VPN einrichten ohne MyFritz und ohne zusätzlich angelegtem Nutzer - mit Standardnutzer?

[ibu]

Moin.

Ich habe schon einige Male erfolgreich ein VPN in verschiedenen Fritzboxen eingerichtet.

Dafür bin ich nach dieser Anleitung

IPSec-VPN zur FRITZ!Box unter macOS einrichten | AVM Deutschland

Schritt-für-Schritt-Anleitung, um an Computern mit macOS eine VPN-Verbindung zur FRITZ!Box über IPSec schnell & sicher einzurichten.

avm.de

vorgegangen.
Ist es richtig, dass man MyFritz zwingend für die Erreichbarkeit "unter einer festen IP" benötigt?

Ist es richtig, dass einen zusätzlich angelegten Nutzer ebenfalls zwingend benötigt und man nicht den automatisch angelegten Standardnutzern verwenden kann?

Dito für Wireguard, wo AVM eine identische Vorbereitung angibt:

WireGuard-VPN zur FRITZ!Box am Computer einrichten | AVM Deutschland

Richten Sie Ihre VPN-Verbindung vom Computer zur FRITZ!Box ganz einfach & kostenlos über WireGuard ein - egal ob Windows, Linux oder macOS.

avm.de

Danke für euren Rat.

 

[Jstessi]

ist es richtig, dass man MyFritz zwingend für die Erreichbarkeit "unter einer festen IP" benötigt?

nein; ich fahre meine 5 VPNs seit Jahren mit DynDNS (oder vergleichbare). Diese haben den Vorteil, dass ohne weiteren Aufwand die Box gewechselt werden kann, DynDNS aber nicht angepasst werden muss.

Als Nutzer kannst du auch den Haken VPN bei dem vorgegebenen Nutzer 'fritz1234' setzen [Beispiel], so dass auch damit die VPN möglich sein sollte.

 

[ibu]

OK. Aber um ohne eine externen Dienst eine feste IP zu realisieren, benötigt man zwingend MyFritz.

Und Myfritz wiederum kann man nicht für den automatischen Standardnutzer einrichten, sondern nur für einen zusätzlichen Nutzer, richtig?

 

[KunterBunter]

Eine feste IP-Adresse bekommt man auch nicht mit MyFritz. Der ist da auch nur ein DynDNS Service wie jeder andere auch.

 

[ibu]

@KunterBunter

Danke für die Korrektur. AVM drückt sich in der oben erwähnten Anleitung so aus:
"damit sie im Internet jederzeit unter einer festen MyFRITZ!-Adresse erreichbar ist"

Und Myfritz wiederum kann man nicht für den automatischen Standardnutzer einrichten, sondern nur für einen zusätzlichen Nutzer, richtig?

Stimmt denn das?

 

[Jstessi]

Nein; MyFritz ist auch für den Standard-User. Hat miteinander nichts zu tun

 

[rerhafnhabu]

MyFritz ist wie oben schon geschrieben, ein ganz normaler DynDNS-Anbieter.
Der ist im Gegensatz zu vielen anderen Anbietern halt kostenlos.

DynDNS mach im Grunde nichts anderes, als dem DNS-System mitzuteilen, welche IP-Adresse dene Fritz!Box aktuell hat.
Die IP-Adresse könnte auch direkt im VPN eingetragen werden, muss diese dann halt ständig angepasst werden, wenn die Box eine neue Adresse bekommt.

Bei der Telekom z.B. wären das alle 180 Tage

 

[Novize]

DynDNS mach im Grunde nichts anderes, als dem DNS-System mitzuteilen, welche IP-Adresse dene Fritz!Box aktuell hat.

Kleine Korrektur zur Richtigstellung:
MyFritz ist ein DDNS-Dienst, dieser löst u.a. den (kryptischen) Namen der Fritz auf zu einer IP-Adresse, soweit richtig, aber...
=> MyFritz und andere DDNS-Dienste teilen den herkömmlichen DNS-Servern keineswegs die aktuelle IP der Fritz mit. Der DDNS- bzw. MyFritz-Server wird über DNS gefunden und übernimmt dann die weiterführende Adress-Auflösung.

 

[rerhafnhabu]

ich lasse mich gerne korrigieren, aber setzt nicht auch myFritz den DNS-Eintrag?
Klar, die Domains sind ja nur Subdomains von myfritz.net.
Wenn ich verschiedene subdomains.myfritz.net anpinge, bekomme ich jeweils die IPs der Box, die ich auch direkt mit der erhaltenen IP erreichen kann

ping gkxxxxxxxxxxxxf9.myfritz.net Ping wird ausgeführt für gkxxxxxxxxxxxxf9.myfritz.net [2003:ec:xxxx:xxxx:xxxx:xxxx:fe21:297b] mit 32 Bytes Daten: Antwort von 2003:ec:xxxx:xxxx:xxxx:xxxx:fe21:297b: Zeit=27ms nslookup gkxxxxxxxxxxxxf9.myfritz.net Server: fritz.box Address: fd00::ca0e:xxxx:xxxx:2908 Nicht autorisierende Antwort: Name: gkxxxxxxxxxxxxf9.myfritz.net Addresses: 2003:ec:xxxx:xxxx:xxxx:xxxx:fe21:297b 46.91.xxx.xxx ping syxxxxxxxxxxxxwp.myfritz.net Ping wird ausgeführt für syxxxxxxxxxxxxwp.myfritz.net [2003:df:xxxx:xxxx:xxxx:xxxx:fed4:eb41] mit 32 Bytes Daten: Antwort von 2003:df:xxxx:xxxx:xxxx:xxxx:fed4:eb41: Zeit=25ms nslookup syxxxxxxxxxxxxwp.myfritz.net Server: fritz.box Address: fd00::ca0e:xxxx:xxxx:2908 Nicht autorisierende Antwort: Name: syxxxxxxxxxxxxwp.myfritz.net Addresses: 2003:df:xxxx:xxxx:xxxx:xxxx:fed4:eb41 217.232.xxx.xxx ping avxxxxxxxxxxxx3h.myfritz.net Ping wird ausgeführt für avxxxxxxxxxxxx3h.myfritz.net [2003:de:xxxx:xxxx:xxxx:xxxx:feda:ae81] mit 32 Bytes Daten: Antwort von 2003:de:xxxx:xxxx:xxxx:xxxx:feda:ae81: Zeit=18ms nslookup avxxxxxxxxxxxx3h.myfritz.net Server: fritz.box Address: fd00::ca0e:xxxx:xxxx:2908 Nicht autorisierende Antwort: Name: avxxxxxxxxxxxx3h.myfritz.net Addresses: 2003:de:xxxx:xxxx:xxxx:xxxx:feda:ae81 91.41.xxx.xxx

 

[Erforderlich]

Jetzt hat dich Novice wohl verwirrt. So wäre vielleicht https://de.wikipedia.org/wiki/Dynamisches_DNS etwas Lesestoff für dich.

Meine Kurzfassung:
Natürlich setzt dein DDNS-Client den DNS-Eintrag, aber nur indirekt über den Kontakt zum DDNS-Server.

 

[Novize]

Wenn ich verschiedene subdomains.myfritz.net anpinge, bekomme ich jeweils die IPs der Box, die ich auch direkt mit der erhaltenen IP erreichen kann

Richtig, denn die Auflösung erfolgt transparent durch den DDNS-Dienst, so ja auch die Funktion der Subdomains. Es wird der Staffelstab zur Namensauflösung einfach an den DDNS-Dienst weitergereicht, nachdem der DNS-Dienst die Domain aufgelöst. Denn der DNS-Dienst kennt keine der dynamischen Subdomains und will die auch nicht kennen. Die Abarbeitung ist wie folgt:
Die Adresse <subdomain>.<domain>.<tld> => wird am DNS abgefragt
Der DNS löst <domain>.<tld> auf und reicht die Anfrage an den ermittelten Server weiter
Der dort laufende DDNS-Dienst löst die IP-Adresse der Subdomain auf und gibt diese an den Absender zurück

Natürlich setzt dein DDNS-Client den DNS-Eintrag,

Nein, das ist zu kurz gegriffen, dadurch erfolgt nicht ein einziger Eintrag z.B. bei google (8.8.8.8) oder wem auch immer. Die DNS-Dienste lösen (nur) die Domain auf, nicht aber die Subdomain. Dafür sind nachgeschaltete Dienste zuständig, die die Records erst auf Abruf mit den Daten füllen.

aber nur indirekt über den Kontakt zum DDNS-Server.

Nuja, die Auflösung der ganzen DomainNameSystem-Server bezieht sich (im Fall MyFritz) nur auf die Domain "MyFritz.net", dieser Dienst löst dann erst im 2. Schritt die Fritzbox als Subdomain auf, übernimmt also erst danach die DynamicDomainNameSystem-Funktion. MyFritz teilt aber den ganzen normalen DNS-Servern nicht die gesammelten IP-Adressen seiner Fritzboxen mit sondern gibt erst auf Abruf den Datensatz weiter.