- Anzeige -

Fritz Box Cable und das Zugriffsthema von Außen

In diesem Forum geht es um die Router für Kabel Internet FRITZ!Box 6320, FRITZ!Box 6340, FRITZ!Box 6360 und FRITZ!Box 6490 der Firma AVM.

Re: Fritz Box Cable und das Zugriffsthema von Außen

Beitragvon SpaceRat » 22.01.2015, 13:28

vocaris hat geschrieben:Ob ich das konfiguriert bekomme!? Mal sehen und probieren. So wie ich das verstanden habe, wird die Konfiguration in eine Art Datei gespeichert, die ich dann bei den Clients wieder brauche.

Ich weiß nicht, wie es bei QNap gelöst ist.

Die kompliziertere Variante einer OpenVPN-Konfiguration besteht aus
- CA-Cert
- Server-Cert
- Server-Key
auf dem Server
und
- CA-Cert
- Client-Cert
- Client-Key
auf den Clients (Jeder Client ein eigener Satz).
Das CA-Cert ist in beiden Configs das selbe.

Die kompliziertere Variante brauchst Du, weil z.B. OpenVPN Connect für Android die einfachere (Static key, wie AVMs VPN) nicht beherrscht.
Wenn QNap das gut gelöst hast, läßt sich das aber direkt aus dessen Oberfläche fertig erzeugen.

vocaris hat geschrieben:Denn ich gebe ihr ja nicht die externe ipv6 Adresse, sondern (ich bin ja schon drin in meinem Haus) die interne IP Adresse.

Genau.

vocaris hat geschrieben:Das ist dann wohl auch der Grund, warum du meinst, dass ich meine interne Steuerung von den Standartwerten z.B. 192.168.8.xx abändern soll.

Genau.
Wärst Du in einem Internet-Cafe in einem LAN mit demselben Adressbereich den Du auch zuhause verwendest, wäre trotz VPN keine Verbindung nach Hause möglich, weil Dein Smartphone ja dann nicht wissen kann, ob 192.168.178.10 (Angenommene IPv4 Deines NAS) nun im LAN des Internet-Cafes oder im VPN sein soll.

vocaris hat geschrieben:Jetzt meine ich, dass ich das wieder nicht könnte, da die FritzBox von Unitymedia in vielen Bereichen Beschnitten ist.

Doch, das kannst Du ..
Heimnetz -> Reiter "Netzwerkeinstellungen" -> Button "IPv4-Adressen"

vocaris hat geschrieben:Das mit einem letzten Abschnitt gemeinte "Identitätsnachweis" ist somit per OpenVPN gelößt?

Ja.
Client und Server können sich mit ihrem jeweiligen Client- bzw. Server-Zertifikat gegenseitig ausweisen und anhand des CA-Certs (Das ist das Zertifikat des Ausstellers der anderen Zertifikate) auch das Zertifikat der Gegenseite auf Echtheit überprüfen.
Nach derzeitigem Kenntnisstand kann diese Authentifizierung als sicher gelten.
Getreu der Devise "trust in no-one" sogar sicherer als die Verschlüsselung beim Online-Banking, denn da werden Zertifikate von öffentlichen CA-Autoritäten verwendet, bei denen man fast schon davon ausgehen kann, daß sie die erstellten Zertifikate und Schlüssel auch der NSA zur Verfügung stellen ...

vocaris hat geschrieben:Dennoch werde ich einen Dienst wie feste-ip.net etc. benötigen, oder?

Wenn Du das VPN auch aus IPv4-only-Netzen erreichen können willst/mußt ja.

Der OpenVPN-Server selber ist per IPv4 genausowenig erreichbar wie jeder andere Server in Deinem LAN auch.
Durch das VPN hindurch jedoch kannst Du IPv4 transportieren, also im Heimnetz mit IPv4 rumfuhrwerken.

vocaris hat geschrieben:Demzufolge werde ich eine test.feste-ip.net:65521 benötigen, die ich dann dem OpenVPN Client als URL mitgeben muss.

Korrekt.

Tip:
Lege Dir erst einen Port-Mapper an und versuche eine 1:1-Variante zu bekommen, wo also der Port auf dem Mapper derselbe ist wie der Port auf dem IPv6-Server, den Du erreichbar machen willst.
Das "wieso" erkläre ich Dir später :)


vocaris hat geschrieben:Eins habe ich noch nicht geschnallt: Wenn ich nun die Daten des NAS per VPN erreichen will, aber z.B. die WEbCam, die am NAS hängt für jeden zugänglich machen möchte, wie geht das denn?

Wenn es einen separaten Server auf einem separaten Port gibt, auf dem man einfach nur das Bild besagter Webcam sehen kann (Aber nicht ihre Konfiguration ändern oder sonstwas machen kann), dann bräuchtest Du für genau diesen Server/Port einen zweiten Mapper.
Und für andere freizugebende Server dann einen dritten, vierten, ...

Du kannst ja für einen Ziel-Host bei feste-ip.net mehrere Ports mappen lassen, genau das tust Du dann auch.
Und da würde ich immer so lange verschiedene Ports probieren, bis alle davon 1:1 sind und dann erst im Nachhinein den Port des Servers auf einen der so gewonnenen Ports legen.

Wenn es wirklich um einen reinen http-Server geht, gibt es noch einen anderen Weg ohne feste-ip, der auch im Ergebnis etwas eleganter ist ...
1. Du legst einen DynDNS-Hostname für den Server an, hier reicht der MyFritz-Name, z.B. qnap119.fgbdifnbifgbfgio.myfritz.net
2. Du richtest den Server ein und gibst dessen Port (z.B. 12345) in der Fritz!Box frei (Es reicht für jedes Gerät eine einzige MyFritz-Freigabe zu machen, weitere Ports kann man dann einfach in der dabei entstandenen IPv6-Freigabe zufügen)
3. Du legst auf FreeDNS.afraid.org einen Host (z.B. "wettercam.mooo.com") als Redirect an, der als Ziel "http://qnap119.fgbdifnbifgbfgio.myfritz.net.ipv4.sixxs.org:12345" hat.

Jeder Zugriff auf
http://wettercam.mooo.com (Keine Portangabe nötig, da der Standardport 80 verwendet wird)
wird nun weitergeleitet zu
[qnap119.fgbdifnbifgbfgio.myfritz.net.]ipv4.sixxs.org
welches ein Dienst ist, um IPv6-only-Webseiten per IPv4 erreichbar zu machen.
Der Dienst öffnet einfach die Adresse die seiner eigenen Adresse vorangestellt wurde über IPv6 und proxied sie per IPv4 zum Client.

Also:
Client öffnet wettercam.mooo.com
wettercam.mooo.com redirected zu ipv4.sixxs.org
ipv4.sixxs.org proxied die IPv6-Webseite qnap119.fgbdifnbifgbfgio.myfritz.net via IPv4 zum Client

Die Vorteile:
  • Der Server ist ist als "http://wettercam.mooo.com" unter dem Standardport 80 erreichbar
    Auf feste-ip.net hingegen würdest Du Port 80 im Leben nicht mehr als 1:1-Mapper kriegen ...
  • ein Port-Scan auf wettercam.mooo.com zeigt einem Angreifer nicht die anderen Ports, die auf dem echten Ziel offen sind, denn der Port-Scanner scanned den Redirector-Server, nicht Dich
    (Die Adresse des echten Servers kann man zwar rausfinden, aber für Script-Kiddies reicht das)
  • Du sparst einen Port auf feste-ip.net für was anderes ein :)


vocaris hat geschrieben:Ich denke, wenn ich im NAS das VPN konfiguriere, ist die gesamte Kiste NUR über den Tunnel zu erreichen.

Nein.
Sie ist dann zusätzlich über den Tunnel zu erreichen.
Wenn das NAS dabei IPv4-Masquerading aktiviert, ist sogar das gesamte Heimnetz durch den VPN-Tunnel erreichbar.
Receiver/TV:
  • Vu+ Duo² 4xS2 / OpenATV 5.3@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2 / OpenATV 6.0@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.0
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Mega HD, Brazzers, XXL, HD-, Sky
Fon: VF Komfort-Classic (ISDN), Siemens S79H+S1+Telekom Modula+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2614
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Fritz Box Cable und das Zugriffsthema von Außen

Beitragvon vocaris » 23.01.2015, 13:05

OK Space Rat,

wie gedacht klappt das alles nicht so. Bekomme es wohl alleine nicht hin.
Ggf. Lust auf eine Guideing Tour?
vocaris
Kabelneuling
 
Beiträge: 23
Registriert: 20.04.2012, 11:51

Re: Fritz Box Cable und das Zugriffsthema von Außen

Beitragvon SpaceRat » 24.01.2015, 15:52

vocaris hat geschrieben:wie gedacht klappt das alles nicht so. Bekomme es wohl alleine nicht hin.
Ggf. Lust auf eine Guideing Tour?

Ich verstehe es selber nicht, aber kaum sage ich irgendwo was schlaues, kommen immer alle mit diesem Wunsch.
Inzwischen bin ich nicht mehr in der Lage, das alles zu schaffen.

Leider darf ich jetzt schon alle paar Wochen dem TeamViewer-Support mailen, damit die mich wieder vom unterstellten kommerziellen Gebrauch auf Privatnutzer zurückstellen ...

In diesem Fall kommt auch noch hinzu, daß ich die Implementierung von OpenVPN in der QNap-Oberfläche nicht kenne.
Daß OpenVPN etwas kann wenn man auf einem "normalen" Linux die ganze Config selber schreibt heißt ja noch lange nicht, daß es sich auch irgendwie über die QNap-GUI so einstellen läßt.
Unter OpenWrt geht es z.B. auch nicht ohne manuellen Eingriff.
Receiver/TV:
  • Vu+ Duo² 4xS2 / OpenATV 5.3@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2 / OpenATV 6.0@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.0
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Mega HD, Brazzers, XXL, HD-, Sky
Fon: VF Komfort-Classic (ISDN), Siemens S79H+S1+Telekom Modula+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2614
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Fritz Box Cable und das Zugriffsthema von Außen

Beitragvon tokon » 24.01.2015, 16:50

Auf dem QNAP wird es vermutlich wegen IPv6 scheitern.
Das NAS selbst kann zwar IPv6, im OpenVPN-Bereich bleibt's dann jedoch bei IPv4.
2play PLUS 120/ISDN * FB6360 (FRITZ!OS 06.50) * Auerswald 5020 VoIP * ASUS RT-N66U als AP
Bild Bild
tokon
Übergabepunkt
 
Beiträge: 311
Registriert: 04.12.2014, 12:13
Wohnort: Baden-Württemberg

Re: Fritz Box Cable und das Zugriffsthema von Außen

Beitragvon SpaceRat » 24.01.2015, 16:57

tokon hat geschrieben:Auf dem QNAP wird es vermutlich wegen IPv6 scheitern.
Das NAS selbst kann zwar IPv6, im OpenVPN-Bereich bleibt's dann jedoch bei IPv4.

In etwa das hatte ich auch befürchtet.

Selbst auf den Synology NAS wurde OpenVPN ja erst mit einer der letzten Firmwares auf den aktuellen Stand gebracht.

Und soweit ich das heraushören konnte, ist die Konfiguration dort auch unnötig komplex:
Zuerst einmal wäre es ja nur wichtig, das OpenVPN über IPv6 als Trägernetz herstellen zu können, die Payload kann ja zumindest für den Anfang IPv4-only bleiben.
Der Konfigurator unter Synology will aber anscheinend alles direkt "richtig" machen und auch die Payload auf Dual-Stack bringen.

Ich bin der Überzeugung, daß es in beiden Fällen, also sowohl bei Synology als auch bei QNap, Mittel und Wege gibt, trotzdem ans Ziel zu kommen. Bei QNap müßte man halt notfalls eine geeignete OpenVPN binary selber bauen.
Das ist dann aber mit Sicherheit nichts für zwischen Suppe und Kartoffeln ...
Receiver/TV:
  • Vu+ Duo² 4xS2 / OpenATV 5.3@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2 / OpenATV 6.0@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.0
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Mega HD, Brazzers, XXL, HD-, Sky
Fon: VF Komfort-Classic (ISDN), Siemens S79H+S1+Telekom Modula+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2614
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Fritz Box Cable und das Zugriffsthema von Außen

Beitragvon vocaris » 25.01.2015, 11:36

Werde es dann erst mal mit PPTP versuchen.
Trotzdem Danke.
vocaris
Kabelneuling
 
Beiträge: 23
Registriert: 20.04.2012, 11:51

Re: Fritz Box Cable und das Zugriffsthema von Außen

Beitragvon tomas » 25.01.2015, 14:08

SpaceRat hat geschrieben:
tokon hat geschrieben:Auf dem QNAP wird es vermutlich wegen IPv6 scheitern.
Das NAS selbst kann zwar IPv6, im OpenVPN-Bereich bleibt's dann jedoch bei IPv4.

In etwa das hatte ich auch befürchtet.

Selbst auf den Synology NAS wurde OpenVPN ja erst mit einer der letzten Firmwares auf den aktuellen Stand gebracht.

Und soweit ich das heraushören konnte, ist die Konfiguration dort auch unnötig komplex:
Zuerst einmal wäre es ja nur wichtig, das OpenVPN über IPv6 als Trägernetz herstellen zu können, die Payload kann ja zumindest für den Anfang IPv4-only bleiben.
Der Konfigurator unter Synology will aber anscheinend alles direkt "richtig" machen und auch die Payload auf Dual-Stack bringen.

Ich bin der Überzeugung, daß es in beiden Fällen, also sowohl bei Synology als auch bei QNap, Mittel und Wege gibt, trotzdem ans Ziel zu kommen. Bei QNap müßte man halt notfalls eine geeignete OpenVPN binary selber bauen.
Das ist dann aber mit Sicherheit nichts für zwischen Suppe und Kartoffeln ...


Ich habe eine Synology und Unitymedia. Und habe es vor 2 Wochen geschafft OpenVPN einzurichten!
Nachdem Synology endlich so gut wie alle Pakete auf IPv6 Basis gebracht hat, stand ich vor dem Problem, dass für die OpenVPN Konfiguration in der Synology vorgesehen war, dass bei aktivierter IPv6-Unterstützung DHCP-v6 oder so auf der DS aktiviert werden muss. Sobald ich das gemacht habe, hat es mir aber die IPv6-Freigaben, die ich in der FritzBox angelegt hatte, zerschossen. Sprich: OpenVPN ging dann, die anderen Freigaben die ich dann hatte (z.B. für die CloudStation) gingen dann nicht mehr. Ich musste dann wieder DHCP-v6 auf der Synology deaktivieren und alle IPv6-Freigaben in der FritzBox neu einrichten. Ich wollte aber den DHCP Server auf Seiten der FritzBox anlassen, da meine Synolog nicht immer an ist und somit DHCP-Clients nicht 'bedienen' könnte.
urch Zufall entdeckte ich dann im Menü der FritzBox (ich glaube es war unter "Netzwerkeinstellungen") den Punkt "Priorität des DHCP Servers" oder so ähnlich. Ich habe den dann mal den Wert auf 0 gesetzt und dann eben in der Synology den DHCP-v6 aktiviert und dann OpenVPN aktiviert. Das Resultat: Ich kann seitdem von Außen via OpenVPN (ein IPv6 Netzwerk natürlich vorrausgesetzt) auf die Synology connecten und bin somit in meinem Heimnetz.
Anschluss: Unitymedia, 3 Play Smart 50
Hardware: FritzBox 6320, Synology DiskStation DS213+
tomas
Kabelexperte
 
Beiträge: 134
Registriert: 14.04.2013, 16:50
Wohnort: Hagen

Vorherige

Zurück zu FRITZ!Box für Kabel Internet

Wer ist online?

Mitglieder in diesem Forum: Yahoo [Bot] und 12 Gäste