5
Zugriff auf NAS hinter Fritz!Box u. ASUS RT-AC86U über VPN: Probleme mit Konfiguration
Hallo zusammen,
als bisheriger purer WIN 10 Laptop u. Android Anwender habe ich mir nach einem Laptop, Tablet u. Handy Diebstahl (ich hatte zum Glück noch genau ein 2-Wochen altes Backup vom Laptop) vor ein paar Monaten ein QNAP NAS (TS853A) angeschafft damit ich alle Daten immer mehrfach habe falls mir so ein Diebstahl noch einmal passiert (2x8TB als RAID1 u. 2x8TB als Einzellaufwerke fürs Backup, davon immer eine im Bankschliessfach).
Als bisheriger reiner Anwender hat es mich einige Zeit gekostet alles zusammen mit meiner alten Fritz!Box zum Laufen zu kriegen.
Nun bin ich aber viel unterwegs und möchte von jedem Ort der Welt auf meine Daten kommen u. notfalls auch das NAS administrieren können. Der Sicherheit wegen will ich das mit OpenVPN u. einem professionellen VPN Anbieter wie z.B. Perfect-Privacy machen. Dazu habe ich mir vor einer Woche noch einen ASUS RT-AC86U gekauft da dieser eine gute Funkabdeckung haben soll und vor allem OpenVPN kann.
Als bisher reiner Anwender stoße ich aber nun bei der Router- u. NAS-Konfiguration an meine Grenzen und bitte Euch um Hilfe.
Wie muss ich meine alte Fritz!Box 6490, den neuen ASUS Router RT-AC86U u. mein NAS (QNAP TS-853A) konfigurieren damit das möglich ist?
Ich stelle mir folgende Konfiguration vor:
Ich habe Internet über Vodafone (früher Kabel Dtld) über EuroDOCSIS3.0 u. IPV6 DSLite. Wegen IPV6 habe ich mir bei einem DynamicDNS Provider eine Adresse der Art „meinDDNS.com“ reserviert. Am Kabel hängt eine Fritz!Box 6490 mit der IPV4 Adresse 192.168.178.1. Das WLAN dort nutze ich nur noch für das DECT Telefon, WLAN für Gäste u. WLAN fähige Heimgeräte (wie meinen chinesischen Saugroboter dem ich sicherheitstechnisch nicht so ganz traue). Auf der Fritz!Box habe ich den DDNS Provider eingerichtet u. den DHCP Server aktiviert. Nun habe ich unter 192.168.178.2 (auf der Fritz!Box als statische IP eingestellt) meinen neuen Router, einen ASUS RT-AC86U eingehängt. Der hat auf seinem internen (Sub-) Netz die IP 192.168.2.1 bekommen. Dort habe ich den OpenVPN Client meines VPN Providers aufgespielt und komme schon mal geschützt via VPN ins Internet. Außerdem habe ich den DHCP Server dort deaktiviert (habe in irgendeinem Forum gelesen, dass man den nur auf einem Router aktivieren soll). An dem ASUS hängt nun seit 2 Tagen mein NAS mit der statischen IP Adresse 192.168.2.2. Wenn ich mich ins WLAN des ASUS Routers einlogge komme ich auch wunderbar auf mein NAS.
Für den Zugriff von Extern habe ich auf dem ASUS nun eine Portweiterleitung für 8080 eingerichtet. Jetzt sollte ich doch, wenn ich mich bei der Fritz!Box ins WLAN einlogge, auf das NAS zugreifen können (als Test bevor ich es von ganz außerhalb versuche) – leider klappt das schon mal nicht.
Was mache ich hier falsch? Was muss ich am NAS eingeben (habe dort auch den DDNS Dienst eingerichtet – liegt hier evtl. schon ein Fehler)? Muss ich andere Ports freischalten? Wenn ja, welche? Und ich nehme an, genau die gleichen Ports muss ich dann auch auf meiner Fritz!Box als Portweiterleitung für den ASUS Router einstellen. Welche Adresse muss ich dann auf meinem Browser auf dem Laptop/Tablet eingeben damit ich
A) vom WLAN der Fritz!Box aus auf das NAS zugreifen kann – so etwas wie 192.168.178.2:8080?
B) von ganz außerhalb (also WWW) auf mein NAS zugreifen kann? So etwas wie https://meinDDNS.com:8080?
Viele Grüße,
Noorrik
als bisheriger purer WIN 10 Laptop u. Android Anwender habe ich mir nach einem Laptop, Tablet u. Handy Diebstahl (ich hatte zum Glück noch genau ein 2-Wochen altes Backup vom Laptop) vor ein paar Monaten ein QNAP NAS (TS853A) angeschafft damit ich alle Daten immer mehrfach habe falls mir so ein Diebstahl noch einmal passiert (2x8TB als RAID1 u. 2x8TB als Einzellaufwerke fürs Backup, davon immer eine im Bankschliessfach).
Als bisheriger reiner Anwender hat es mich einige Zeit gekostet alles zusammen mit meiner alten Fritz!Box zum Laufen zu kriegen.
Nun bin ich aber viel unterwegs und möchte von jedem Ort der Welt auf meine Daten kommen u. notfalls auch das NAS administrieren können. Der Sicherheit wegen will ich das mit OpenVPN u. einem professionellen VPN Anbieter wie z.B. Perfect-Privacy machen. Dazu habe ich mir vor einer Woche noch einen ASUS RT-AC86U gekauft da dieser eine gute Funkabdeckung haben soll und vor allem OpenVPN kann.
Als bisher reiner Anwender stoße ich aber nun bei der Router- u. NAS-Konfiguration an meine Grenzen und bitte Euch um Hilfe.
Wie muss ich meine alte Fritz!Box 6490, den neuen ASUS Router RT-AC86U u. mein NAS (QNAP TS-853A) konfigurieren damit das möglich ist?
Ich stelle mir folgende Konfiguration vor:
Ich habe Internet über Vodafone (früher Kabel Dtld) über EuroDOCSIS3.0 u. IPV6 DSLite. Wegen IPV6 habe ich mir bei einem DynamicDNS Provider eine Adresse der Art „meinDDNS.com“ reserviert. Am Kabel hängt eine Fritz!Box 6490 mit der IPV4 Adresse 192.168.178.1. Das WLAN dort nutze ich nur noch für das DECT Telefon, WLAN für Gäste u. WLAN fähige Heimgeräte (wie meinen chinesischen Saugroboter dem ich sicherheitstechnisch nicht so ganz traue). Auf der Fritz!Box habe ich den DDNS Provider eingerichtet u. den DHCP Server aktiviert. Nun habe ich unter 192.168.178.2 (auf der Fritz!Box als statische IP eingestellt) meinen neuen Router, einen ASUS RT-AC86U eingehängt. Der hat auf seinem internen (Sub-) Netz die IP 192.168.2.1 bekommen. Dort habe ich den OpenVPN Client meines VPN Providers aufgespielt und komme schon mal geschützt via VPN ins Internet. Außerdem habe ich den DHCP Server dort deaktiviert (habe in irgendeinem Forum gelesen, dass man den nur auf einem Router aktivieren soll). An dem ASUS hängt nun seit 2 Tagen mein NAS mit der statischen IP Adresse 192.168.2.2. Wenn ich mich ins WLAN des ASUS Routers einlogge komme ich auch wunderbar auf mein NAS.
Für den Zugriff von Extern habe ich auf dem ASUS nun eine Portweiterleitung für 8080 eingerichtet. Jetzt sollte ich doch, wenn ich mich bei der Fritz!Box ins WLAN einlogge, auf das NAS zugreifen können (als Test bevor ich es von ganz außerhalb versuche) – leider klappt das schon mal nicht.
Was mache ich hier falsch? Was muss ich am NAS eingeben (habe dort auch den DDNS Dienst eingerichtet – liegt hier evtl. schon ein Fehler)? Muss ich andere Ports freischalten? Wenn ja, welche? Und ich nehme an, genau die gleichen Ports muss ich dann auch auf meiner Fritz!Box als Portweiterleitung für den ASUS Router einstellen. Welche Adresse muss ich dann auf meinem Browser auf dem Laptop/Tablet eingeben damit ich
A) vom WLAN der Fritz!Box aus auf das NAS zugreifen kann – so etwas wie 192.168.178.2:8080?
B) von ganz außerhalb (also WWW) auf mein NAS zugreifen kann? So etwas wie https://meinDDNS.com:8080?
Viele Grüße,
Noorrik
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 395053
Url: https://administrator.de/contentid/395053
Printed on: April 26, 2024 at 06:04 o'clock
5 Comments
Latest comment
Moin,
Wie man zwei Router zusammenschaltet, erklärt kollege @aqui in seiner Anleitung Kopplung von 2 Routern am DSL Port, gilt naürlich auch für LTE, kabel, etc.
Die erste Frage ist, warum Du nicht gleich das IPSEC der Fritzbox benutzt. Für Benutzer mit Deinem Wissenstand funktioniert das wunderbar. Da brauchst Du nix kaskadieren.
Ansonsten:
Den Asus als exposed Host, NAT Einschalten und fertich.
Soweit mal korrekt. Ist NAt aktiviert oder nicht?
Du sollst nciht alles glauben, was in Foren steht.
Die frage ist Doch, auf welche Weise Du den ASUS reingehängt hast. So wie das klingt hast Du den WAN-Port auf dei Fritzbox gehängt und im LAN spannt der ein eigenes Netz auf. Dann wäre DHCP schon wünschenswert, damit die WLAN-Clients des ASUS automatisch mit IP-Adressen versorgt werden.
Oder hast Du den ASUS mit dem LAN-Port an die Fritzbox gehämngt? dann wäre DHCP aus schon richtig, aber dafür hast Du dann mit dem betreiben von zwei IP-Netzen auf demselben Kabel ein Problem.
Male am besten ein Bild von Deinem Setup mit IP-Adressen und Co und stell es hier rein.
So wie es sich gehört.
Bei Nutzung von VPON ist Portweiterleitung ganz falsch. Dann solltest Du dierekt in Deinem LAN landen. da hast Du offensichtlich das VPN falsch konfiguriert (oder Dein professioneller Anbieter).
Warum am NAS ein DDNS?
Für OpenVPN mußt Du in der Standardkonfiguration genau 1194 auf den Asus weiterleiten. Hilfsweise kannst Du den Asus natürlich auch zum exposed host machen.
Alles andere, was hinter dem Asus ist, sollte ohne Portweiterleitungen nur mit VPn erreichbar sein.
Das kommt drauf an, ob Du NAT auf dem Asus machst oder nicht. Wenn NAT, dann die des Asus (192.168.178.2), ansonsten die des NAS, wobei Du auf der Fritzbox natürlich eine statische Route zum Asus einrtagen mußt.
Das solltest Du nur über VPN machen und dann solltest Du direkt die Adresse des NAS eingeben.
Ansonsten mußt Du über Portweiterleitungen arbeiten und das muß dann sowohl auf dem Asus als auch auf der Fritzbox passieren, wovon ich aber dringendst abrate.
lks
Wie man zwei Router zusammenschaltet, erklärt kollege @aqui in seiner Anleitung Kopplung von 2 Routern am DSL Port, gilt naürlich auch für LTE, kabel, etc.
Die erste Frage ist, warum Du nicht gleich das IPSEC der Fritzbox benutzt. Für Benutzer mit Deinem Wissenstand funktioniert das wunderbar. Da brauchst Du nix kaskadieren.
Ansonsten:
Zitat von @Noorrik:
Wie muss ich meine alte Fritz!Box 6490, den neuen ASUS Router RT-AC86U u. mein NAS (QNAP TS-853A) konfigurieren damit das möglich ist?
Wie muss ich meine alte Fritz!Box 6490, den neuen ASUS Router RT-AC86U u. mein NAS (QNAP TS-853A) konfigurieren damit das möglich ist?
Den Asus als exposed Host, NAT Einschalten und fertich.
Ich stelle mir folgende Konfiguration vor:
Nun habe ich unter 192.168.178.2 (auf der Fritz!Box als statische IP eingestellt) meinen neuen Router, einen ASUS RT-AC86U eingehängt. Der hat auf seinem internen (Sub-) Netz die IP 192.168.2.1 bekommen.
Nun habe ich unter 192.168.178.2 (auf der Fritz!Box als statische IP eingestellt) meinen neuen Router, einen ASUS RT-AC86U eingehängt. Der hat auf seinem internen (Sub-) Netz die IP 192.168.2.1 bekommen.
Soweit mal korrekt. Ist NAt aktiviert oder nicht?
Außerdem habe ich den DHCP Server dort deaktiviert (habe in irgendeinem Forum gelesen, dass man den nur auf einem Router aktivieren soll).
Du sollst nciht alles glauben, was in Foren steht.
Die frage ist Doch, auf welche Weise Du den ASUS reingehängt hast. So wie das klingt hast Du den WAN-Port auf dei Fritzbox gehängt und im LAN spannt der ein eigenes Netz auf. Dann wäre DHCP schon wünschenswert, damit die WLAN-Clients des ASUS automatisch mit IP-Adressen versorgt werden.
Oder hast Du den ASUS mit dem LAN-Port an die Fritzbox gehämngt? dann wäre DHCP aus schon richtig, aber dafür hast Du dann mit dem betreiben von zwei IP-Netzen auf demselben Kabel ein Problem.
Male am besten ein Bild von Deinem Setup mit IP-Adressen und Co und stell es hier rein.
An dem ASUS hängt nun seit 2 Tagen mein NAS mit der statischen IP Adresse 192.168.2.2. Wenn ich mich ins WLAN des ASUS Routers einlogge komme ich auch wunderbar auf mein NAS.
So wie es sich gehört.
Für den Zugriff von Extern habe ich auf dem ASUS nun eine Portweiterleitung für 8080 eingerichtet.
Bei Nutzung von VPON ist Portweiterleitung ganz falsch. Dann solltest Du dierekt in Deinem LAN landen. da hast Du offensichtlich das VPN falsch konfiguriert (oder Dein professioneller Anbieter).
Was mache ich hier falsch? Was muss ich am NAS eingeben (habe dort auch den DDNS Dienst eingerichtet – liegt hier evtl. schon ein Fehler)?
Warum am NAS ein DDNS?
Muss ich andere Ports freischalten? Wenn ja, welche? Und ich nehme an, genau die gleichen Ports muss ich dann auch auf meiner Fritz!Box als Portweiterleitung für den ASUS Router einstellen.
Für OpenVPN mußt Du in der Standardkonfiguration genau 1194 auf den Asus weiterleiten. Hilfsweise kannst Du den Asus natürlich auch zum exposed host machen.
Alles andere, was hinter dem Asus ist, sollte ohne Portweiterleitungen nur mit VPn erreichbar sein.
Welche Adresse muss ich dann auf meinem Browser auf dem Laptop/Tablet eingeben damit ich
A) vom WLAN der Fritz!Box aus auf das NAS zugreifen kann – so etwas wie 192.168.178.2:8080?
A) vom WLAN der Fritz!Box aus auf das NAS zugreifen kann – so etwas wie 192.168.178.2:8080?
Das kommt drauf an, ob Du NAT auf dem Asus machst oder nicht. Wenn NAT, dann die des Asus (192.168.178.2), ansonsten die des NAS, wobei Du auf der Fritzbox natürlich eine statische Route zum Asus einrtagen mußt.
B) von ganz außerhalb (also WWW) auf mein NAS zugreifen kann? So etwas wie https://meinDDNS.com:8080?
Das solltest Du nur über VPN machen und dann solltest Du direkt die Adresse des NAS eingeben.
Ansonsten mußt Du über Portweiterleitungen arbeiten und das muß dann sowohl auf dem Asus als auch auf der Fritzbox passieren, wovon ich aber dringendst abrate.
lks
Kollege LKS war mal wieder schneller.... 
https://avm.de/service/vpn/uebersicht/
Ganz böse ist ja dann auch noch einen öffentlichen VPN Anbieter zu nutzen. Der kennt ja dann deinen Key gibt den sehr wahrscheinlich auch an Überwachungsbehörden und hat damit Zugriff auf alle deine Daten.
Damit wird dein Bankschließfach dann völlig ad absurdum geführt.
So einen Unsinn macht heutzutage nichtmal mehr ein Laie. Muss man sicher hier auch nicht weiter kommentieren.
Auch Asus ist eher berühmt berüchtigt was deren Router Sicherheit anbetrifft:
https://www.heise.de/security/meldung/Asus-Router-koennen-beim-Vorbeisur ...
https://www.heise.de/security/meldung/Kritische-Schwachstellen-in-zahlre ...
Die sind erst wirklich sicher wenn man sie mit einer alternativen Firmware wie DD-WRT flasht: https://dd-wrt.com
Fazit:
Warum also einen überflüssigen Router und den dann auch noch in einer Performance fressenden Router Kaskade wenn du alles besser, schlanker und erheblich sicherer mit der FB hättest machen können ?
Aber egal....wenns denn unbedingt eine Router Kaskade sein muss dann gilt das hier für dich:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Die Firewall entspräche hier deinem Asus Router.
Um dort VPN (OpenVPN) auf den Asus zu terminieren musst du ein Loch in die FritzBox Firewall bohren und dort per Port Forwarding (Port Weiterleitung) den OVPN Port UDP 1194 auf die WAN IP Adresse des kaskadierten Asus durchreichen !
Das gilt natürlich nur wenn du OpenVPN auf dessen Default Port betreibst. Wenn du was anderes als UDP 1194 dort verwendest must du entsprechend das weiterleiten.
Tunlichst sollte der WAN Port des Asus dann eine statische IP haben, denn sollte die sich mal ändern (DHCP) ists wieder aus mit dem VPN weil die Port Weiterleitung dann auf eine inexistente IP Adresse zeigt.
Beachtet man das, dann klappt das auch sofort.
Weitere Infos zu Router Kaskaden findest du hier:
Kopplung von 2 Routern am DSL Port
Zu den Fragen:
A.)
Das kann generell niemals klappen, denn durch die vorher kaskadierte FB landest du über das FB WLAN dann ja immer in dem Koppelnetz was FB und Asus verbindet. Durch die dann am WAN Port aktive NAT (IP Adress Translation) Firewall des Asus kommst du niemals mehr auf das internen LAN wo dein NAS liegt. Logisch, denn die soll das interne LAN Netz ja von außen schützen !
Es sei denn du schaltest NAT dort ab (sofern der Asus das im Setup supportet ?!) oder bohrst hier auch wieder ein Loch in die Asus Firewall und leitest per Port Weiterleitung hier deinen Port 8080 weiter auf die NAS IP.
Besser den WLAN AP der FB totzulegen und einen zusätzlichen AP ins lokale Asus LAN dafür hängen. z.B. diesen hier:
https://varia-store.com/de/produkt/10133-mikrotik-cap-lite-mit-ar9533-65 ...
Dann erledigt sich das "Problem" von selbst.
B.)
Das machst du logischerweise über das VPN an der FrizBox. Wie oben schon gesagt ist das das Einfachste, Beste und Sicherste. Den Fritz VPN Client gibt es für alle Betriebssysteme Winblows, Apple, Linux und für alle Smartphones.
Den starten, der verbindet sich mit deinem Hausnetz und dann arbeitest du genau so im Netz als wenn du zuhause sitzt. Und das auch noch wasserdicht sicher.
Per Port Forwarding auf das NAS zugreifen und damit deine persönlichen Daten vollkommen ungeschützt im Internet zu übertragen machen nichtaml mehr Dummies. Ist ein NoGo logischerweise.
als bisheriger purer WIN 10 Laptop u. Android Anwender
Was soll uns das nun sagen ? Als armer Winblows und Android Knecht bist du jetzt vernünftig geworden und nun reumütig zu Apple Mac und iPhone gewechselt ?! Egal...Der Sicherheit wegen will ich das mit OpenVPN
Wäre ja ziemlicher Unsinn, denn deine FritzBox hat ein absolut sicheres VPN auf IPsec Basis ja gleich mit an Bord:https://avm.de/service/vpn/uebersicht/
Ganz böse ist ja dann auch noch einen öffentlichen VPN Anbieter zu nutzen. Der kennt ja dann deinen Key gibt den sehr wahrscheinlich auch an Überwachungsbehörden und hat damit Zugriff auf alle deine Daten.
Damit wird dein Bankschließfach dann völlig ad absurdum geführt.
So einen Unsinn macht heutzutage nichtmal mehr ein Laie. Muss man sicher hier auch nicht weiter kommentieren.
Auch Asus ist eher berühmt berüchtigt was deren Router Sicherheit anbetrifft:
https://www.heise.de/security/meldung/Asus-Router-koennen-beim-Vorbeisur ...
https://www.heise.de/security/meldung/Kritische-Schwachstellen-in-zahlre ...
Die sind erst wirklich sicher wenn man sie mit einer alternativen Firmware wie DD-WRT flasht: https://dd-wrt.com
Fazit:
Warum also einen überflüssigen Router und den dann auch noch in einer Performance fressenden Router Kaskade wenn du alles besser, schlanker und erheblich sicherer mit der FB hättest machen können ?
Aber egal....wenns denn unbedingt eine Router Kaskade sein muss dann gilt das hier für dich:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Die Firewall entspräche hier deinem Asus Router.
Um dort VPN (OpenVPN) auf den Asus zu terminieren musst du ein Loch in die FritzBox Firewall bohren und dort per Port Forwarding (Port Weiterleitung) den OVPN Port UDP 1194 auf die WAN IP Adresse des kaskadierten Asus durchreichen !
Das gilt natürlich nur wenn du OpenVPN auf dessen Default Port betreibst. Wenn du was anderes als UDP 1194 dort verwendest must du entsprechend das weiterleiten.
Tunlichst sollte der WAN Port des Asus dann eine statische IP haben, denn sollte die sich mal ändern (DHCP) ists wieder aus mit dem VPN weil die Port Weiterleitung dann auf eine inexistente IP Adresse zeigt.
Beachtet man das, dann klappt das auch sofort.
Weitere Infos zu Router Kaskaden findest du hier:
Kopplung von 2 Routern am DSL Port
Zu den Fragen:
A.)
Das kann generell niemals klappen, denn durch die vorher kaskadierte FB landest du über das FB WLAN dann ja immer in dem Koppelnetz was FB und Asus verbindet. Durch die dann am WAN Port aktive NAT (IP Adress Translation) Firewall des Asus kommst du niemals mehr auf das internen LAN wo dein NAS liegt. Logisch, denn die soll das interne LAN Netz ja von außen schützen !
Es sei denn du schaltest NAT dort ab (sofern der Asus das im Setup supportet ?!) oder bohrst hier auch wieder ein Loch in die Asus Firewall und leitest per Port Weiterleitung hier deinen Port 8080 weiter auf die NAS IP.
Besser den WLAN AP der FB totzulegen und einen zusätzlichen AP ins lokale Asus LAN dafür hängen. z.B. diesen hier:
https://varia-store.com/de/produkt/10133-mikrotik-cap-lite-mit-ar9533-65 ...
Dann erledigt sich das "Problem" von selbst.
B.)
Das machst du logischerweise über das VPN an der FrizBox. Wie oben schon gesagt ist das das Einfachste, Beste und Sicherste. Den Fritz VPN Client gibt es für alle Betriebssysteme Winblows, Apple, Linux und für alle Smartphones.
Den starten, der verbindet sich mit deinem Hausnetz und dann arbeitest du genau so im Netz als wenn du zuhause sitzt. Und das auch noch wasserdicht sicher.
Per Port Forwarding auf das NAS zugreifen und damit deine persönlichen Daten vollkommen ungeschützt im Internet zu übertragen machen nichtaml mehr Dummies. Ist ein NoGo logischerweise.
Hallo Aqui und Lochkartenstanzer,
vielen Dank für Eure schnellen Antworten.
Ich höre immer wieder die Frage weshalb ich nicht direkt per AVM-VPN auf die FritzBox zugreife. Ich werde in ein paar Monaten umziehen und weiß nicht ob ich dann noch Internet über Vodafone/Kabel Dtld Kabel (nur hierfür kann ich meine aktuelle FritzBox 6490 verwenden) oder über DSL (Vodafone oder ein anderer Betreiber) beziehen werde. Auf jeden Fall möchte ich dann die FritzBox durch ein anderes Modem ersetzen da mich daran stört, dass man relativ wenig Einstellungen vornehmen kann und sie auch noch von Vodafone "kastriert" wurde (z.B. wurde Bridging von Vodafone deaktiviert). Ausserdem ist die Abdeckung nicht besonders, es kann kein Open / DD - WRT und damit kein OpenVPN verwendet bzw. aufgespielt werden ... und dafür ist sie relativ teuer.
Deshalb habe ich mir schon mal den Asus RT-AC86U gekauft, der doch recht ordentliche Rechenleistung u. RAM hat, Asus/Open/DD - WRT akzeptiert u. damit OpenVPN verwenden kann, eine gute WiFi Abdeckung bietet u. das alles für den gleichen Preis wie die FritzBox 6490.
Solange ich aber die FritzBox noch habe wollte ich Sie noch für das DECT Telefon u. eine Art Pseudo-DMZ für meine unsichersten Geräte verwenden (z.B. chinesischer Saugroboter u. Chromecast).
Den VPN Provider habe ich mir so ausgesucht, dass er keine Daten loggt u. rechtlich in der Schweiz angesiedelt ist. Ich habe zwar nichts ungesetzliches geplant aber möchte mich auch nicht unnötig überwachen lassen (u. wer weiss ob AVM enger oder weniger eng mit den Aufsichtsbehörden zusammenarbeitet als der VPN Betreiber).
Zurück zur Technik. Ich habe schon ein paar Tipps von Euch in meine Konfiguration einfließen lassen. Das aktuelle Netz sieht jetzt folgendermaßen aus:
Das Portforwarding habe ich noch nicht eingerichtet um nicht jetzt schon offene Flanken zu bieten.
Wie muss ich dies nun einrichten damit ich vom Internet aus auf mein NAS zugreifen kann u. dort so arbeiten kann als ob ich zu Hause sitzen würde? Im ASUS Router UDP 1194 (identisch für ein- u. ausgehend) und ebenfalls in der FritzBox UDP 1194 (ebenfalls identisch für ein- u. ausgehend)?
Wie rufe ich dann vom Internet aus mein NAS auf? Mit www.myDDNS.de:1194?
Muss ich auf dem NAS dann nicht auch einen VPN Server einrichten auf den ich dann vom Internet aus per VPN (von einem mobilen VPN Client) zugreifen kann (der VPN Client auf dem Router ist ja nur für sicheren Zugriff auf das Internet von meinem Sub-Heimnetz aus)?
Gibt es eine sicherere Alternative zu OpenVPN + PortForwarding außer das VPN der FritzBox (die sowieso bald aussortiert wird)?
Würde mich über Eure Hilfe freuen!
Viele Grüße,
Noorrik
vielen Dank für Eure schnellen Antworten.
Ich höre immer wieder die Frage weshalb ich nicht direkt per AVM-VPN auf die FritzBox zugreife. Ich werde in ein paar Monaten umziehen und weiß nicht ob ich dann noch Internet über Vodafone/Kabel Dtld Kabel (nur hierfür kann ich meine aktuelle FritzBox 6490 verwenden) oder über DSL (Vodafone oder ein anderer Betreiber) beziehen werde. Auf jeden Fall möchte ich dann die FritzBox durch ein anderes Modem ersetzen da mich daran stört, dass man relativ wenig Einstellungen vornehmen kann und sie auch noch von Vodafone "kastriert" wurde (z.B. wurde Bridging von Vodafone deaktiviert). Ausserdem ist die Abdeckung nicht besonders, es kann kein Open / DD - WRT und damit kein OpenVPN verwendet bzw. aufgespielt werden ... und dafür ist sie relativ teuer.
Deshalb habe ich mir schon mal den Asus RT-AC86U gekauft, der doch recht ordentliche Rechenleistung u. RAM hat, Asus/Open/DD - WRT akzeptiert u. damit OpenVPN verwenden kann, eine gute WiFi Abdeckung bietet u. das alles für den gleichen Preis wie die FritzBox 6490.
Solange ich aber die FritzBox noch habe wollte ich Sie noch für das DECT Telefon u. eine Art Pseudo-DMZ für meine unsichersten Geräte verwenden (z.B. chinesischer Saugroboter u. Chromecast).
Den VPN Provider habe ich mir so ausgesucht, dass er keine Daten loggt u. rechtlich in der Schweiz angesiedelt ist. Ich habe zwar nichts ungesetzliches geplant aber möchte mich auch nicht unnötig überwachen lassen (u. wer weiss ob AVM enger oder weniger eng mit den Aufsichtsbehörden zusammenarbeitet als der VPN Betreiber).
Zurück zur Technik. Ich habe schon ein paar Tipps von Euch in meine Konfiguration einfließen lassen. Das aktuelle Netz sieht jetzt folgendermaßen aus:
Das Portforwarding habe ich noch nicht eingerichtet um nicht jetzt schon offene Flanken zu bieten.
Wie muss ich dies nun einrichten damit ich vom Internet aus auf mein NAS zugreifen kann u. dort so arbeiten kann als ob ich zu Hause sitzen würde? Im ASUS Router UDP 1194 (identisch für ein- u. ausgehend) und ebenfalls in der FritzBox UDP 1194 (ebenfalls identisch für ein- u. ausgehend)?
Wie rufe ich dann vom Internet aus mein NAS auf? Mit www.myDDNS.de:1194?
Muss ich auf dem NAS dann nicht auch einen VPN Server einrichten auf den ich dann vom Internet aus per VPN (von einem mobilen VPN Client) zugreifen kann (der VPN Client auf dem Router ist ja nur für sicheren Zugriff auf das Internet von meinem Sub-Heimnetz aus)?
Gibt es eine sicherere Alternative zu OpenVPN + PortForwarding außer das VPN der FritzBox (die sowieso bald aussortiert wird)?
Würde mich über Eure Hilfe freuen!
Viele Grüße,
Noorrik
möchte ich dann die FritzBox durch ein anderes Modem ersetzen
Die FritzBox ist KEIN (reines) Modem sondern ein Router !!stört, dass man relativ wenig Einstellungen vornehmen kann und sie auch noch von Vodafone "kastriert" wurde
Das ist richtig !Vernatwortungsvolle Menschen setzen deshalb auch niemals einen Zwangsrouter vom Provider ein ! Erstens eben weil es meist kastrierter Schrott ist und zweitens weil diese so gut wie immer TR-069 Schnüffelfunktionen an Bord hat. In sofern also einen richtige Entscheidung von dir.
Beschaff dir dann gleiche einen Router bzw. eine Firewall die sowas kann !!
Mit einem Breitband Router (WAN Port Ethernet) wie z.B. Mikrotik hex oder RB 2011 oder einer Firewall mit Ethernet WAN Port wie z.B. dieser hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
gehst du ja immer auf Nummer sicher. Dann beschaffst du dir eben ein reines Modem dazu je nachdem für welchen Provider und Infrastruktur du dich entscheidest und kannst diesen Router oder Firewall immer und an egal welcher Infrastruktur einsetzen.
Damit hast du was eigenes und bist vollkommen unabhängig. Genau das was du also auch willst und das zu Recht.
Deshalb habe ich mir schon mal den Asus RT-AC86U gekauft
Keine wirklich gute Wahl, denn Asus hat in den letzten Jahren nicht gerade geglänzt mit Router Sicherheit und dem Bestreben diese Fehler zu beseitigen.Gut sind diese Systeme nur mit alterniver Firmware wie DD-WRT usw. aber egal...
Den VPN Provider habe ich mir so ausgesucht, dass er keine Daten loggt u. rechtlich in der Schweiz angesiedelt ist.
Ha ha ha... 
Eine recht laienhafte und sehr naive Einstellung. Träum weiter....Den Unsinn glaubst du doch nicht im Ernst oder ?? In der Schweiz gilt sogar nichtmal EU Recht ! In der Regel sind an den VPN Endpukten dieser öffemtlichen VPN Dienstleister besonders viele Schlapphüte und Überwacher die da Daten abschnorcheln. Einfacher kann man es denen ja auch nicht machen.
Du hast recht wenig und auch laienhafte Kentnisse was da so läuft.
Diese schlechten Netzwerk Kenntisse äußern sich auch schon deutlich an der Tatsache das du UPnP auf BEIDEN Router aktiviert hast !
UPnP auf Routern zu aktivieren ist tödlich, denn damit können Trojaner und andere Malware die Firewalls an den Routern aushebeln ohne Aufwand.
Das wissen heute Grundschüler das sowas auf Firewall Routern de facto immer deaktiviert gehört !
Ein Kardinalsfehler in deinem o.a. Design !
Aber mal wirklich zurück zur Technik...
Dein Netzwerk ist ein sehr simples Router Kaskaden Design mit doppeltem NAT wie es hier beschrieben ist:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Portforwarding habe ich noch nicht eingerichtet um nicht jetzt schon offene Flanken zu bieten.
Sehr vernünftig !Wie muss ich dies nun einrichten damit ich vom Internet aus auf mein NAS zugreifen kann
Leider wieder sehr oberflächlich ! 
Raten wir mal das du mit einem OpenVPN Client von außen (irgendwo im Internet) auf deinen internen OpenVPN Server zugreifen willst der dann auf deinem Asus Router arbeitet, richtig ?
Oder willst du etwa File Sharing Dienste OHNE irgendwelchen Schutz direkt aus dem Internet erreichen per simplen Port Forwarding ?? Nicht wirklich, oder ?
Leider sagst du uns nicht WELCHE der beiden Optionen du realisieren willst.
Für eine zielführende Antwort müssen wir das aber wissen.Da Letzteres nichtmal mehr Dummies machen heutzutage, nehmen wir mal an du willst eine OpenVPN Verbindung aufbauen. Damit kannst du dann geschützt von remote genau so arbeiten wie ein lokal im Heimnetz angeschlossener Client....
Eben der tiefere Sinn eines VPNs wie jedermann weiss....
Muss ich auf dem NAS dann nicht auch einen VPN Server einrichten !
Nein ! Wozu ??Denn du sagst ja der Asus Router kann auch OpenVPN Server spielen !! Also ist ER der OVPN Server.
Logischerweise nimmst du dann den Asus Router als OpenVPN Server um nicht auch noch VPN Traffic in dein lokales LAN auf dem NAS zu terminieren.
Aus Sicherheitssicht wäre das kompletter Blödsinn wenn genauso gut (und besser) der Asus Router das OpenVPN terminiert !!
Genau deshalb hast du doch den Asus gekauft, oder ??
Hier sind deine ToDos:
- OpenVPN Server auf dem Asus Router aktivieren
- Client Zertifikate exportieren für die OVPN Clients
- Port Forwarding auf der FritzBox einrichten, damit die eingehende OVPN Pakete auf den Asus forwardet. Logisch, denn der Asus ist ja der OVPN Server !
- Das ist eingehend UDP 1194 das muss auf die WAN IP des Asus auch mit Port UDP 1194 geforwardet werden
- Fertisch
Hier gibst du nun die Ziel IP oder Namen des NAS ein und kannst alle Dienste des NAS nutzen wie lokal.
Eben der Sinn eines VPN
Gibt es eine sicherere Alternative zu OpenVPN
Ja !Andere sichere VPN Protokolle wie IPsec, L2TP usw.
Zitat von @Noorrik:
Ich höre immer wieder die Frage weshalb ich nicht direkt per AVM-VPN auf die FritzBox zugreife. Ich werde in ein paar Monaten umziehen und weiß nicht ob ich dann noch Internet über Vodafone/Kabel Dtld Kabel (nur hierfür kann ich meine aktuelle FritzBox 6490 verwenden) oder über DSL (Vodafone oder ein anderer Betreiber) beziehen werde. Auf jeden Fall möchte ich dann die FritzBox durch ein anderes Modem ersetzen da mich daran stört, dass man relativ wenig Einstellungen vornehmen kann und sie auch noch von Vodafone "kastriert" wurde (z.B. wurde Bridging von Vodafone deaktiviert). Ausserdem ist die Abdeckung nicht besonders, es kann kein Open / DD - WRT und damit kein OpenVPN verwendet bzw. aufgespielt werden ... und dafür ist sie relativ teuer.
Ich höre immer wieder die Frage weshalb ich nicht direkt per AVM-VPN auf die FritzBox zugreife. Ich werde in ein paar Monaten umziehen und weiß nicht ob ich dann noch Internet über Vodafone/Kabel Dtld Kabel (nur hierfür kann ich meine aktuelle FritzBox 6490 verwenden) oder über DSL (Vodafone oder ein anderer Betreiber) beziehen werde. Auf jeden Fall möchte ich dann die FritzBox durch ein anderes Modem ersetzen da mich daran stört, dass man relativ wenig Einstellungen vornehmen kann und sie auch noch von Vodafone "kastriert" wurde (z.B. wurde Bridging von Vodafone deaktiviert). Ausserdem ist die Abdeckung nicht besonders, es kann kein Open / DD - WRT und damit kein OpenVPN verwendet bzw. aufgespielt werden ... und dafür ist sie relativ teuer.
Dann schau, daß Du ein debranding (z.B. mit freetz) machst und die normale AVM-Firmware draufpackst.
Dann hast Du wieder die volle Funktkionalität einer Fritzbox.
Deshalb habe ich mir schon mal den Asus RT-AC86U gekauft, der doch recht ordentliche Rechenleistung u. RAM hat, Asus/Open/DD - WRT akzeptiert u. damit OpenVPN verwenden kann, eine gute WiFi Abdeckung bietet u. das alles für den gleichen Preis wie die FritzBox 6490.
da mußt Du schauen, daß Du aufjeden fall die Originalfirmware lsowirst und dann eine WRT-Version die dazu paßt einspielst. Dann sollte ses keine Problem sein.
ich hätte aber gleich zu einer APU mit pfsense gegriffen, weil die universeller einsetzbar ist udn kaim mehr kostet.
Solange ich aber die FritzBox noch habe wollte ich Sie noch für das DECT Telefon u. eine Art Pseudo-DMZ für eine unsichersten Geräte verwenden (z.B. chinesischer Saugroboter u. Chromecast).
Die würde ich eher in einen richtige DMZ setzen und per pfsense regulieren, mit wem sie reden dürfen.
Den VPN Provider habe ich mir so ausgesucht, dass er keine Daten loggt u. rechtlich in der Schweiz angesiedelt ist. Ich habe zwar nichts ungesetzliches geplant aber möchte mich auch nicht unnötig überwachen lassen (u. wer weiss ob AVM enger oder weniger eng mit den Aufsichtsbehörden zusammenarbeitet als der VPN Betreiber).
Das ist ganz schön blauäugig, davon auszugehen, daß irgendein VPN-Provider nicht mit den Behäörden zusammenarbeitet. Die Provider werden vom gesetzgeber (in allen Ländern!) gewzungen mitzuarbeiten und dürfen bei Strafe darüber nicht mal die betroffenen Kunden informieren. vergiß diese Illusion.
Das Portforwarding habe ich noch nicht eingerichtet um nicht jetzt schon offene Flanken zu bieten.
Wie muss ich dies nun einrichten damit ich vom Internet aus auf mein NAS zugreifen kann u. dort so arbeiten kann als ob ich zu Hause sitzen würde? Im ASUS Router UDP 1194 (identisch für ein- u. ausgehend) und ebenfalls in der FritzBox UDP 1194 (ebenfalls identisch für ein- u. ausgehend)?
Wie rufe ich dann vom Internet aus mein NAS auf? Mit www.myDDNS.de:1194?
Wie muss ich dies nun einrichten damit ich vom Internet aus auf mein NAS zugreifen kann u. dort so arbeiten kann als ob ich zu Hause sitzen würde? Im ASUS Router UDP 1194 (identisch für ein- u. ausgehend) und ebenfalls in der FritzBox UDP 1194 (ebenfalls identisch für ein- u. ausgehend)?
Wie rufe ich dann vom Internet aus mein NAS auf? Mit www.myDDNS.de:1194?
Nein. Du machst ein VPN zu Deinem Asus und machst nur ein Portforwarding zum ASUS, z.B. 1194 für openVPN.
Muss ich auf dem NAS dann nicht auch einen VPN Server einrichten auf den ich dann vom Internet aus per VPN (von einem mobilen VPN Client) zugreifen kann (der VPN Client auf dem Router ist ja nur für sicheren Zugriff auf das Internet von meinem Sub-Heimnetz aus)?
Du registrierst mit einem der vielen dyndns-Dienste Deine IP-Adresse zu einem Namen und baust direkt einen openVPN-verbindung zu Deinem Asus auf. Dann kannst Du, sofern das VPN korrekt eingerichtet ist, direkt auf Dein NAS zugreifen, als ob Du im LAN wärst, also mit den gleichen URLs.
Gibt es eine sicherere Alternative zu OpenVPN + PortForwarding außer das VPN der FritzBox (die sowieso bald aussortiert wird)?
IP-SEC zu einerm debrandeten fritzbox-Router.
lks