Wie kann ich auf das Web-interface des GL.iNet GL-MV100 Brume VPN-Router vom Heimnetz aus zugreifen?

[Durchbeisser]

Ich erkläre mein Setup so ausführlich wie mir möglich ist, weil ich hoffe, dass mir jemand so anschaulich wie möglich erklären kann was ich zu tun habe.

Der Brume lauft bei mir als VPN Router hinter einer FritzBox und der VPN-Zugang funktioniert prima.

Die Erstkonfiguration erfolgte wie vom Hersteller beschrieben per direkt an den PC angeschossenem Kabel vom LAN-Port des Brume. Der PC bekam der DHCP die Adresse 192.168.8.229, der Brume hat das Web-Interface unter 192.168.8.1.
Der WAN-Port hängt am Switch welcher den Internetzugang per FritzBox zur Verfügung stellt. Der WAN-Port des Brume hat per DHCP von der FB die Adresse 192.168.188.28 bekommen.

In dieser Konfiguration funktionierte vom PC aus ein Ping auf die FB (192.168.188.1) und auch in das Internet (ping 1.1.1.1. oder www.heise.de).

Was ich nach der Einrichtung mit dem LAN-Port des Brume machen soll, ist nicht beschrieben. Er kann bei mir jedoch nicht am PC bleiben. Also habe ich ihn erst einmal abgeklemmt.

Ich habe etwas von statischen Routen gelesen jedoch nicht wirklich verstanden. Meine Gedanken dazu waren, ich könnte in der FB eine Route zum Netzwerk der Brume einrichten damit ich das Webinterface aufrufen kann. Also habe ich in der FB eine statische Route eingetragen wie folgt:


IPv4-Netzwerk 192.168.8.0
Subnetzmaske 255.255.255.0
Gateway 192.168.188.28

Danach kann ich in meinem Netz (192.168.188.0/24) den Brume sowohl auf 192.168.188.28 als auch auf 192.168.8.1 anpingen. Das Web-interface kann ich jedoch nicht aufrufen. Selbst als ich mal zum Test den LAN-Port des Brume an den Switch gelegt habe, war es nich aufrufbar.

Also hier die Konfiguration zusammengefasst.

GL.iNet GL-MV100 Brume
WAN 192.168.188.28 per DHCP von FB bekommen (Kabel am Switch)
LAN 192.168.8.1 Web-Interface

FritzBox 192.168.188.1

PC 192.168.188.34

Tja, und da bin ich mit meinem bescheidenem Latein am ende.

Wie ist die zu lösen?

Vielen Dank.

 

[PHuV]

Probierte mal bitte diese Netzmaske.

IPv4-Netzwerk 192.168.8.0
Subnetzmaske 255.255.0.0
Gateway 192.168.188.28

 

[snaxilian]

Was du laut Beschreibung suchst/nutzen willst: Einen eigenen VPN-Server.
Was du gekauft hast: Einen Router.

Dein Verständnis von Netzwerken ist quasi nicht existent und was du dir da zusammen reimst vergiss bitte einfach wieder.

IPv4-Netzwerk 192.168.8.0
Subnetzmaske 255.255.255.0
Gateway 192.168.188.28
[...]
GL.iNet GL-MV100 Brume
WAN 192.168.188.49 per DHCP von FB bekommen (Kabel am Switch)
LAN 192.168.8.1 Web-Interface

FritzBox 192.168.188.1

PC 192.168.188.34

Ich hab dir die Fehler mal dick markiert. Mit der statischen Route in der Fritzbox willst du ja das 'LAN' des Brume erreichbar machen. Du sagst also: Das Subnetz (beschrieben durch Netzwerk-ID & Subnetzmaske) erreicht man über das Gerät mit der IP 192.168.188.28 aber der Brume hat an seinem WAN-Interface hat die IP 192.168.188.49. Daher müsstest du die .49 als Ziel für die statische Route setzen.
Dann solltest du auch auf das Webinterface des Brume zugreifen können wenn du im Browser 192.168.8.1 eingibst.

@PHuV Ich schätze deine Beiträge und erstellten Tutorials aber machst du hier stochern im Nebel und lustiges herum raten oder verstehe ich denen Lösungsansatz einfach nur nicht? Falls letzteres erkläre bitte genauer was dies bringen soll. Mit deiner vorgeschlagenen /16 Subnetzmaske hättest du komplett 192.168.0.0 bis 192.168.255.255 erschlagen und der TE würde jeglichen Traffic im lokalen 192.168.188.0/24 Netz zu dem "brume" Router schicken...

 

[Durchbeisser]

Erst mal danke für die Antworten.
Ich habe den Fehler in der Beschreibung bei der IP Adresse geändert. Ist mir durchgegangen, sorry.


@PHuV
Dies war es leider nicht, aber Danke.

@snaxillian
Ich vermute, dass Du DER Experte in allem bist, nie klein angefangen hast und keine Fehler machst. Du hast vermutlich noch nie etwas angefangen wovon Du keine Ahnung hast da Du schon immer alles wusstest und die Finger von allem lässt wenn Du es nicht verstehst.. Daher kannst Du vielleicht nicht verstehen warum jemand etwas macht/machen möchte was Du so nicht machen würdest.

Den Fehler mit der IP konntest Du nicht wissen. OK. Sorry, mein Fauxpas.
Die Statische Route ist tatsächlich

Pv4-Netzwerk 192.168.8.0
Subnetzmaske 255.255.255.0
Gateway 192.168.188.28

Und ja, der Brume bekommt die .28.

Nun denn.
Zitat: "Was du laut Beschreibung suchst/nutzen willst: Einen eigenen VPN-Server.
Was du gekauft hast: Einen Router."

Was möchtest du damit zum Ausdruck bringen? Ich nutze beim Brume den WireGuard Server welcher auch hervorragend funktioniert. Bisher habe ich keine, für mich bessere Möglichkeit gefunden dies zu bewerkstelligen*. Dass dies ein Router ist, so what?

Zitat: "Dein Verständnis von Netzwerken ist quasi nicht existent und was du dir da zusammen reimst vergiss bitte einfach wieder.“


Es wäre echt schön, wenn du ein wenig mehr Einfühlungsvermögen zeigen würdest (wenn Du so etwas hast) obwohl es hier nur um technische Themen geht. Draufschlagen und haltlose Unterstellungen helfen niemanden. Ich habe dies oben auch mal als Beispiel gemacht.

Also, auch mit Deiner Korrektur funktioniert es nicht.


* Beim Brume Router funktioniert der WG-Server quasi Out-of-the-Box ohne herumgfrickel auf der Kommandozeile und Config-Dateien.

Und ja, ich bin kein Netzwerkexperte, doch für den Hausgebrauch reicht es sicherlich.

Wer hat noch einen hilfreichen Tipp?

 

[snaxilian]

Beiweitem nicht. Ja, ich bin ein Experte in einigen wenigen speziellen Gebieten und zum Glück weiß ich auch in welchen Themen ich absolut keine Ahnung habe und gebe dort gar keine Aussage außer "weiß ich nicht".
Fehler mache ich genauso wie jeder andere, habe aber die Angewohnheit und das Umfeld, dass man Fehler immer offen ansprechen und aussprechen kann damit auch andere von den Erfahrungen profitieren können. Daraus lerne ich und anders herum bin ich genau so froh wenn andere mir sagen, dass meine Annahmen, Theorien und Vermutungen grundlegend falsch sind und wie es ggf. besser wäre.

Das Forum bietet btw eine Zitierfunktion, dann muss man Zitate nicht von Hand abtippen. Wenn du möchtest dass ich dies weiter ausführe: Du hast ein Gerät gekauft von dem du nur einen Bruchteil der Funktionen nutzt, die du aber mit bezahlt hast. Wenn es dir nur um den Wireguard-Server geht und du Griff unter die Motorhaube scheust mag es für deinen Fall eine adäquate Lösung sein. Wie so oft im Leben ist es ein abwägen zwischen Geld oder eigene Zeit investieren.

herumgfrickel auf der Kommandozeile

Ah, ich verstehe. Jeder Linux-Admin, DevOps, SRE und viele Entwickler und auch sehr viele Windows-Admins sind also unprofessionelle "Frickler" weil diese auf einer Kommandozeile arbeiten?
Aber wie schon gesagt: Wenn es für dich funktioniert ist doch in Ordnung.

Aber zurück zum Problem:
Route in der Fritzbox ist also inzwischen korrekt eingetragen. Da der Brume als 0815 Router für zuhause gedacht ist vermute ich, dass auf dem WAN-Interface eine Firewall aktiv ist und daher erst einmal eingehende Verbindungen blockiert. Ich würde daher:
1. Den PC wieder per Kabel an den LAN-Port des Brume hängen.
2. Gucken ob der Brume in irgendeiner Art und Weise Logs zur Verfügung stellt (also auf der CLI garantiert, da nur ein openWRT darunter läuft aber da wollen wir ja nicht gucken). Also im Webinterface Richtung Logs suchen.
3. Von einem weiteren PC/Laptop/Tablet/Handy etc, welches sich im Netzwerk der Fritzbox befindet, erneut den Zugriff im Browser auf die 192.168.8.1 testen.
4. Gucken welche Meldungen im Log kommen.

Je nachdem ob das Webinterface per http, https oder beidem aktiv ist bräuchtest eine Firewall-Regel auf dem Brume: Erlaube eingehend auf WAN-Interface, Quelle 192.168.188.0/24, Ziel 192.168.8.1, Protokoll TCP, Ports 80 und/oder 443.
So in etwa würde dies (zu Testzwecken). Wenn es funktioniert würde ich in der Regel die Quelle vom ganzen Subnet einschränken auf die IP deines PCs.

 

[PHuV]

@PHuV Ich schätze deine Beiträge und erstellten Tutorials aber machst du hier stochern im Nebel und lustiges herum raten oder verstehe ich denen Lösungsansatz einfach nur nicht?

Zugegeben, manches überfliege ich auch nur mal und liege auch mal falsch, passiert, sorry. Du hast ja recht, eigentlich baut man das ganze etwas anders auf.

 

[ubiNeuling]

ich habe ein ähnliches Problem, konntest du es lösen?

 

[Datax]

Also bei GL.iNet-Routern wie dem "GL-MV100 Brume" gibt es in der Web-GUI
den Menüpunkt "Firewall". Dort kann man bestimmte TCP- bzw. UDP-Ports für eingehende Verbindungen
öffnen, die über den WAN-Port reinkommen. So kannst du Dienste, die auf dem "Brume" laufen, für die Außenwelt erreichbar machen.

Hier der Link zur Anleitung des Herstellers:
https://docs.gl-inet.com/en/3/setup/brume/firewall/

Im Bereich "Open Ports on Router" des obigen Links wird beschrieben wie du Ports auf deinem "GL-MV100 Brume" öffnen kannst.

Die Web-GUI der GL.iNet-Router läuft meines Wissens auf TCP-Port 80. Du kannst also diesen Port einfach mal als erstes öffnen. Im Anschluss kannst du dann testen, ob du aus dem Heimnetz deiner FritzBox auf die Web-GUI des "Brume" kommst, indem du dessen WAN-IP in deinem WebBrowser aufrufst.

Dein PC muss bei diesem Test im Heimnetz deiner FritzBox angeschlossen sein,
also z.B. per Kabel am Switch der FritzBox und auch eine IP-Adresse aus dem Heimnetz der FritzBox haben.

Auf unten stehendem Link ist zu lesen, dass die Web-GUI über "HTTP",
also per TCP-Port 80 erreicht werden kann.

Link:
https://docs.gl-inet.com/en/2/setup/first-time_setup/

 

[ubiNeuling]

OK, dass teste ich morgen mal, hoffentlich klappt das, langsam verliere ich die Hoffnung!
Habe ja hier im Forum schon eigens einen Thread ( Zugriff auf Oberfäche von Gl.inet VPN Router )eröffnet, mir konnte aber noch keiner helfen ,da ich auch noch zu wenig Ahnung davon habe 😢

 

[ubiNeuling]

So habe ich gerade probiert, Nein hat nicht geklappt!

 

[Datax]

So habe ich gerade probiert, Nein hat nicht geklappt!

Ja, okay. Hast du denn den TCP-Port 80 auf dem "Brume" korrekt freigeschaltet?
Kannst du mal einen Screenshot von deiner Firewallregel hier posten?

Es kann natürlich immer noch sein, dass der "Brume" unter der Haube
noch per Firewall so konfiguriert ist, dass Zugriffe auf die Web-GUI nur aus dem LAN-Netz
des "Brume" (auf die LAN-IP des "Brume") möglich sind.

Sprich, für den Zugriff auf die Web-GUI müsstest du dann wirklich am LAN-Port des "Brume" angeschlossen sein und auf die LAN-IP des "Brume" zugreifen (=192.168.8.1 in der Standardeinstellung).

Nur wie gesagt wäre ein Screenshot von deiner Firewallregel super,
auch wenn man dabei eigentlich nicht viel falsch machen kann.

 

[ubiNeuling]

Ja, okay. Hast du denn den TCP-Port 80 auf dem "Brume" korrekt freigeschaltet?
Kannst du mal einen Screenshot von deiner Firewallregel hier posten?

Ich habe zwar einen Creta, aber das dürfte egal sein, hier mal der Screenshot
Aber zwischenzeitlich klappt es, ich hatte noch versucht den Modus des Creta von Router auf Access Point umzustellen, da konnte ich dann auf die Oberfläche zugreifen, hatte dann aber kein VPN Server mehr :-(
Daraufhin habe ich dann wieder auf Router zurück gestellt und plötzlich ging der Zugriff???
Ich denke mal, dass durch den Neustart des Creta die Portweiterleitung erst aktiviert wurde, kann das sein?
Was mich jetzt aber wundert ist, dass auf der Oberfläche nun VPN als deaktiviert angezeigt wird, siehe zweites Screenshot. Ich habe aber mit dem Handy probiert, ob der VPN Tunnel funktioniert, dass hat geklappt, verstehe ich auch nicht???

Kann man eigentlich die Firewall des Creta ausschalten und wenn ja, Wo? Ich brauche die ja eigentlich nicht, da ich den nur als VPN Server nutze, habe ich das richtig verstanden?

 

[Datax]

Daraufhin habe ich dann wieder auf Router zurück gestellt und plötzlich ging der Zugriff???
Ich denke mal, dass durch den Neustart des Creta die Portweiterleitung erst aktiviert wurde, kann das sein?
Was mich jetzt aber wundert ist, dass auf der Oberfläche nun VPN als deaktiviert angezeigt wird, siehe zweites Screenshot. Ich habe aber mit dem Handy probiert, ob der VPN Tunnel funktioniert, dass hat geklappt, verstehe ich auch nicht???

Das ist schon richtig, was du sagst. Die VPN-Funktion ist nur im Router-Modus verfügbar. Wenn man den "Creta" (gilt auch für den "Brume") im "Access Point"-Modus betreibt, kann man den VPN-Server nicht nutzen. Das ist übrigens bei Routern des Herstellers "Asus" ebenfalls so. Auch bei Asus-Routern gibt es einen "Access Point"-Modus (-> VPN-Server nicht nutzbar) und einen Router-Modus (-> VPN-Server nutzbar).

In aller Regel ist zur Aktivierung einer Firewallregel kein Neustart nötig. Keine Ahnung, warum du unbedingt einen Neustart machen musstest. Vielleicht ist es auch einfach nur ein Bug in der Firmware. Eine erstellte Firewallregel ist eigentlich immer sofort aktiv geschaltet.

Ich glaube die Firewall kann man bei GL.iNet-Routern nicht abschalten. Zumindest finde ich dazu keine Info in der Doku des Herstellers.

Link zur Doku:
https://docs.gl-inet.com/en/3/

Aber gut zu wissen, dass der Aufruf der Web-GUI funktioniert,
wenn man den TCP-Port 80 in der Firewall freischaltet. Das ist ja genau die Info,
die der TE haben wollte und wodurch sein Problem gelöst werden kann.

 

[ubiNeuling]

Nachdem du dich scheinbar sehr gut mit den gl.inet Geräten auskennst, hätte ich da noch eine Frage.
Ich habe noch einen Slate, den ich als Client im Urlaub nutzen will, wie genau funktioniert das dann, wenn ich am Campingplatz am Hotspot eine Anmeldeseite habe?
Kann ich mich dann einfach mit meinem Android Gerät am Slate Wlan Anmelden und bekomme im Browser diese Anmeldeseite angezeigt?

 

[Datax]

Diese Anmeldeseite in WLAN-Netzen nennt sich "Captive Portal".

Es kann schon etwas tricky sein einen Travel-Router wie die GLi.Net-Router es sind an einem WLAN mit "Captive Portal" ans Rennen zu bekommen. Der WLAN-Router bzw. "Access Point", der das WLAN-Netz ausstrahlt,
merkt sich die MAC-Adresse des Geräts, das sich auf der Anmeldeseite des "Captive Portal" authentifiziert hat. Dieses WLAN-Gerät wird dann für die Kommunikation in dem betreffenden WLAN freigeschaltet und darf dieses dann mit den auf dem WLAN-Router bzw. "Access Point" festgelegten Einstellungen das WLAN nutzen. Übliche Einstellungen, die in solchen WLAN-Netzen gemacht werden, sind z.B. ein bestimmtes Datenvolumen oder eine Zeitlimit zur Nutzung des WLANs.

Du musst es also hinbekommen, dass die MAC-Adresse deines GL.iNet-Routers erfolgt zur Nutzung des WLANs freigeschaltet wird.

Mögliche Vorgehensweise dafür:
https://blog.pauby.com/post/wifi-captive-portals-connect-travel-router/

Eine andere Möglichkeit wäre noch, dass du die Ameldung am "Captive Portal" von deinem PC bzw. Notebook aus durchführst und dann der WAN-Schnittstelle deines GLi.Net-Routers die MAC-Adresse deines PCs/Notebooks gibst. Dafür gibt es extra eine Funktion namens "MAC Clone".

Siehe dazu (MAC Clone):
https://docs.gl-inet.com/en/2/setup/mac_clone/

 

[ubiNeuling]

Uiuiui ist das dann immer so viel Einstellerei, oder kann das auch einfach sein

 

[Datax]

Leider ja, ein wenig Handarbeit ist es halt.

Würde an deiner Stelle das Ganze einfach mal ausprobieren.

Wenn du es schon mal erfolgreich geschafft hast und weißt wie es geht,
dann kannst du die Scheu davor verlieren .

 

[snaxilian]

Nein denn das ist eine Umgehung von Maßnahmen, die der Betreiber nicht grundlos implementiert hat und das sieht daher eine klare Nutzung vor.
Nutze es wie vorgesehen oder frage den Betreiber was du machen kannst oder nutze deine eigene Infrastruktur, z.B. durch einen LTE-Router für unterwegs.

Für so etwas muss man sich nicht speziell mit einzelnen Routern mancher Hersteller auskennen sondern grundlegend verstehen, wie Computernetzwerke und darin aktive Geräte funktionieren. Ab da ist es fast egal ob der Hersteller Blume, Brume, Brummi, Asus oder sonstwie heißt da man dann das erlernte Wissen auf das jeweilige Gerät bzw. dessen Konfigurationsoberfläche anwendet.

Ja, Netzwerktechnik ist komplex sobald man die vorgesehenen Pfade des 0815 Privatanwenders verlässt. War schon so und wird so bleiben^^

 

[ubiNeuling]

Ja, ich glaube das ist das einfachste "learning Boy doing" 🤣
Nächste Woche werde ich gleich testen, fahre am Donnerstag weg 😁, hoffentlich klappt dann alles, sonst wäre das ein Griff ins Klo gewesen 🤔
Noch was, wenn ich diesen Reset machen müsste, also nur die 3Sek. gedrückt halten, sind dann meine VPN Einstellungen (Wireguard Profil) noch da, oder wird das mit gelöscht?

 

[snaxilian]

Da ein Reset die Netzwerkeinstellungen zurück setzt und Wireguard schon was mit Netzwerk zu tun hat würde ich vermuten: Ja.
Probier es halt vorher aus. Sicherung erstellen, Reset durchführen und dann gucken was alles zurück gesetzt wurde.