USG hinter Fritz!Box7590 - Zugriff von Fritz!Box Netz ins USG Netz

  • Hallo zusammen,


    ich habe folgende Frage, bzw. folgendes Problem:

    Zunächst einmal was ich überhaupt haben möchte: Ich möchte mein Synology NAS mit einem USG vor dem Internet, sowie vor einem evtl. kompromittiertem Home Netzwerk schützen. Mein Ziel ist, mein Nas in ein 2. Netzwerk zu packen, welches ich besser durch die Firewall des USGs steuern kann und somit mehr Kontrolle darüber habe, was überhaupt bis zum NAS vordringen kann. Meine Client PCs sollen also nach wie vor im Netz der FB (192.168.178.XXX) liegen, nur das NAS soll im Netz des USGs (172.16.1.XXX) stehen.


    Also habe ich mir ein USG bestellt, welches nun auch endlich angekommen ist. Ich habe das USG hinter meine Fritz!Box gehängt und komme sowohl aus dem Netz der FB, also auch aus dem Netz des USGs ins Internet. Doppeltes NAT habe ich per config.gateway.json ausgestellt (zumindest habe ich die Datei auf einem Windows PC in den Ordner C:/Benutzer/user/Ubiquiti UniFi/data/sites/default/ gelegt und per Provisionierung über den UniFi Controller auf das USG gespielt. Ich hoffe das war richtig so). Eine IPv4 Route habe ich auf der FB eingerichtet, sowie das USG als Exposed Host festgelegt.


    Doch nun zum Problem: Von dem Netzwerk hinter dem USG komme ich problemlos in das FB Netz (Also: 172.16.1.XXX -> 192.168.178.XXX). Jedoch anders herum, also vom FB Netz (in dem die Clients stehen) komme ich nicht ins Netz des NAS, also hinter dem USG. Gerade um Ordner vom NAS per Netzlaufwerk in Windows einzubinden wäre das ja durchaus sehr wichtig! Ich habe schon versucht in der USG Firewall einen meiner Clients per MAC Adresse freizugeben, jedoch ohne Erfolg... Ich hab die Einträge unter WAN Eingehend und WAN Lokal probiert einzugeben, beides keine Wirkung.


    Was mache ich falsch? Und geht das überhaupt? :/ Ich bitte um eure Hilfe!


    Viele Grüße und Gesundheit!

    Climbingflo

  • Moin


    Wenn du auf deinem Client PC (192.168.178.x) die IP des NAS eingibst (172.16.1.x) kann das nicht funktionieren. Die Fritzbox die das Routing macht kennt das NAS ja nicht (mehr).


    Du kommst aus deinem FB Netz per IP nur bis zum WAN Anschluss des USG (das hat ja ne IP im 192.168.178.x Bereich)


    Was mir spontan vorm ersten Kaffee heute morgen einfällt ist ein Port forwarding für die Syno Ports

    Du gibst dann quasi statt der IP des NAS die 192er IP des USG ein und er leitet weiter.


    Das ganze schützt dich im Zweifel aber nicht wenn dein Client durch nen Virus (oder was auch immer) kompromittiert ist. Die Zugangs Berechtigung hat er dennoch.


    Ob es evtl eleganter ist das USG für das komplette Netz zu Nutzen und das ganze via VLAN abzutrennen (oder als DMZ) müsste man noch sehen. Wegen der DMZ kennen sich andere vermutlich besser aus.


    Wenn du es per VLAN trennst kannst du das genauso gut einstellen aber das interne Routing bleibt dir erhalten (also du kannst die IP des NAS eintippen und kommst auch da drauf)


    Was macht die FB denn noch alles ? nur mal zum abchecken ob du das USG für das gesamte Netz nehmen kannst


    LG


    Arne

    Mein Setup

    Telekom VDSL 100 -> Vigor 130 -> USG 3-P -> 1x AP AC Pro / 2 Flex Minis


    Größeres Setup kommt im laufe des Jahres :D

  • Hallo Arne,


    vielen Dank für deine schnelle Antwort!

    Was mir spontan vorm ersten Kaffee heute morgen einfällt ist ein Port forwarding für die Syno Ports

    Du gibst dann quasi statt der IP des NAS die 192er IP des USG ein und er leitet weiter.


    Das ganze schützt dich im Zweifel aber nicht wenn dein Client durch nen Virus (oder was auch immer) kompromittiert ist. Die Zugangs Berechtigung hat er dennoch.

    Wenn ich das richtig verstanden habe würde ich also mein NAS nicht mehr völlig vor dem LAN schützen. Der Schutz gegenüber dem Internet bleibt in diesem Fall ja aber unberührt, denke ich?

    Ob es evtl eleganter ist das USG für das komplette Netz zu Nutzen und das ganze via VLAN abzutrennen (oder als DMZ) müsste man noch sehen. Wegen der DMZ kennen sich andere vermutlich besser aus.


    (...)


    Was macht die FB denn noch alles ? nur mal zum abchecken ob du das USG für das gesamte Netz nehmen kannst

    Meine FB stellt aktuell die Internet-, sowie Telefonverbindung her. Außerdem eine VPN zu einer anderen Fritz!Box. Diese ist aber nicht so wichtig. Unbedingt weiterhin funktionieren muss (natürlich) die Internetverbindung und die Telefonverbindung.


    Nach meinen Recherchen wäre hier die Ideallösung ein Modem, welches die Telefonverbindung herstellt, das USG dann nur die Internetverbindung. Leider ist meine Fritz!Box 7590 erst vor ca. 2 Monaten angekommen, es wäre also blöd, wenn ich diese jetzt gar nicht mehr gebrauchen könnte.

    Eine andere Lösung außer das Port forwarding gibt es nicht, oder? Wobei ich ja sowieso nur SMB und evtl. https zum Verwalten meines NAS freigeben müsste :/


    Vielen Dank schon einmal für die Hilfe!

    Climbingflo

  • Wenn ich das richtig verstanden habe würde ich also mein NAS nicht mehr völlig vor dem LAN schützen. Der Schutz gegenüber dem Internet bleibt in diesem Fall ja aber unberührt, denke ich?

    Jaien, ein Rest Risiko hast du immer, aber das kannst du minimieren so weit es geht.


    Ich werde in meinem nächsten Setup das NAS vermutlich nur per VPN erreichbar machen dann hab ich keine freigaben von außen und muss mich erst ins VPN und dann aufs NAS verbinden.


    Wie gesagt wenn dein client schon kompromittiert ist kommt er ja trotzdem auf das NAS weil die Berechtigung da ist.


    Nach meinen Recherchen wäre hier die Ideallösung ein Modem, welches die Telefonverbindung herstellt, das USG dann nur die Internetverbindung. Leider ist meine Fritz!Box 7590 erst vor ca. 2 Monaten angekommen, es wäre also blöd, wenn ich diese jetzt gar nicht mehr gebrauchen könnte.

    Du brauchst vor dem USG definitiv ein Modem - das ist anders als bei der FB nicht mit eingebaut, viele verwenden dazu einen Vigor 130 oder 160/165 von Dreytek.

    Wenn du ein solches vor das USG hängst kannst du die FB auch für Telefon und Wifi weiter verwenden - Wifi falls du keine anderen APs hast.


    Wenn du einen Kabelanschluss hast kann es evtl ein bridge Mode geben der das Internet durchleitet aber das Telefon trotzdem weiter betreibt - da kannst du hier im Forum fündig werden.


    Eine andere Lösung außer das Port forwarding gibt es nicht, oder? Wobei ich ja sowieso nur SMB und evtl. https zum Verwalten meines NAS freigeben müsste :/

    Mir fällt zumindest keine andere ein.

    Bei den Ports, je nachdem was auf deinem NAS an Diensten läuft - aber mit https und SMB kommst du schon mal ein stück weit.


    Ob statische Routen helfen können weiß ich gerade nicht, dafür hab ich noch nicht genug damit gemacht.


    Persönlich würde ich eher das Ganze netz mit dem USG verwalten als einen zweiten Router ins Netz zu holen

    Mein Setup

    Telekom VDSL 100 -> Vigor 130 -> USG 3-P -> 1x AP AC Pro / 2 Flex Minis


    Größeres Setup kommt im laufe des Jahres :D

  • Moin climbingflo ,

    damit das funktionieren kann musst Du in der FRITZ!Box eine statische Route für das Ziel-Netzwerk 172.16.1.0/24 konfigurieren. Das Gateway ist in diesem Fall das USG (WAN-seitig natürlich: 192.168.178.?/24).

    Dann müsste es mit WAN in-Regeln möglich sein Dein Ziel zu erreichen.

    Ich könnte mir allerdings vorstellen, dass es einfacher sein könnte, Dein gesamtes Netzwerk - mit oder ohne FRITZ!Box - hinter das USG zu ziehen. Ich habe das mit einem 165 Vigor an einem Telekom-Anschluss (35b) gelöst, an welchem vorher auch eine 7590 hing. Die macht jetzt nur noch Telefonie: ja, was für eine Verschwendung, aber ich liebe sie so sehr.

    Beim Setup "USG hinter FRITZ!Box" solltest Du via VPN sogar noch auf das entfernte LAN kommen, so sich der andere (entfernte) IP-Adressraum nicht auch in Deinem LAN wiederfindet - egal, ob vor oder hinter dem USG. Allerdings wird die Gegenseite ohne Einstellungen auch auf Deiner Seite kein Zugriff auf die Geräte hiter dem USG erhalten - dieses Problem kommt micht bekannt vor... 8o:/

    Viel Spaß beim Austüfteln und Überlegen Deiner Zielkonfiguration.

    • Gäste Informationen
    Hallo,gefällt dir der Thread, willst du was dazu schreiben,
    dann melde dich bitte an.
    Hast du noch kein Benutzerkonto, dann bitte registriere dich, nach der Freischaltung kannst du
    das Forum uneingeschränkt nutzen.