Auf Router aus dem I-Net zugreifen, der am WAN Port angeschlossen ist

[vocaris]

Hallo.
Ich habe folgenden Aufbau zu Haus.
FitzBox stellt I-Net Verbindung zum ISP her und bietet per DHCP das Hauptnetz bei mir zu Hause. 192.168.8.x
An einem Lan Port dieses Netztes wird der WAN Port ein Asus Router angeschlossen. Dieser Asus Router hat dann sein eigenes Netz 192.168.1.x. Die Zugriffe von Geräten aus dem dem Asus Netz auf das I-Net und auf Geräte des FB Netzes ist ja möglich. Aber Geräte des FB Netzes können nicht auf den Asus Router oder dessen Geräte zugreifen. Habe hier mal gelesen, dass das generell in die Richtung nicht geht.
Ist es somit auch unmöglich aus dem I-Net heraus irgendwie auf des ASUS Router zuzugreifen?
Ich müsste ja die IP (oder DynDNS) meines FB Netzes "anrufen" und in der FB ein PortForwarding auf den Asus Router hinterlegen. Da ich den Asus Router aber nicht ansprechen und dieser in der FB Forwarding Liste ja auch nicht zur Verfügung steht.
Oder gibt es da eine Lösung?

 

[till69]

PortForwarding

Richtig, das ganze dann aber auch nochmal auf dem ASUS

 

[arvan]

Weiß nicht ob ich das richtig verstanden habe.
Wenn du willst das die Geräte aus dem FB LAN auch auf die des Asus LAN zugreifen können, dann solltest du einfach den Asus als IP Client einstellen und nicht als Router mit eigenen Netz.

Wenn nicht müsste man sonst in der FB eine Route von dem 192.168.1.x Netz auf das 192.168.8.x Netz erstellen - als Alternative dazu.

 

[Grimba]

Also eigentlich baut man ja so eine Routerkaskade, weil man eben I-net erreichbare Geräte mit Serverdiensten an Router 1 haben will, und sein privates Netz an Router 2. Ein Gerät hinter Router 2, welches aber aus dem Internet erreichbar sein soll, wäre in diesem Netz also fehl am Platz.
Will/Braucht man das ganze so nicht, so schaltet man den Router 2 einfach in den AP Modus, und fortan ist alles ein Netz, aufgespannt von Router 1, der alle Erreichbarkeiten regelt.

Ansonsten, wenn es um Router 2 selbst geht (Weboberfläche oder so) hat der Router 2 bei Router 1 ja auch eine IP bekommen. Entsprechend kann man PortForwarding auf diese einstellen. Und in Router 2 muss man dann noch einschalten, dass seine Weboberfläche aus dem Internet (sprich über den WAN Port) erreichbar sein darf. Das müsste eigentlich gehen, ist aber irgendwie in so einem Setup sinnbefreit.

 

[vocaris]

Ok der Grund.
Der Asus Router dient dazu eine VPN Netzwerk zu erstellen, in das sich Geräte anmelden können, um halt ein VPN Netz zu nutzen. Ich möchte aber die Möglichkeit haben, in außen via I-Net auf diesen Router zugreifen zu können, um dort bestimmte Administrationen vornehmen zu können.
Ich habe jetzt gesehen, dass die FB den Asus Router doch als Geräte am LAN4 anzeigt und das Gerät eine FB DHCP IP hat. Ich kann aus dem FB Netz aber das Gerät nicht aufrufen. Im Asus Router wird diese FB IP des Router natürlich als WAN IP angezeigt.
Wenn ich es schaffe die Asus Router Oberfläche aus dem FB Netz aufzurufen. Dann sollte der Rest auch klappen.
PS: Noch zur Frage, warum er nicht als IP Client eingebunden ist.
Laut Anleitung solle der Router für diese VPN Eigenschaft (also so wie ich ihn nutze) im WLAN Router Modus eingerichtet werden.

 

[Raijin]

Aber Geräte des FB Netzes können nicht auf den Asus Router oder dessen Geräte zugreifen. Habe hier mal gelesen, dass das generell in die Richtung nicht geht.

Korrekt. Für den Asus ist das FritzNetzwerk an seinem WAN-Port sozusagen das Internet. Der WAN-Port bedeutet: "Alles, was jenseits des WAN-Ports liegt, ist potentiell böse"
Deswegen wird am WAN-Port prinzipiell alles eingehende geblockt, was nicht explizit erwartet wurde - zB Antworten auf ausgehende Requests wie zB ein Webseitenaufruf. Möchte man dennoch vom WAN aus durch den Asus durch, benötigt man Portweiterleitungen im Asus, so wie man sie in der Fritzbox für den Zugriff aus dem www heraus benötigt.

Ist es somit auch unmöglich aus dem I-Net heraus irgendwie auf des ASUS Router zuzugreifen?

Jein. Portweiterleitungen für den Zugriff auf Geräte hinter einem Router sind eine Sache, aber Zugriffe auf den Router selbst eine andere. Die GUI eines Routers ist normalerweise und aus gutem Grund auf dem WAN-Port nicht erreichbar - wie gesagt, WAN=böse. Wenn ein Angreifer nämlich Kontrolle über den Router erlangt, hat er im Netzwerk freie Hand. Die GUI eines Routers sollte daher besonders geschützt werden, nicht nur durch ein starkes Passwort, sondern eben auch dadurch, dass sie aus der Ferne gar nicht erst aufgerufen werden kann.

Ich müsste ja die IP (oder DynDNS) meines FB Netzes "anrufen" und in der FB ein PortForwarding auf den Asus Router hinterlegen.

Theoretisch ja, aber praktisch bitte nicht. Dazu müsste der Asus eine Einstellung bieten, die den Zugriff auf die GUI über den WAN-Port erlaubt, aber davon rate ich ab, zumindest beim Direktzugriff mittels öffentlicher IP/DDNS + Portweiterleitung. Wenn du Zugriff auf den Asus brauchst und dieser den besagten Haken bietet, dann richte auf der Fritzbox VPN ein und verbindet dich damit. Dann kannst du den Haken im Asus setzen und seine GUI über seine WAN-IP im FritzNetz aufrufen. Aus genannten Gründen aber bitte niemals einfach so offen über Portweiterleitung.

 

[vocaris]

@Raijin Yeep. Ich bin jetzt etwas weiter. Ich muss den Asus Router aus meinem FB Netz mit https aufrufen. Deshalb hat es nicht geklappt. Mit https://IP-Asus-Router:[Port] geht es.
OK Schritt 2... Von außen. Geht dann auch, wenn ich der DynDNS auch ein https mitgebe.
OK. Dann per VPN (ich nutze Wire Guard). Da muss ich dann per VPN auf die FB und dort dann via https://ausus-ip-im-fb Netz
OK. Dann klappt das zumindest

 

[SaxnPaule]

Der asus bietet eine entsprechende Möglichkeit:

Sauberer wäre aber nur einen VPN Port durchzutunneln und die Verbindung von außen über ein VPN herzustellen. So mache ich es bei mir auch.

Im Asus also den VPN Server aktivieren und den konfigurierten Port in der Fritzbox an den Asus durchreichen.

Von außen dann mit dem Asus VPN Server verbinden und dann die URL des Asus wie gewohnt mit 192.168.1.1 aufrufen.

Bzgl des HTTP/S Problems gibt es auch einen Punkt:

 

[Grimba]

Der Asus Router dient dazu eine VPN Netzwerk zu erstellen

Da hast du dir aber einen denkbar schlechten Platz in deinem Netzwerk für ausgesucht.

Wenn ich es schaffe die Asus Router Oberfläche aus dem FB Netz aufzurufen. Dann sollte der Rest auch klappen.

Wenn du alle benötigten Ports entsprechend durchroutest, ja. Aber mal ehrlich, warum so?
Kann es sein, dass du die Fritzbox quasi nur als Modem verwendest und die Dienste und das bessere WLAN vom ASUS für alle deine Geräte nutzt? In dem Fall, also wenn es für das Netz von der FB sonst keinen Nutzen gibt, würde ich VPN über die FB machen und den ASUS als AP konfigurieren.

 

[Raijin]

Wenn es mit VPN via Fritzbox geht, denk daran etwaige Portweiterleitungen auf den Asus wieder zu entfernen.

So wie @SaxnPaule es schreibt geht es natürlich auch, über eine VPN-Verbindung direkt zum Asus. Wenn aber schon VPN-Zugriff auf die Fritzbox besteht und der Asus den besagten GUI-via-WAN-Haken hat (was ja offenbar der Fall ist), dann halte ich diesen Weg jedoch für sinnvoller - insbesondere dann, wenn auch auf die Geräte im FritzNetz zugegriffen werden soll.

 

[SaxnPaule]

@Raijin Wenn er in der Asus VPN ist hat er doch auch automatisch Zugriff auf die Geräte im Fritz-Netz.

Nur andersrum nicht. Also von Fritz-VPN Zugriff ins Asus Netz wegen der "WAN ist böse" Thematik. Da geht maximal der Zugriff auf die Asus GUI wenn der Haken gesetzt ist. Mehr sollte aber nicht funktionieren.

 

[vocaris]

Also das ASUS Netz dient NUR der zur Verfügung Stellung einer VPN Verbindung für die daran angeschlossenen Geräte. Denn der Asus kann VPN Clients verwalten/anbieten, was die FB leider nicht kann.
Ich wollte halt nicht, dass die Clients, die mal VPN benötigen immer ihren eigen Client aufbauen/starten müssen. Insb. beim Fire TV Stick (Hier: Ich wohne 3 Monate in Spanien. Der TV Stick geht über die VPN Verbindung die mit Deutschland hergestellt wird. Somit auch deutsches TV).
Ich möchte also nur auf den ASUS Router drauf.
Das klappt nun via Port-Weiterleitung. Aber ja nicht sicher genug. Also PW gelöscht.
Gehe ich nun per VPN auf die FB, kann ich mit https://.... den ASUS Router aufrufen.
Nun kam von @SaxnPaule noch die Idee auf dem Asus eine VPN Server zu starten.
Ohne jetzt zu wissen was ich da genau einstellen soll... was ist da anders als mit der Lösung VPN auf FB und dann Asus pre https:// aufrufen?

 

[SaxnPaule]

Ohne jetzt zu wissen was ich da genau einstellen soll... was ist da anders als mit der Lösung VPN auf FB und dann Asus pre https:// aufrufen?

Wenn du ausschließlich Zugriff auf die Asus GUI benötigst und sonst nicht auf die Geräte im Asus Netz, dann langt das so wie du es jetzt hast. Fritz-VPN und Zugriff per WAN erlauben.



Der ASUS bietet die Möglichkeit selbst VPN Server zu spielen (genauso wie auch die Fritzbox):

Wenn du keine Merlin Firmware verwendest solltest du dort sogar die Möglichkeit für WireGuard haben.

Edit: Geht auch mit Merlin mittlerweile:

 

[Raijin]

Wenn er in der Asus VPN ist hat er doch auch automatisch Zugriff auf die Geräte im Fritz-Netz.

Ich hab ja gesagt, dass das auch ein möglicher Weg wäre. Bisher war auch nur die Rede vom Fernzugriff auf die GUI des Asus und dafür sind beide Varianten eine Lösung.

Ohne jetzt zu wissen was ich da genau einstellen soll... was ist da anders als mit der Lösung VPN auf FB und dann Asus pre https:// aufrufen?

Der Verbindungsweg ist ein anderer und die Zugriffsmöglichkeiten ebenso.


FritzVPN

• Alle Geräte im FritzNetz sind via FritzVPN erreichbar
• Der Asus ist mittels Haken GUIviaVPN erreichbar
• Die Geräte hinter dem Asus sind weder aus dem FritzNetz noch aus dem FritzVPN erreichbar

FritzVPN -----> (WAN) Fritzbox (LAN) ----FritzNetz----> (WAN) Asus

AsusVPN

• Alle Geräte im AsusNetz sind via AsusVPN erreichbar
• Alle Geräte im FritzNetz sind via AsusVPN erreichbar (Verbindung dreht sich quasi im WAN-Port des Asus)

AsusVPN -----Fritzbox----> (WAN) Asus (LAN) ----> AsusNetz
AsusVPN -----Fritzbox----> (WAN) Asus (WAN) ----> FritzNetz



Anmerkung: Das setzt natürlich voraus, dass der Asus sowohl VPN-Client als auch VPN-Server gleichzeitig bietet.

 

[vocaris]

OK alles läuft. Aber die VPN Server Sache auf dem ASUS interessiert mich noch.
Ich nutze WireGuard und würde das nun auch im ASUS Router nutzen wollen.
Bei Server richte ich mir also einen Client ein und bekomme ja dann einen QR Code.
Wenn ich mir die Inhalte angucke, dann sind das komische IP Adressen:

Wenn ich nun mit dem Handy die WireGuard Verbindung herstelle, dann kann ich aber nix im Asus aufrufen.
Habe wohl noch einen Denkfehler. Da die FB ja das WAN des Asus ist... komme ich da überhaupt direkt auf den ASUS via WireGuard?

 

[SaxnPaule]

Bei Server richte ich mir also einen Client ein und bekomme ja dann einen QR Code.

Nein. Bei Server richtest du dir einen Server ein.

Den Port (im Beispiel 51820) musst du dann in der FritzBox auf deinen Asus weiterleiten.

Dann kannst du dich von extern mit einem WireGuard Client mit der ext. IP deiner Fritzbox und dem Port 51820 in die VPN deines Asus einwählen und hast Zugriff auf alle Geräte im Fritz- und im Asus Netz, so als wärst du direkt lokal mit dem Asus verbunden.

 

[Raijin]

Den Port (im Beispiel 51820) musst du dann in der FritzBox auf deinen Asus weiterleiten.

Ergänzung dazu: 51820 ist der Standard-Port für Wireguard. Um in der Fritzbox dafür eine Portweiterleitung einrichten zu können, muss der Wireguard-Server der Fritzbox zwingend ausgeschaltet sein, weil die Fritzbox diesen Port sonst selbst nutzt und nicht weiterleiten wird - es käme ggfs auch eine Fehlermeldung beim Einstellen der PW.

Alternativ ändert man den Port für den Wireguard-Server im Asus und kann diesen in der Fritzbox weiterleiten - unabhängig davon ob die Fritzbox selbst einen aktiven Wireguard-Server hat oder nicht. Dabei würde ich das normalerweise so machen, dass der Server-Port im Asus selbst auf Default bleibt, aber in der Portweiterleitung macht man dann eben extern: 51821 -> Asus: 51820

 

[vocaris]

@SaxnPaule Ja habe mich falsch ausgedrückt. Klar richte ich einen Server ein.
Und ja. Ich habe in der FB ein Weiterleitung auf den Port 51820 erstellt.
Aber es klappt trotzdem nicht.
Als Externer Port muss ja der 51820 gesetzt werden, denn da "hört" der Asus drauf.
Als Zielgerät (sieh man im Screen Shot nicht) wird der ASUS Router gewählt, der im FB Netz ja ein IP hat.
Port am Gerät bin ich mir jetzt unsicher... Habe mal den gleichen genommen.

 

[Raijin]

@vocaris Das sieht soweit richtig aus.

Port extern ist stets der Port, auf dem die Verbindung von außen reinkommt. Port am Gerät ist der Port, an den eben diese Verbindung weitergeleitet werden soll. Üblicherweise sind beide identisch, also eine 1:1 Weiterleitung. Betreibt man jedoch mehrere Geräte, die den gleichen Port nutzen - zB zwei Wireguard-Server (mal von der Sinnhaftigkeit abgesehen), geht das so natürlich nicht mehr, weil Portweiterleitungen eindeutig sein müssen und nicht auf zwei Ziele aufgeteilt werden können. Der zweite Server benötigt extern dann einen Alternativport, kann am Gerät aber weiterhin den Standardport verwenden, auch wenn man den Port am Gerät natürlich auch auf den Alternativport setzen könnte. Das mag ich persönlich aber nicht, weil man am Gerät selbst dann nicht mehr mit einer "Standardinstallation" arbeitet, sondern explizit Änderungen machen muss. Je nach Server-Anwendung ist das unter Umständen auch gar nicht möglich, weil sich der Port nicht ändern lässt.

 

[SaxnPaule]

Hast du denn, wie von @Raijin angemerkt den VPN Server der Fritzbox deaktiviert?

Alternativ kannst du auch in der Fritzbox eine Weiterleitung von 51822 auf Asus 51820 machen und in deinem Client dann die WireGuard Verbindung mit 51822 herstellen.

Leite bitte auch UDP mit weiter. Ich weiß nicht, ob WireGuard per TCP oder UDP arbeitet.

Edit: Thema geklärt. Ausschließlich UDP!
https://www.elektronik-kompendium.d...rbeitet als Peer-to,, frei wählbaren UDP-Port.