rainer117
Goto Top

Fritzbox: Gerät von lokalem Netz ausschließen

Hallo zusammen,

ich habe zwei Netze an meiner Fritzbox eingerichtet (ein Gastnetz und ein "normales"). Jetzt wollte ich einen Raspi ins "normale" Netz hängen, welcher als Wireguard-Server funktionieren soll. Dieser soll jedoch lediglich Zugriff aufs Internet haben und keinen weiteren Zugriff auf Geräte im lokalen Netz haben. Besteht die Möglichkeit das irgendwie in der Fritzbox einzurichten ohne einen weiteren Router dazwischen zu schalten?

Danke für einen kurzen Hinweis face-wink

VG
Rainer

Content-ID: 612399

Url: https://administrator.de/contentid/612399

Ausgedruckt am: 13.11.2024 um 09:11 Uhr

LeeX01
LeeX01 13.10.2020 um 22:22:11 Uhr
Goto Top
Hi,

ich vermute mal du meinst Wlan. Wenn der RPi doch sowieso isoliert sein soll kannst du ihn doch genausogut ins Gastnetz hängen, dort gibts die Möglichkeit Isolation zwischen den Geräten zu aktivieren. Ob das für deine Fritzbox zutrifft kann ich aber nur vermuten weil du uns weder Model noch Firmware mitteilst.

Grüße
Lochkartenstanzer
Lochkartenstanzer 13.10.2020 aktualisiert um 22:53:19 Uhr
Goto Top
Zitat von @Rainer117:

Dieser soll jedoch lediglich Zugriff aufs Internet haben und keinen weiteren Zugriff auf Geräte im lokalen Netz haben. Besteht die Möglichkeit das irgendwie in der Fritzbox einzurichten ohne einen weiteren Router dazwischen zu schalten?

Moin,

Kurz und Bündig: Nein!

Abgesehen davon: Was mützt Dir der Wireguard-Server, wenn der sowieso keine Kontakt zu Deinen lokalen Kisten haben darf?

Alternativ: Miete Dir einfach eine v-server für 1-3€ im Monat, z.B.bei hetzner für 2,89€ /Monat und pack da Deinen Wireguard-Server drauf.

lks
Rainer117
Rainer117 14.10.2020 um 09:52:31 Uhr
Goto Top
Moin,

danke für die Hinweise. Ich hab es mir fast gedacht, hatte halt überlegt ob man auf der Fritze irgendwas mit iptables machen kann, aber da hab ich halt nicht wirklich den Überblick.

Die Idee mit dem V-Server ist nicht schlecht, dass hatte ich noch gar nicht ins Auge gefasst - ich werde da mal näher drüber nachdenken.

Das mit dem Gastnetz funktioniert nicht, da ich die FritzPhone App mit Wireguard nutzen möchte und das geht - soweit ich das jetzt herausgefunden habe - nur im "normalen" Netz...

VG
Rainer
Lochkartenstanzer
Lochkartenstanzer 14.10.2020 um 09:57:19 Uhr
Goto Top
Zitat von @Rainer117:

Moin,

danke für die Hinweise. Ich hab es mir fast gedacht, hatte halt überlegt ob man auf der Fritze irgendwas mit iptables machen kann, aber da hab ich halt nicht wirklich den Überblick.

iptables bringen nur was, wenn der Router zwischen den zu trennenden Geräten sitzt. Der WLAN-AP in der Fritzbox vhält sich wie ein switch (in der Standardkonfiguration), d.h. die Fritte kann die Pakete gar nicht "aufhalten", die vom RasPi ins lokale Netz gehen.

Du könntest natürlich die Fritte freetzen und dann den WLAN-Traffic filtern, was aber ein unnötiger Aufwand ist.

Die Idee mit dem V-Server ist nicht schlecht, dass hatte ich noch gar nicht ins Auge gefasst - ich werde da mal näher drüber nachdenken.

Das ist imho sinnvoller.

Das mit dem Gastnetz funktioniert nicht, da ich die FritzPhone App mit Wireguard nutzen möchte und das geht - soweit ich das jetzt herausgefunden habe - nur im "normalen" Netz...

Jupp.

Wie und wofür willst Du denn Wireguard nutzen?

lks
Rainer117
Rainer117 14.10.2020 um 13:42:06 Uhr
Goto Top
Also den PI mit dem Wireguard wollte ich nur für die FritzPhone App nutzen und um halt in öffentlichen WLANs geschützt serven zu können (und dafür würde sich ja aber auch der V-Server eignen)
Lochkartenstanzer
Lochkartenstanzer 14.10.2020 aktualisiert um 13:46:07 Uhr
Goto Top
Zitat von @Rainer117:

Also den PI mit dem Wireguard wollte ich nur für die FritzPhone App nutzen und um halt in öffentlichen WLANs geschützt serven zu können (und dafür würde sich ja aber auch der V-Server eignen)

FritzPhone hat überhaupt nicht mit Surfen zu tun. Das ist eine VOIP-Telefonieanwendung. Wenn Du von unterwegs telefonieren willst, benutzt Dur einweder Dein ganz normales Telefon oder verbindest Dich per IPSEC direkt mit der Fritzbox um dann Deine FritzPhone-App zu nutzen, um Anrufe "von zu hause aus" zu führen oder anzunehmen.

Für das Surfen selbst brauchst Du die App nicht.

lks
Rainer117
Rainer117 15.10.2020 um 10:23:32 Uhr
Goto Top
Ja, das FritzPhone nichts mit Surfen zu tun hat ist schon klar - ich hatte ja auch UND geschrieben face-wink

Die Idee mit FritzPhone war halt, wenn ich schon Wireguard installiert habe, dann spare ich mir die VPN-Geschichte auf der Fritze...
Rainer117
Lösung Rainer117 26.10.2020 um 09:49:42 Uhr
Goto Top
Hallo,
es funktioniert doch mit iptables auf dem Raspi:

iptables -I FORWARD -i wg0 --destination 192.168.25.0/24 -j REJECT
iptables -I FORWARD -i wg0 --destination 192.168.25.1 -j ACCEPT

Die erste Regel unterbindet allen Traffic aus dem WireGuard- in das lokale Netz, die zweite schafft eine Ausnahme für das Gateway.

VG