VPN zu Fritzbox/NAS hinter Fritzbox

[Revan335]

Was muss den entsprechend an Ports weitergeleitet werden, oder nutzt jeder Anbieter andere Ports dafür?
In der Fritzbox stehen ja schon ein paar zur Auswahl + Benutzerdefinierte.

Selfhost scheint ja einer der Deutschen Anbieter zu sein bis auf die regelmäßige Bestätigung oder einmaliger Betrag kostenfrei zu sein.

 

[Raijin]

Wie gesagt, DDNS hat nichts mit Portweiterleitungen zu tun. DDNS und Portweiterleitungen verhalten sich in etwa so zueinander wie ein die GPS-Koordinaten deines Hauses und das Schloss an deiner Haustür. Die Koordinaten aka DDNS sind nur ein allgemeiner Platzhalter für deine Wohnadresse, haben aber nichts mit dem Schutz vor Einbrechern zu tun.

Selfhost ist so ein DDNS-Anbieter, dem deine Ports daher vollkommen schnuppe sind. Willst du einen Webserver daheim betreiben, musst du im Internetrouter eben die Ports für den Webserver weiterleiten, also http bzw https (TCP 80/443). Läuft hinter dem Internetrouter hingegen ein VPN-Server, müssen eben die Ports für das VPN weitergeleitet werden. Ob DDNS zum Einsatz kommt oder nicht, ändert daran überhaupt nichts.

Bei OpenVPN kann man den Port sogar frei wählen. UDP oder TCP, 1194, 12345, 4711, 36428, vollkommen egal bzw deine Entscheidung. Den gewählten Port leitet du dann weiter bis zum OpenVPN-Server und der macht alles weitere.

 

[Revan335]

OK, vielen Dank!

Ich probiere es mal.

Vielen, Vielen Dank schon mal!

 

[Revan335]

Hat einer schon Erfahrung mit selfHOST gemacht?
Er meldet im Ereignislog:
DynDNS-Fehler: Der DynDNS-Anbieter meldet Fehler 412 - IP Private

Im Api Dok von denen steht dazu: Status=412 Private IP addresses cannot be routed

 

[Raijin]

Naja, steht doch da was das Problem ist. Wenn man einem DDNS-Account beim Update eine private IP schickt, dann lehnt er diese ab, weil private IP-Adressen im www nicht existieren.

10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255

Das sind die Bereiche, die als private IP-Adressen definiert sind.

Ein DDNS-Update kann je nach Anbieter und je nach Update-Client auf verschiedene Arten funktionieren, die ich oben schon angedeutet habe.

In deinem Fall scheint der DDNS-Client nicht im Internetrouter zu laufen, sondern im nachgelagerten Routet, der wiederum blöd wie er ist seine WAN-IP, die aber im lokalen Netzwerk des Internetrouters liegt, an selfhost schickt.

Lösung: Schau nach ob du den DDN-Client bzw. dessen Update-URL anpassen kannst, dass keine private IP genommen wird, oder lass den Internetrouter den selfhost-Account updaten.

 

[Revan335]

Vielen, Vielen Dank für deine und eure Hilfe!

Habe mich gerade gewundert, wieso man Geräte aus dem Netz der 1. Fritzbox aus dem 2. Netz per IP erreichen (Browser/Ping getestet) (Namen gehen nicht), obwohl beide verschiedene IP Bereiche haben?
Aber vom 1. Netz kommt man nicht in das 2. Netz.

Wie kann man dies deaktivieren, so dass 2. Netz ebenfalls vom 1. Netz getrennt ist.

 

[Raijin]

Allmählich frage ich mich ernsthaft was du überhaupt erreichen willst...

Wenn du eine Routerkaskade aufbaust, also zwei Router hintereinander betreibst und den zweiten via WAN-Port an den ersten anschließt, ist es vollkommen klar, dass man in eine und nur eine Richtung auf das andere Netzwerk zugreifen kann.
Für die zweite Fritzbox ist ALLES am WAN-Port gleichbedeutend mit dem Internet und es ist die Kernaufgabe des Routers, darauf Zugriff zu gewähren. Gleichzeitig muss der Router den Zugriff vom Internet aus auf das lokale Netzwerk blockieren.

Box 1 denkt alles inkl Internetprovider ist das Internet. Raus ist erlaubt, rein ist nicht erlaubt. Letzteres bedarf Portweiterleitungen.

Box 2 denkt alles inkl. Box 1 ist das Internet. Raus ist erlaubt, rein ist nicht erlaubt. Letzteres bedarf Portweiterleitungen.

Du hast also keineswegs zwei getrennte Netzwerke, sondern nur ein gekapseltes Netzwerk in deinem Hauptnetzwerk, das jedoch vollen Zugriff auf das Hauptnetzwerk hat.

 

[Revan335]

Dann macht es natürlich Sinn, vielen vielen Dank für die Erleuchtung!

Der Sinn ist eigentlich ein getrenntes Netz, so dass bspw. wenn sich ein Gerät per VPN verbindet um auf das NAS zuzugreifen, nicht im Hauptnetz ist und dort dann ggf. (wenn auch unbeabsichtigt) Malware oder ähnliches verteilt, gibt ja manche die sich auch im Netzwerk oder in Freigaben/Netzlaufwerken verteilen.

Deshalb dachte ich an diese Konstellation, da dort dann ein zweiter IP/Netzbereich geschaffen wird. Aber da lag ich ja falsch.

Vielen, Vielen Dank!

 

[Revan335]

Hab es mal über den Gastzugang per LAN4 probiert. Allerdings kann man dort keine Portfreigaben machen und deshalb schlägt vermutlich der VPN Verbindungsaufbau fehl.

 

[Raijin]

Dein Ziel ist scheinbar eine DMZ. Die kannst du mit Consumer-Routern zwar nachbilden, aber eher rudimentär.

Das könnte beispielsweise so aussehen (rot=DMZ, grün=Hauptnetzwerk):

InternetRouter (LAN) --- NAS, Server, etc
(LAN)
|
(WAN)
ZweitRouter (LAN) --- Hauptnetzwerk


In dieser Konstellation ist das Hauptnetzwerk hinter dem zweiten Router und das NAS sitzt direkt im Netzwerk des Internetrouters, dies ist dann die DMZ. Von außen würde man sich via VPN auf den Internetrouter oder direkt auf das NAS verbinden (dann braucht man Portweiterleitungen im 1. Router). Ein Zugriff auf das Hauptnetzwerk von außen würde über eine VPN-Verbindung auf den zweiten Router erfolgen, ebenfalls über Portweiterleitungen im 1. Router.

Der Zugriff vom Hauptnetzwerk auf das NAS in der DMZ wäre aus Sicht des zweiten Routers ein Zugriff auf das Internet wie jeder andere auch. Heißt: Wenn von innen nach außen, also vom PC im Hauptnetzwerk (innen) auf das NAS jenseits des WAN-Ports (außen) zugegriffen wird, ist das ok. Andersherum, wenn das NAS (außen) von sich aus versucht, auf den PC (innen) zuzugreifen, ist es dieselbe Situation wie wenn ich jetzt von mir aus versuche, auf deine öffentliche IP zuzugreifen - die Firewall des Routers macht zu.

Entscheidend bei so einer Konfiguration ist jedoch, dass der Zweitrouter eine adäquate Routing-Performance aufweist, also WAN<>LAN. Sonst verliert man ordentlich Performance am NAS. Kann der Zweitrouter beispielsweise nur 100 Mbit/s routen, dann wird man das NAS auch nur mit 100 Mbit/s verbinden können, also mit knapp 12 MByte/s - auch wenn das NAS evtl bis zu 100 MByte/s schaffen würde.

 

[Revan335]

Könnte ich auch mal probieren oder wären VLANs oder andere Konstellationen besser/sinnvoller?

Hab auch mal mit AVM gesprochen.
Portfreigaben im Gastnetz ist jetzt ein Feature Request. Vielleicht kommt dies in einer der künftigen Firmware Versionen.

Auch sollte in der Konstellation kein Zugriff zwischen den Netzen möglich sein, sondern erst durch IP Routen ermöglicht werden.
AVM will sich dies mal anschauen.
Obwohl deine Erläuterung dazu logisch ist, wieso dieser Zugriff trotzdem von einem Netz möglich ist, vom anderen aber nicht.

 

[Raijin]

VLANs setzen VLAN-fähige Hardware voraus. AVM kann kein VLAN und ein reiner L2-VLAN-Switch bringt dir nix.

Portweiterleitungen im Gastnetz sind sicherlich schon seit Ewigkeiten auf der Todo-Liste. Da würde ich keine Hoffnungen reinstecken. Frotzboxxen sind nun mal reine Consumer-Router und wenn man mehrere Subnetze jenseits des Gastnetzwerks haben will, muss man eben aus dem Consumer-Markt raus und im (semi-)professionellen Sektor gucken, zum Beispiel bei Ubiquiti EdgeRouter oder auch MikroTik. Beides sind aber sehr mächtige Router und keine Router in Cartoon-Optik. Heißt: Sie setzen ein gewisses KnowHow voraus.