Zugriff auf Fritzbox hinter KD-Modem und pfsense-FW ?

[User7634]

Hallo und Gutes Neues,

mein setup sieht wie folgt aus:

- KD-Modem (Bridgemodus), dahinter:
- ALIX-2d13mit pfsense-Firewall zum Filtern und Blocken, dahinter
- Fritzbox 7390

Über die Fritzbox 7390 habe ich u.a. Smarthome-Geräte angeschlossen. Ich würde gern via myFritz mich von außerhalb (ggf. über OpenVPN) auf die FB draufschalten, um die Smarthome-Geräte bedienen zu können. Weiß jemand, wie ich von außerhalb auf die FB komme ? Sie läuft bei mir quasi als Switch, das Routen übernimmt die pfsense. Irgendwie schaffe ich es nicht, den myFritz-Zugang aufzurufen.

VG
user7634

 

[Wilhelm14]

Myfritz ist der DynDNS-Dienst von AVM für Fritzbox Besitzer. Die Fritzbox möchte also ihre WAN-IP an den DynDNS-Dienst melden, damit du die FB von "außen" erreichen kannst. Bei deiner Konstellation muss ich jetzt etwas raten. Deine FB wird bei dir keine WAN-IP haben, bzw. eine IP von deinen Geräten, die vor der FB sind. Die "echte" WAN-IP kennt deine FB nicht, daher funktioniert Myfritz, der DynDNS-Dienst, nicht.

Du müsstest einen DynDNS-Dienst auf deinem Alix-Router einrichten oder die WAN-IP an die FB durchreichen und die FB als Router und nicht Switch betreiben. Auf die Schnelle sehe ich keine Möglichkeit in der FB sich die WAN-IP sonst zu "holen".

PS: Ja, Frohes Neues!

 

[User7634]

Danke für die schnelle Antwort. Ja die FB hat keine eigene WAN-IP. Natürlich bekommt sie, wie jedes Gerät, vom pfsense-Router eine "normale" Netzwerk IP (192.168.X.X) zugewiesen. Ob die FB die eigentliche WAN-IP der pfsense kennt, weiß ich nicht, auf der FB-Oberfläche taucht sie jedenfalls nicht auf. Einen anderen DynDNS-Service habe ich bereits, der auf die pfsense geschaltet ist. Jetzt ist also nur noch die Frage, auf welchem Port myfritz lauscht und wie ich die Anfrage von außen (über OPEN VPN) durchleite. Ist es nicht so, dass OpenVPN wiederum ein eigenen virtuelles Netz aufschaltet (mit eigenen IPs) ? Auf welche IP muss ich denn dann abstellen ?

 

[Sc0rc3d]

Gar nicht, wozu auch? MyFRITZ! wirst du so in der FRITZ!Box nicht zum Laufen bringen (es wird ja immer nur die interne IP-Adresse - wenn überhaupt - an MyFRITZ! übertragen. MyFRITZ! in der FRITZ!Box ist unnötig, da du ja bereits einen DynDNS-Dienst nutzt. Du brauchst hierbei lediglich auf der FRITZ!Box unter: Internet > Freigaben > Karteikarte "FRITZ!Box-Dienste" den "Internetzugriff auf die FRITZ!Box über HTTPS aktiviert" aktivieren. Im Anschluss in deiner pfsense-Firewall dementsprechend eine Portfreigabe (externer Port beliebig an FRITZ!Box@ Port 443). Dann solltest du die FRITZ!Box über https von außen auf dem von dir konfigurierten Port ansprechen können.

 

[xammu]

Du verbindest dich einfach mit dem OpenVPN Server von Pfsense und kannst dann die Fritzbox ganz normal mit ihrer internen IP ansprechen.

 

[Wilhelm14]

Also, wenn du einen ALIX-pfsense-Router mit OpenVPN betreibst, müsstest du die Frage beantworten.

Was an Myfritz möchtest du denn erreichen? Oder anders. Kommst du jetzt schon von "außen" über VPN und dem DynDNS deines pfsense in dein Heimnetz? Wenn ja, solltest du die Fritzbox ganz einfach auf 192.168.x.x erreichen. Also wenn die VPN-Verbidung steht erreichst du die Fritzbox so als wärst du im LAN. Sofern alles entsprechend (richtig) konfiguriert ist.

Edit@Sc0rc3d: https/443 braucht man gar nicht, wenn man per VPN von außen ins LAN verbunden ist.

 

[Sc0rc3d]

Ja Wilhelm14, braucht man nicht aber er hat ja geschrieben ggf. VPN. Ich gehe hierbei davon aus, dass er einfach die Smart-Home-Geräte an seiner FRITZ!Box steuern möchte. Das geht am einfachsten über das MyFRITZ!App (2) von AVM. Dazu braucht er nicht zwingend VPN. Zumal wenn er schon solche Grundlagenfragen stellt, könnte die VPN-Einrichtung Ihn vor eine weitere Herausforderung stellen.

 

[Wilhelm14]

Ja, er scheint gerade mit seiner Selbstbaulösung auf Entdeckungsreise zu gehen. (Das ist positiv gemeint. )
Ich habe das jetzt so verstanden, dass DynDNS, also ein anderer als Myfritz, in der pfsense läuft. Werden jetzt die MyFritz-Apps nicht von außerhalb sich beim Myfritz-Dienst erkundigen, wo die FB sitzt, diese meldet aber eine falsche IP an den Myfritz-Dienst. Man erreicht also mit den Apps von außen gar nicht die FB?

 

[Sc0rc3d]

Nein, das ist kein Problem du kannst in den Einstellungen der App den "MyFRITZ!Namen" anpassen. Dort also entweder die lokale IP-Adresse oder den DynDNS-Namen (ich meinem Fall SPDNS) dort eintragen.

 

[User7634]

"Selbstbaulösung auf Entdeckungsreise" trifft es ganz gut. Komme beruflich aus einer ganz anderen Ecke, will das aber hinbekommen.
Und, ja, es geht genau darum, die Smarthome-Funktion von myfritz einfach nutzen zu können. Also ich flansche jetzt mal den OpenVPN-Zugang an die pfsense dran und schaue nach, wie weit ich komme. Ggf. melde ich mich wieder. Vielen Dank schon mal für die vielen - guten - Hinweise.

 

[Raijin]

Also ich sag's mal so: Consumer-Router sind bei DynamicDNS recht einfach gestrickt. In der Regel bieten sie nur eine Handvoll DDNS-Anbieter und die öffentliche IP nehmen sie stur vom WAN-Port. Anders geht es meist nicht.

Fortgeschrittene Router (zB mit OpenWRT, o.ä.) könn(t)en das aber schon. Der ddnsclient unter Linux kann beispielsweise vollautomatisch zB über checkip.org die tatsächliche öffentliche IP auslesen und einen DDNS-Account entsprechend aktualisieren - egal wieviele NAT-Router davor sind.

Aber da du vor der Fritzbox eh eine Kiste mit pfsense laufen hast, erübrigt sich das sowieso. Nimm dir einen beliebigen anderen DDNS-Anbieter (no-ip, etc) und mach's damit. Den FritzApps sollte es ja eigentlich egal sein ob sie mit blabla.myfritz.de oder blabla.no-ip.com verbinden. Wenn es ihnen nicht egal ist (hab keine Fritte, daher keine Ahnung) und sie explizit einen myfritz-Account erfordern, dann müsste man mal schauen ob es auf der AVM-Seite eine API für MyFritz gibt. Im Zweifelsfalle muss man pfSense dann eben myFritz beibringen (mit einem Skript).

Wenn du eh ein VPN aufbauen willst (bei Fernzugriff auf das heimische LAN immer empfehlenswert), dann ist der DDNS-Anbieter Jacke wie Hose. Nimm irgendeinen, den pfSense unterstützt oder für den du ein Skript findest/schreibst, und wenn der VPN-Tunnel steht, kannst du bei korrektem Routing/NAT problemlos auf deine heimischen Geräte per LAN-IP zugreifen.

Achtung! Bei VPN-Zugriff von außen, sollte man im heimischen LAN ein ungewöhnliches Subnetz verwenden. 192.168.0.0 / 192.168.1.0 / 192.168.2.0 / 192.168.178.0 sind daher tabu! Wenn zB das Hotel dasselbe Subnetz verwendet, dann kann der Laptop nicht mehr unterscheiden ob zB die 192.168.1.123 (zB das NAS im Keller) nu hinter dem VPN liegt oder lokal im Hotel - Stichwort: IP-Konflikt.

192.168.0.0 - 192.168.255.255
172.16.0.0 - 172.31.255.255
10.0.0.0 - 10.255.255.255

In diesen Bereichen kann man sich austoben. Das heimische Netz könnte beispielsweise 192.168.156.0 oder auch 172.23.32.0 sein. Es ist recht unwahrscheinlich, dass man damit in Hotels, bei Kumpels oder sonstwo in IP-Konflikte rennt.

 

[User7634]

Moin moin,
so, bin ganz stolz auch mich. Habe es jetzt geschafft. Es funktioniert im Prinzip so, wie hier u.a. von Sc0rc3d beschrieben:
- DynDNS-Zugang (beliebiger Anbieter) auf pfsense registrieren
- OpenVPN-Tunnel von außen zur pfsense über DynDNS herstellen
- in der Myfritz-APP die lokale IP (192.168.X.X) einstellen, Port ist i.d.R. 443, Benutzer-Name und Kennwort angeben. Das wars.

Eine Frage hab ich zu dem hier von Raijin angesprochenen IP-Konflikt. Besteht tatsächlich die Möglichkeit, dass - nachdem(!) ich den VPN-Tunnel aufgebaut habe - noch auf das lokale (Bsp: Hotel-LAN) mit gleicher IP zugegriffen wird ? Ich dachte, wenn ich im Tunnel unterwegs bin, kann keiner von draußen in den Tunnel lauschen - und gleichzeitig kann ich mich nicht in einem fremden Subnetz verfahren. Habe ich da falsch gedacht ? Oder geht es (nur) um den Fall, dass der Tunnel nicht besteht und die MyFritz-App dann auf die IP zugreift (im Subnetz) und dabei login und (gehashtes) PW überträgt ?
VG user7634

 

[Raijin]

Folgende Beispiele:

1)
Du bist bei Kumpel #1. Der hat nen Speedport. IPs im LAN gehen von 192.168.2.1 - 192.168.2.255. Es gibt keine IP 192.168.178.1 im Netzwerk. Nu verbindest du dich mit dem VPN und machst einen Ping auf 192.168.178.1, die Fritzbox in deiner Wohnung antwortet.


2)
Du bist bei Kumpel #2, der ne Fritzbox hat. Subnetz 192.168.178.0 /24. Seine Fritzbox hat also auch 192.168.178.1. Wenn du jetzt die VPN-Verbindung aufbaust und deine Fritzbox anpingst, was wird passieren? Dein Laptop schaut in seine Routingtabelle und merkt, dass er ja selbst im 192.168.178.0 /24 Subnetz ist und die 192.168.178.1 direkt erreichen kann - die Fritzbox vom Kumpel antwortet.

Wie sollte das auch anders gehen? Die Daten des VPNs gehen ja nach wie vor über die normale Internetverbindung, d.h. der VPN-Adapter routet die verschlüsselten VPN-Daten über die Fritzbox vom Kumpel.
Würde der Laptop das nicht so machen und der Ping ginge durch den Tunnel, könnte er auch die lokale Fritzbox nicht mehr erreichen - geht ja immer Richtung Fritzbox@home - und was passiert, wenn der Laptop das lokale Internetgateway nicht mehr erreichen kann? Genau, er kommt nicht mehr ins Internet. Kommt er nicht mehr ins Internet, kann er auch kein VPN aufbauen und die Katze beißt sich in den Schwanz. Deswegen wird der Ping auf die Fritzbox-IP im Szenario mit identischen IPs vor und hinter dem Tunnel immer auf die lokale IP gehen. Deswegen meidet man weit verbreitete Subnetze und nimmt sich einen ungewöhnlichen IP-Bereich. In den oben genannten Bereichen kannst du dich austoben.


Es hat im übrigen nichts damit zu tun, dass irgendwer in den Tunnel reingucken kann. Ein VPN ist nur ein virtuelles LAN, dessen Daten natürlich trotzdem über die normale Internetverbindung gehen müssen. Die Daten sind eben nur gekapselt und in der Regel verschlüsselt. Trotz allem kommen die Daten aber am Router des Kumpels vorbei.

 

[User7634]

OK, vielen Dank für die ausführliche Erklärung. Werde dann man mein LAN auf eine weniger übliche IP umstellen. Hoffe, das geht ohne größere Probleme.
VG user7634