Fritzbox WireGuard: Nur Internetzugriff zulassen

[r00bXX]

Hallo zusammen,

für einen meiner WireGuard-Nutzer auf meiner Fritzbox (7590AX, aktuellste Firmware) würde ich gerne den Zugriff auf die Geräte im Heimnetz sperren und nur den Internetverkehr über die Fritzbox leiten (Hintergrund: der Nutzer benötigt keinen Zugriff auf Geräte und soll im Grunde nur eine gesicherte Verbindung ins Internet bekommen, sobald er sich in einem öffentlichen WLAN befindet - mehr oder weniger analog zum Gäste-Netz, welches auch auf die reine Internetnutzung eingeschränkt werden kann).

Ist das über die Fritzbox möglich? Falls ja, wie?

Sollte es relevant sein: als DNS Nutze ich Pi-Hole auf einem Gerät im Netz. Führt das ggfs zu weiteren Problemen?

Danke für die Unterstützung!

 

[HighTech-Freak]

https://administrator.de/forum/fritzbox-vpn-user-einschraenken-1186358648.html
Eventuell ist das auch so ähnlich für die WireGuard VPN Config möglich.
Alternativ kannst Du auch einfach WireGuard auf irgendeinem anderen Geräte installieren, zB dort wo Pi-Hole drauf läuft und den rest mit Firewall-Regeln machen... wg0_IN => drop if destination = LAN-Subnetz.

 

[Brati23]

Kannst Du dafür nicht einfach das Gast-LAN oder Gast-WLAN der Fritze brauchen?

 

[Incanus]

Nein, denn es geht ja um einen Zugriff von außen über VPN, nicht im Umfeld der FRITZ!Box.

 

[riversource]

https://www.procustodibus.com/blog/2021/03/wireguard-allowedips-calculator/

Da kannst du angeben, welche Netze erlaubt sind, und welche nicht. Daraus kalkuliert das Tool dann die Liste der allowed IPs für die WG Config. Denk an IPv6, vor allem bei dynamischen Prefixes kann das tricky sein!

 

[r00bXX]

Danke euch für die Rückmeldungen.
Der Ansatz von @riversource über AllowedIP scheint der erfolgsversprechende zu sein.
Jetzt habe ich damit ein bisschen rumprobiert und folgendes festgestellt:
Damit der Internetzugriff überhaupt noch funktioniert, muss ich sicherstellen, dass die IP meines Routers erreichbar bleibt. Das hat zur Folge, dass ich nicht den gesamten IP Bereich meines LANs (LAN-IP/24) sperren kann.
Meine Hoffnung war, dass ich die IP des Routers (Router-IP/32) in dem genannten Rechner als AllowedIP neben 0.0.0.0/0 angebe, und unter DisallowedIPs wieder meinen lokales Netz mit LAN-IP/24 angebe. Das scheint allerdings nicht zu gehen, da damit das Internet nicht erreichbar ist.

Nun müsste ich also händisch alle anderen 254 IPs außer der des Routers als "Disallowed" angeben oder, um den Aufwand zu minimieren, die IPs der Geräte die ich nicht auffindbar haben möchte, wie hauptsächlich dem NAS.
Falls hier jemand Ideen hat, wie sich das besser Eintragen lässt, dann freue ich mich über Feedback

Noch eine Frage die mir in diesem Zuge aufgefallen ist:
Meine Fritzbox hat als DNS meinen Pi-Hole Server angegeben (+ Google-DNS als Alternative). Da der Pi-Hole Server zu den Geräten gehört, die ich für diesen Nutzer nicht direkt erreichbar haben möchte, ist in der WireGuard-config die Fritzbox als DNS angegeben.

Jetzt wäre meine Erwartung, dass die Fritzbox intern die WireGuard Anfragen an den Pi-Hole DNS-Server weiterleitet, dem scheint aber nicht so zu sein, denn ich sehe die Anfragen nicht in meinem Pi-Hole Log.

Jemand eine Ahnung warum das so ist?

Danke!

 

[riversource]

Nun müsste ich also händisch alle anderen 254 IPs außer der des Routers als "Disallowed" angeben oder, um den Aufwand zu minimieren, die IPs der Geräte die ich nicht auffindbar haben möchte, wie hauptsächlich dem NAS.
Falls hier jemand Ideen hat, wie sich das besser Eintragen lässt, dann freue ich mich über Feedback

Nehmen wir an, dein Heimnetz ist 192.168.178.0/24 und der Router hat die 192.168.178.1, dann wäre es folgende Liste, die nicht erlaubt sein darf:

192.168.178.2/31, 192.168.178.4/30, 192.168.178.8/29, 192.168.178.16/28, 192.168.178.32/27, 192.168.178.64/26, 192.168.178.128/25

Jemand eine Ahnung warum das so ist?

Ist der Pi-Hole denn in der Fritzbox als DNS Server eingetragen? Üblicherweise macht man das ja nicht, und lässt den Pi-Hole per DHCP oder RAs an alle Clients übertragen.

 

[r00bXX]

Danke dir, das erleichtert es immens. Gibt es hierfür auch ein Tool mit welchem man diese Infos erstellen lassen kann?

(...)
Ist der Pi-Hole denn in der Fritzbox als DNS Server eingetragen? Üblicherweise macht man das ja nicht, und lässt den Pi-Hole per DHCP oder RAs an alle Clients übertragen.

Der Pi-Hole ist in der Fritzbox als DNS Server eingetragen und wird an die Clients weitergegeben, sodass diese im Normalfall direkt beim Pi-Hole anfragen und nicht den Umweg über die Fritzbox machen (außer sie befinden sich im Gäste-Netz). Da mein Pi-Hole auf meiner NAS läuft und gerade diese nicht direkt erreichbar sein soll von dem WireGuard-Nutzer, war mein Gedanke, dass ich in der WireGuard Config die Fritzbox als DNS-Server angebe und somit jeder DNS-Request erst an die Fritzbox geht und diese dann an den Pi-Hole weitergegeben werden. Da ich aber im Pi-Hole Log keine Anfragen von der Fritzbox sehe, gehe ich mal davon aus, dass in diesem Fall mein Fallback-DNS der Fritzbox greift. Verstehe allerdings nicht wirklich wieso...

//edit: ich weiß nicht ob es tatsächlich daran liegen kann, doch nachdem ich die WireGuard config so angepasst habe, dass die IPs wie oben von @riversource angegeben ausgeschlossen werden, tauchen die DNS Anfragen auch im Pi-Hole Log auf.

Damit wäre das Problem gelöst, danke euch, insbesondere @riversource !