
Zum Vergrößern anklicken....
Das eine ist eine abgeschirmte Leitung und das andere ein riesengroßes Einfalltor.

Der_Picknicker schrieb:
  • Homeasistant außerhalb zugänglich machen —> Vorher habe ich dies mit PortForwarding und ReverseProxy gemacht (DuckDNS)
  • Synology nas ohne QuickConnect (letzteres ist ziemlich langsam…)
Zum Vergrößern anklicken....
Beides problemlos möglich.
Ergänzung ()

Der_Picknicker schrieb:
Ist es möglich mit der FRITZ!Box die Verbindung via VPN so einzuschränken, dass nur bestimmte Geräte erreichbar sind?
Zum Vergrößern anklicken....
Ist halt anders bei einem Portforwarding und eher nicht nötig, außer Du hast Hochsicherheitsanwendungen laufen.
Ergänzung ()

Wie gesagt, Wireguard ist eine abgeschirmte Leitung, mit aktuellen Verschlüsselungsverfahren und solange niemand den Private Key bekommt, kann definitiv keiner auf diese Leitung zugreifen.
Ergänzung ()

Der_Picknicker schrieb:
  • Welche best Practise sollte man einhalten?
Zum Vergrößern anklicken....
Nicht den private Key sharen :D
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: grünerbert, Kryss, petepow und 2 andere
Portforwarding ist deutlich unsicherer als VPN, ich meine den Zugriff auf nur bestimmte Geräte kann du im Client einstellen, würde der kompromittiert wäre natürlich Grütze
 
  • Gefällt mir
Reaktionen: Der_Picknicker
Danke vielmals - die privaten Keys erzeugt Wireguard selbst, richtig? Weil wäre ja dumm den vom Nutzer erstellen zu lassen, ist ja nur ein Sicherheitsrisiko mehr.

Detailfrage: Kann ich nur bestimmten Traffic durchs VPN leiten, also wenn ich auf die FRITZ!Box zugreifen will, auf mein Nas und Homeassistant geht das durchs VPN und alles weitere (Mail, WhatsApp und co) läuft über die mobile 5G Verbindung?
Ergänzung ()

Noch eine Frage:
Sollte man den DynDns Dienst der FRITZ!Box deaktivieren, wenn man die MyFRITZ! App nutzen will, dies ginge doch auch übers VPN. Wozu das noch aktiv lassen?

Letzte Frage:

Ist VPN auch sicherer als der Synology Relay Dienst QuickConnect?
 
Zuletzt bearbeitet:
Der_Picknicker schrieb:
Detailfrage: Kann ich nur bestimmten Traffic durchs VPN leiten, also wenn ich auf die FRITZ!Box zugreifen will, auf mein Nas und Homeassistant geht das durchs VPN und alles weitere (Mail, WhatsApp und co) läuft über die mobile 5G Verbindung?
Zum Vergrößern anklicken....
nennt sich split tunneling, aber wenn ich sehe was du frägst, lies dich doch vielleicht mal grundsätzlich zu den Themen ein und notiere Dir wo du hängst ... hilft auch für die grundsätzliche Einrichtung ...

deinen Reverse Proxy (welchen auch immer) hättest du ja auch absichern können, geoblock, f2b, 2fa, ...
 
Der_Picknicker schrieb:
Danke vielmals - die privaten Keys erzeugt Wireguard selbst, richtig? Weil wäre ja dumm den vom Nutzer erstellen zu lassen, ist ja nur ein Sicherheitsrisiko mehr.
Zum Vergrößern anklicken....
Die Fritz!Box generiert je nach ausgewähltem Endgerät eine Config (z.B. für den Laptop) oder einen QR-Code mit der Config zum scannen für das Smartphone.
Ergänzung ()

Der_Picknicker schrieb:
Detailfrage: Kann ich nur bestimmten Traffic durchs VPN leiten, also wenn ich auf die FRITZ!Box zugreifen will, auf mein Nas und Homeassistant geht das durchs VPN und alles weitere (Mail, WhatsApp und co) läuft über die mobile 5G Verbindung?
Zum Vergrößern anklicken....
Man kann gewisse Apps durch den Tunnel routen und andere ausschließen.
Upsi, das war der Android OpenVPN Client vonArne Schwabe.
 
  • Gefällt mir
Reaktionen: Der_Picknicker
Du erzeugst die Conf auf der FB und spielst diese dann (via QR Code) auf das Telefon, ja Du kannst einstellen, dass nur der entsprechende Traffic über VPN geht, ich meine Du musst Du dann 0.0.0.0/1 ausklammern, und nur den die entsprechenden IPs eintragen, bzw. Das Subnetz der FB. Raijin hat das kürzlich schön beschrieben. Die Frage nach dem DynDNS der FB überrascht etwas, wie soll Dein Telefon denn sonst die FB finden? Oder hast Du ne feste IP? Und ob Wireguard sicherer als QuickConnect ist, kann Dir keiner beantworten. Bei Quick Connect vertraust Du halt Synology und deren Implementierung. Theoretisch ist es sicherer weil UDP Hole punching, also gar keine Port Freigabe, Wirgeuard ja 1194 wenn ich mich recht erinnere. Andererseits, wenn Synology einen Bug hat, kann das halt auch ein Risiko sein. Ich persönlich nutze QC deswegen nicht…
 
  • Gefällt mir
Reaktionen: Der_Picknicker
alturismo schrieb:
deinen Reverse Proxy (welchen auch immer) hättest du ja auch absichern können, geoblock, f2b, 2fa, ...
Zum Vergrößern anklicken....
Habe ich aktuell nicht mehr am laufen - ich hatte den mit 2FA abgesichert. Also blöd bin ich nicht ;)

@_anonymous0815_

Danke, mit den Apps das finde ich sehr elegant. Hast du da mal einen Screenshot? Ich finde dazu recht wenig.
Nutze iOS, da geht das bestimmt wieder nicht..
@DFFVB ..
Dann habe ich da etwas missverstanden - also bei der Einrichtung von Wireguard wird die DynDns von Fritz als endpoint hinterlegt, alles klar. Dann weiß ich jetzt grob Bescheid und teste das mal. Hast du einen Link zu der Anleitung von der du sprichst?

Dann kann ich das mal testen.
 
Der_Picknicker schrieb:
Danke, mit den Apps das finde ich sehr elegant. Hast du da mal einen Screenshot? Ich finde dazu recht wenig.
Nutze iOS, da geht das bestimmt wieder nicht..
Zum Vergrößern anklicken....
Hab mich da leider geirrt, das was ich meine, trifft auf einen OpenVPN Client für Android zu. Sorry :(
 
  • Gefällt mir
Reaktionen: Der_Picknicker
Der_Picknicker schrieb:
Habe ich aktuell nicht mehr am laufen - ich hatte den mit 2FA abgesichert. Also blöd bin ich nicht ;)
Zum Vergrößern anklicken....
ja wunderbar, und das hatte ich damit auch nicht unterstellt ...

Auch mal ein Nachteil der WG Solution, öffentliche wlan's, Firmenlan's, wlan's, ... da wird dies dann meistens nicht funktionieren weil der entsprechende Port nicht verfügbar ist, während 80/443 in der Regel immer geht.

Nur als Anmerkung ;)

und wenn das dann auch passt, dann ist ein VPN sicherlich die "sicherste" Lösung ;) wenn Bedarf ;)
 
  • Gefällt mir
Reaktionen: Der_Picknicker
Screenshot_20230218_085441_OpenVPN for Android.jpg
So sähe das dort aus.
 
alturismo schrieb:
ja wunderbar, und das hatte ich damit auch nicht unterstellt ...
Zum Vergrößern anklicken....
Alles gut war auch eher ein Scherz ;) .. Private Handys sind eh nicht im Firmennetzwerk.
Ergänzung ()

_anonymous0815_ schrieb:
So sähe das dort aus.
Zum Vergrößern anklicken....

Danke, das geht unter iOS leider nicht. Aber wohl mit Allowed IPs sollte das gehen.
 
Der_Picknicker schrieb:
Danke vielmals - die privaten Keys erzeugt Wireguard selbst, richtig?
Zum Vergrößern anklicken....
Normalerweise generiert man diese mit 'wg genkey' also dem offiziellen Tool von Wire Guard für Key Generierung. Ob das die Fritz genauso macht?

'wg genkey' holt sich die Zufallsdaten für den Key dann vom /dev/random Device.

Auf Embedded Geräten kann es da manchmal Probleme mit zu wenig Entropie geben. Aber es ist ja anzunehmen das AVM dieses für die eigenen Geräte gelöst hat. Internet Leitung und Wifi Radio sind gute Entropie Quellen sofern sie genutzt werden.

Wireguard mit richtigen Keys ist sicher, unsicher kanns nur werden wenn man damit schlampt, schlecht erzeugt oder irgendwie sonst geleaked

Unsicher ist dann wieder je nach dem was sich ins Wireguard einwählt. Wireguard auf dem vServer? Wer den vServer hackt hat auf einmal zu Griff aufs Heim Netzwerk auch wenn Wireguard seitens des Admins nur für SSH gedacht war.

Wireguard macht eben nicht nur eine isolierte Verbindung oder service sondern Netzwerk Komplett. Wie du das absicherst ist dann dein Bier also theroetisch braucth jeder Wireguard Peer auch noch ne Firewall das nur das gewünschte über Wireguard laufen kann

Sicherheit ist wie immer komplex und kommt aufs Gesamt Bild darauf an
 
  • Gefällt mir
Reaktionen: _anonymous0815_ und Der_Picknicker
Der_Picknicker schrieb:
Detailfrage: Kann ich nur bestimmten Traffic durchs VPN leiten, also wenn ich auf die FRITZ!Box zugreifen will, auf mein Nas und Homeassistant geht das durchs VPN und alles weitere (Mail, WhatsApp und co) läuft über die mobile 5G Verbindung?
Zum Vergrößern anklicken....
Das würde nur Sinn machen, wenn dein Internet zuhause unterirdisch langsam wäre und deine gefühlte Geschwindigkeit leitet. Ansonsten lass alles über das VPN laufen, ob die Daten übers VPN (und dieses über 5G) laufen oder über unverschlüsselt über 5G ändert nichts daran, das der Verkehr stattfindet und dir berechnet wird.

Anderer Fall WLAN: bei einem nicht 100% vertrauenswürdigen solltest du immer das VPN nutzen.

Und es gibt noch einen Bonus, wenn du im Heimnetz ein Pihole hast, dann läuft der Traffic des Handy auch immer da durch und wird gefiltert.
 
john.smiles schrieb:
Das würde nur Sinn machen, wenn dein Internet zuhause unterirdisch langsam wäre und deine gefühlte Geschwindigkeit leitet. Ansonsten lass alles über das VPN laufen, ob die Daten übers VPN (und dieses über 5G) laufen oder über unverschlüsselt über 5G ändert nichts daran, das der Verkehr stattfindet und dir berechnet wird.
Zum Vergrößern anklicken....
Das sehe ich etwas anders - oder klärt mich auf.
Ich habe hier mehrere Geräte mit 5G und unlimited Flat. Zuhause jedoch nur 50down/10up. Dann müsste sich doch meine Surfgeschwindigkeit auf 10mbit reduzieren, wobei ich bei 5G im Schnitt so 150-550mbit habe. Ich lade auch viel unterwegs herunter, das müsste man doch merken, oder nicht?
 
@john.smiles äh das ergibt doch wenig Sinn alles darüber laufen zu lassen, denn sein Upload wird nie schneller als 5G sein....
Ergänzung ()

Der_Picknicker schrieb:
das müsste man doch merken
Zum Vergrößern anklicken....

Das merkt man, manche machen das um von pihole zu profitieren, allerdings gibt's da unter ios und Android lokale Lösungen für
 
Habe gerade selbst erst WireGuard auf der FRITZ!Box und meinem iPhone aktiviert um auf meine Smarthome auch von unterwegs zugreifen zu können. In der WireGuard App selbst kann man unter den zulässigen IPs die 0.0.0.0/0 raus löschen, dann sollte nur die daten vom Netzwerk über den VPN gehen.

Korrigiert mich gerne, wenn ich falsch liege.
 
Ich verstehe den TE schon. Alles von Zuhause über VPN, der Rest normal. Aber mir fällt auf Anhieb keine Lösung unter iOS ein.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

5lacker
Fritz!Box Wireguard & NordVPN
2
Antworten
22
Aufrufe
1.152
Ja_Ge
Ja_Ge
D
Fritz!Box Wireguard keine Verbindung zu Internen Geräten
Antworten
9
Aufrufe
3.760
DFFVB
DFFVB
Eventer
Fritz!Box Wireguard Verbindung mehrere Geräte
Antworten
0
Aufrufe
3.798
Eventer
Eventer
T
Fritz!Box Wireguard nur bestimmte Ziele > kein Internet
Antworten
2
Aufrufe
13.440
truetone
T
C
VPN FRITZ!Box 7590 -> FRITZ!Box 7590
Antworten
8
Aufrufe
1.345
duAffentier
duAffentier
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz