Gibt es eine Möglichkeit eine FB7490 hinter einer Orange Livebox 4 in Frankreich zu betreiben und Myfritz/Wireguard zu nutzen?

[BelAir]

Als Laie bitte ich um Expertenrat.
Ich habe ein Sommerhaus in Frankreich und möchte gerne von meiner deutschen Adresse aus auf IP Kameras und Smart home Geräte zugreifen. Leider gibt es in Frankreich den Routerzwang und ich bin an die vom Provider gelieferte Livebox 4 gebunden. Ich würde gerne eine vorhandene FB 7490 dort einsetzen, um Myfritz und VPN über Wireguard zu nutzen und um nicht bei jedem Providerwechsel das Heimnetz neu konfigurieren zu müssen. Leider wäre das eben nur als 2. Router hinter der Livebox möglich. Der Provider rückt die Zugangsdaten nicht heraus und damit ist der direkte Betrieb der FB am ADSL Netz nicht möglich.
Damit entsteht nach meinem Verständnis das Problem, dass die FB die externe IP nicht kennt sondern nur die interne, von der Livebox vergebene IP im lokalen Netz.
Gibt es da irgendeine Möglichkeit, um die externe IP der FB bekannt zu machen und dann über Wireguard einen VPN Tunnel auf das örtliche Netz der FB zuzugreifen?
Danke für eure Ratschläge.
Frank

 

[UdoAA]

Nur, wenn die Livebox einen WAN Port hat und die Fritte daran angeschlossen würde.
Wenn die Fritte nur eine interne IP bekommt, sieht es schlecht aus.
Wußte garnicht, dass Frankreich so Endkunden feindlich ist...

Edit: Oder wenn du in der Livebox eine Portweiterleitung machen könntest, da kannst Du den Wireguard Port auf der Fritte in der Livebox öffnen und an die Fritte weiterleiten. Dann hast du aber kein myfritz.

2. Edit: Haber mir mal die Webseite des Herstellers der Livebox angesehen. Dort ist noch nicht mal eine Bedienungsanleitung. Würde also vermuten, dass du Pech hast.

Warum nicht anstatt des DSL Anschlusses einen Mobilfunkvertrag abschliessen ohne Handy und dann eine passende Fritzbox für Mobilfunk nehmen?

 

[BelAir]

Ja, die FB hängt dann über Port 1 in der DMZ der Livebox. Der Port 1 der FB wandelt sich dadurch zum WAN Port. Esgibt auch die Möglichkeit zur Portweiterleitung. Das Öffnen des Wireguardports der FB sollte also möglich sein.
Ist das der Port, der in der Myfritzadresse der FB genannt ist?
Es bliebe dann nur die Frage wie man die externe IP an Myfritz bekommen könnte.

 

[UdoAA]

Dann würde ich Dir den Anschluß an Port 1 also WAN der Livebox raten.
Damit kannst Du sowohl Wireguard als auch myfritz nutzen.

 

[Stationary]

Hat die Livebox4 keinen eigenen VPN-Server? Den Bildern der Bedienoberfläche nach kann man ein DynDNS hinterlegen:

Amüsanter Tippfehler, den sie da in der Oberfläche haben…ist der inzwischen korrigiert?

Das Handbuch ist in der Tat eher nichtsaussagend. https://cdn.woopic.com/c10f167280f2...8_2_guide_installation_livebox_4_20170529.pdf

 

[Stationary]

Ich habe ein Sommerhaus in Frankreich und möchte gerne von meiner deutschen Adresse aus auf IP Kameras und Smart home Geräte zugreifen.

Was für Smarthome-Geräte sind das und was für Kameras? Eventuell liesse sich so etwas über einen Raspi mit Tailscale, einer Homebridge oder Homeassistant-Installation und einer Videoüberwachungssoftware lösen, da würde z.B. NxVMS auf dem Pi5 mit Ubuntu laufen. Über Tailscale erreichst Du den RasPi und kannst über dann auf alle dort laufenden Installationen zugreifen.

 

[BelAir]

Dann würde ich Dir den Anschluß an Port 1 also WAN der Livebox raten.
Damit kannst Du sowohl Wireguard als auch myfritz nutzen.

Das macht keinen Unterschied. Verhalten am LAN Port 1 wie 3 ist völlig gleich.

 

[BelAir]

Die Oberfläche der Livebox sieht noch genauso aus. Es gibt ja auch schon die Nachfolger 5 und 6. Da glaube ich, dass Orange nichts mehr in die "Weiterentwicklung" der 4 steckt. Insbesondere auch weil in F die Glasfaser gepuscht wird und eigentlich kein neuer DSL Anschluss/Vertrag mehr angeboten wird. Hier war es ein Sonderfall. Über 2 jahre ist es nicht gelungen eine uralte Kupferleitung zu reaktivieren oder eine Anbindung an die Faser auf der anderen Seite des Flusses herzustellen und nach etwa 15 Technikerbesuchen hat man am Ende dann doch die Kupferleitung wieder zusammengklemmt und die LB 4 geliefert. Über den ganzen Vorgang könnte man schon ein Buch schreiben.
Es sind Shellys, Tradfree und Reolink Kameras.

Es gibt anscheinend eine LB 4 und eine LB4 PRO. Die 4 hat zwar DYNDNS aber kein VPN an Bord. Die 4 PRO scheint für Gewerbekunden reserviert zu sein und scheint, ich habe irgendwo eine Anleitung zum konfigurieren des VPN gesehen, VPN an Bord zu haben. Habe bei Ebay eine gebrauchte Pro für 20€ gefunden. Hab das Teil bestellt und hoffe, dass sie sich auch mit dem Provider verbindet und VPN hat. Wenn nicht, dann geht sie halt in die Tonne.
Deine Vorschläge mit Raspi etc. sind für mich zu hoch. Wie schon erwähnt, ich bin Laie und kratze man eben an der Oberfläche des Netzwerkwissens. Deswegen auch Myfritz. Das ist sogar für mich zu handhaben.

Wenn das mit der LB 4 PRO klappt, dann brauch ich die FB nicht mehr in der 2.Reihe und brauche nur die LB und DYNDNS.

 

[Stationary]

Keine Sorge, ich bin auch kein Profi, wenn es mit der Pro ginge, wäre natürlich gut. Weißt Du schon, was die für ein VPN-Protokoll verwendet?

 

[BelAir]

Gestern auf blauen Dunst hin bestellt und warte auf die Lieferung. Warte erstmal ab ob sich das Teilüberhaupt mit Orange Servern verbindet. Die gute alte try and error Methode.
Wenn ja, dann gehts weiter mit suchen.

 

[BelAir]

Die Option mit der Livebox 4 Pro hat keinen Erfolg gebracht.

Jedoch bietet IPv6 möglicherweise einen anderen Weg.
Orange unterstützt native IPv6 Anbindungen. Der Orange Router sieht auch eine externe IPv4 und eine externe IPv6. Die FB hängt in der DMZ der Livebox und in der Livebox wird eine Prefix IPv6 X:X:X:X::/56 angezeigt. (Jedes X steht für eine 4er Gruppe). Der DHCPv6 Server der Livebox hat der FB ein IPv6 Präfix X:X:X:Y::/64 zugewiesen. Diese Adresse taucht auch im Myfritz Konto als X:X:X:Y::/1 neben der internen IPv4 Adresse (nicht aus dem Internet erreichbar) auf.
Wenn man dann über Myfritz versucht über die IPv6 Adresse auf die FB zuzugreifen, dann kommt keine Verbindung zustande.

Kann da jemand weiterhelfen?

 

[blurrrr]

Wenn man dann über Myfritz versucht über die IPv6 Adresse auf die FB zuzugreifen, dann kommt keine Verbindung zustande.

Hast Du denn in der Orange-Box auch eine entsprechende Portfreigabe (Wireguard) auf die Fritzbox eingerichtet? Ohne diese, wird kein Zugriff auf die Fritzbox möglich sein (trotz öffentlicher IP der Fritzbox, sitzt da noch immer die Firewall der Orange-Box davor).

Zudem muss auf Client-Seite auch sichergestellt sein, dass sich dieser via IPv6 ins Internet bewegen kann. Sitzt man Client-seitig hinter einem reinen IPv4-Anschluss, wird das nix.

 

[BelAir]

Die FB ist in der Livebox in die DMZ gesetzt. Ich verstehe DMZ so, dass alle Anfragen aus dem Netz ohne weitere Portfreigaben ungehemmt an die FB weitergehen und die Firewall der FB tätig ist. Wenn das nicht so ist,dann bitte ich um Korrektur.

Die Orange Hilfe Seiten sagen, dass an allen Anschlüssen natives IPv4 und IPv6 aktiv ist. Die Lb zeigt auch eine IPv4 und eine IPv6 Adresse.
Wie kann ich die IPv6 Funktion testen?

 

[blurrrr]

Kann ich nicht sagen, DMZ heisst für mich eigentlich eher: eine "zwischengelagerte" Zone, wo man sowohl von extern, als auch extern dran kommt (bedingt aber noch immer entsprechende Regeln). Das was Du meinst, kenne ich eher als "Exposed Host". Im Zweifelsfall würde ich solche Dinge aber unterlassen, so wie ich das bisher verstanden habe (hab nicht wirklich was mit Wireguard an der Mütze), braucht es ja lediglich eine Portfreigabe (Wireguard) von der Orange-Box auf die Fritzbox.

Wie kann ich die IPv6 Funktion testen?

Wireguard-Config auf der Fritzbox erstellen, Portfreigabe auf der Orange-Box für den Wireguard-Port auf die Fritzbox und dann mal eine Einwahl versuchen. Theoretisch sollte dann schon etwas entsprechendes bei der Fritzbox ankommen (da hilft ggf. auch ein Blick in die Ereignisse im Fritzbox-Webinterface).

 

[the other]

Moinsen,
keine Ahnung wie die Termini auf der Box so sind...
Aber du meinst vermutlich eher einen Exposed Host als Einstellungen...denke ich mal so.
DMZ (De-militarized Zone) ist eher ein getrennter Bereich im Netzwerk, von außen und innen erreichbar ist > https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/131_DMZ-in-FRITZ-Box-einrichten/
und
https://de.wikipedia.org/wiki/Demilitarisierte_Zone_(Informatik)

Exposed Host meint dagegen eher: ein Gerät, das nicht mehr durch die Firewall (NAT) des Routers geschützt ist, so dass alle Anfragen direkt an den host weitergehen (quasi alle Ports offen ins Netz zeigen).

Und AVM (fritzbox) sagt weiter: https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7490/131_DMZ-in-FRITZ-Box-einrichten/

 

[BelAir]

Der Exposed Host kann gut zutreffen. In der Livebox wird es jedoch als DMZ bezeichnet (siehe Bild DMZ). Nur mit der Einstellung läuft auch Internetverkehr über die FB. Auch der Fritz-Ratgeber weist ja darauf hin, dass einige Router den EH als DMZ bezeichnen.

Ich werde erstmal weiter fummeln und die Wireguard auf dem Handy einrichten und an einem langsamen Mobilnetz testen. Vom PC von innen draußen an die Tür zu klpüfen erscheint mir kompliziert und nicht verlässlich.

 

[the other]

Moinsen,
wie ist es bei der Livebox mit IPv6 präfix Delegation? Hast du das aktiviert?
Ich habe zB hier folgendes setting:
eine Fritzbox empfängt vom ISP als Internetrouter ein /56er Netz. Daraus leitet die Fritzbox dann /64er ab für LAN, Gast WLAN und ein /57er für den dahintergelagerten Router. Dieser bekommt dank der Präfix Delegation Funktion somit nicht nur eine IPv6, sondern ein (zu definierendes) IPv6 Netz. Daraus kann ich dann wiederum auf diesem 2. Router diverse /64er Netze abbilden für meine LAN Segmentierung in VLANs.

Wenn du also den franz. ISP Router (Livebox) mit meinem Internetrouter gedanklich ersetzt, hier dann ggf die Funktion Präfix Delegation aktivieren kannst UND dazu zB aus dem angebotenen /56er deines Anbieters ein zB /57er delegierst, dann bekommt die Fritzbox dieses und kann daraus auch zB LAN, Gast LAN als /64er abbilden. Dazu sollte der 2. Router (bei dir die Fritzbox) als exposed host im Routermodus arbeiten. Damit bekommt sie dann alle wichtigen Infos...für das Erreichen sollte dann der DynDNS Eintrag auf der Fritzbox (dem 2. Router) sein, denn du willst ja DIESEN direkt (IPv6!!) erreichen. Auch wenn du auf der Fritzbox dann den VPN / wireguard Server laufen lässt, ist dieser dann dank DynDNS (z.B. Myfritz) so erreichbar.

 

[the other]

Moinsen,
habe eben mal kurz gegoogelt (kann ja nicht alles wissen heutzutage )...
Ich hab direkt einen link gefunden (Suche: Livebox4 IPv6 prefix delegation) zu einem blog (französisch). Hier wurde das getestet.
Ergebnis: die Box bekommt zwar ein /56er kann aber nur ein zufälliges /64 delegieren.
Damit wäre es meines Wissens trotz ausreichender Größe des vom ISP zugeteilten Präfixes NICHT möglich, dahinter mehrere Subnetze (LAN, GAST LAN usw) abzubilden um IPv6 zum Laufen zu bringen (kleiner als /64 ist nicht empfehlenswert). Schade und was eine Verschwendung an Adressen...komisch.

 

[Barungar]

Für mich sieht das so aus, alsob das DMZ-Feature nur für IPv4 greift. Du möchtest doch aber per IPv6 zugreifen.
Irgendwie habe ich das "Gefühl", das bei IPv6 noch keine Portfreigabe besteht.

 

[BelAir]

Moinsen,
habe eben mal kurz gegoogelt (kann ja nicht alles wissen heutzutage )...
Ich hab direkt einen link gefunden (Suche: Livebox4 IPv6 prefix delegation) zu einem blog (französisch). Hier wurde das getestet.
Ergebnis: die Box bekommt zwar ein /56er kann aber nur ein zufälliges /64 delegieren.
Damit wäre es meines Wissens trotz ausreichender Größe des vom ISP zugeteilten Präfixes NICHT möglich, dahinter mehrere Subnetze (LAN, GAST LAN usw) abzubilden um IPv6 zum Laufen zu bringen (kleiner als /64 ist nicht empfehlenswert). Schade und was eine Verschwendung an Adressen...komisch.

Ja, Frankreich mit seinem Routerzwang ist eine ziemliche Servicewüste für Endkunden. In den Orange Foren werden oft kritische Fragen zur Abhilfe bei fehlenden oder mangelhaften Funktionen der Router gestellt. Dabei taucht dann immer ein Beitragschreiber auf, der die vom ISP bereitgestellten Router als das Nonplusultra dieser Welt darstellt. Andere Varianten wären für die breite Masse der Nutzer viel zu teuer und nur durch die große Masse der Geräte sei ein für die Masse tragbarer Preis möglich. Meiner Meinung nach völliger Schwachsinn und sehr verwunderlich, da die Franzosen doch sonst gerne auf die Barrikaden gehen.

Nach einem Test mit test-ipv6.com direkt an der Livebox wird noch nicht einmal hier eine IPv6 Adresse erkannt.

Ich muss hier erstmal aufgeben und werde mehr über Internet via Satellit nachdenken.

Ich danke Allen, die mit ihren Anregungen und Hinweisen helfen wollten.