Um schreiben oder kommentieren zu können, benötigen Sie ein Benutzerkonto.
Sie haben schon ein Benutzerkonto? Melden Sie sich hier an.
Jetzt anmeldenHier können Sie ein neues Benutzerkonto erstellen.
Neues Benutzerkonto erstellen
In Gamerkreisen erlebt man es oft, dass mit ganz krudem Halbwissen operiert wird. Leider sind hier aber auch viele stets nur auf der Suche nach der schnellstmöglichen Lösung für ihr Problem und hinterfragen daher nicht.
Genau aus dem Grund wollte ich mich auch bei Euch rückversichern. Danke!
Danke Euch!
Ich war mir einfach unsicher, da ich beim googeln auf folgenden Link gestossen bin:
Hier steht halt "Überprüfen Sie nach Abschluss der Traceroute die ersten beiden aufgelisteten IP-Adressen. Wenn es sich bei beiden um private IP-Adressen handelt, verwenden Sie ein doppeltes NAT."
Aber wenn es so passt, bin ich zufrieden. Werde mich am Wochenende auch mal näher mit dem Thema NAT befassen.
Vielen Dank!
Guten Abend,
ich habe heute meine UDM auf die Network Version 8.3.32 upgedatet und anschließend nach Anleitung aus folgendem Video das doppelte NAT abgeschalten
(UDM als exposed Host hinter einer FB6591, UDM-Netz 10.0.0.0/24, Gateway-IP 10.0.0.1, WAN-IP 192.168.178.3, FB Netz 192.168.178.0/24, FB-IP 192.168.178.1)
In der FB noch die statische Route eingerichtet
Danach sowohl FB als auch UDM rebootet.
Internet ist weiterhin vorhanden.
Wenn ich nun aber einen traceroute bspw. auf die 8.8.8.8 mache, wird mir folgendes ausgegeben (andere Websites analog):
Für mich sieht das aus, als ob weiterhin doppeltes NAT vorhanden wäre, da zuerst von der UDM auf die FB geroutet wird (10.0.0.1 --> 192.168.178.1)
Ich hätte eigentlich erwartet, hier nur noch eine interne IP zu sehen.
Täusche ich mich oder passt das so?
Falls nein, was mache ich falsch?
Wie sieht das bei Euch aus?
Danke für Euren Input!
OK, ich habe es jetzt mal mit einem proxmox server als Client im Subnetz der UDM versucht. Darauf habe ich Zugriff auch aus dem Subnetz der Fritzbox. Insofern sind wohl alle statischen Routen korrekt angelegt. Mein Fehler war wohl, dass ich versucht habe statt auf einen Client auf die GUI der UDM direkt zu verbinden. Das geht dann wohl nicht, ist aber auch nicht so schlimm. Wichtiger sind die Clients.
Jetzt funktioniert erstmal alles soweit, außer dass ich noch doppeltes NAT habe. Das ist aber erstmal nicht weiter schlimm, denn das erledigt sich ja auch in naher Zukunft mit einem der nächsten Firmware Releases von selbst. Darauf werde ich einfach warten, statt mich gleich an der Beta zu versuchen. Auf jeden Fall brauche ich so erstmal weder den Bridgemode der FB noch ein neues Kabelmodem, wie es aussieht.
Ihr habt mir alle sehr geholfen. Vielen Dank für Eure Geduld und Unterstützung!
Dann in der Fritte einfach eine Portweiterleitung machen "Port des WG Server" auf die WAN IP der UDM.
Wenn du über die Fritte eine FQDN über Myfritz gemacht hast, so musst du das Client WG File welches du generiert hast (im Controller) bearbeiten und zwar die Einstellung "Endpoint", diese setzt der WG Server normal auf die WAN IP deiner UDM, als Endpoint = xxxxxxx.myfritz.net:Port (hier deinen Port eintragen)
zu guter Letzt solltest du "PersistentKeepalive = 25" als letzte Zeile eintragen.
DoPe und BlackSpy Jetzt hat es funktioniert, danke !!! Wahrscheinlich die Portfreigabe in Verbindung mit der angepassten Firewall Regel ... Ich dachte ehrlich gesagt, das ich bei "exposed Host" keine weiteren Ports mehr freischalten muss. Aber egal, jetzt geht es.
"PersistentKeepalive = 25" ist "Dauerhafte Erhaltung" in der Wirguard App, korrekt?
Eine Frage habe ich allerdings noch. Über VPN komme ich ja jetzt auf das Subnet der UDM. Was aber muss ich jetzt noch tun, um auch ohne VPN über das Heimnetz / Subnet der FB auf das UDM Subnet zugreifen zu können? Das geht nämlich noch immer nicht (anders rum schon, von der UDM hin zur FB).
Danke Euch!
Ist das 10.0.0.0 (welche Maske?) dein Default Netz?
Das 10.0.0.0/24 ist mein Default Subnet, genau.
Versuchst Du auf die UDM zu kommen oder auf irgendein Gerät im Default LAN? Was genau testest Du?
Aktuell habe ich noch keine weiteren Geräte angeschlossen. Wenn ich Dich richtig verstehe, könnte das das Problem sein. Ich dachte, ich komme einfach auf das Webinterface der UDM, genauso wie ich im UDM Subnetz mit der 10.0.0.1 drauf komme oder im Netz der FB mit 192.168.178.1 auf die FB GUI. Dann schliesse ich nachher mal ein weiteres Gerät an und teste nochmal. Werde dann berichten.
Und trag mal bitte bei der Firewallregel nicht nur den VPN Client ein, sondern das ganze 192.168.178.0/24 sonst kommst Du nie mit einem Gerät aus dem Fritzbox LAN da durch.
Guter Hinweis, danke! Vermutlich dann als Source Type Port/IP Group und Address Group definiere ich als 192.168.178.0/24, korrekt?
btw: keine Ports weitergeleitet??? Wenn die UDM Exposed Host ist, dann hast Du alles dahin weiter geleitet, bis auf die Dinge, die sich die Fritte krallt oder die explizit woanders hin weitergeleitet sind.
Genau das dachte ich mir eigentlich auch, daher auch meine Nachfrage.
Irgendwie komme ich mit dem VPN nicht weiter.
Ich würde den Wireguard Server auf die UDM packen und das Fritzbox LAN mal komplett aussen vorlassen. Wenn Du da keine Geräte mehr hast, dann willst Du doch auch eigentlich nicht in dieses Netz. Ansonsten ist es korrekt was DarkVolli schreibt, auf dem WAN der UDM ist auch bei deaktiviertem NAT die Firewall aktiv und muss angepasst werden.
Grundsätzlich bin ich bei Dir, den Wireguard Server direkt auf der UDM zu nutzen. Allerdings bekomme ich das nicht hin, da ich dort ja keine öffentliche IP als WAN IP habe sondern nur eine interne von der Fritzbox?! Oder gibt es da einen Workaround? Das wär natürlich die sauberste Variante.
Für Wireguard brauchst du so wie DoPe schrieb, nur ne Portweiterleitung, ist nix größer und in zwei Minuten erledigt
Welche Ports muss ich den wo weiterleiten?
Zum Testen bin ich folgendermaßen vorgegangen:
Ich habe eine statische Route in der FB wie folgt angelegt
10.0.0.0 (Subnetz der UDM)
255.255.255.0
192.168.178.3 (WAN-IP der UDM)
Die Fritzbox hat das Netz 192.168.178.0/24
Der VPN User auf der Fritzbox hat die IP 192.168.178.242
Dann habe ich noch folgende Firewall Rule in der UDM angelegt
Aber irgendwas mache ich falsch. Ich komme weder ohne noch mit VPN der Fritzbox auf meine UDM aus dem FritzBox Subnet. Irgendwas ist also noch falsch oder fehlt.
Ports habe ich noch keine weitergeleitet, da ich nich weiß, welche und wo, also ob auf der FB oder in der UDM.
Die UDM ist übrigens als Exposed Host in der FB angelegt
Könnt Ihr mir vielleicht noch Tipps geben oder mich auf die richtige Spur bringen?
Vielen Dank!
plasmediaXAlles anzeigenFür Wireguard brauchst du so wie DoPe schrieb, nur ne Portweiterleitung, ist nix größer und in zwei Minuten erledigt.
Eines sollte man bedenken:
Der Bridge Modus ist nett, aber....dein Gateway hängt direkt am großen Netz und wer deine IP eingibt landet auf der Anmeldeseite deines Gateway.
Nun wissen die bösen Jungs welcher Hersteller dahinter steht und könnten besser angreifen. (Soweit Intresse besteht)
Also bist du gänzlich für deine Netzwerk Sicherheit verantwortlich, also nicht mal ausversehen SSH anlassen.
Der Vorteil hinter einer Fritzbox mit nicht öffentlicher IP, angreifer müssten erst die Fritte überwinden, erst danach sehen sie was Hintern dran steckt.
Also die Vor/Nachteile sollte man abwägen.
DoPe BlackSpy Danke für den Hinweis mit der Portweiterleitung. Das muss ich mir nochmals anschauen. Wenn das gehen würde, wäre perfekt. Dann könnte ich einfach wie im Video beschrieben, das Natting auf meiner Dream Machine ausschalten. Bisher habe ich aber das Problem, dass ich per Wireguard nur auf Geräte im Subnetz der Frintzbox komme (192.168.178.0/24). Zu meiner testweise als Exposed Host angeschlossenen Dream Machine sowie Geräte in deren Subnetz (10.0.0.0/24) kann ich dagegen bisher leider keine Verbindung über Wireguard aufbauen.
BlackSpy Deinen Hinweis bzgl. Sicherheit kann ich grundsätzlich nachvollziehen, allerdings hängt ja die FB bisher auch direkt am Netz. Insofern besteht ja auch jetzt schon das von Dir genannte Risiko.
Das Video kenne ich, danke.
Aber ich verstehe es so: Ich habe dann zwar kein doppeltes NAT mehr, allerdings hat meine Dream Machine weiterhin nur eine interne WAN IP und eben keine öffentliche IPv4 Adresse, was wiederum an anderer Stelle problematisch sein kann. Bspw. benötige ich doch für einen WireGuard Server auf der UDM eine öffentliche WAN Adresse, oder nicht?
Hallo zusammen.
Eine - vielleicht dumme - Frage von mir zum Bridgemode.
Wie sieht es nach einem Update der FritzBox auf ein neues FritzOS aus? Bleibt da der Bridgemode erhalten oder muss dieser wieder neu konfiguriert werden?
Ich spiele nämlich gerade ebenfalls mit dem Gedanken, meine FB6591 in den Bridgemode zu versetzen. Die Alternative wäre, ein Kabelmodem davor zu hängen. Dies wäre allerdings mit aus meiner Sicht folgenden Nachteilen verbunden: Kosten für Neuanschaffung, Neuprovisionierung durch Vodafone und noch ein weiteres Gerät am Netz.
Danke!
zur Zeit sind 91 Mitglieder (davon 1 unsichtbar) und 458 Gäste online - Rekord: 129 Benutzer ()
