Eigenes Netzwerk an FritzBox Gast-Port

[CRok]

Hi,

Ich habe hier eine FritzBox 7490 mit einem Gastnetz. Kann ich das Gastnetz nun für den LAN-Port freigeben und dort eine weitere FritzBox anschließen, um mit dieser weiteren FritzBox dann eine VPN-Brücke zu einer dritten, entfernten FritzBox aufzubauen? Ich hätte dann quasi 3 Netze: Standard, Gast und VPN-Nett

Danke!

 

[frank_m24]

Kann ich das Gastnetz nun für den LAN-Port freigeben und dort eine weitere FritzBox anschließen, um mit dieser weiteren FritzBox dann eine VPN-Brücke zu einer dritten, entfernten FritzBox aufzubauen?

Theoretisch ja. Bedenke aber, dass du für das Gastnetz keine Portweiterleitungen einrichten kannst, und dass folglich einige VPN Technologien problematisch sein können.

 

[CRok]

Danke für die Rückmeldung! Was wäre beispielsweise ein problematisches Szenario? Aus Sicht des VPN-Netzes hatte ich gedacht, der Gastzugang ist quasi wie die DSL-Buchse.

 

[frank_m24]

Was wäre beispielsweise ein problematisches Szenario?

Kommt auch stark auf die Gegenseite an, aber beide von AVM angebotene VPN Technologien benötigen eigentlich offene Ports auf beiden Seiten (wireguard und IPSec). Auf jeweils einer Seite kann man das Problem umgehen, bei wireguard z.B. mit PersistentKeepalive. Aber wenn die Gegenseite auch hinter einer privaten IP sitzt, dann hast du mit einem Gastnetz verloren, selbst mit einer öffentlichen IP am DSL Eingang.

 

[CRok]

Danke für die erneute Rückmeldung. Tatsächlich wäre die Gegenseite in gleicher Weise an das dortige Gastnetz angeschlossen. Wäre das ein Problem?
Ich habe mich mit dem Thema Portweiterleitung bisher nie befasst, deshalb verstehe ich die sich daraus ergebende Herausforderung (noch) nicht.

 

[frank_m24]

Tatsächlich wäre die Gegenseite in gleicher Weise an das dortige Gastnetz angeschlossen. Wäre das ein Problem?

Ja. Damit wird es nicht funktionieren. Denn eine von beiden Seiten muss über ihre öffentliche IP erreichbar sein, und das ist im Gastnetz nicht möglich.

Ich habe mich mit dem Thema Portweiterleitung bisher nie befasst, deshalb verstehe ich die sich daraus ergebende Herausforderung (noch) nicht.

Die Herausforderung ist, dass es im Gastnetz schlicht keine Portweiterleitung gibt.

 

[Peter_Lehmann]

Hallo @CRok!

Manchmal ist es so, dass es uns sehr hilft, wenn gerade bei einem "ungewöhnlichen" Setup der Nutzer uns einige Gründe nennt, warum er derartiges vorhat. So können wir genau in diese Richtung mitdenken.

Ich selbst betreibe nämlich auch vier verschiedene Netze in meinem Hausnetz:

1. Mein ganz normales Hausnetz ("normal" heißt bei mir, mit etwas höheren Sicherheitsanforderungen wie einen pihole und noch einiges in der Art, was hier aber kein Thema ist).
2. Ein Gastnetz (für diejenigen meiner Besucher, welche ich für "würdig" erachte, von mir den PSK zu bekommen).
3. Einen am Gastnetz angeschlossenen Freifunk-Router. Dieser stellt als Bestandteil der örtlichen Freifunk-Community ein völlig offenes WLAN bereit, welches aufgrund seines Funktionsprinzips keinerlei direkte Berührungen zu meinem Hausnetz besitzt. Hier kann sich jeder in WLAN-Reichweite damit verbinden - und es wird nach außen nur die IP des regionalen FF-Vereins angezeigt.
4. Und nicht zu vergessen, mein für private Nutzung schon recht großes WireGuard-VPN mit immerhin 9 WireGuard-"Servern" (externe, umgeflashte FB 4040 und 7412) in drei Ländern, welches die Hausnetze von Familie und guten Freunden sicher verbindet. (Aber das ist auch kein Thema hier, denn dazu habe ich im Forum schon genug gepostet.)

Ich trenne also ganz bewusst Gastnetz und Freifunk-Netz für unterschiedliche Nutzergruppen voneinander. Und genau auf die (sehr einfache!) Lösung mit dem Freifunk will ich dich hinweisen.

vy 73 de Peter

 

[CRok]

Hallo,

danke für die Rückmeldungen. @Peter_Lehmann, du hast natürlich Recht:

Aktuell habe ich
1. Zwei Hausnetze an zwei Standorten, die via FritzBox Netzwerkbrücke verbunden sind. Zugriff "handverlesen" ;-)
2. Gastnetze an beiden Standorten wie bei dir nach Nasenfaktor ;-)

Jetzt hätte ich das gerne um einen Standort erweitert, der aber von der Sicherheitsstufe eher Variante 2 als Variante 1 entspricht. Deshalb will ich nicht einfach eine weitere Netzwerkbrücke einrichten.

Und meine Idee war, dass ich einfach zwei alte Fritzboxen hinter die Gast-Ports schalte und dahinter dann eine neue Brücke "aufspanne" analog zu Variante 1.

Ich hatte gelesen, dass AVM keine getrennten Subnetze unterstützt, will für dieses Projekt nun aber nicht meine über Jahre bewährte Infrastruktur mittels neuer (Haupt-)Router über den Haufen werfen. Höchstens eine neue "Substruktur". Deshalb könnte deine Variante 4 spannend sein. Gibt es dazu ein Tutorial?

 

[Peter_Lehmann]

Also, ein Tutorial habe ich nicht, und ich will auch keins dazu schreiben. Ist ja auch nicht notwendig => weiter unten.
Also gerne eine Kurzfassung:

• Ich nutze (aus Überzeugung!) mit OpenWrt umgeflashte FB 4040 und 7412 als externe Geräte und nicht das "WireGuard für Mausschubser" von AVM. (Sorry, ist nicht böse gemeint! Ich finde es sogar richtig toll, was AVM da auf die Beine gestellt hat.).
• In der c't gab es 2019 (Hefte 5, 10, 14, 15 u. 18) und 2020 (Heft 9) sehr gute Artikel zu Grundlagen von OpenWrt und auch WireGuard und auch gute Anleitungen zum Flashen und zur Konfiguration. Auch die Originaldokumentationen von OpenWrt und auch für WireGuard sollte man zumindest mal gelesen haben.
• Ganz wichtig ist, vor Beginn der Arbeiten wirklich alles zumindest theoretisch verstanden zu haben.
• Gerade bei "großen" Netzen sollte vorher eine saubere Strategie erarbeitet sein. Welche Ziele sollten verknüpft werden, welche Ziele sollen isoliert sein, wer darf in welchem Netz was, usw.
  Letztendlich haben diese Vorarbeiten (und auch die vollständige Dokumentation der Konfigurationen) länger gedauert, als das praktische Flashen und die Konfiguration eines einzelnen Gerätes. Ich habe ja nicht nur 9 Hausnetze miteinander vernetzt, sondern auch sämtliche "aushäusig" betriebenen Geräte wie Smartphones und Laptops mit eingebunden, manche umschaltbar wahlweise in zwei Netzen. Ich als Familienadmin habe überall vollen Zugriff, wir können unsere vollautomatische Datensicherung auf die verschiedenen NAS innerhalb des Netzes darüber fahren und selbstverständlich auch "ungestört" darüber telefonieren.
• Zur Beruhigung: ein Schaden kann bei falscher Konfiguration nicht geschehen, es funktioniert dann eben nicht so, wie erwartet. Aber es kann wirklich alles wiederholt werden, bis es läuft. Fazit: selbst ich als alter IT-Rentner habe viel dabei gelernt!

Ich würde dir allerdings erst einmal raten, eine kleine Runde in der Welt des Freifunks zu drehen. Zum einen kannst du dir dabei gute und wertvolle Erfahrungen mit dem Flashen diverser Geräte und auch dem Umgang mit OpenWrt aneignen. Die FF-Communities sind meiner eigenen Erfahrung nach (aus Leipzig und Bonn) sehr offen und hilfsbereit gegenüber Neulingen. Es gibt wirklich anwendbare Tutorials für alle Tätigkeiten (www.freifunk.net und dann weiter die einzelnen Ortsvereine). Man kann mitgebrachte Geräte unter Anleitung bei den Treffen flashen usw. Du bekommst dort auch Beratung zu den (meist billig in der Bucht zu erwerbenden) geeigneten und empfohlenen Geräten.
Alles sind gute und auch erforderliche Grundlagen, bevor du dich an die "höhere Netzwerkerei" beim Aufbau eines richtigen Netzes wagst.


vy 73 de Peter

 

[thc]

Warum nicht die VPN-FB mit eigenem Subnetz (also nicht als IP-Client) ins LAN der Haupt-FB hängen?
Ich habe so etwas selbst am Start, wo ich ein entferntes Subnetz an einer 4040 hinter einer 7590 erreichen möchte.
Die VPN-FB bekommt in der Haupt-FB eine feste IP und eine Portweiterleitung für ihr VPN.
Der Zugriff von extern wird auf das Subnetz der VPN-FB beschränkt - damit kommen die darüber verbundenen Clients nicht in das Hauptnetz.

Gruß
Claus

 

[KunterBunter]

Der Zugriff von extern wird auf das Subnetz der VPN-FB beschränkt - damit kommen die darüber verbundenen Clients nicht in das Hauptnetz.

Wie ist es denn umgekehrt: Kommen die mit dem Subnetz direkt verbundenen Clients in das Hauptnetz? Hast du das noch selbst am Start und auch schon mal ausprobiert?

 

[thc]

Wir haben das in der Kirche am Start:
Das Hauptnetz hängt an einer 7590 als Mesh-Master.
Darunter gibt es zwei Subnetze hinter je einer 4040 - eins für das Gemeindebüro (ohne WLAN) und eins für die Veranstaltungstechnik.
Beide dürfen auf das Hauptnetz zugreifen, wobei für SMB unter Internet -> Filter -> Listen -> Globale Filtereinstellungen bei NetBIOS-Filter aktiv der Haken weg muss.

Gruß
Claus

 

[Peter_Lehmann]

Und als meine Ergänzung des Beitrages #12 von @thc:
Auch ich bin ehrenamtl. Administrator einer Kirchengemeinde.
Im Prinzip ein fast identisches Setup:

• Ein "internes" Netz für die dienstlichen Rechner der Mitarbeiter, allerdings mit WLAN (und PSK mit maximaler Länge). In dieses Netz dürfen nur Geräte, welche von mir administriert werden. Hier bin ich "eisern"!
• Das Gastnetz, nur für die privaten Geräte der Mitarbeiter. WLAN mit "nicht ganz so komplexem/langen PSK".
• Einem WLAN zwischen Büro- und Kirchengebäude. Dieses wird ausschließlich für das Streaming der GD genutzt. Von thc sicherlich als "Netz für die Veranstaltungstechnik" bezeichnet.
• Und, sehr gern und sehr intensiv (natürlich nur im Gemeindesaal unter der Kirche und nach den GD ) genutzt: je einen Freifunk-Router zwischen den beiden Gebäuden.

vy 73 de Peter

 

[CRok]

Vielen Dank für eure ausführlichen Antworten und spannend, wie gut vernetzt so mancher Kirchturm zu sein scheint

@thc Spannende Idee! Ich glaube aber,es haut für mich nicht ganz hin. Bei mir soll es so sein, dass das Haupt- und das Subnetzt unterschiedlich, aber beide von außen zugreifbar sein sollen. Bei dir ist es quasi so, dass nur noch das Subnetzt zugänglich ist, aber nicht das Hauptnetz (wenn ich es richtig verstanden habe)

 

[thc]

Bei dir ist es quasi so, dass nur noch das Subnetzt zugänglich ist, aber nicht das Hauptnetz

Nein - man kann das so machen, muss es aber nicht.
Der Zugriff wird bei Wireguard erstmal durch die wg_config.conf bestimmt.

Es sei im Abschnitt [Interface]
Address = 192.168.110.205/32

Die Zugriffsmöglichkeiten stehen dann in [Peer]
AllowedIPs = 192.168.110.0/24 nur das Subnetz
AllowedIPs = 192.168.110.0/24, 10.0.0.0/8 Subnetz und Hauptnetz
AllowedIPs = 0.0.0.0/0 überallhin
Da das WireGuard-Gateway beim Windows-Client eine Metrik von 5 bekommt, werden alle Pakete für die AllowedIPs durch den Tunnel geschickt.
Im letzten Fall wird es dadurch sogar zum Default-Gateway.

Aber Achtung: Das lässt sich vom Benutzer ändern.
Wenn man nicht will, dass der Zugriff aufs Hauptnetz erfolgen soll, muss man das durch Filter-Regeln in der FB absichern
Aber auch da wieder Achtung: Durch das Sperren des Hauptnetzes kann man sich auch den Internet-Zugang zerschiessen - Stichwort DNS

Gruß
Claus

P.S. Kirchturm: Unsere 7590 verwaltet ein Class-B-Netz, weil wir mit Class-C nicht auskommen