Zugriff auf LAN über Internet

orpheus77

New member
Hallo,
ich möchte auf mein internes LAN über das Internet zugreifen. Prinzipiell keine Hexerei, aber ich habe eine etwas kompliziertere Konstellation.
Der Internetzugang erfolgt über LTE auf einem Archer M500 Router. Dahinter sitzt die Fritzbox, die das interne LAN managed. Die Fritzbox hat die Adresse 192.168.1.253, vergibt die Adressen aus dem Netz 192.168.1.x und hängt am LAN1 am Archer 500 mit der IP 192.168.0.1. Gateway ist also 192.168.0.254 (Archer)
Ausgehend funktioniert das wunderbar, aber eingehend scheitere ich.
DDNS habe ich am Archer eingerichtet. Ich habe versucht am Archer eine statische Route auf das Netz 192.168.1.x zu legen aber das funktioniert nicht, wobei ich nicht weiß ob es die Route ist, oder ob die Fritzbox auf der Transferadresse 192.168.0.1 überhaupt keine Anfragen entgegen nimmt. Auf die GUI komme ich aus diesem Netz jedenfalls nicht.

Hat wer eine Idee, wie ich das bauen könnte?
LG Stefan
 
Mit einer Route hat das in diesem Fall nicht wirklich etwas zu tun. Der Gedanke wäre schon ganz richtig gewesen, WENN es kein SOHO-Router wäre, sondern z.B. eine richtige Firewall. Variante a) Portweiterleitungen auf beiden Geräten (nicht so schön), oder b) VPN einrichten (auf der Fritzbox). Wenn der Archer VPN-Passthrough unterstützt, könntest Du es mal damit versuchen. NAT-T wäre auf jedenfalls noch so ein Ding. Schau einfach mal hier rein: https://www.computerweekly.com/de/antwort/Wie-unterscheiden-sich-NAT-Traversal-und-VPN-Passthrough

Frage wäre z.B. auch, was Du im LAN erreichen willst und/oder ggf. stehen hast. Wenn Du dort z.B. ein System hättest, welches Dir auch OpenVPN bereitstellen könntest, könntest Du das auch entsprechend nutzen (das ist dann auch weniger aufwändig als IPSec).
 
Hi und Danke für die Antwort.
Ja mit den SOHO Geräten stoße ich hier an die Grenzen. VPN auf der Fritzbox wäre OK, aber nimmt die Fritzbox auf der Transfer IP (also die Richtung Router) überhaupt Verbindungen an? Die Gui kann ich vom transfernetz aus nicht aufrufen.

Im LAN möchte ich vorrangig den NAS erreichen um über WEBDAV Netzlaufwerke bereit zu stellen.
 
...Im LAN möchte ich vorrangig den NAS erreichen um über WEBDAV Netzlaufwerke bereit zu stellen.
In dem Fall würde ich zum Einsatz einer echten Firewall raten. Mit SoHo kommt man hier deutlich an Grenzen, die ich so nicht riskieren würde.
pfSense, opnSense, Sophos sind hier die Stichworte.

Gruss
 
Ist sicher überlegenswert, aber derzeit nicht im Budget drinnen. Ist die Fritzbox so viel unsicherer?
Abe egal ob jetzt als 2. Hop die Fritzbox oder eine Sophos werkt - das ändert ja an der Grundkonstellation nichts, da das internet ja vom LTE Router bereitgestellt wird
 
Bei Webdav kannst Du auch einfach 2x eine Portweiterleitung einrichten (schön ist anders, aber sei's drum). Alternativ das NAS mit einer Strippe in das vermeintliche Transfernetz hängen (als quasi DMZ)... auf dem Interface dann einfach alles dicht machen, ausser WebDAV. Primär wichtig ist nur, dass Du über das LTE-Interface überhaupt hinter den ersten Router kommst.
 
Über den LTE Router drüber in das Netz 192.168.0.* zu kommen sollte nicht das Problem sein. Ich bin mir wie gesagt nicht sicher, ob die Fritzbox (die ja die IP 192.168.1.253 hat) auf ihrem Interface 192.168.0.1 irgendeine Verbindung annimmt. Wenn ich sie auf diesem Interface erreichen will tut sich gar nix.
Muss ich da was frei schalten/konfigurieren?
Momentan läuft sie in dem Modus, dass sie das Internet bereit stellt, damit DHCP Sever, etc verfgügbar sind. Weil als reiner IP Client ist das ja alles deaktiviert.
 
Und wie beim VPN Passthrough das Ziel erreicht wird ist mir auch nicht ganz klar, weil im VPN Client kann ich ja nur die DDNS Adresse angeben, die terminiert auf dem LTE Router. Wie weiß der wo er hin routen soll.
 
Naja, als IP-Client könnte man das ganze natürlich auch laufen lassen - je nachdem, wie man das möchte - derzeit biste halt hinter einem doppelten NAT. Wenn das NAS noch einen ungenutzen LAN-Port hat, würde ich das NAS über diesen einfach direkt an den LTE-Router hängen und dort firewalltechnisch alles dicht machen, bis auf den benötigten WebDAV-Port.

Theoretisch sollte das übrigens durchaus funktionieren, wenn die Fritzbox von "extern" (auf dem WAN-Interface) angesprochen werden darf (was standardmässig nicht der Fall ist). Schauste mal hier nach, wie es da bei Dir aussieht:

1669038409818.png

Was VPN-Passthrough angeht, das hat etwas mit dem NAT-Mechanismus zu tun (dort werden Informationen umgeschrieben, welche mitunter nicht umgeschrieben werden sollten). Das wird aber automatisch erkannt, kannst auch nochmal z.B. hier schauen: https://www.ip-insider.de/was-ist-ipsec-passthrough-a-921125/.
 
Ich weiß nicht, was Du über Webdav alles bereit stellen willst, welche Art der Daten usw...
Aber (ich weiß, die Frage ist gemein): ist ein Verstoß gegen die DSGVO im Budget drin?
Das wird m.E. deutlich teurer als eine vernünftige Firewall. ;)
Und Du vermeidest diese rumfrickelei mit den Ports usw.

Gruss

P.S. Das mit dem Zugriff auf die FB geht nur, wenn die betreffende FB auch den Internetanschluss hat. Eine Box, die als IP Client oder sonst hinter einem anderen Router hängt, ist über Myfritz nicht zu erreichen!
Hier hilft nur ein VPN Tunnel zum Endpoint und von da aus weiter. Wobei ich das bei mir nur mit IP Clients eingerichtet habe und kein Doppel NAT.
 
P.S. Das mit dem Zugriff auf die FB geht nur, wenn die betreffende FB auch den Internetanschluss hat. Eine Box, die als IP Client oder sonst hinter einem anderen Router hängt, ist über Myfritz nicht zu erreichen!
Ist dem so? Ich mein, ich nutz den Kram nicht und hatte da grade nur den Screenshot erstellt, das hatte mit "myfritz" aber erstmal so garnichts zu tun (war auch an einer ganz anderen Stelle), da ging es nur um den Zugriff via WAN-Interface. Aber wie gesagt, k.A. ich hab mit sowas nix an der Mütze 😇
 
Ja, wenn man über das WAN Interface zugreifen will, dann muss das auch so sein. Aber das geht dann nicht über myfritz, sondern über den VPN Tunnel. Denn die "WAN" IP ist ja im LAN des "echten" Routers.

Gruss
 
Vielen Dank für Eure Antworten und Tipps.
Anscheinend hat es ein Problem mit der Portweiterleitung auf dem LTE Router und ich muss erst mal an der Stelle suchen.
Die Bedenken bezüglich DSGVO kann ich aber nicht nachvollziehen. Ich stelle ja keine Daten plain ins Internet sondern auf eine private Cloud.
 
Wenn aber auf diese Cloud aufgrund mangelnder Absicherung unauthorisiert zugegriffen werden kann, dann ist es egal wo die Daten liegen!
Wenn man Dienste für den Zugriff aus dem Internet bereit stellt, dann gehört eine professionelle Firewall einfach ins Konzept.
Alles andere ist russisch-Roulette.

Aber es handelt sich weder um meine Daten noch um meine Verantwortung. ;) DU musst wissen, was Du machst.

Gruss
 
Du hast natürlich recht wobei ich einen Zugriff über VPN per se nicht als unsicher einstufen würde.
Wenn die ganze Konstellation mal funktioniert werde ich drüber nachdenken die Fritzbox zu ersetzen.
 
Klar, mit VPN bist Du auf der sicheren Seite. Aber bisher klang es so, als ob das auch nur eine Überlegung für die Zukunft wäre.
Oder ich habe es schlicht missverstanden. :rolleyes:

Gruss
 
Hallo Zusammen

Ich finde die Hilfsbereitschaft in diesem Forum super, aber manchmal hab ich das Gefühl, dass die Antworten etwas komplizierter sind als nötig.

@orpheus77
Bei einer LTE Verbindung musst du zuerst klären, ob du vom Provider eine öffentlich erreichbare IP erhälst, oder hinter einem Carrier-Nat nur eine private IP (192.168.x.x, 10.x.x.x, 172.16.x.x)
Befindet sich die IP des WAN Ports deines Archer M500 in einem dieser Bereiche wirds schwierig, weil du nicht vom Internet her erreichbar bist, und beim Carrier-NAT kein Portforwarding einrichten kannst.

Solltest du eine öffentliche IP-Adresse zugeteilt bekommen, ist alles nicht so kompliziert.
Dann kommt es auf das VPN an, dass du nutzen möchtest.

Denn du richtest dann auf deinem Archer M500 ein Portforwarding zur IP-Adresse, welche die Fritzbox an der WAN-Schnittstelle vom Archer M500 zugeteilt bekommt, ein. (Tip, Fixe diese IP anhand der MAC-Adresse der Fritzbox in den Einstellungen des Archer M500, dann ändert sie nie. Das empfiehlt sich im allgemeinen auch für alle anderen Clients.

Für IPSec musst du in den Einstellungen des Archer M500 Port 500 und Port 4500 zur Fritzbox forwarden.
Für Wireguard 51820
Abgesehen davon wenn du für das VPN andere Ports konfiguriert hast, dann musst du natürlich diese forwarden.

Die Pakete der Clients im Internet werden dann nicht vom Archer M500 verarbeitet, sondern diese gelangen zur Fritzbox.
Auf der Fritzbox richtest du dann ganz normal den VPN-Server ein.

So erreichst du dann alle Geräte hinter der Fritzbox.

Dass das Webinterface der Fritzbox an der WN-Schnittstelle nicht erreichbar ist, ist normal, wenn es erreichbar wäre wäre das eher ein Sicherheitsrisiko.
Sobald du ja per VPN verbunden bist erreichst du Sie auf der IP-Adresse der LAN-Schnittstelle.

Aber wie gesagt, gib mal Bescheid was für einen Typ IP-Adresse du vom Provider an der WAN-Schnittstelle des Archer M500 zugeteilt erhällst.
Damit steht und fällt alles.
 
sorr
In dem Fall würde ich zum Einsatz einer echten Firewall raten.

Sorry ich versteh echt nicht wieso hier alle empfehlen andere Geräte einzusetzen?
Er hat einen LTE Router, er hat eine Fritzbox für VPN, das reicht doch?
Kann mir das mal jemand erklären?

Klar, ich würd wenn möglich direkt alles mit einem Router lösen, in diesem Fall mit dem Archer M500.
Hab aber keine Ahnung was der an VPN-Möglichkeiten bietet.

Aber prinzipiell läuft das wie es sich der Ersteller vorstellt, wenn man es korrekt konfiguriert.

Ausser natürlich wenn er keine öffentliche Adresse vom LTE-Anbieter erhält.
 

Zurzeit aktive Besucher

Letzte Anleitungen

Statistik des Forums

Themen
5.433
Beiträge
53.701
Mitglieder
5.230
Neuestes Mitglied
sinum
Zurück
Oben