Firewall Einstellungen Zugriff aus dem Ausland via VPN

[Hannelore3000]

Hallo,

ich war vor kurzem in den Niederlanden und wollte von da via VPN (WireGuard) auf mein NAS zugreifen bzw. die Fotos via Synology Photos sichern. Leider habe ich keinen Zugriff auf das NAS erhalten. Ich war ganz normal via Handynetz verbinden und habe dann die VPN aktiviert.

Sobald ich in Deutschland war, hat wieder alles du funktioniert.

Erkennt das NAS trotz VPN der FritzBox, dass ich mich im Ausland befinde?
Habe nämlich alle Verbindungen außer Deutschland blockiert.

 

[Rotbart]

Wenn die Fritzbox das Vpn-Gateway ist, bist du sobald darüber verbunden ,aus Sicht des NAS im localen Netz, d.h. auser der Fritzbox weiß keiner das du nicht Zuhause bist.Das muss andere Gründe gegeben haben das du kein Zugriff hast. Bist du denn auf die Fritzbox selber gekommen ?

 

[wegomyway]

hat das was mit Geoblocking in den Einstellungen der NAS zu tun, trotz VPN Ja, durch VPN bist sozusagen im "heimischen".
Vielleicht mal probiert ohne VPN zuzugreifen auf die NAS ?
Im Mai auf Malle, egal ob VPN oder nicht, bei 3 Nutzern mit 3 Handys und einem Tablet, hat DAS klaglos funktioniert. Auch egal ob Hotel-WLan oder Datentarif. ABER in der NAS war Spanien zugelassen neben Germany im Bereich Geoblocking. Danach dann wieder raus genommen. In einer Woche Kroatien und das kommt dann neben Germany rein.

 

[Hannelore3000]

Ja, habe auch gedacht, dass es am Geoblocking liegen könnte. Zugriff auf FRITZ!Box hab ich leider nicht probiert. Also ohne VPN komme ich in Deutschland auf nicht drauf. Habe ich aber auch nicht so konfiguriert.

 

[Benie]

Leider habe ich keinen Zugriff auf das NAS erhalten. Ich war ganz normal via Handynetz verbinden und habe dann die VPN aktiviert.

War das mit mobilem Netz oder Hotel W-Lan?
In Hotels wird oft VPN für die Nutzung gesperrt.

 

[Hannelore3000]

War das mit mobilem Netz oder Hotel W-Lan?
In Hotels wird oft VPN für die Nutzung gesperrt.

Es war das mobile Netz.

 

[wegomyway]

Da solltest Du in der NAS die "Ecke" Geoblocking mal ansehen und dort für den nächsten "Ausritt" das gewählte "Ländle" mal "zulassen".

Ich hatte auf Malle dass das erste Mal gemacht (hab meine 224+ ja erst seit 12/2023) und es wurden "kübelweise" Bilder/Fotos hochgeladen. Ich hab dann schon aus Neugier immer mal über die mobile App geschaut und fand das wirklich faszinierend... ist mein Ernst

Kann man nicht irgendwie was mit einem Ausland temporär machen um das zu testen ?

 

[Ronny1978]

Erkennt das NAS trotz VPN der FritzBox, dass ich mich im Ausland befinde?

Sollte eigentlich nichts mit dem Geoblocking zu tun haben. Das Geoblocking setzt ja im Grund ein, wenn du dich OHNE VPN auf deinem NAS anmeldest. Somit soll "verhindert" werden, dass sich IP Adressen, zum Beispiel aus Russland oder China oder.... überhaupt am NAS anmelden können. Nutzt du Wireguard auf der Fritzbox!!! hast du ja eine interne Adresse und gehst mit dieser auf das NAS. Woher soll das NAS jetzt wissen, wo du bist? Das sollte ja eigentlich Sinn und Zweck der VPN sein. Bis du per VPN verbunden, sollte ja auch bei "wieistmeineip.de" deine EXTERNE IP der Fritzbox angezeigt werden und NICHT die vom Mobilfunk. Bitte noch einmal prüfen, dass die VPN so eingestellt ist, dass SÄMTLICHER Verkehr durch den VPN Tunnel geschickt wird. Wenn zum Beispiel dort "Split-VPN" läuft, kann es durchaus sein, dass der Verkehr mit der DIREKTEN IP, also 192.168.178.x durch den Tunnel geht, xxxx.synology.me aber nicht. DANN greift der Geoblocking Filter.

Eine VPN sollte so eingestellt sein, dass der gesamte Internetverkehr durch den Tunnel geht. Jetzt noch einmal konkret die Frage: WIE HAST DU AUS DEN NIEDERLANDEN ZUGEGRIFFEN? Direkte IP des NAS (also 192.168.178.x) oder per DynDNS (also xxxx.synology.me)?

P.S. Bei Wireguard in der OpnSense kann man auch den DNS Server einstellen. Hier sollte meiner Meinung nach die IP der Fritzbox stehen. Auch hier noch einmal kontrollieren. Ich bin mir nicht ganz sicher wie AVM die Wireguard konfiguriert.

 

[wegomyway]

Ich bin mir nicht ganz sicher wie AVM die Wireguard konfiguriert.

ich hab mal bei mir geschaut, direkt in der Fritte [Internet - Freigaben - VPN (Wireguard)]. Da kannst nur Name für die Verbindung eintragen und dann war es das schon. Zum Ende entweder das frisch Erstellte per QR-Code (mobile Geräte) oder per Datei (Computer/Books) anlegen/nutzen.
Guckt man sich die Config-Datei in der App-Oberfläche von WG an (egal ob Linux oder WiN), steht da der Eingangsport, die Adressen (IP 192.168.178.xxx/xx) und die DNS der Fritte. Unter Teilnehmer bei erlaubte IPs 192.168.178.x/xx. Geht man inner App auf "Bearbeiten" dann ist dort ein Haken bei "Blockiere Verkehr außerhalb des Tunnels (Not-Aus)".
DAS alles ohne irgendwas zu konfigurieren oder händisch eintragen, also alles automatisch. Bei insgesamt 4 mobilen und 3 stationären Endgeräten jeweils eingerichtet.
Ich nutze den Weg über xxxxx.myds.me

 

[Ronny1978]

Unter Teilnehmer bei erlaubte IPs 192.168.178.x/xx

Ich glaube in meiner Config aus der OpnSense steht dort 0.0.0.0/0 -> also ALLES. Ich befürchte bald, dass die VPN dann nur die internen IP Adressen der FB nimmt. Aber bitte verbessert mich hier gerne.

Ich nutze den Weg über xxxxx.myds.me

Geht das bei dir extern auch OHNE VPN? Dann würde das für mich SPLIT VPN bedeuten.

 

[wegomyway]

@Ronny1978 , Asche auf mein Haupt. Bei erlaubte IPs steht folgendes "0.0.0.0/0, 192.168.178.x/xx". Sorry, meine Kurzsichtigkeit.
OHNE VPN ? Ich habe DAS eben mal auf meinem S21fe im Datentarif (auch sehr weit weg vom heimischen Wohnort, also 10 Kilometer) und OHNE WG-VPN ausprobiert. Habe die mobile Photos gestartet und komme direkt auf die NAS rauf, Mobile Drive ebenso und Audio, wenn ich schon dabei bin, auch.

 

[Ronny1978]

Geht man inner App auf "Bearbeiten" dann ist dort ein Haken bei "Blockiere Verkehr außerhalb des Tunnels (Not-Aus)".

Was für eine App hast? In meiner Wireguard App für Android gibt es diese Option nicht.

 

[wegomyway]

@Ronny1978 , #9
"Guckt man sich die Config-Datei in der App-Oberfläche von WG an (egal ob Linux oder WiN), steht da der Eingangsport, die Adressen (IP 192.168.178.xxx/xx) und die DNS der Fritte. Unter Teilnehmer bei erlaubte IPs 192.168.178.x/xx. Geht man inner App auf "Bearbeiten" dann ist dort ein Haken bei "Blockiere Verkehr außerhalb des Tunnels (Not-Aus)"."

 

[Ronny1978]

Habe die mobile Photos gestartet und komme direkt auf die NAS rauf, Mobile Drive ebenso und Audio, wenn ich schon dabei bin, auch.

Ich nutze den Weg über xxxxx.myds.me

Dann ist das noch keine Garantie das bei Eingabe xxxx.myds.me auch die VPN genutzt wird, wenn es auch ohne VPN funktioniert.

Bei erlaubte IPs steht folgendes "0.0.0.0/0, 192.168.178.x/xx"

Dann sollte das eigentlich funktionieren, wobei ich denke, dass die Option 192.168.178.0/24 auch "weg" kann. Die Frage wäre dann, wie es bei @Hannelore3000 eingestellt ist.

 

[Ronny1978]

Geht man inner App auf "Bearbeiten" dann ist dort ein Haken bei "Blockiere Verkehr außerhalb des Tunnels (Not-Aus)"."

Bei Android sehe ich den nicht. Macht aber nix.

 

[wegomyway]

@Ronny1978 , App auf Book oder Computer gemeint.

 

[Hannelore3000]

In der App steht bei mir:

DNS Server: 192.168.101.1, fritz.box

 

[Hannelore3000]

mit der Firewall blockiere ich erstmal alle Ports und lasse anschließend nur meinen internen ip Bereich durch. Da ist auch die ip von der VPN drin.

 

[patrickn]

Hat der VPN möglicherweise einen anderen IP Bereich?

So ist es jedenfalls bei Speedports. 192.x lokal, 10.x über VPN. Wenn in der Firewall dann nur 192. Freigegeben ist, geht's mit VPN natürlich nicht.

 

[Hannelore3000]

Hat der VPN möglicherweise einen anderen IP Bereich?

So ist es jedenfalls bei Speedports. 192.x lokal, 10.x über VPN. Wenn in der Firewall dann nur 192. Freigegeben ist, geht's mit VPN natürlich nicht.

Nein, der ip Bereich ist gleich. In Deutschland funktioniert auch alles.