Fritzbox VPN - wie auf die Rechner dahinter zugreifen?

G

gsavel

Neuling
Thread Starter
Mitglied seit
06.07.2015
Beiträge
56
Ort
Ne´Stadt im Ruhrgebiet
Hallo und guten Abend,

ich habe einen VPN-Zugang über die Fritzbox realisiert. Wenn ich VPN starte, dann steht die Verbindung. ich kann auch über den Browser ins Internet. Jetzt möchte ich aber auf die Rechner dahinter zugreifen können (NAS etc...). Kann mir jemand die Frage beantworten, wie ich das bewerkstelligen kann?

DANKE und Gruß
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Ganz einfach: über die interne IP-Adresse der Geräte. Das funktioniert jedoch nur, wenn das Netzwerk, in dem sich der Rechner, der die VPN-Verbindung aufbaut, und das Netzwerk hinter der Fritzbox unterschiedliche Subnetze haben (z.B. 192.168.1.x mit Subnetzmaske 255.255.255.0 und 192.168.178.1 mit Subnetzmaske 255.255.255.0).
 
Hallo und guten Abend @Eye-Q,

wenn man etwas weiß ist alles einfach:-)
Die FB liegt in einem anderen Netzwerk (192.168.55.0/24), die Rechner/Server dahinter in 192.168.180.0/24
(Zitat="über die interne IP-Adresse der Geräte). Wärst Du so nett und würdest mir dazu etwas mehr schreiben?

Wenn die VPN steht...was ist dann zu tun oder wo ist was einzustellen?

DANKE DIR!!!!
 
gsavel schrieb:
Die FB liegt in einem anderen Netzwerk (192.168.55.0/24), die Rechner/Server dahinter in 192.168.180.0/24
Zum Vergrößern anklicken....
Hmm? Das ergibt wenig Sinn. Die Geräte, die an der Fritzbox hängen, müssen natürlich im selben Subnetz liegen wie die interne IP-Adresse der Fritzbox. Wenn die Fritzbox intern die 192.168.155.1 (Subnetzmaske 255.255.255.0) hat, müssen die Geräte, die da dran hängen, IP-Adressen aus dem Bereich 192.168.155.2 bis 192.168.155.254 haben, sonst kommen die ja noch nicht mal ins Internet und können auch nicht über die VPN-Verbindung erreicht werden.

Damit eine VPN-Verbindung funktioniert, muss das Subnetz auf der anderen Seite, also in dem Netz, wo sich der Rechner befindet, der die Einwahl-VPN-Verbindung aufbaut, ein anderes sein. Sonst kann der PC nicht entscheiden, ob die Pakete im internen Netzwerk bleiben sollen oder über die VPN-Verbindung geschickt werden sollen.

gsavel schrieb:
(Zitat="über die interne IP-Adresse der Geräte). Wärst Du so nett und würdest mir dazu etwas mehr schreiben?

Wenn die VPN steht...was ist dann zu tun oder wo ist was einzustellen?
Zum Vergrößern anklicken....
Wie greifst Du denn auf die Geräte zu, wenn sich der PC im selben Netzwerk mit den Geräten befindet? Genauso kannst Du dann auch darauf zugreifen, wenn die VPN-Verbindung aufgebaut ist, das ist ja der Sinn einer VPN-Verbindung.

Es kann sein, dass Namensauflösung nicht funktioniert, also wenn Du normalerweise über \\<Storagename>\<Freigabename> auf eine Freigabe zugreifst, musst Du dann eben \\<IP-Adresse der Storage>\<Freigabename> eingeben. Das selbe gilt für HTTP(S)-Verbindungen oder sonstwas.

P.S.: es gibt auch einen "Zitieren"-Button unten rechts in jedem Post, so wird eine Antwort sehr viel übersichtlicher anstatt dass man da "Zitat=<Zitat>" hinschreibt.
 
Zuletzt bearbeitet:
Danke für Deine Antwort....es sieht bei mir folgendermassen aus...und alles andere klappt:
Ich habe mit iPFire 3 Netzwerke (rot=Fritzbox & IpFire-Server) (grün=alles Rechner/Server) (orange). Das alles wird über Server 2012R2-Datacenter realisiert...und mit den entsprechenden iPfire-Regeln läuft alles einwandfrei! Die Namensauflösung z.B. wird über den Domain-Controller gewährleistet. Die Exchangeanwendung läuft verteilt auf 2 Servern (best-practice). Die zweistufige PKI verteilt Ihre Zertifikate an die anfragenden Systeme...u.s.w.
Ich schreibe Dir das nur um aufzuzeigen, dass ansonsten alles läuft. Ich bekomme nur dieses dumme NAS (Server unter n4free - ZFS1)
nicht angesprochen....
 
OK, das solltest Du besser mal aufzeichnen, denn aus deinen Ausführungen werde ich nicht schlau, was wie miteinander zusammenhängt...

Aus welchem Netzwerk willst Du welches Netzwerk erreichen? Was heißt "ich bekomme das NAS nicht angesprochen"? Sind das SMB-Freigaben, iSCSI-Targets, willst Du über die Weboberfläche zugreifen? Das sind alles viel zu wenige Informationen, die Du dir aus der Nase ziehen lässt...
 
verzeih...wenn ich hier zu wenig Infos gebe...heißt das nicht, dass ich sie mir "aus der Nase ziehen" lassen möchte:-)

Ich habe in der FB VPN konfiguriert. Ich möchte mit dem iphone auf das NAS zugreifen können. Die VPN-Verbindung steht, wenn ich den entsprechenden Button klicke. Das device (iphone 6) bekommt eine IP im gleichen IP-Kreis, in der sich die FB befindet. Die Konfiguration geschah in den Einstellungen am Iphone über meinen DynDNS Account. Was vielleicht nicht wichtig ist...oder? Du hattest mich gefragt wie ich das NAS ansprechen möchte. Ich habe im NAS SMB- NFS, FTP-Freigaben erstellt. Gibt es neben der Weboberfläche noch andere Möglichkeit das NAS anzusprechen? Ansonsten gern über das Web...
 
gsavel schrieb:
Ich möchte mit dem iphone auf das NAS zugreifen können.
Zum Vergrößern anklicken....
Dann frage ich die Fragen konkreter: in welchem Netzwerk befindet sich das iPhone? Welche IP-Adresse hat das iPhone, bevor es sich per VPN einwählt und nachdem es sich per VPN eingewählt hat? Kannst Du das bitte mal aufzeichnen (z.B. in Paint), wie die Geräte zusammengeschaltet sind? So ist es nämlich absolut unverständlich, wo sich welches Gerät befindet, und das ist wichtig, um zu sehen, ob das wirklich so klappen kann.

Nächste Frage: wenn Du mit dem iPhone im selben Netzwerk wie das NAS bist, kannst Du dann darauf zugreifen?

gsavel schrieb:
Du hattest mich gefragt wie ich das NAS ansprechen möchte. Ich habe im NAS SMB- NFS, FTP-Freigaben erstellt. Gibt es neben der Weboberfläche noch andere Möglichkeit das NAS anzusprechen?
Zum Vergrößern anklicken....
Ich gehe davon aus, dass Du einfach Dateien (z.B. Videos) von deinem NAS vom iPhone aus öffnen willst, richtig? Wenn ja, dann ist ein Webzugriff über HTTP(S) wohl am sinnvollsten. Wenn Du per VPN verbunden bist, brauchst Du dann nur Safari zu öffnen und die interne IP-Adresse des NAS einzugeben, dann sollte schon (je nach Konfiguration des NAS) entweder ein Loginfenster kommen oder direkt die Freigaben/Dateien angezeigt werden.
 
Der gute Mann hat nen Doppel-NAT am Laufen.

Da kann er sich das mit dem VPN auf der FB auch sparen, bzw. kann er sich den IPFire auch sparen.

Gsavel, du solltest dein Netzwerk gerade ziehen. Ein Doppel-NAT ist KEIN geeignetes Netzwerkkonstrukt für derartige Anwendungen.
Entweder FB oder IPFire zur Terminierung des Internetanschlusses und VPN nehmen und das jeweils andere ausschalten. Vorzugsweise in dem Fall den IPFire.
 
Hallo @Eye-Q,
ich habe jetzt zwar kein Foto attached aber ich denke mir, wenn ich es Dir hier vernünftig aufzeige, dann ist das nachzuvollziehen.
Wenn ich hier daheim bin...im LTE/UMTS-Netz, dann lautet die IP "176.2.43.92" (lt.wieistmeineip.de). Bin ich per VPN verbunden, dann lautet sie "78.94.146.182", was der IP der FB entspricht!

Bin ich mit dem iPhone über Wlan im Netz, dann kann ich mit "http://ipvomnas" wie bereits erwähnt auf die GUI zugreifen.
Wäre das die Beantwortung Deiner Frage?

@underclocer2k4,
wieso meinst Du, dass ich Doppel-NAT am laufen hätte? Verstehe ich Dich richtig und Du meinst, dass ich auf beiden VPN konfiguriert habe? Was sollte ich vorzugsweise in IPFire ausschalten? Verstehe mich bitte nicht falsch...ich möchte hier nichts in Frage stellen. Ich möchte nur verstehen, was Du meinst:-)
LG und DANKE
 
Hi

Ich habe den Fred jetzt nur überflogen.

Mit doppeltem NAT meint er, dass Du IPfire hinter dem Router (Fritzbox) angehängt hast (stimmt das so?). Somit bezieht IPfire eine private Adresse (an deren WAN) von der Fritzbox. In dem Fall würdest Du die Fritzbox am besten in den bridged mode schalten, damit IPfire direkt eine öffentliche Adresse von der Fritzbox bezieht.

Und dann das VPN direkt zur IPfire Firewall aufbauen. Ist IPfire virtualisiert, oder ist das eine Hardwarelösung? Falls sie virtualisiert sein sollte, wär es angebracht, die Firewall auf eine eigene Hardware umzuziehen (auf "Blech" nennt man das).

Ausserdem solltest Du die Server/NAS/wasweissich, welche von aussen erreichbar sein sollen, in die orange Zone von IPfire pflanzen. Für das ist die orange Zone da. Das VPN kannst Du dann in der Firewall beliebig auf die jeweiligen Zonen konfigurieren. Solange es aber nicht unbedingt erforderlich ist auch auf grün zuzugreifen, würde ich darauf verzichten und den Verkehr nur auf orange weiterleiten.
 
Zuletzt bearbeitet:
Hallo @AloManali,

erst einmal Danke...jetzt habe ich verstanden:-)

Ja...das VIRTUALISIERTE ipfire hängt hinter der FB (zwei Fragen damit beantwortet:-) Den Tip mit IPFire als VM habe ich von einem Bekannten, dessen Sachverstand (bis auf bisher einen Lapsus, bei dem er meinte, dass eine ROOT-CA online sein sollte....und dann auch noch Mitglied der Domäne) vertraute und in dem Bereich lange tätig ist (mit eigenen Blog). Lange Rede...wenn ich das sollte, was wäre dann der erste Schritt? Das bridgen des Kabelrouters funktioniert wohl nur mit einem Trick! Und mit "Blech" spielst Du sicher auf das Ali-Board an...oder?
Dass ich das NAS in die DMZ schieben könnte/sollte, dass weiß ich durchaus. Aber erreichbar sollte es doch auch so sein...oder? Denn alles umstellen und es klappt dann immer noch nicht...wäre doof und mit Aufwand verbunden...
 
Häng doch mal alle Geräte nicht an das Grüne des IPFire sondern direkt an die FB, so dass diese eine IP aus dem Netz der FB bekommen.
Dann wirst du sehen, dass du auf alle Geräte kommst, wenn du dich per VPN einwählst.

Was willst du denn mit dem IPFire erreichen?
Ein virtualisierter IPFire sorgt seit eh und je für Heiterkeit. Vom Sicherheitsaspekt kann man ihn sich in dem Fall auch direkt schenken.

Du hast zwischen IPFire und FB ja eine DMZ aufgebaut. Da kannst du alle Geräte reinstellen und von beiden Netzen (VPN und grün) auf die Daten zugreifen. Das wäre die Funktion von Orange, wenn man denn ein sauberes Netz hat. Letzteres ist ja bei dem Doppel-NAT nicht der Fall.
 
Du könntest die Server auch direkt an die FB hängen. Somit wären die sichtbar am VPN. Und die FW dahinter wär auch noch sicher, da sie eben hinter einem Blech Router hängt, und eine private Adresse bezieht. Nur macht sie sich mehr oder weniger sinnlos dadurch. Vom Lerneffekt mal abgesehen.

Ich hatte (und habe z.T. immer noch) auch mal die Firewall virtualisiert. Damals bin ich aus dem Grund eben noch doppelt NAT gefahren. (Firewall hinter aktivem Router Gateway). Doppelt NAT heisst in dem Fall, dass wenn Du etwas hinter die Firewall reichen möchtest, Du die Ports vom Router zur Firewall, und von der Firewall zum Server reichen musst ;)

Das Problem einer virtualisierten FW direkt an einer öffentlichen IP ist halt, dass der ganze Hypervisor nackt am Internet hängt. Somit hat ein eventueller Angreifer zwei Angriffspunkte: der Hypervisor UND die FW.

edit: da war einer schneller...
 
Zuletzt bearbeitet:
Ich überlege mir in den nächsten Tagen ob ich mir ein Alix-Board zulege und IPFire eben NICHT virtualisiere!

Ich habe eine weitere Frage: Ich habe die 6490 Kabel mit dem gleichen Vorgehen wie bei der 6360 erst einmal augenscheinlich gebridged und den Port 4 dafür (hoffentlich) freigegeben. Wie kann ich das jetzt testen, ob es klappt?

Ich weiß, dass das erst einmal nicht mein offensichtlich grundsätzliches Problem des virtualisierten IPFire löst...aber "eins nach dem anderen":-)
 
Zuletzt bearbeitet:
gsavel schrieb:
Ja...das VIRTUALISIERTE ipfire hängt hinter der FB (zwei Fragen damit beantwortet:-)
Zum Vergrößern anklicken....
Das heißt die weiteren Geräte hängen hinter dieser IPFire? Kein Wunder, dass Du dann nicht auf das NAS zugreifen kannst, denn mit dem VPN hast Du dich ja auf die Fritzbox eingewählt. Diese hängt aus Sicht der IPFire am externen Anschluss, deswegen lässt die IPFire da natürlich nichts durch.

gsavel schrieb:
Das bridgen des Kabelrouters funktioniert wohl nur mit einem Trick!
Zum Vergrößern anklicken....
Ah, das ist eine Kabel-Fritzbox und keine DSL-Fritzbox, auch das ist ein wichtiger Hinweis. Von einem Bridging einer Kabel-Fritzbox würde ich die Finger lassen, aber Du kannst prinzipiell die externe IP-Adresse der IPFire auf der Fritzbox als Exposed Host einrichten und das VPN dann mit der IPFire aufbauen, vorausgesetzt es hängt nichts weiter an der Fritzbox dran außer die IPFire und vielleicht Telefone, die davon vollkommen unabhängig sind, aber auch das können wir nur raten.

gsavel schrieb:
Und mit "Blech" spielst Du sicher auf das Ali-Board an...oder?
Zum Vergrößern anklicken....
Welches Ali-Board denn schon wieder? Du bringst hier ständig Begriffe und Geräte, die Du vorher mit keinem Sterbenswörtchen erwähnt hast, weswegen wir nur in's Blaue raten können...
 
Eye-Q schrieb:
Ah, das ist eine Kabel-Fritzbox und keine DSL-Fritzbox, auch das ist ein wichtiger Hinweis. Von einem Bridging einer Kabel-Fritzbox würde ich die Finger lassen,...
Zum Vergrößern anklicken....

Wieso das? Ich habe mein Cablemodem auch gebridged,.. Ist das schlecht?

...allerdings habe ich eine Zywall 110 nachgeschaltet!
 
Zuletzt bearbeitet:
Wenn man in der Weboberfläche die Möglichkeit hat, den Bridge-Modus einzuschalten, kann man es machen. Bei einer Kabel-Fritzbox gibt es diese Möglichkeit aber in der Regel nicht, so dass man im Prinzip Hacking betreiben muss, um die in den Bridge-Modus zu bringen. Da Coax-Kabel aber im Gegensatz zu Telefon-(DSL-)Leitungen ein shared Medium ist, sind die Kabelnetzbetreiber nicht allzu begeistert darüber, wenn man eine Kabel-Fritzbox hackt und ggf. Probleme auch bei anderen Nutzern verursacht.
 
@Eye-Q...ich brauchte an der FB nichts hacken. Mit einem einfachen "Fritz.box/internet/lanbridges.lua" bot sich mir sofort die Möglichkeit den Port 2, 3 oder 4 für das Bridging zu wählen!
Es ist mit der FB und IPFire so aufgebaut, dass die FB eine IP aus 192.168.30.0/24 hat...und IPfire nach aussen ebenfalls. Neben dem Telefon hängt an der FB noch ein Wlan-Router, den ich im "grünen" Netz betreibe. Das Wlan der FB hängt ja im "roten" Netz. Das mit dem 2. Router klappt augenscheinlich auch gut. Und ein Cisco-Switch, der mir die Vlans zur Verfügung stellt. Summa summarum sind Port 1 und 2 der FB besetzt.

Und...sorry für den Begriff "ali-board"...ich meinte "PC Engines ALIX Boards", die ja wohl von der IPFire-Gemeinde empfohlen werden...
 
Zuletzt bearbeitet:
Wenn Du Dich für das Alix Board entscheidest, würde ich das leistungsstärkste ins Auge fassen, je nach Anwendungsgebiet. Zudem haben einige davon nur 100MBit/s Adapter.

Meine virtualisierte Endian hat damals, je nach Diensten, ganz schön CPU Leistung gefressen. Ich musste da drei Threads und 1.5 GByte RAM zuweisen, damit das alles in der gewünschten Bandbreite zur Verfügung stand. IDS und VPN brauchen schon ihre Leistung.

Was für eine Bandbreite wird denn angepeilt, bzw. nutzt Du IDS oder lokale Proxys?

Ich habe dann wie gesagt auf eine Zywall 110 gewechselt, und habe den Schritt nicht bereut. Heutzutage kann man bei den neuen Zywalls sogar UTM dazubuchen. Das ist dann aber im Abo, und kostet jährlich. Auch die Fortinet sollen recht gut sein. Bevor Du Dir eine Hardware zulegst, würde ich halt die genannten Appliances mindestens mal ansehen. Die Appliances sind auch mit bereits integriertem WLAN erhältlich.
 
Hallo @AliManali,

das der Host-Server genügend RAM besitzt, habe ich der ipFire-VM 4GB (dynamischen) RAM und zwei CPUS gegeben.
Das von mir ins Auge gefasste Alix-Board besitzt 2GB-RAM und 3 GB-Nics. Gegen Aufpreis von ca. 60€ wären es 4GB!
Ich benutzte als AdOns in IPfire Clamav und IDS inkl. Guardian (kein Proxy)

Wo liegt den Dein System preislich?

UPDATE-----------
Habe gerade mal nachgesehen. Die liegt ja bei ca. 500€...UPS. Das ist mir als Privatperson zu happig:-(

Aber ich habe mal "gestöbert...die USG 20W...das dürfte doch auch schon ausreichend sein...oder? Wenn man etwas Glück hat, bekommt man sie auch "inklusiv 1x E-Zywall IPSEC VPN Client 1 License !"

Was hältst Du davon??
 
Zuletzt bearbeitet:
Hi

Ja, die USG20W ist super. Bietet meines Wissens nach die selbe Funktionalität wie die grossen USG. Ausserdem hast Du WLAN mit an Board. Nur musst Du die USG Funktionen (Virenschutz, IDS und sowas) halt im Abo bezahlen. Ich nutze die (bezahl-) Dienste nicht, deshalb habe ich eine reine Zywall. Aber seit neuestem wären die USG Dienste auch für die Zywall optional erhältlich. Die ganzen IDS Geschichten hatte ich damals bei der Endian genutzt, aber die haben mich mehr nervös gemacht, als dass sie was gebracht hätten,... :)

Falls Du Dich für eine Zywall/USG entscheidest, solltest Du wissen, dass da im Auslieferungszustand ein paar Sachen aktiv sind, die Du ganz sicher nicht haben möchtest (Admininterface am WAN erreichbar, DNS wird gleich durchgeschaltet, etc.) Keine Ahnung, wieso das so ist,... Auch die Konfiguration ist nicht ganz ohne! Aber die Hardware ist top. Bei der Zywall empfiehlt sich, diese erst Mal gründlich zu studieren, bevor sie in den produktiv Betrieb genommen wird. Bei der Zywall hatte ich zum Glück sachkundige Hilfe aus einem anderen Forum.

Wenn Du IDS und sowas benötigst/möchtest, kannst Du Dir auch mal die Endian anschauen. Die kannst Du entweder auf einem ALIX Board oder entsprechender x86 Hardware installieren, oder sie ist auch als fertige Appliance erhältlich. Wenn mich nicht alles täuscht, basiert die Endian auch auf IPfire,... Kannst sie zum testen ja mal in einer VM aufsetzen. Ich war recht zufrieden mit Endian, die kannst Du auch mit Stock Konfiguration gleich mal in Betrieb nehmen ;)

2 GByte sollten imho für jede Home bzw. Labor Firewall ausreichend sein. Aber CPU Last hat mir die Endian doch anständig gezogen bei aktiviertem IDS. Damals hatte ich noch 150 Mbit/s downstream, und wie gesagt, ich musste der FW 3 Threads zuweisen, damit die Bandbreite durch kam. Und auch VPN ist glaub ich recht CPU-lastig.

Du hast halt auch immer noch nicht geschrieben, um was es sich für eine Bandbreite handelt,...

Edit: habe gerade mal nachgesehen, AV gibt es wohl erst ab der USG 50. Bei der 20er gibts nur CF und anti SPAM, was ich für relativ sinnbefreit halte. Die USG Software ist meiner Meinung nach eh viel zu teuer,...
 
Zuletzt bearbeitet:
Anmelden, um zu antworten.

Ähnliche Themen

A
[Ungelöst] Internetseiten gehen nicht nach Nord VPN Installation
Antworten
19
Aufrufe
1K
alinho
A
Warhead
Frage bzgl Netzwerkerweiterung und Vpn
Antworten
2
Aufrufe
327
Warhead
Warhead
G
Fritzbox 7530 und 7412 via VPN (IPSec) verbinden (Vodafone DS-Lite & 1&1 IP4)
Antworten
0
Aufrufe
243
GUltimate
G
wackaman
Alten Router als Repeater bzw Hotspot benutzen, aber wie
Antworten
5
Aufrufe
299
wackaman
wackaman
E
Kleines Heimnetz
Antworten
2
Aufrufe
359
Supaman
Supaman
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh