Fritzbox-Kaskade wie Wireguard für nur eine IP seten?

[localweb]

Hallo,
ich habe in meinem Netz drei Fritzboxen mit der jeweils aktuellsten version, zwei für ein Netz (5690Pro Master, 7590AX Sub auf2 Etagen) und eine davon (7590) mit einem unabhängigen Netz (Webserver und IoT/Smarthome).

Nun möchte von der Fritzbox 7590 mit dem Separaten Netz nur eine Domain (IP/Webserver) für das Netz mit den anderen zwei Fritzboxen über Wireguard freigeben.
Das Prinzip Wireguard ist mir bekannt, habe Verbindungen für den Zugriff von außen eingerichtet.
Wie ich jedoch nur eine IP mit dem anderen Netz verbinde und die Config-Dateie in der anderen Fritzbox hinterlege, daran scheitere ich bis jetzt.
Die Fitzbox erzählt mir ständig das Schlüsselpaar gibt es schon ???

Wäre Super wenn jemand einen Tipp für mich hätte.
Vielen Dank.

 

[blurrrr]

Hi,

sorry, aber das Konstrukt erschliesst sich hier grade noch nicht so ganz... Von daher einmal zur Abklärung:

1) 5690Pro Master = Router, welcher den Internetzugang bereitstellt
2) 7590AX = Läuft im "Client-Modus" und dient vermutlich nur als Mesh-Repeater o.ä.
3) 7590 = Läuft im Router-Modus und wurde via WAN/LAN1 an den 5690er angeschlossen und stellt somit nach "intern" sein eigenes Netz bereit

Welche IP-Netze sind es denn konkret beim 5690Pro und 7590?

Nun möchte von der Fritzbox 7590 mit dem Separaten Netz nur eine Domain (IP/Webserver) für das Netz mit den anderen zwei Fritzboxen über Wireguard freigeben.

Das würde - wenn das Konstrukt so aussieht, wie oben beschrieben - nur über eine Portweiterleitung/-freigabe auf der 7590 funktionieren.

Was genau hat das jetzt mit dem VPN zu tun und auf welchem Router hast Du das VPN eingerichtet?

 

[localweb]

Das würde - wenn das Konstrukt so aussieht, wie oben beschrieben - nur über eine Portweiterleitung/-freigabe auf der 7590 funktionieren.

Ja genau, so ist das Konstrukt aufgebaut.
IP-Netze:
5690Pro & 7590AX = 192.168.195.XXX
7590 = 192.168.196.XXX

OK, Portweiterleitung...
Leider erschließt sich mir nicht genau, wie ich hier die Portweiterleitung einrichte, ohne dass die fritzbox dann von außen zugänglich ist
Geht das?

 

[blurrrr]

Entweder landest Du via Wireguard im Netz der 5690Pro, dann musst Du auf der 7590 eine Portweiterleitung vornehmen, welche auf den mit gewünschtem Port auf den Webserver zeigt (Zugriff aus dem 5690er Netz dann via WAN-IP der 7590 + weitergeleiteter Port), oder Du hast den Wireguard-Port von der 5690 auf die 7590 weitergeleitet, so dass der Wireguard-Tunnel auf der 7590 endet. In diesem Fall wärst Du schon im Netz der 7590.

ohne dass die fritzbox dann von außen zugänglich ist

Bedeutet jetzt konkret was? Bekommst Du denn irgendwas an öffentlicher IP-Adresse?

 

[localweb]

Danke für deine Geduld
Und... ander Fragestellung damit ich da mitkomme..
Wie bekomme ich es hin, damit aus dem Netz der 5690Pro (192.168.195.XXX), ausschließlich auf die IP 192.168.196.120 der 7590 (im IP-Netz 192.168.196.XXX) zugegriffen werden kann.

Nein, ausgenommen der Fritzbox GUI, darf kein Zugriff von außen durchkommen.

 

[blurrrr]

Also grundsätzlich erstmal könnte es ein Problem mit Deinen Netzen geben: Das Fritz!Box-Gastnetz ist normalerweise "die Definition des normalen LAN + 1". Heisst für die 5690Pro: LAN = 192.168.195.0/24 und Gastnetz = 192.168.196.0/24. Hier würde es also Sinn machen, wenn man da einen Abstand von "2" zwischen den Netzen der 5690Pro und 7590 hätte (z.B. 195 und 197).

Wie bekomme ich es hin, damit aus dem Netz der 5690Pro (192.168.195.XXX), ausschließlich auf die IP 192.168.196.120 der 7590 (im IP-Netz 192.168.196.XXX) zugegriffen werden kann.

Nehmen wir als Beispiel mal die 192.168.196.100 für den Webserver und gehen wir mal weiterhin davon aus, dass dieser über Port 80/TCP (http) erreichbar ist. Du musst an der Fritz!Box 7590 eine Portweiterleitung einrichten. Ziel-IP 192.168.196.100, Port 80/tcp. Die Möglichkeit dazu hast Du bei der Fritz!Box im Webinterface unter "Internet / Freigaben". Wenn Du die Portweiterleitung/-freigabe eingerichtet hast, kannst Du den Webserver unter "http://<WAN-IP 7590>" ansprechen.

Da Du diese Portweiterleitung "nur" für den Webserver und "nur" für Port 80/TCP eingerichtet hast, gibt es auch keine Möglichkeit, auf andere Dinge im Netz der 7590 aus dem Netz der 5690Pro zuzugreifen.

War es das, was Du mittels Wireguard lösen wolltest? Wenn Du bereits einen bestehenden Wireguard-Zugang für das Netz 192.168.195.0/24 hast, könntest Du auch auf den Webserver zugreifen (halt über die WAN-IP der 7590).

 

[localweb]

Hier würde es also Sinn machen, wenn man da einen Abstand von "2" zwischen den Netzen der 5690Pro und 7590 hätte (z.B. 195 und 197).

Danke für die Info wusste ich bisher nicht, ich habe daher eher zufällig einen Abstand von 2. Meine IP-Angaben hier waren als Beispiel.

Da Du diese Portweiterleitung "nur" für den Webserver und "nur" für Port 80/TCP eingerichtet hast, gibt es auch keine Möglichkeit, auf andere Dinge im Netz der 7590 aus dem Netz der 5690Pro zuzugreifen.

War es das, was Du mittels Wireguard lösen wolltest? Wenn Du bereits einen bestehenden Wireguard-Zugang für das Netz 192.168.195.0/24 hast, könntest Du auch auf den Webserver zugreifen (halt über die WAN-IP der 7590).

Ja, eine solche Möglichkeit benötige ich. (Port 443, nutze SSL-Zertifikate)
Das mit der von dir beschriebenen Portweiterleitung ist mir bekannt, mache ich damit dann jedoch nicht die IP 192.168.196.100 auch von außen erreichbar?
Das möchte ich vermeiden und nutzte daher diese Möglichkeit bisher nicht.

 

[Spielebernd]

Ja, eine solche Möglichkeit benötige ich. (Port 443, nutze SSL-Zertifikate)
Das mit der von dir beschriebenen Portweiterleitung ist mir bekannt, mache ich damit dann jedoch nicht die IP 192.168.196.100 auch von außen erreichbar?
Das möchte ich vermeiden und nutzte daher diese Möglichkeit bisher nicht.

Nein machst du nicht.

Alles was aus dem Internet kommt landet bei der 5690 Pro. Da du hier nichts frei gibt’s endet das Paket hier. Dafür hast du den WG Tunnel zur 5690 Pro. Damit du aber durch die Kaskade vom WG-Tunnel aus auf den Webserver hinter der 7590 kommst musst der Firewall sagen das die Anfrage von der 5690 aus rein darf und wohin es soll.

Also der Aufruf von 192.168.196.100:443 geht nirgendwo.
Der Aufruf von der WAN-IP der 7590 mit Port 443 geht nur aus dem Netzwerk der 5690 Pro und nicht aus dem Internet heraus.
Der Aufruf der WAN-IP der 5690 Pro geht nicht (außer du hast hier noch irgendwo Portfreigaben).
Ein WG-Tunnel zur 5690 Pro und der WAN-IP der 7590 mit 443 geht.

Eventuell wäre auch eine Lösung den Webserver an der 5690 Pro anzuschließen wenn hier bereits ein WG-Tunnel besteht dann brauchst du auch nichts weiter einrichten und kannst mit der IP-Adresse direkt aufrufen.

 

[localweb]

Prima, vielen Dank
(Keine anderen Portfreigaben, nur Wireguard für den Extern-Zugriff auf das jeweils ganze Netz.)

Eventuell wäre auch eine Lösung den Webserver an der 5690 Pro anzuschließen wenn hier bereits ein WG-Tunnel besteht dann brauchst du auch nichts weiter einrichten und kannst mit der IP-Adresse direkt aufrufen.

Der Webserver ist eine VM im Subnetz, dient aussschlieslich der Automation/IoT.
Dh der Webserver muss mit den unterschiedlichsten Devices in dem Netz kommunizieren können, die wiederum von den Usern mit den unglaublichsten fragwürdigen Apps auf Ihren Smartphones und Pads, geschützt werden müssen

Manchmal glaube ich, die internen User-Apps sind ein grösseres Übel wie ein geöffneter Port über SSL

 

[blurrrr]

Sollte theoretisch auch möglich sein, dass in der VPN-Konfiguration nur die WAN-IP der Fritz!Box via Port 443/TCP erreichbar ist. Halt in der Konfiguration sowas wie 0.0.0.0/0 (alles), oder 192.168.195.0/24 (Netz der 5690Pro) durch ein 192.168.195.2 (WAN-IP 7590) pro ersetzen. Habe das selbst aber nie ausprobiert bei Wireguard, könnte man aber ggf. mal testen.