Zugriff auf ein entferntes Netzwerk ohne öffentliche IP sowie freigaben

PieczonyKurczak

Lt. Junior Grade
Registriert
Okt. 2013
Beiträge
463
Hallo zusammen,

ich bin die nächsten Jahre unter der Woche nicht Zuhause sondern wegen einer beruflichen Umorientierung in einem Internatszimmer.

Dort bekommen wir einen Internetzugang per LAN zur Verfügung gestellt. An dem Anschluss wird eine aktuelle Fritz!Box betrieben.

Jetzt wird es für mich knifflig, bisher konnte ich keine Lösung hierfür finden:

Ich habe keine öffentliche IPv4/IPv6 und es ist somit auch keine Portfreigabe möglich. Vor der Fritz!Box ist ein vorhandenes NAT (Fortinet Firewall).

Während Dinge wie zum Beispiel eine Tapo-Überwachungskamera ohne Probleme aus dem Internet erreichbar sind, kann die Fritz!Box zwar sich mit My!Fritz verbinden. Ein Zugriff über das Internet oder über eine VPN-Verbindung (WireGuard) auf die Fritz!Box oder auf die anderen Geräte im Netzwerk sind nicht möglich.

Frage: Wie kann ich die Fritz!Box und / oder andere Geräte aus dem Internet erreichen ohne eine öffentliche IP-Adresse oder eine Portfreigabe?

Über hilfreiche Antworten würde ich mich sehr freuen.
 
Rechner laufen lassen mit Teamviewer und die Login Daten mitnehmen.
Falls der Rechner mal neu gestartet werden muss, kann man Teamviewer automatisch starten lassen.
Es gibt Teamviewer auch für Android. Evt geht's auch damit.
Für ein side by Side vpn brauchst Du Zugriff auf beide Router und entspr. Kenntnisse.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: GTrash81
In dem Fall bleibt nur eine ausgehende VPN Verbindung auf einen Server mit öffentlicher Adresse, einem VPS zum Beispiel. Konfigurationsvorschläge gibt es zahlreiche im Zusammenhang mit CGNAT Internetzugängen. Einfach mal suchen.
 
Um es zusammenzufassen:
  • du hast daheim einen Internetzugang hinter einem NAT System
  • du hast daheim einen Server oder ähnliches laufen
  • du willst aus dem Internatszimmer auf den zB Server daheim zugreifen

( Warum auch immer Du Daten daheim hast, auf die du unter der Woche direkt zugreifen musst, statt sie einfach am Wochenende auf zB einen USB Stick zu kopieren )

So weit korrekt?

Der Internetzugang daheim hat keine IPv4/v6 sondern davor sitzt ein anderes System (fortinet) mit NAT.
Was ist das für ein Konstrukt? Studentenwohnheim oder ähnliches?

1. Möglichkeit:
Derjenige der die Fortinet Firewall betreibt muss Dir halt doch eine statische Route (Portfreigabe) zu deinem Anschluss/Raum einrichten, damit der von Außen direkt erreichbar ist.

2. Möglichkeit:
Eine Lösung so ähnlich wie Deine Kamera, die mit einer Cloud des Herstellers im Internet Kontakt aufbaut und wo du dann von überall über diese Cloud auf deine Kamera kommst.
d.h. du brauchst eine Art Zwischengerät/-Server/Cloud im Internet zu dem Dein Router daheim automatisch eine VPN Verbindung aufbaut und auf den du dann ebenfalls aus dem Internat zugreifen kannst.
Also das was riversource auch beschreibt.
 
Ich glaube da gibt es ein paar Missverständnisse.
Von Montag bis Freitag bin ich im Internat (ähnlich wie ein Studentenwohnheim) und am Wochenende, Feiertags oder in den Ferien / Praktikumsphase zuhause.

Zuhause habe ich:
Einen vollwertigen normalen Anschluss von der Telekom mit öffentlicher IPv4 und IPv6. Von überall aus komme ich auch ohne Probleme in mein Netzwerk / Geräte rein.

Im Internat habe ich:
Einen Internetanschluss ohne öffentliche IPv4 oder IPv6. Zwischen der Fritz!Box und dem WWW hängt eine Firewall von Fortinet welches gewisse Seiten und Dienste filtert (primär nur Illegales, was für mich nicht relevant ist).

Mein Wunsch wäre es von Zuhause auf mein Netzwerk im Internat zuzugreifen oder umgekehrt, also vom Internatszimmer auf mein Netzwerk zuhause.

So wie ich es bisher hier gelesen habe, komme ich um ein VPS oder eine Cloud-Lösung nicht herum?
 
Du kannst auch die Fritzbox zu Hause als Gegenstelle benutzen. Du brauchst halt irgendeinen Server mit öffentlicher IP, über den du die Zugriffe umleitest. Das kann ein VPS oder eine andere Fritzbox sein. Dahin baust du dann ein VPN auf, und über den Tunnel kannst du dann ins Internats-Netz. Wenn du eh bi-direktionale Zugriffe zwischen Internat und zu Hause willst, bietet sich ein Tunnel zwischen beiden Fritzboxen an. Dann musst du nur noch schauen, dass du mobile Clients eingebunden bekommst.
 
PieczonyKurczak schrieb:
Zuhause habe ich:
Einen vollwertigen normalen Anschluss von der Telekom mit öffentlicher IPv4 und IPv6. Von überall aus komme ich auch ohne Probleme in mein Netzwerk / Geräte rein.
Wenn dies geht und ...


PieczonyKurczak schrieb:
Im Internat habe ich:
Einen Internetanschluss ohne öffentliche IPv4 oder IPv6. Zwischen der Fritz!Box und dem WWW hängt eine Firewall von Fortinet welches gewisse Seiten und Dienste filtert (primär nur Illegales, was für mich nicht relevant ist).
... dies im Internat aktuell zu einem Problem mit der Verbindung zur Fritzbox führt, ist davon auszugehen, dass das Fortigate eben Dinge blockiert, die für das/ein VPN benötigt werden.
Die öffentliche oder auch nicht öffentliche IP spielt dabei keine Geige, weil es mutmaßlich die Firewall im Fortigate ist, die den ausgehenden Traffic blockiert
Das können zB UDP 500/4500 (IPsec) sein oder UDP 51820 (WireGuard). Ist das geblockt, wird es mit VPN schon schwieriger, egal wo der Server letztendlich steht.

Bei WireGuard kann man den Port zwar ändern, aber es bleibt bei UDP. Der Workaround mit zB Port 443 könnte funktionieren, muss aber nicht, weil https auf 443 TCP läuft. Ein sauber konfiguriertes Fortigate würde daher nur TCP 443 erlauben, UDP 443 aber weiterhin blocken. Dies müsste man ausprobieren.

Wenn alle Stricke reißen, bliebe noch OpenVPN, weil man dort eben auch TCP 443 nutzen kann. Sofern das Fortigate also kein DPI betreibt (sehr ressourcenintensiv) und tatsächlich VPN-Traffic erkennt und komplett unabhängig vom Port blockiert, kommt man mit OpenVPN über den https-Port nahezu immer und überall zum Ziel.

Als letzten Strohhalm kann man noch Adhoc-VPN-like Dienste testen wie Networkchuck hier vor kurzem einen vorgestellt hat. Die könnten noch größere Aussicht auf Erfolg bieten als OpenVPN.
 
PieczonyKurczak schrieb:
Mein Wunsch wäre es von Zuhause auf mein Netzwerk im Internat zuzugreifen oder umgekehrt, also vom Internatszimmer auf mein Netzwerk zuhause.
Der Teil geht ja problemlos.. oder etwa nicht?

PieczonyKurczak schrieb:
von Zuhause auf mein Netzwerk im Internat zuzugreifen
was ist denn alles in "deinem Netzwerk im Internat" auf das du zugreifen willst?
Gehts nur um den Desktop-PC der dort steht?

Wie bei der Kamera auch muss sich das Gerät, auf das zu zugreifen willst, aktiv nach außen verbinden, damit andere Geräte über diesen Weg durch die Fortigate und das NAT deines Routers kommen.
In den meisten Fällen nimmt man dafür einen gemieteten VPS. Geht z.B. auch in der Oracle Free Cloud.

Die entscheidende Frage ist hier, welche Verbindungen die Fortigate ausgehend dicht macht, denn im Gegensatz zu einem normalen NAT Router macht regelt die Fortigate auch ausgehenden Traffic.

Einfache Variante zum testen der TCP Ports: Spiel eine Runde Portquiz: http://portquiz.net/
 
Hallo zusammen,

danke erst einmal für euren Input. Ich werde erst einmal versuchen mit WireGuard eine Fritz!Box <-> Fritz!Box Koppelung zu realisieren, wobei die Fritz!Box zuhause der "Server" sein wird. Dies wäre die einfachste Variante und gleichzeitig die beste Variante, weil ich mit einer Fritz!Box gleichzeitig das gesamte Netzwerk inkl. sämtlicher Geräte unter einem Hut habe.

Dies habe ich bisher noch nicht getestet, weil ich bisher nicht auf die Idee gekommen bin. lol
Umsetzen kann ich es erst wenn ich wieder im Internat bin, weil ich von Zuhause aus nicht auf die Fritz!box im Internat zugreifen kann um sowas einzurichten sowie zu testen.

Da es nicht ganz unwahrscheinlich wäre, dass neben Illegales auch noch UDP oder bestimmte Ports gesperrt sind, müsste ich Plan B, C oder was was auch immer Entwickeln.

Plan B wäre OpenVPN mit TCP 443, dafür müsste ich einen entsprechenden Server zuhause aktiv haben. Da ich zuhause einen Synology aktiv habe, wäre dies machbar. Wie realisiere ich sowas am besten dann im Internatszimmer? Kann ich mit einen Rechner oder einen Raspberry-PI worauf Open-VPN drauf läuft das gesamte Netzwerk im Zimmer verfügbar machen? Weil eine Fritz!Box kann kein Open-VPN.

Wenn dies scheitert, komme ich um einen Plan-C V-Server nicht drum herum, richtig? Wäre zwar finanziell machbar, jedoch müsste ich mich mit dem Thema befassen zwecks Konfiguration.
 
So ich habe versucht eine LAN <-> LAN Brücke via WireGuard einzurichten.

Leider meldet die 7590AX einen Adresskonflikt, jedoch weiß ich nicht wo genau der Adresskonflikt sein soll.
Ich habe den IPv4 Bereich der 7530ax im Internatszimmer auf die 192.168.179.XX umgeändert, die 7590ax habe ich im 192.168.178.XX bereich gelassen.

Somit dürfte doch kein Adresskonflikt kommen? Habt ihr Ideen was ich noch machen könnte?
 

Anhänge

  • Bildschirmfoto 2023-10-29 um 22.15.42.png
    Bildschirmfoto 2023-10-29 um 22.15.42.png
    1,3 MB · Aufrufe: 128
  • Bildschirmfoto 2023-10-29 um 22.16.48.png
    Bildschirmfoto 2023-10-29 um 22.16.48.png
    1,3 MB · Aufrufe: 131
  • Bildschirmfoto 2023-10-29 um 22.25.36.png
    Bildschirmfoto 2023-10-29 um 22.25.36.png
    1,1 MB · Aufrufe: 129
PieczonyKurczak schrieb:
Ich habe den IPv4 Bereich der 7530ax im Internatszimmer auf die 192.168.179.XX umgeändert, die 7590ax habe ich im 192.168.178.XX bereich gelassen.
Ich wundere mich immer wieder wie unkreativ der Mensch doch sein kann. In 99 von 100 AVM-VPN-Threads zählen die Leute einfach nur das Subnetz um +1 hoch - genau wie AVM es getan hat als sie das Gastnetzwerk eingebaut haben.... Du hast daher mit ungeheurer Präzision genau diese Fehlermeldung provoziert, weil das, was dort steht, einfach nur der Wahrheit entspricht ;)

Ändere das Subnetz erneut und lege dabei etwas mehr Kreativität an den Tag - bei der Fritzbox, auf die du von wo auch immer aus der Ferne zugreifen möchtest. Wenn die heimische Fritzbox auf Standardeinstellung fährt, wirst du in gefühlt jedem 2. Netzwerk in Deutschland Probleme haben, eine VPN-Verbindung nach Hause herzustellen (zB mit Wireguard auf dem Laptop). Bei VPN-Verbindung ist die Eindeutigkeit der beteiligten Subnetze essentiell und wenn man mit 08/15 Jeder-zweite-hat-dieses-Subnetz arbeitet, hat man eher früher als später Probleme.

192.168.0.0 - 192.168.255.255
172.16.0.0 - 172.31.255.255
10.0.0.0 - 10.255.255.255

Diese IP-Bereiche sind für private Subnetze reserviert und man ist gut damit beraten, bei der Auswahl kreativ zu sein. Je ungewöhnlicher das Subnetz, umso unwahrscheinlicher ein Adresskonflikt. Also nicht einfach das Subnetz um 1 hochzählen oder stupide eines der ersten Subnetze der obigen Bereiche nehmen (zB 192.168.1.0/24), weil auch dies weit verbreitete Standardeinstellungen bei Routern sind. Besser wäre zB 192.168.154.0/24, 172.23.4.0/24 oder auch 10.156.13.0/24.
(/24 = Subnetzmaske 255.255.255.0)
 
  • Gefällt mir
Reaktionen: redjack1000
Zurück
Oben