Fritzbox als VPN Gateway ohne Fernzugang

riva · 18.03.2021

Member hat gesagt:
@riva, wenn Du per VPN einen Tunnel zu Deiner FritzBox aufbaust, dann bist Du damit in der Fritz Box und im internen LAN. (Zum Beispiel auf deiner NAS). Aber wie willst Du von da dann wieder raus in’s Internet kommen? Das ist mir nicht so ganz klar wie das ohne einen Proxy im internen LAN gehen soll.

Dein Gerät verhält sich ja so als wäre es in dem Remote LAN und du hast eine lokale IP Adresse. Von dort baust du dann die Verbindung ins Internet auf. Du kannst das natürlich umgehen in dem du deinem Rechner für WAN Verbindungen gezielt nicht den VPN Adapter zuweist, aber das ist eher die Ausnahme als Regel. Wenn du dich mit deinem Firmen VPN verbindest und dich im Internet bewegst, dann tust du das in der Regel mit der IP deiner Firma. Auf diesem Prinzip bauen ja auch die kommerziellen VPN Apps auf.

Pilo · 18.03.2021

@riva kommt darauf an wie im VPN Client der Traffic geroutet wird. Geht aller Traffic über den VPN Tunnel, dann hast Du Recht. Wird nur das was an einen internen Rechner geschickt werden soll getunnelt und alles andere direkt ins Internet verschickt. Das war bei meinem Firmen VPN so. Keine Ahnung wie man das im VPN Client konfigurieren kann oder ob der VPN Server das vor gibt und dort konfiguriert werden kann.

YamNua · 18.03.2021

Member hat gesagt:
Wird nur das was an einen internen Rechner geschickt werden soll getunnelt und alles andere direkt ins Internet verschickt. Das war bei meinem Firmen VPN so. Keine Ahnung wie man das im VPN Client konfigurieren kann oder ob der VPN Server das vor gibt und dort konfiguriert werden kann.

Nennt sich "Split Tunneling" und kann entweder vom Admin vorgegeben werden oder vom Benutzer eingestellt werden im VPN Client. Wurde jetzt im Rahmen von Corona relativ wichtig, mit den Videokonferenzen, wenn am Endpunkt nur begrenzte Bandbreite vorhanden ist. Macht ja keinen Sinn das über das Firmennetzwerk zu leiten.

Was @schmidtyy jetzt am Fernzugang aus Sicherheitsaspekten stört kann ich nicht so ganz nachvollziehen. Da denke ich wären ändere Lösungen ehr unsicherer, sei es einen SQUID Proxy zu exponieren oder ähnliches. Du kannst dir natürlich eine Software Firewall auf einen Pi machen und diese dann hinter der Fritzbox als exponierten Host betreiben ... und dann darüber Proxy und VPN dienste laufen lassen. Als Beispiel hier mal:

OPNsense® a true open source security platform and more - OPNsense® is a true open source firewall and more

opnsense.org

Diese würde auch auf einem PI laufen und auch dann die meisten deiner Ansprüche erfüllen ... aber verbunden mit einem ziemlichen Aufwand

Gruss

schmidtyy · 18.03.2021

Also was ich machen will MacBook => Fritz VPN (Gateway) = >Internet - Das geht nicht mit dem Fritzbox VPN, sondern nur, wenn man den Fernzugang der Fritzbox aufmacht. Warum vestehe ich nicht, ist aber auch egal. Ich will halt in Thailand mit meiner deutschen IP unterwegs sein. Kommerzielle VPNs brauche ich nicht. Da weiß man nie, wer da was mitspeichert. Da können sie 1000 Mal erklären, dass sie das nicht machen.

YamNua · 18.03.2021

Fritz Fernzugang ist VPN ... den richtest du unter MacOS über den nativen VPN Client des MacOs ein
oder habe ich da was Missverstanden ?

riva · 18.03.2021

Er meint den Fernzugang der Fritzbox. @schmidtyy kannst du etwas über deine Sicherheitsbedenken diesbezüglich sagen?

YamNua · 18.03.2021

Member hat gesagt:
Er meint den Fernzugang der Fritzbox. @schmidtyy kannst du etwas über deine Sicherheitsbedenken diesbezüglich sagen?

AVM nennt seinen VPN Client "Fritz!Fernzugang" ... deshalb frage ich nach der Begrifflichkeit

IPSec-VPN zur FRITZ!Box unter Windows einrichten | FRITZ!Box 7590

VPN: Mit dem Windows-PC auf die FRITZ!Box zugreifen | Frag FRITZ! 21 Mit IPSec und dem Programm FRITZ!Fernzugang können Sie an Ihrem Windows-Computer VPN-Verbindungen zur FRITZ!Box herstellen. So können Sie mit Ihrem Computer auch von unterwegs über eine sicher verschlüsselte Verbindung auf Ihre...

avm.de

YamNua · 18.03.2021

Member hat gesagt:
Das geht nicht mit dem Fritzbox VPN, sondern nur, wenn man den Fernzugang der Fritzbox aufmacht

Du brauchst um eine VPN Verbindung herzustellen bei jedem Gateway einen oder mehrere offene Ports. Den Fernzugang bei der Fritz zu öffnen heisst nichts anderes als den VPN zu aktivieren. Das sind bei der Fritz Port 500 und 4500. Die müsstest Du auch bei JEDEM anderen Gateway / VPN Router öffnen ( oder anlog für ein SSL den Port 443 ) das stellt aber in dem Sinne kein Sicherheitsproblem da. Bei AVM heisst der VPN Zugang leider etwas irreführend Fernzugang ... ist aber ein "reinrassiger" IPSec VPN Zugang.

riva · 18.03.2021

Member hat gesagt:
AVM nennt seinen VPN Client "Fritz!Fernzugang" ... deshalb frage ich nach der Begrifflichkeit

IPSec-VPN zur FRITZ!Box unter Windows einrichten | FRITZ!Box 7590
VPN: Mit dem Windows-PC auf die FRITZ!Box zugreifen | Frag FRITZ! 21 Mit IPSec und dem Programm FRITZ!Fernzugang können Sie an Ihrem Windows-Computer VPN-Verbindungen zur FRITZ!Box herstellen. So können Sie mit Ihrem Computer auch von unterwegs über eine sicher verschlüsselte Verbindung auf Ihre...
avm.de

ok, ich dachte an einen verfritzten TR069 oder so etwas. Da gab es ja durchaus mal Sicherheitsprobleme. Wenn damit einfach nur der VPN Server auf der Box gemeint ist, dann spricht nach meiner Meinung noch weniger gegen diesen Lösungsweg. Als Client kann ja auch ein anderes Produkt verwendet werden.

schmidtyy · 18.03.2021

Ich bin deshalb etwas unsicher: Akute Angriffswelle auf Fritzbox-Nutzer, jetzt handeln!

Ich wusste nicht, dass der "Fernzugriff" ein VPN Gateway ist, wo doch "VPN" bei der Fritzbox ein WVPN" ist, was problemlos arbeitet.