Dream Machine hinter FritzBox WireGuard-VPN einrichten

Hallo Zusammen,

derzeit bin ich etwas am Verzweifeln und hoffe Ihr könnt mich in die richtige Richtung schubsen

Aktuell besitze ich eine FritzBox 7590 welche über den WAN-Port mit dem NT vom Glasfaseranbieter verbunden ist. Der Glasfaseranbieter stellt mir WAN-Seitig eine IPv6 sowie eine IPv4 (CG-NAT) zur Verfügung. Die FritzBox besitzt die Netzwerk-IP: 10.0.0.1 und stellt das Netzwerk 10.0.0.0/24 zur Verfügung. In der FritzBox habe ich den Wireguard-Server aktiviert um von Unterwegs via IPv6 (IPv4 fällt aufgrund des CG-NAT ja flach) auf mein Netzwerk mittels MyFritz DynDNS zuzugreifen. Das hat bisher auch problemlos funktioniert.

Jetzt habe ich mein Netzwerk etwas umgestaltet aufgrund des Homeoffice, etc und habe den LAN1 Port der FritzBox mit dem WAN-Port der Dream Machine SE verbunden. Die Dream Machine erhält auf dem WAN-Interface auch eine IPv4 (10.0.0.2) und keine IPv6.

Um die Netzwerke sauber zu trennen, habe ich in der DreamMachine 4 VLAN´s eingerichtet.

Manage-LAN: 10.0.1.0 /24

Homeoffice: 10.0.2.0 /24

Home 10.0.3.0/24

Gast 10.0.4.0/24

Gerne möchte ich nun mittels WireGuard-VPN ausschließlich nur auf das Homeoffice-Netzwerk zugreifen, allerdings kommt hier nur die Verbindung bis zur FritzBox zu Stande. Da die DreamMachine im VPN-Servermenü kein IPv6 für DynDNS unterstützt, dachte ich, ich könnte mir die FritzBox hier weiterhin zu Nutze machen.

Ich habe in der FritzBox 4 statische Routen zu den jeweiligen VLAN´s eingerichtet und das NAT in der Dream Machine deaktiviert.

Auch die Wireguard-Konfig habe ich im Bereich der erlaubten IP´s angepasst. Hier habe ich die 10.0.2.0 /24 hinzugefügt.

Leider war bis hier keine Verbindung über VPN in das Netz der Dream Machine möglich.

Hierauf habe ich das gesamte Forum durchstöbert und denke, dass ich die Lösung gefunden habe.

Ich habe in der Firewall der Dream Machine in dem Menü „Internet Lokal“ eine Regel angelegt, welche einen Zugriff ausschließlich mit der Wireguard VPN-IP (vergabe durch die FritzBox 10.0.0.242) auf das HomeOffice VLAN zulässt.

Meine Frage ist, mach ich hierdurch das Homeoffice-Netzwerk angreifbar von außen oder vom Gastnetzwerk aus? Die FritzBox hat bis auf Wireguard keine Freigaben aktiviert, sie ist auch nicht als „Exposed Host“ eingerichtet.

Ich hoffe ich habe keine notwendigen Infos vergessen und würde mich sehr über eure Hilfe freuen

Vielen Dank für eure Hilfe und Unterstützung

Hi, sorry das ich erst jetzt antworte und vielen Dank für deine ausführliche Antwort. Leider konnte ich deinen Vorschlag erst am Wochenende ausführlich teste. Wenn ich die gleiche Regel in „Internet In“ anlege, bekomme ich logischerweise eine Verbindung bis in das Fritz Box Netzwerk, aber komme dann nicht mehr in das Homeoffice Netzwerk in der Dream Machine. Hast du da eine Idee für mich, was ich evtl. falsch mache?

Im Punkte Sicherheit sehe ich das doch richtig, dass die Verbindung zur Fritz Box sicher über VPN aufgebaut wird und von der Fritz Box ein Zugriff auf das Netzwerk (Homeoffice) in der Dream Machine nur über die lokale sichere VPN-IP des eingewählten Client erfolgen kann. Wichtig ist mir halt, dass die anderen Netze keine Möglichkeit haben auf das Büro-Netz zuzugreifen und vom Internet nur dieses eine Gerät sicheren Zugriff hat.

Vielen Dank nochmal für die Unterstützung