Asus Fernzugriff

[fenderbender]

Hallo,
ich hatte hier kürzlich schon mal eine Frage im "Fritzbox" Bereich gestellt. Meine neue Frage passt da aber leider nicht dazu, da es nur noch um den Asus XD6S geht.
Dieser hängt jetzt hinter der Fritzbox, die als DSL-Modem arbeitet. Portweiterleitung und exposed host ist für den XD6S eingerichtet.
Der XD6S hat im Bereich WAN dann die IP stehen, die er von der Fritzbox bekommen hat, nämlich 192.168.178.10.
Ich hab dann im Bereich DDNS eine xx.asuscomm.com Adresse angelegt und im Bereich VPN ein Wireguard Profil angelegt. Direkt nach dem Anlegen funktioniert auch alles. Ich teste das, in dem ich dem Handy das WLAN nehme und über Mobilfunkt eine VPN Verbindung (Wireguard App) aufbaue. Dann komm ich auf die 192.168.1.1.
Aber schon am nächsten Tag unterwegs gehts nicht mehr. Ich schaff es dann noch manchmal, wenn ich die xx.asuscomm.com durch die IP Adresse ersetze, die ich vom Provider an diesem Tag gerade bekomme, aber auch da ist dann irgendwann Schluss (ohne dass sich diese IP ändert).
Ich weiß nicht, wo mein Fehler ist. Auf der Seite im Router, wo ich die DDNS Sache einstellen/registrieren kann, steht immer der Hinweis, dass eine lokale IP auf ein Doppel-NAT hindeutet und das dann nicht gehen kann. Mit eurer Unterstützung hab ich das Doppel-NAT aber erfolgreich abgestellt.

Hat jemand eine Idee? Kann ich diese xx.asuscomm.com analog zum myfritz... bei AVM ansehen?

Danke

 

[Barungar]

Dieser hängt jetzt hinter der Fritzbox, die als DSL-Modem arbeitet.

Das ist nicht korrekt! Deine FritzBox arbeitet natürlich als DSL-Modem, aber nicht nur als DSL-Modem sondern auch als "erster" Router. Als reines DSL-Modem kann die FritzBox nicht betrieben werden.

Portweiterleitung und exposed host ist für den XD6S eingerichtet.

Auch das ist ein Indiz, dass die FritzBox als Router arbeitet, würde sie ausschließlich als DSL-Modem arbeiten, müsstest Du keine Portweiterleitungen anlegen bzw. keinen "exposed host" definieren.

Ich hab dann im Bereich DDNS eine xx.asuscomm.com Adresse angelegt und im Bereich VPN ein Wireguard Profil angelegt.

Ich weiß nicht, wie dieser DDNS-Dienst von Asus funktioniert, ist dort denn die korrekte IPv4 bzw. IPv6 eingetragen? Ich gehe auch mal davon aus, da der Asus hinter der FritzBox hängt, dass er den Wechsel der öffentlichen IPs nicht "bemerkt" und daher seinen DDNS-Eintrag bei Asus nicht korrigieren kann. Was auf Dein Erleben hindeuten könnte, dass bereits nach ein paar Stunden die Verbindung nicht (mehr) funktioniert.

Wäre es eine Option für Dich den Wireguard-Zugang über die FritzBox laufen zu lassen? Ich gehe davon aus, dass das in Deinem Setup weniger Schwierigkeiten bereiten würde.

 

[fenderbender]

Danke,

ja das klingt einleuchtend, dass er den Wechsel der IP nicht mitkriegt. Aber irgendwie muss die Funktion ja eine Daseinsberechtigung haben. Der XD6S stellt ja nie die Verbindung zum Internet her und kann so auch nie die IP wissen oder? Dann dürfte er die Funktion ja gar nicht haben?

Lieber wäre es mir natürlich, ich hätte hier den Zugriff aber ich würde mich auch über den Zugriff per FB anfreunden können.

Nur, wenn ich mich per Wireguard in die FB verbinde, komme ich nicht auf das Heimnetz, das vom XD6S verwaltet wird und auch nicht auf die 192.168.1.1. Ich komm nur auf die 192.168.178.xx. Und leider auch die 192.168.178.10 (IP des XD6S) gibt nichts zurück. Muss ich in der FB noch die Subnetzmaske ändern?

Wie wäre es denn ganz sauber? Gibt es ein "nur DSL Modem"? Oder bräuchte ich was von Asus?

 

[Stationary]

Wenn Du am WAN Port nur ein Modem angeschlossen hättest, wäre die Situation anders. Du hast da aber eine Fritzbox angeschlossen, die Modem und Router zugleich ist und deren Routerteil sich nicht getrennt abschalten läßt, um nur deren Modem zu nutzen.

DSL Modems gibt es wie Sand am Meer:
https://www.google.com/search?sca_e..._bEwdXw:1713166356602&q=DSL+Modem+ohne+Router

 

[Barungar]

Nur, wenn ich mich per Wireguard in die FB verbinde, komme ich nicht auf das Heimnetz, das vom XD6S verwaltet wird und auch nicht auf die 192.168.1.1. Ich komm nur auf die 192.168.178.xx. Und leider auch die 192.168.178.10 (IP des XD6S) gibt nichts zurück. Muss ich in der FB noch die Subnetzmaske ändern?

Doch kommst Du. Du hast ja mittlerweile eine statische Route in der FritzBox definiert. Du müsstest das im WireGuard VPN der FritzBox nur eben auch noch konfigurieren, das neben dem Netz 192.168.178.0/24 auch das Netz 192.168.1.0/24 über das WireGuard VPN gesandt werden soll.

Der XD6S stellt ja nie die Verbindung zum Internet her und kann so auch nie die IP wissen oder?

Wenn Du den XD6S mit einem DSL-Modem betreibst, dann würde er schon selbst die Internetverbindung aufbauen. Dabei würde er dann auch IP-Wechsel mitbekommen, so wie es die FritzBox aktuell auch mitbekommt.

 

[fenderbender]

Hm, also das hab ich gestern noch versucht. Leider nicht geschafft. Bei der Wireguard Konfiguration in der Fritzbox kann man praktisch nichts verändern...
Dazu ist mir noch aufgefallen, dass auch lokal kein VPN zum ASUS mehr möglich ist, wenn der NAT deaktiviert ist. Ich komm zwar auf die 192.168.1.1 aber sonst nirgends wo hin...
Und daher komme ich jetzt auf den Punkt, mir doch ein Modem noch zu kaufen. Der Vigor 167 scheint ja die allgemeine Empfehlung zu sein. Ich frage mich aber, wie das damit dann läuft? Gibt man in dem Modem die Benutzerdaten vom Provider ein? Oder in den Asus?

 

[the other]

Moinsen,
Alternativ kannst du auch...
...den VPN Server auf dem Asus betreiben (laut kurzer Recherche kann der IPsec und wireguard).
...also dann dyndns auf der fritzbox einrichten plus Portweiterleitung zum Asus, wo der Tunnel ankommt.

Wäre meine Idee...

 

[Barungar]

Gibt man in dem Modem die Benutzerdaten vom Provider ein? Oder in den Asus?

Grundsätzlich, so wie ich das kenne, werden die Benutzerdaten im Router also dem Asus XD6S eingegeben, der soll ja die Internet-Verbindung aufbauen. Das Modem sollte nur das tun, was sein Name sagt: "MOdulieren-DEModulieren". Also die elektrische Signalumwandlung machen.

 

[fenderbender]

Moinsen,
Alternativ kannst du auch...
...den VPN Server auf dem Asus betreiben (laut kurzer Recherche kann der IPsec und wireguard).
...also dann dyndns auf der fritzbox einrichten plus Portweiterleitung zum Asus, wo der Tunnel ankommt.

Wäre meine Idee...

Ja das war auch meine Idee und ich habe leider viel zu viel Zeit damit verbracht. Das funktioniert nur, wenn der Asus NAT machen darf. Ist NAT ausgeschaltet, komme ich nur auf 192.168.1.1 und sonst nirgendswo hin. Mit NAT eingeschaltet gehts, aber dann hab ich halt wieder Doppel-NAT (wobei ich noch nicht weiß, welche Nachteile das hätte). Warum das so ist, keine Ahnung, aber es ist recht eindeutig

 

[Barungar]

Naja, kurz gesagt: NAT verhindert das man von außerhalb auf ein Netzwerk zugreifen kann, weil man die Adressen nicht sieht.

Aus dem Internet kann wegen dem NAT der FritzBox niemand auf die Geräte dahinter zugreifen, weil nur die IP der FritzBox "zu sehen" ist, aber nicht die IPs der Geräte hinter der FritzBox. Will man von außen (Internet) auf so ein Gerät zugreifen, so muss man in der FritzBox für dieses Gerät eine Portweiterleitung machen, damit hat man aber auch nur Zugriff auf diesen einen Port.

Wenn nun der Asus XD6S auch noch NAT macht, dann kannst Du, wie schon selbst beobachtet aus dem Netz der FritzBox nicht mehr auf das Netz hinter dem Asus zugreifen, weil man auch aus diesem Netz dann nur noch die IP des Asus erreicht. Hier müsstest Du dann eine Portweiterleitung machen, um vom Netz der FritzBox den Port eines Gerätes im Netz des Asus erreichen zu können.

Und sollte ein Gerät aus dem Netz des Asus vom Internet aus erreichbar sein, so müsstest Du erst eine Portweiterleitung von der FritzBox zum Asus und dann vom Asus zum Gerät machen.

Letztlich "schottest" Du damit den Zugriff ab, indem Du das Netz hinter dem NAT "ausblendest". Weil für alle VOR dem NAT sieht es so aus, als wäre da nur EIN Gerät (nämlich der NAT-Router).

 

[fenderbender]

Hm, aber ich greife ja eigentlich per VPN/Wireguard auf den Asus zu, wo der VPN Server eingerichtet ist. Und von da aus, müsste ich ja alles machen können, so als wäre ich direkt am WLAN des Asus oder?
Wie gesagt, ich kann mich von außerhalb per VPN auf den Asus verbinden und wenn im Asus NAT aktiv, dann funktioniert alles wunderbar. Alle Geräte sind zu sehen. Ich kann surfen mit Adblocker vom Asus und/oder VPN Fusion Verbindung. Sobald am Asus der NAT aus ist, geht nur noch die 192.168.1.1 und sonst gar nichts.

Ihr seid keine asus-Nutzer oder? Ich hätte sonst noch die Frage, was passiert, wenn ich den Asus als AccessPoint verwende (Fritz-Wlan aus)?
- sind die beiden Nodes (also AP und Mesh-Node) dann per AI-Mesh verbunden?
- können die Geräte, die am Asus-Accesspoint per LAN oder WLAN hängen, dann VPN Fusion und Adblocker nutzen? (ich vermute stark die Antwort ist Nein, aber ich frag trotzdem )

 

[the other]

Moinsen,
nein, kein Asus Nutzer.
Hier habe ich als Internetrouter eine Fritzbox, darauf ist dyndns verankert und eine PWL auf den 2. Router gesetzt. Auf diesem läuft der VPN Server.
Also mit dem smartphone per dyndns auf die Fritzbox und von dort dann per PWL weiter auf den VPN Server, von dort dann ins LAN.
Ja, ist doppelt NAT, macht hier aber im Alltag keine Probleme.

 

[blurrrr]

Ihr seid keine asus-Nutzer oder?

Das muss man dafür auch nicht sein, denn es spielt keine Rolle, von welchem Hersteller ein Gerät ist. Was hier gesagt wird, sind allgemein gültige Dinge und die sind unabhängig von irgendwelchen Herstellern

Wie gesagt, ich kann mich von außerhalb per VPN auf den Asus verbinden und wenn im Asus NAT aktiv, dann funktioniert alles wunderbar. Alle Geräte sind zu sehen. Ich kann surfen mit Adblocker vom Asus und/oder VPN Fusion Verbindung. Sobald am Asus der NAT aus ist, geht nur noch die 192.168.1.1 und sonst gar nichts.

Die Geräte im Netz des ASUS solltest Du trotzdem erreichen. Geräte davor nur dann, wenn Du in der VPN-Verbindung zusätzlich das Netz vor dem ASUS angegeben hast (Was ist durch den Tunnel erreichbar -> Netz A + Netz B).

Ich kann surfen mit Adblocker vom Asus

Das wäre dann eher eine Konfiguration, welche besagt, dass "sämtlicher" Traffic durch das VPN gehen soll, kann man halt auch machen.

So wie es "jetzt" läuft (ohne doppeltes NAT) ist es jedenfalls "sauber". Alles weitere ist nur noch Konfigurationssache. Vorteil dabei: Je mehr man sich mit der Materie beschäftigt, desto sicherer wird man auch im Umgang damit. Sicherlich gibt es einige "spezifische" Dinge (z.B. Adblocker vom Asus und/oder VPN Fusion), aber der Netzwerk-Teil ist von der Theorie her für alle gleich, was dann auch direkt dazu führt, dass man sich mit Produkten anderer Hersteller nicht mehr ewig herumschlagen muss, sondern schon halbwegs weiss, was man wie womit erreichen kann

 

[fenderbender]

Danke für die Antworten.

Die Frage, ob ihr Asus Nutzer seid, sollte keineswegs eure Fähigkeiten mir zu Helfen in Frage stellen. Im Gegenteil… Ich finde eure Hilfe super und hab auch schon viel gelernt. Es ging mir eher darum, ob ich fragen kann, wo genau man im Menü was klicken und eingeben muss.



Also Wunsch-Konfiguration wäre folgende:

Kein Doppel-NAT -> funktioniert mit Portweiterleitung in der FB

Alle Geräte im Haus verbinden sich per WLAN oder LAN mit dem Asus. -> erledigt

Per asus-App kann man einige Geräte den Family-Filter / Adblock aufzwingen und ein paar andere Geräte sollen über Surfshark / VPN-Fusion die IP eines anderen Landes bekommen -> funktioniert

Smartphones sollen sich per Wireguard mit dem Asus verbinden um Geräte aus der Ferne zu erreichen und in öffentlichen WLANs über den Heimrouter surfen.

Das funktioniert bei aktiviertem NAT und wenn in der Fritzbox der Asus als „Exposed Host“ eingetragen ist. Im Asus ist der VPN Server eingerichtet und es ergibt sich zunächst mal ein Endpunkt 192.168.1.1:51820, was natürlich nur intern funktioinert. Ändert man die lokale Adresse in der Smartphone-App in eine DDNS Adresse, geht’s auch extern.

Es funktioniert aber nicht, wenn der NAT am Asus deaktiviert ist, da komme ich nur zur 192.168.1.1 und sonst dreht sich fleißig das Rädchen. Warum das so ist, habe ich nicht verstanden. Hat da jemand eine Erklärung?

 

[blurrrr]

sollte keineswegs eure Fähigkeiten mir zu Helfen in Frage stellen.

So wurde das auch nicht verstanden

Es funktioniert aber nicht, wenn der NAT am Asus deaktiviert ist, da komme ich nur zur 192.168.1.1 und sonst dreht sich fleißig das Rädchen.

Dann mag es sein, dass der ASUS für die VPN-Clients ein eigenes Netz bereitstellt, welches die Fritzbox nicht kennt und demnach auch keine Ahnung hat, wie sie die Antworten zu den Clients zurück transportieren soll. Wähl Dich doch mal ins VPN ein und schau nach (wenn das irgendwo geht), welche IP Du im VPN-Netz hast (ggf. findest Du dazu auch eine Info bei der VPN-Konfiguration auf dem ASUS). Im Fall der Fälle ist es ein Netz, welches nicht 192.168.1.0/0 (ASUS LAN) lautet. Dieses Netz muss dann ebenso mit einer statischen Route in der Fritzbox eingetragen werden.

Wenn es 2 Netze hinter dem ASUS wären (LAN + VPN) würden durch die NAT-Regel auch "beide" Netze ausgehend mit der WAN-IP des ASUS maskiert. Ist das nun abgeschaltet, funktioniert zwar das ASUS-LAN (weil Du die Route in der Fritzbox eingetragen hast), bei Paketen des VPN-Netzes weiss die Fritzbox aber nicht, wohin damit (keine eingetragene Route) und wird die Pakete an ihr Standardgateway schicken (also in Richtung Internet), wo die Pakete für diese "privaten" IP-Adressen dann sofort verworfen werden.

Also: Herausfinden, wie das VPN-Netz lautet und dafür noch eine statische Route bei der Fritzbox eintragen

 

[fenderbender]

Ach… da geht ein Lichtlein auf… Klar doch. Ich hab mich doch schon unzählige male gewundert, dass der Server mit einer 10.6.0.2/32 aufgesetzt wird… diese ist aber der Fritzbox nicht bekannt, taucht dort nirgends auf. Wie muss dann die Route aussehen? Kannst mir da nochmal helfen?

so?
Netzwerk 10.6.0.0
Subnetz 255.255.255.0
Gateway 192.168.178.10 (so kennt die FB den Asus)



Geht sich das aus?

Edit: Scheint zu funktionieren!
Ich danke euch!

Danke

 

[blurrrr]

Danke für's Feedback und nun weisst Du auch direkt, wie Du es mit nicht-ASUS-Routern handhaben musst