Zugriff auf den Rouper per WAN/Internet

[deni89]

Hi Leute,

wie greift ihr auf euren Router von außen? Ich will nur den Router konfigurieren über das Internet. Muss ich dafür ein "OpenVPN" aufbauen?

Danke euch!

 

[cvzone]

Kommt auf den Router an. Welcher?

 

[deni89]

Der hier "TP-Link Archer VR600v AC1600"

 

[Sephe]

Kommt auch auf den Anbieter an. Mit DS-Lite/CGNAT gehts nicht. (Bzw. nur per IPv6)

 

[n1tro666]

Braucht vielleicht nicht unbedingt ein VPN.
Im Produktdatenblatt steht das Fernwartung unterstützt wird.
Wie das genau vonstatten geht, ist i.d.R. der Anleitung zu entnehmen.

 

[evilbaschdi]

eine möglichkeit wäre ein sog. dynamischer DNS eintrag. hier spricht der router mit einem anbieter, bei dem du dir eine (kostenlose) domain registrierst. bei jeder änderung der externen IP deines routers wird diese beim dienstleister mit aktualisiert. ziel des ganzen ist es, über eine gleichbleibende adresse auf den router zuzugreifen.
bei einem der anbieter - noip.com - gibt es sogar eine anleitung für tp-link router. da ich zwar auch noip nutze, allerdings keinen tp-link router habe, kann ich dir leider nicht sagen, wie gut das funktioniert:
https://www.noip.com/support/knowledgebase/setting-ddns-tp-link-router/

bedenke hierbei aber, dass diese adresse für das komplette internet zugänglilch ist und bei unzureichend abgesicherter konfiguration auch andere auf deinen router und womöglich das komplette netzwerk dahinter zugreifen können!

 

[Bruzla]

Die Fitzbox z.B. hat dafür ein extra Feature, VPN oder sowas wird nicht benötigt, dein Router hängt ja schon im Internet.

Vielleicht gibts sowas für deinen Router auch.

 

[Raijin]

eine möglichkeit wäre ein sog. dynamischer DNS eintrag

DDNS ist KEIN Zugang von außen! Das ist nur ein Telefonbucheintrag, nichts weiter. Mit DDNS guckt man eben ins Telefonbuch (DNS) nach der aktuellen Telefonnummer (IP), aber der Anruf erfolgt nach wie vor über die Nummer bzw. dann eben die WAN-IP. Ohne DDNS müsste man die (aktuelle) WAN-IP des Routers kennen und verwenden, das ist der einzige Nutzen von DDNS.
Wenn der Router aber den Zugang zur GUI am WAN blockiert, was eigentlich Standard und auch dringend zu empfehlen ist, dann funktioniert auch kein Zugriff via WAN-IP und DDNS bringt dir 0,garnix.


Generell: Ich rate dringend davon ab, die GUI des Routers über WAN erreichbar zu machen! Wenn das Passwort nicht ausreichend sicher ist - man ist ja bequem - oder gar durch die Presse geht, dass es eine aktuelle Sicherheitslücke in der Firmware gibt, was immer mal wieder der Fall ist, dann öffnet man Fremdzugriffen Tür und Tor! Wer Zugriff auf den Router hat, kann das komplette Netzwerk dahinter infiltrieren, sämtlichen Internetdatenverkehr mitlesen und das ist nicht gut.
Wenn man unbedingt ständig aus der Ferne am Router rumfummeln möchte, was auch immer man da andauernd tut, dann bitte ausschließlich via VPN.

 

[chrigu]

Einen Router die Fernwartung/Zugriff von aussen zuzulassen ohne VPN ist ziemlich fahrlässig

 

[Nordm4nn]

Habe lange auf meine Fritzbox über https zu gegriffen das aber zu gemacht und gehe per Wireguard in mein Heimnetz und dann von da auf die Fritzbox.

 

[n1tro666]

Schön das ihr hier eine Grundsatzdiskussion führt.
Allerdings geht es hier um einen spezifischen Fall eines bestimmten Gerätes.

Ich war mal so frei die 140(!) Seiten Anleitung zu überfliegen, und ja da steht
sogar was von Remote Control drin.

War aber auch von auszugehen, da ich in dem vorherigen Beitrag von mir schon den
Hinweis auf die Remote (Fernwartung) Funktion per Produktdatenblatt gegeben habe.

Auf Seite 118 unter Punkt 15.7 steht die Vorgehensweise diesbezüglich beschrieben.

Schaut es euch doch mal an wenn ihr helfen wollt.

Das läuft über die TP-Link Internetseite wo man sich registrieren muss, soweit
ich das verstehe..

 

[holdes]

Er hat ja auch gefragt wie "wir" auf unsere Router zugreifen . Ich für meinen Teil würde so eine eingebaute Remote Funktion des Herstellers über seine Cloud nicht nutzen wenn mich dazu niemand zwingt. Wie sicher sein Remote Protokoll ist und welche Verbindungen er dafür zulässt befindet sich leider meist in einem undokumentierten Schatten.

Insofern der TE natürlich das Wissen haben sollte ein VPN aufzubauen wäre das definitiv die beste und sicherste Lösung, dass es andere Wege gibt hat ja niemand abgestritten .

 

[till69]

Also ich hatte mal 2 Jahre lang eine Fritzbox direkt im Netz auf Port 50443. Im gesamten Zeitraum nicht ein fehlgeschlagener Login-Versuch im Log. Auf einem VPS dagegen im Minuten-Takt Login-Versuche auf Port 22.

Wird also mal wieder etwas überdramatisiert.

 

[Raijin]

Wird also mal wieder etwas überdramatisiert.

Einmal reicht aber. Ich habe auch viele tolle Versicherungen und musste bisher noch nie eine in Anspruch nehmen, weil bei mir nie eingebrochen und ich auch in 40 Jahren nicht beklaut wurde. Und nun? Versicherung kündigen? Tür nicht mehr abschließen? Mit 5000€ Bargeld locker in der Jackentasche rumlaufen?

Dass bisher nichts passiert ist, war noch nie ein Argument gegen Versicherungen, wenn man sich nu nich gerade in einem Bergdorf auf 1000m Höhe gegen Hochwasser versichern will. Sicherheitsvorkehrungen wie zB VPN sind präventiv, damit man nicht hinterher dumm aus der Wäsche guckt. Fritzboxxen sind zwar was Updates angeht durchaus ein positives Beispiel, aber wenn man bei einer Fritzbox anfängt und später dann mal einen anderen Router hat, der nicht so mit Updates versorgt wird, macht man das aber so weiter und dann knallt es eben doch irgendwann mal - oder von mir aus auch nicht, aber das habe ich ja bereits thematisiert.

 

[till69]

Und nun? Versicherung kündigen?

Kommt auf die Verträge an. Mit nichts lässt sich so gut Geld verdienen, wie mit der Angst der Leute.

Dass bisher nichts passiert ist

Zwischen NULL Loginversuche und "passieren" steht immer noch eine Kombi Name/Passwort die überwunden werden muss.

Eine weitere Möglichkeit: Nur per IPv6. Da gewinnt man x-mal eher den Lotto-Jackpot und wird vom Blitz getroffen bevor es überhaupt zum Login-Versuch kommt.