Probleme beim Zugriff auf vereinzelte Netzwerkgeräte über FritzBox WireGuard

[zte1m]

Ich habe in meiner Fritz!Box 7590 mehrere WireGuard-Verbindungen eingerichtet, um von extern per App oder Dateimanager unter anderen auf folgende Geräte zuzugreifen:

Reolink-Kameras
Home-Server
Jellyfin
HomeAssistant
TP-Link Tapo-Steckdosen

Aktuelle Situation:
Alle genannten Geräte sind über die Kindersicherung der Fritz!Box vom Internetzugang ausgeschlossen.
Im lokalen Netzwerk funktioniert der Zugriff auf alle Geräte per App und Dateimanager problemlos.
Über WireGuard (extern) sind jedoch nur einige Geräte erreichbar.

Frage:
Warum ist der Zugriff über WireGuard nicht für alle Geräte möglich?
Theoretisch sollte WireGuard den externen Zugriff so simulieren, als befände ich mich im lokalen Netzwerk.

 

[Helmut-H]

Hi,

ist die aktuelle Fritz!OS Version 8.25 installiert? Wenn nicht, dann mach es.

Edit: Haben ALLE Geräte einen eindeutigen Gerätenamen?

Verbindest du die Geräte über den Namen oder die IPv4-Adresse?

 

[zte1m]

Hallo Helmut,

mein Netzwerk ist vermutlich etwas größer als bei den meisten privaten Anwendern.
Verbunden sind alle im Fritz!Mash per LAN oder WLAN

Kurz zur aktuellen Konstellation:

Fritz!Box 7590 - als Zentrale - Fritz!OS: 8.25

2x Fritz!Box 7590 AX - Fritz!OS: 8.25 - über LAN an Switch/Zentrale
1x Fritz!Box 7590 - Fritz!OS: 8.25 - über LAN an Switch/Zentrale
2x Fritz!Box 7490 - Fritz!OS: 7.62 - über LAN an Switch/Zentrale
1x Fritz!Box 7580 - Fritz!OS: 7.30 - über LAN an Switch/Zentrale
1x Fritz!Repeater 2700 - Fritz!OS: 8.07 - über LAN an Fritz!Box 7590 AX
1x Fritz!Repeater 1200 AX - Fritz!OS: 8.20 - über wLan automatisch
1x Fritz!Repeater 2400 - Fritz!OS: 8.20 - über LAN an Fritz!Box 7590 AX

1x Fritz!Box 7490 - Fritz!OS: 7.62 - externes Netzwerk über WireGuard an Zentrale

Den Clients habe ich eindeutige Namen vergeben und die Geräte werden über IPv4 verbunden.
Alle FritzGeräte haben die aktuellste Firmware installiert.

Wie bereits erwähnt funktionieren die Verbindungen innerhalb des Netzwerkes tadellos. Wenn ich über WireGuard auf Netzwerkgeräte zugreifen möchte funktioniert das bei einigen Geräten allerdings nicht, obwohl all diese Geräte mit den gleichen Einstellungen vom Internetzugang ausgeschlossen sind.

 

[blurrrr]

Moin,

also bevor man da nun wild durch die Gegend rät, wäre es vielleicht sinnvoll, wenn Du es einfach mal visuell machst. Guckst Du mal hier rein: Software zum Erstellen von Netzwerk-Plänen/-Übersichten. Ich mein, ist klar - Du hast irgendwo eine Fritz!Box, daran hängt ein Switch. Neben dem Switch hängen noch ein paar Repeater via LAN dran. Am Switch hast Du nun noch div. Fritz!Boxen angeschlossen und die sind "wie" konfiguriert? Werden die einfach als kleine Switche (ggf+ WLAN) genutzt, oder sind sie via WAN/LAN1 angeschlossen und haben selbst noch eigene Netze? Welche Fritz!Box übernimmt den Wireguard-Part? In welchen Netzwerken hängen überhaupt welche Geräte, oder ist einfach alles nur ein großes Netz? Das wäre schon irgendwie vorher zu klären

 

[zte1m]

Hallo blurrrr,

sooo kompliziert ist mein Hausnetzwerk nicht aufgebaut.
Ich habe mal das Schema der Fritz!Box von heute angehängt. (kann je nach Nutzung auch noch umfangreicher werden)



+ alle Geräte (bis auf die Gastgeräte) sind im selben IP-Bereich erreichbar (192.168.10.XXX)
+ WireGuard wird von der Zentrale (192.168.10.1) zur Verfügung gestellt
+ alle Fritzboxen senden auch ein wLan auf 2,4 und 5 GHz mit gleicher SSID aus
+ alle AVM Geräte übernehmen via Fritz!Mash die Einstellungen der Zentrale

Nur der vollständigkeitshalber habe ich erwähnt, dass noch ein weiteres Netz über WireGuard (192.168.20.XXX) eingebunden ist.
Das spielt aber eigentlich keine Rolle, da in diesem Netz (sowie auch im Gastnetz) keine Geräte eingebunden sind, welche wie im Startbeitrag erwähnt, erreicht werden sollen.

Im Prinzip also "einfach" ein großes Netz im IP Bereich 192.168.10. ***

 

[blurrrr]

Also kurz gesagt: ALle nachgelagerten Router sind eigentlich keine Router mehr, sondern einfach nur noch WLAN-APs und sämtliche Komponenten hängen zusammen in einem großen Mesh-Verbund. Lässt sich denn irgendein Muster bei der Nicht-Erreichbarkeit der Geräte ausmachen (z.B. alle in der gleichen Ecke, ggf. mit dem gleichen Repeater/AP verbunden, oder alle IP-Cams, etc.)?

 

[zte1m]

lso kurz gesagt: ALle nachgelagerten Router sind eigentlich keine Router mehr, sondern einfach nur noch WLAN-APs und sämtliche Komponenten hängen zusammen in einem großen Mesh-Verbund.

Genau so ist es.


über WireGuard sind nicht erreichbar
+ alle IP-Kameras
+ alle Steckdosen
+ Server (openmediavault), wenn er über SMB aufgerufen wird (über FTP und Jellyfin ist er erreichbar)

+ die IP-Kameras hängen an unterschiedlichen FritzBoxen alle per LAN
+ die Steckdosen an unterschiedlichen FritzBoxen per wLan

Die Geräte bekommen auch alle IPs aus dem Bereich 192.168.10.*** zugewiesen.

Den Server würde ich jetzt erstmal ausblenden wollen, da das SMB-Problem auch andere Ursachen haben kann.
Der Server ist nämlich auch nicht per SMB erreichbar, wenn er nicht durch die Kindersicherung gesperrt wird.

 

[blurrrr]

über WireGuard sind nicht erreichbar
+ alle IP-Kameras
+ alle Steckdosen

Das ist schon mal gut, "alle"-Probleme lassen sich meist besser und einfacher lösen als Einzelfälle Schau doch bitte mal nach, was für eine IP Dein VPN-Client bekommt, wenn Du via VPN eingewählt bist. Entweder ist es eine aus einem anderen Netz, oder eine aus Deinem 192.168.10.0/24.

Ich finde es halt grundsätzlich schon etwas merkwürdig, dass bei aktivierter Kindersicherung die Geräte nicht erreichbar sind (selbst wenn das VPN-Netz jetzt ein anderes wäre). Normalerweise gehen solche Konfigurationen auf "ausgehende" Verbindungen, aber k.A. wie das seitens der Fritz!Box gemacht wird (habe die Kindersicherung nie genutzt, meine Fritz!Boxen stellen lediglich den Internetzugang bereit, alles andere erledigen Gerätschaften dahinter).

Aber mal abseits davon... Ist es eventuell möglich, dass Du zu Deinen Kindersicherungsprofilen noch Ausnahmen hinzufügen kannst?

 

[Helmut-H]

Hi,

ganz sooo viele sind es bei mir nicht.

Versuch mal ob du ein Gerät welches du über IPv4 NICHT erreichst, über seinen Namen zu erreichen.