Internetzugang auf einen privaten und öffentlichen Router aufteilen

[Egaaal]

VORWARNUNG: Ich bin auf diesem Gebiet ein totaler Anfänger, meine einzige "Erfahrung" bei diesem Thema sind ein paar LinusTechTips Server-Videos, von denen ich fast nichts verstanden bzw. mir gemerkt habe.

Hallo liebes Forum,

Ich bin gerade dabei für meinen kleinen Bruder einen Minecraft (Java) Server zu bauen. Der Server an sich ist kein Problem, allerdings bin ich auf einige Hindernisse mit dem Internetzugang gestoßen.
Ich will ihn auf jeden fall im Keller haben, denn da stört er niemanden, die einzige andere Alternative währe das Wohnzimmer und ich denke jeder kann nachvollziehen warum man da keinen ausgelasteten Rechner stehen haben will.

Da es ein Spiele-Server ist sollte er natürlich öffentlich zugänglich sein. Problem bei meiner Familie gibt es nur einen Internetanschluss und keine Möglichkeit einen zweiten einzurichten(denke ich zumindest).
Nun war meine Idee einfach einen kleinen gebrauchten Switch zu kaufen und den dann im Keller zwischen den Verteiler und das DSL-Kabel zu hängen. Dann würde ich eine gebrauchte Fritzbox 7490, das W-LAN deaktivieren und die an einen zweiten Anschluss von dem Switch hängen.
Ich habe allerdings ein paar Bedenken. Erstens muss das bisher bestehende private Netzwerk bzw. die private IP-Adresse unter allen Umständen auch privat bleiben. Zweitens darf die Bandbreite für das haupt-W-LAN nicht in den Keller gehen, der Zugang hat 300MB/s Download, Upload weiß ich nicht, ich glaube 100, er darf schon runtegehen, meine Familie braucht zwar nicht sooo viel, allerdings sollte es maximal halbe-halbe sein. Und drittens: funktioniert das dann auch, dass der Server-Router eine öffentliche IP hat und der private nicht? Falls nicht könnte ich mich vielleicht auch dazu überwinden, es doch über unseren haupt-Router(FritzBox 7590) laufen zu lassen, falls möglich.

Danke schon mal im Vorraus für eure Antworten

 

[Egaaal]

Es ist im Prinzip gensu so wie du sagst. Ich weiß, es ergibt keinen Sinn, aber ich hab es ja(zum Glück) auch nicht verkabelt. Ich nehme dann auf jeden fall die VPN, da es ja die sicherere und offenbar auch einfachere Methode ist. Könnte man denn OpenVPN dafür nutzen?

 

[TomH22]

die Fritzbox, wie oben erwähnt, bietet Wireguard. Da müsste aber erstmal die ganze Netzwerkverkabelung klar sein, an welcher Stelle welches Gerät mit welcher Funktion ist.

Damit wäre ich vorsichtig, denn das Wireguard VPN der Fritzbox ist default so konfiguriert, dass jeder, der sich einwählt, Zugriff auf das ganze LAN hat, außerdem geht auch die Default Route des Wireguard Clients dahin, sodass der gesamte Verkehr über den Internetanschluss der Fritzbox läuft. D.h. die Kumpels des kleinen Bruders surfen danach über Euren Internet-Anschluss des TE, und begehen im schlimmsten Fall noch ein paar Urhberrechtsverletzungen darüber.

Ergänzung (24. August 2023)

Könnte man denn OpenVPN dafür nutzen?

Ja. Aber heutzutage würde ich Wireguard nehmen. Performanter und leichter einzurichten.

 

[Egaaal]

Die sind alt genug, um ihnen das zu erklären. außerdem kontrolliere ich das dann auch, wenn jemand sich nicht auswählt oder scheiß macht wird er halt gebannt.
Außerdem bin ich so ziemlich der einzige technik-affine Mensch der da mithilft, also glaube ich nicht, dass einer von denen überhaupt das Wissen hat, ernsthaft Schaden anzurichten.

Ergänzung (24. August 2023)

Du schreibst, dass es standartmäßig so eingestellt ist. Kann man denn den Zugroff auch auf ein Gerät oder Anschluss beschränken?

 

[TomH22]

dass einer von denen überhaupt das Wissen hat, ernsthaft Schaden anzurichten.

Gerade die Unwissenden stellen die größte Gefahr da. Denn die nutzen halt nichtsahnend File Sharingdienste, oder der Rechner ist von einem Erpressungstrojaner verseucht. Habe da auch so einen Spezi im Bekanntenkreis, und meine Kumpels sind ungefähr 40 Jahre älter wie Deine…
Können zwar kaum ihre Maus bedienen, aber mit irgendeiner gegoogelten Anleitung und Fachwissen von gutefrage.net können sie trotzdem genug Dummheiten anstellen…

Kann man denn den Zugroff auch auf ein Gerät oder Anschluss beschränken?

Ich habe bisher nur den Wireguad Einrichtungs Assistenten der Fritzbox ausprobiert, und keinen Ehrgeiz, mich da tiefer mit zu beschäftigen
Daher aber meine Warnung, der Assistent ist eben dafür gedacht, das man von unterwegs auf das „Heimnetz“ so zugreifen kann, als wäre man zuhause.

 

[Egaaal]

Gerade die Unwissenden stellen die größte Gefahr da. Denn die nutzen halt nichtsahnend File Sharingdienste, oder der Rechner ist von einem Erpressungstrojaner verseucht. Habe da auch so einen Spezi im Bekanntenkreis, und meine Kumpels sind ungefähr 40 Jahre älter wie Deine…
Können zwar kaum ihre Maus bedienen, aber mit irgendeiner gegoogelten Anleitung und Fachwissen von gutefrage.net können sie trotzdem genug Dummheiten anstellen…

Kann ich in der Tat nachvollziehen, mein ganz kleiner Bruder (11) ist auch so, hat aber beim runterladen zum glück noch nichts schlimmes erwischt.

Ergänzung (24. August 2023)

Ich habe bisher nur den Wireguad Einrichtungs Assistenten der Fritzbox ausprobiert, und keinen Ehrgeiz mich da tiefer mit zu beschäftigen
Daher aber meine Warnung, der Assistent ist eben dafür gedacht, das man von unterwegs auf das „Heimnetz“ so zugreifen kann, als wäre man zuhause.

Das werde ich dann wohl machen. Ich betrachte das Thema dann wohl als geklärt.

 

[TorenAltair]

Für eine saubere Lösung müsste da noch eine Firewall mit rein, die dann den Traffic filtern kann.

 

[snaxilian]

@TorenAltair Da braucht es keine extra Firewall, das kann der Server erledigen.
Fritzbox macht nur Port-forwarding auf den Server wo Wireguard läuft. Der Server routet nur zwischen dem lokalen Wireguard Interface und sich selbst bzw. lässt vom Wireguard Interface nur Traffic zu seinen restlichen Interfaces zu, der Rest wird.

Da der TE leider zu der unfähigen oder faulen Sorte TE gehört die erst Häppchenweise Infos liefern wird sich der Thread ja wieder Monate hinziehen. Die Info bzgl. des Synology Routers gehört in den Eingangspost, ebenso eine rudimentäre Zeichnung des Netzwerks!

Du hast also bereits eine Routerkaskade aus der 7590 und dem Synology Router und brauchst keinen weiteren Router.

Wäre für den Synology denn immer noch ein großes Risiko

Ja, nein, vielleicht. Wenn der Syno Router eine Sicherheitslücke hat, kann die uU ausgenutzt werden. Wenn du auf dem Syno Router irgendetwas unsicher konfigurierst dann kann das ausgenutzt werden.

Mein Anbieter ist M-Net

M-net verwendet DSlite:
https://www.m-net.de/hilfe-service/...esse-weiterhin-zugreifen/1/internetanschluss/

Du musst also externen Zugriff per IPv6 realisieren. Dyndns mit IPv6 für Geräte hinter der Fritzbox: https://nocksoft.de/tutorials/dyndns-fuer-ipv6-server-hinter-fritzbox-konfigurieren/ und bitte auch die Kommentare beachten und lesen.
Dann halt wie erwähnt Wireguard aufsetzen, Minecraft aufsetzen, Server härten, Zugriffe beschränken und Firewall-Freischaltung für den Wireguard Port auf die IPv6 Adresse des Servers. NAT braucht man dank IPv6 ja nicht mehr.
Klingt alles relativ simpel aber keine Sorge, das wird noch kompliziert genug sobald die Themen IPv6, Routing und Firewall dazu kommen.

Wireguard auf der Fritzbox erlaubt direkten Zugriff auf alle Geräte und Systeme im LAN-Bereich der Fritzbox und ist daher für deinen Anwendungsfall nicht sinnvoll.

 

[Egaaal]

Werde ich dann wohl so machen. Dass die Infos im Eingangspost so lückenhaft sind tut mir leid, ich hab das hier halt um 11:00 Uhr Abends geschrieben, da bin ich nicht mehr der hellste. Außerdem habe ich als extremer Laie gar nicht erst über sowas nachgedacht.

 

[snaxilian]

Dann solltest dir vielleicht überlegen nicht mehr unüberlegt irgendwas zu später Stunde ins Internet zu schreiben sondern eine Nacht darüber zu schlafen und dann zu schreiben. Mit deinem Verhalten hast du es dir sehr einfach gemacht und gleichzeitig bei denen, die dir helfen wollen, unnötigen Aufwand verursacht.
Du möchtest ja auch, dass unsere Antworten sinnvoll sind und ich oder andere nicht nachts um 3 irgendwas dahin rotzen was ungenau oder fehlerhaft ist, oder?