Fritzbox 4040 mit OpenWrt hinter Router

smodo1977

Mitglied
Mitglied seit
29 Mrz 2009
Beiträge
207
Punkte für Reaktionen
4
Punkte
18
Hallo,

ich möchte gerne hinter meinem Router (Fritzbox 6490) eine Fritzbox 4040 mit OpenWrt hängen (Portforwarding).

1. Da ich mir mit den Firewalleinträgen nicht ganz so sicher bin, wäre es schön wenn mir wer dienen Screenshot von seinen Firewalleinstellungen posten könnte, der die gleiche oder eine ähnliche konstelation hat.
2.1. Ich möchte gerne zwei Wireguard VPN´s auf der 4040 aufbauen, das eine kommt ins komplette Netz, das ist soweit für mich klar, wie es geht.
2.2. Das zweite Wireguard VPN soll auf der 4040 laufen, aber nur Internetzugriff haben und sonst nicht ins lokale netzt kommen. Wie mache ich das? VLAN?

Danke im Voraus

Smodo
 
1. Da ich mir mit den Firewalleinträgen nicht ganz so sicher bin, wäre es schön wenn mir wer dienen Screenshot von seinen Firewalleinstellungen posten könnte, der die gleiche oder eine ähnliche konstelation hat.
Welche Firewall-Einstellungen? Die der 4040? Die braucht aufgrund ihrer Position hinter der 6490 erst mal keine besonderen Firewall-Einstellungen, außer die für VPN, dazu kommen wir gleich.

2.2. Das zweite Wireguard VPN soll auf der 4040 laufen, aber nur Internetzugriff haben und sonst nicht ins lokale netzt kommen. Wie mache ich das? VLAN?
Nein, die 6490 kann ja kein VLAN. Von daher hilft dir das nicht. Du kannst lediglich eine Firewall-Regel kreieren, die der Quell-IP der VPN Clients aus VPN2 nur Zugriff auf die 6490 und das Internet erlaubt.
 
Welche Firewall-Einstellungen? Die der 4040? Die braucht aufgrund ihrer Position hinter der 6490 erst mal keine besonderen Firewall-Einstellungen, außer die für VPN, dazu kommen wir gleich.
Dann würde ich alles schließen und nur Port 80,443 und Email zulassen, oder?

Nein, die 6490 kann ja kein VLAN. Von daher hilft dir das nicht. Du kannst lediglich eine Firewall-Regel kreieren, die der Quell-IP der VPN Clients aus VPN2 nur Zugriff auf die 6490 und das Internet erlaubt.

Das Wireguard soll auf der 4040 laufen. Die Verbindung soll aber gleich wieder ins Internet gehen und der Zusgriff über des VPN soll nicht ins Netz der 4040 dürfen.
 
Dann würde ich alles schließen und nur Port 80,443 und Email zulassen, oder?
Warum überhaupt was schließen? Durch die Fritzbox kommt ja nichts durch. Und wenn du was öffnen willst, warum genau diese drei? Läuft da ein Mail- oder Web-Server auf der 4040? Davon hast du nichts geschrieben.

Das Wireguard soll auf der 4040 laufen. Die Verbindung soll aber gleich wieder ins Internet gehen und der Zusgriff über des VPN soll nicht ins Netz der 4040 dürfen.
Ja. Genau dafür ist die Firewall-Regel. Auf die 6490 musst du aber den Zugriff zulassen, denn die ist das Default-Gateway ins Internet. Die 4040 hat ja kein eigenes Netz, oder? Das Netz hat ja die 6490.
 
Warum überhaupt was schließen? Durch die Fritzbox kommt ja nichts durch. Und wenn du was öffnen willst, warum genau diese drei? Läuft da ein Mail- oder Web-Server auf der 4040? Davon hast du nichts geschrieben.
Die 6490 soll nur Portweiterleitung machen und die 4040 als Firewall fungieren, dahinter ist mein Heimnetz mit Rechner, NAS, ...


Ja. Genau dafür ist die Firewall-Regel. Auf die 6490 musst du aber den Zugriff zulassen, denn die ist das Default-Gateway ins Internet. Die 4040 hat ja kein eigenes Netz, oder? Das Netz hat ja die 6490.
Wie schon gesagt, das Wireguard läuft auf er 4040 und bekommt von der 6490 Portforwarding, das ist ja soweit alles klar. Was mir nicht klar ist, wie richte ich in der 4040 ein, das das VPN aufgebaut wird, aber nichts ins Heimnetz kommt, sondern gleich wieder ins Internet geht. Also VPN WAN 4040 zu WAN 4040 Internet.
 
Die 6490 soll nur Portweiterleitung machen und die 4040 als Firewall fungieren, dahinter ist mein Heimnetz mit Rechner, NAS, ...
Das dein Heimnetz hinter der 4040 ist, hattest du vorsichtshalber verschwiegen.

Was mir nicht klar ist, wie richte ich in der 4040 ein, das das VPN aufgebaut wird, aber nichts ins Heimnetz kommt, sondern gleich wieder ins Internet geht.
Über VPN ins Internet ist einfach, das geht über die Allowed IPs, wie bei Wireguard üblich. Um den Zugriff aufs eigene Heimnetz auszuschließen, brauchst du dann eine Firewallregel in OpenWRT; die den Zugriff aus dem VPN Netz aufs Heimnetz ausschließt.
 
Das dein Heimnetz hinter der 4040 ist, hattest du vorsichtshalber verschwiegen.
Ja sorry, das hatte ich irgendwie vergessen zu erwähnen.

Über VPN ins Internet ist einfach, das geht über die Allowed IPs, wie bei Wireguard üblich. Um den Zugriff aufs eigene Heimnetz auszuschließen, brauchst du dann eine Firewallregel in OpenWRT; die den Zugriff aus dem VPN Netz aufs Heimnetz ausschließt.

Ich möchte ja zwei VPN´s haben, das eine kann ins lokal Netz, das andere nicht. Wie löse ich das? Über die VPN-Ports? Über VLAN oder lege ich zwei VPN-Geräte an???
 
In welchem Bundesland bist Du? Dann könntest Du die FRITZ!Box nämlich vielleicht auch einfach in den Modus Bridge versetzen.

Was hat das mit dem Bundesland zu tun? Was würde der Bridgmode denn bringen? Das löst doch nicht mein Problem mit den 2 VPN´s
 
Was hat das mit dem Bundesland zu tun?
Vodafone hat aufgrund seiner Zukäufe – die nach Bundesland geschahen – unterschiedliche Vorgehensweisen, Abläufe und Produkte. So kann man den Modus Bridge in dem einen Bundesland selbst über die Web-Oberfläche, im anderen Bundesland nur über die Hotline, …
Was würde der Bridgmode denn bringen?
Keine Router-Kaskade, kein Doppel-NAT, keine Port-Freigaben auf zwei Routern, …
 
Keine Router-Kaskade, kein Doppel-NAT, keine Port-Freigaben auf zwei Routern, …
Da es meine eigene 6490 ist, könnte ich sie als Bridgemode stzen, aber sie 6490 sollte noch als Gast LAN und WLAN dienen.

Wie klappt das mit den 2 VPN´s in der 4040?
 
Da es meine eigene 6490 ist, könnte ich sie als Bridgemode stzen, aber sie 6490 sollte noch als Gast LAN und WLAN dienen.
Du hast doch oben geschrieben, das LAN sei hinter der 4040. Und nun soll die 6490 WLAN machen? Das passt nicht zusammen.

Ansonsten 2 VPNs einrichten, 2 Portweiterleitungen dafür, und dann für die eine noch die einschränkende Firewall-Regel. Den Rest kannst du über die Allowed IPs regeln. Da braucht die eine Zugriff aufs Internet, die andere Zugriff aufs Heimnetz. Wobei die WLAN Geräte da natürlich raus sind.
 
Ansonsten 2 VPNs einrichten, 2 Portweiterleitungen dafür, und dann für die eine noch die einschränkende Firewall-Regel. Den Rest kannst du über die Allowed IPs regeln. Da braucht die eine Zugriff aufs Internet, die andere Zugriff aufs Heimnetz. Wobei die WLAN Geräte da natürlich raus sind.

Danke schön, dann teste ich das mal.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.