VPN-Wireguard - FritzBox Dienste

[Ahnungslos]

Hallo zusammen,

ich bin neu hier - insofern erstmal schon mal besten Dank für die hoffentlich verständnisvolle Hilfe in meinen ersten Bemühungen, mich in das Thema Heimnetzwerk einzuarbeiten. Ich hoffe, ich habe auch das richtige Unerforum getroffen. Wenn nicht, bitte ich um entsprechendes Verschieben.

Wir besitzen seit langem eine Fritz!Box 7590, ohne diese außerhalb ihrer Basiseigenschaften zu nutzen. Da ich mir nun ein NAS bestellt habe, möchte ich mich ein wenig mehr mit dem Thema - insbesondere Datensicherheit - auseinandersetzen. Und da fangen meine Verständnisprobleme schon an:

Ich habe VPN Wireguard wie in den Anleitungen beschrieben auf meinem iPhone installiert (wird dort auch im Display als aktive Verbindung angezeigt). In der Fritz!Box ist diese Verbindung ebenfalls aktiv. Gleichzeitig ist aber unter FritzBox Dienste auch ein TCP Port für Https aktiviert.

Daher meine Frage: Bedingt das eine auch das andere?

Ich habe übrigens auch einmal die VPN-Verbindung im Handy deaktiviert. Dennoch konnte ich über die FritzApp auf die Fritz!Box zugreifen (Vermutlich aufgrund der vorgenannten Portfreigabe). Deaktiviere ich die Portfreigabe kann ich aber auch bei aktivierter VPN-Verbindung nicht auf die Fritz!Box zugreifen.

Ich danke daher für eine kurze Erklärung als Starthilfe. Lese mich auch gerne extern bei einer Empfehlung weiter ein. Im Moment weiß ich nur noch nicht genau, wonach ich suchen muss.

Wie gesagt: Vielen Dank für das Verständnis für diese und sicher noch die ein oder andere Frage in der nächsten Zeit mehr.

Gruß
Ahnungslos

 

[Barungar]

In der Fritz!Box ist diese Verbindung ebenfalls aktiv. Gleichzeitig ist aber unter FritzBox Dienste auch ein TCP Port für Https aktiviert.

Daher meine Frage: Bedingt das eine auch das andere?

Nein, das bedingt sich nicht. Und die gebräuchliche Empfehlung an dieser Stelle ist es, den https-Zugriff zu deaktivieren.
Ein Zugriff per VPN ist regelmäßig sicherer als ein offener https-Port der Fritzbox.

Deaktiviere ich die Portfreigabe kann ich aber auch bei aktivierter VPN-Verbindung nicht auf die Fritz!Box zugreifen.

Du musst, wenn das https deaktiviert ist, auf Deine FritzBox (bei bestehender VPN-Verbindung) auf die interne IP-Adresse zugreifen. Ein Zugriff auf die externe IP per https ist nicht mehr möglich, wenn man es deaktiviert.

 

[blurrrr]

Hi und willkommen

Daher meine Frage: Bedingt das eine auch das andere?

Nein, das sind 2 völlig unterschiedliche Dinge. Grundsätzlich verhält es sich so: Ein Gerät im Netz, welches einen Dienst nach aussen anbietet, benötigt einen offenen Port für diesen Dienst (damit dieser von anderen Teilnehmern erreichbar ist). Ein Drucker ist da ein gutes Beispiel, oder auch einfach die Fritzbox, welche - in der Standard-Einstellung - auch einen "Webserver" im lokalen Netzwerk bereitstellt, damit Du da überhaupt auf die Weboberfläche zugreifen kannst.

Jetzt ist es so, dass "unterschiedliche Dienste" auch "unterschiedliche Ports" benutzen. Dafür gibt es auch eine "Standard"-Liste (oder auch die "well-known ports"), diese findest Du z.B. hier: https://de.wikipedia.org/wiki/Liste_der_standardisierten_Ports. Ein paar dieser "Ports" benutzt Du sicherlich jeden Tag (z.B. DNS 53/UDP, NTP 123/UDP, HTTP 80/TCP, HTTPS 443/TCP, usw.).

Jetzt kann man sich sicherlich schon irgendwo denken, dass "Web" (HTTPS) nichts mit "VPN" zu tun hat. Ab hier wird es jetzt eigentlich recht einfach, denn: Wikipedia ist so nett und hat die Standard-Ports auch meist direkt bei den Einträgen hinterlegt:

HTTPS: https://de.wikipedia.org/wiki/Hypertext_Transfer_Protocol_Secure
-> s. Kasten rechts unter "Port" -> "443/TCP"

Wireguard: https://de.wikipedia.org/wiki/WireGuard
-> Hier fehlt jetzt leider die Angabe eines "Standard"-Ports, stösst man aber mal eine Google-Suche z.B. mit "wireguard standard port", stösst man ganz schnell auf etliche Beiträge, welche besagen: "51820/UDP"

Das geübte Auge wird jetzt schnell feststellen, dass 443/TCP und 51820/UDP zwei völlig unterschiedliche Dinge sind. Wireguard wird benutzt und funktioniert, damit kann man erstmal einen Haken an den Port 51820/UDP machen. Bleibt noch 443/TCP (HTTPS). Du sagtest etwas von:

Gleichzeitig ist aber unter FritzBox Dienste auch ein TCP Port für Https aktiviert

Hier gilt es mal zu unterscheiden, denn bis auf den Reiter "Portfreigaben" (Internet/Freigaben) bezieht sich alles auf die Fritzbox "selbst". Somit auch der Punkt der Fritzbox-Dienste. Du hast vermutlich einfach den Haken beim ersten Punkt drin (ist es jedenfalls bei mir), welcher besagt: "Internetzugriff auf die FRITZ!Box über HTTPS aktiviert". Heisst, dass dadurch ein Zugriff aus dem Internet auf das Webinterface der Fritzbox ermöglicht wird. Brauchst Du eigentlich nicht, denn via VPN solltest Du auch einfach über die interne IP (per default 192.168.178.1) der Fritzbox an das Webinterface kommen (natürlich nur, wenn Du via VPN eingewählt bist)

Für ein grundlegenderes Verständnis würde ich auch empfehlen, sich mal das OSI-Schichtenmodell anzuschauen. Muss man jetzt nicht alles komplett verstehen, es geht nur darum, dass man einen "groben Eindruck" davon bekommt, wie die Dinge funktionieren. Eigentlich wäre jetzt auch ein Wikipedia-Link fällig, aber das ist für normale Leute schon recht "komplex", hier wurde es etwas einfacher beschrieben: https://www.ionos.de/digitalguide/s...odell-referenz-fuer-standards-und-protokolle/, dummerweise gefällt mir die Reihenfolge der Erklärungen nicht, tu Dir einfach selbst einen Gefallen und bei den Erklärungen zu den einzelnen Schichten einfach bei Schicht "1" an (und dann Schicht für Schicht hoch bis "7"). Warum so? Jede Schicht baut auf der jeweils darunter liegenden auf (als kleines Beispiel: "HTTP" -> "443/TCP") So, das reicht jetzt aber auch erstmal, ist eh schon wieder viel mehr geworden, als ursprünglich angedacht...

EDIT: Nu stand das hier ein paar Stunden vorgeschrieben rum und ich war mit anderen Dingen beschäftigt und jetzt war @Barungar mit seiner wesentlich kürzeren Antwort schon schneller, ich poste es jetzt trotzdem, einfach nur für das "ein bisschen einlesen", damit irgendwo evtl. schon ein gewisses grundlegendes Verständnis für die Dinge aufgebaut werden kann

 

[Stationary]

wireguard standard port", stösst man ganz schnell auf etliche Beiträge, welche besagen: "51820/UDP"

Hier macht die Fritzbox aber meist was sie will und wählt zufällig Ports aus. Auf meine 7590 beispielsweise 56xxx, auf der 6820 ein anderer. Auf den Fritzboxen wird da kein Standardport gewählt, sondern einer gewürfelt.

 

[Barungar]

Kann ich bestätigen, der Wireguard-UDP-Port ist ein zufälliger ephemeral Port. Bei meiner 7583 z.B. 587xx und bei einer 7490, die ich im Zugriff habe, ist es 547xx

 

[blurrrr]

Ging auch eher darum, dass es für die meisten Dinge irgendwo gewisse "Standards" gibt. Je nach Gerät besteht ggf. auch die Möglichkeit, dass der Port einfach angepasst werden kann (gilt ja auch für z.B. Webserver), halt ein bisschen Allgemeinbildung und so

 

[Barungar]

Eine gute Übersicht, welche Ports (sei es IPv4 oder IPv6 bzw. UDP oder TCP) die eigene FritzBox so offen und hat meistens auch direkt mit einem Link, wo man es ändern kann findet man übrigens unter: Diagnose / Sicherheit





Da steht dann welcher Port geöffnet ist, welche(s) Protokoll, wofür der Dienst ist und ganz recht direkt der Link zur Änderung, wenn man es abschalten will.

 

[Ahnungslos]

Hallo,

vielen Dank für Eure Hilfe. Zugang über VPN klappt nun auch ohne den FritzBox-Dienst. Super!

Mit den Quellenangaben und den Fachbegriffen aus Euren Beiträgen werde ich mich die nächsten Tage einmal auseinandersetzen - in der Hoffnung, dass ich es dann verstehe

Noch eine letzte Frage für diesen Thread: Wenn ich nun ein NAS an die FritzBox anschließe: Ist es dann nicht automatisch über den VPN-Zugang "gesichert" und ich könnte auf einen extra-VPN-Zugang dazu verzichten?

Besten Dank
Ahnungslos

 

[the other]

Moinsen,
wenn du auf deiner Fritzbox den VPN Server erfolgreich laufen hast, dann reicht das natürlich aus
Du schließt dein NAS per LAN an die Fritzbox an, dabei solltest du Geräten im Heimnetz eine feste IP vergeben lassen, so dass diese Geräte immer unter dieser erreichbar sind (also zB NAS, Drucker...). #edit: oder du richtest auf dem jeweiligen Gerät selber eine feste IP ein...ist ein eigenes Thema, gerne dafür einen neuen Thread erstellen, falls Fragen bestehen sollten...

Wenn du nun im Cafe umme Ecke sitzt und mal schnell auf dein NAS willst, dann wählst du dich entweder in dein Mobilfunknetz am Handy ein oder nutzt das kostenfreie WLAN vom Cafe. Du baust dann die VPN Verbindung zur Fritzbox auf. Ist diese erfolgreich hergestellt, dann bist du (auch im Cafe sitzend) quasi wie daheim: direkter Zugriff zum Log In aufs NAS, eben so als wärst du im eigenen Heimnetz.
Es ist (gerade für fremdes WLAN) immer eine Überlegung wert, dass SÄMTLICHER Verkehr durch den VPN Tunnel geleitet wird (so dass im fremden WLAN keiner deine Log In Daten mitschneidet, das geht nämlich sonst). Ist auch praktisch, wenn du im fremden WLAN andere vertrauliche Dinge im Internet regeln willst (Banking App im Ausland um nochmal schnell Geld zu überweisen usw).

Also: im eigenen Heimnetz den VPN einrichten (hier auf deiner Fritzbox), dann braucht es nicht noch einen weiteren auf dem NAS.

 

[Ahnungslos]

Auch Dir vielen Dank - ist wirklich ein interessantes Thema und mit ein wenig Starthilfe macht es auch Spaß, sich reinzufuchsen...

 

[the other]

Moinsen,
Ja, das tut es.
Und falls dann mal Fragen auftauchen oder ein Projekt vorgestellt werden will...ab ins Forum damit.