AVM Fritz!Box NAS Erreichbar machen hinter OPNsense und Fritzbox

[KeinPlan_aber davon genug]

Hallo,

zunächst sei mal gesagt, mit dem Thema Netzwerktechnik, lerne ich gerade erst umzugehen, deshalb bitte ich um etwas Nachsicht^^

Mein Aufbau:
Fritzbox 6660 Cable > OPNsense auf nem N150 China Mini PC > Mikrotik managed 2.5G Switch > DS923+

Die DS hat im Netzwerk eine statische IP.
Die Sense ist nicht als Exposed Host in der Fritzbox hinterlegt sondern einfach an einen LAN Port gehangen.
Es läuft noch ein Adguard mit, der auch als DNS Server fungiert, außerdem ist ZEN Armor installiert.
(Rand Info) Es befindet sich auch noch eine DS414 im Netzwerk, diese soll aber nicht von Extern erreichbar sein und das WLAN läuft über eine 7590AX die hinter dem Switch hängt und nochmal mit nem Repeater 6000 meshed, als IP Client und Mesh Master eingestellt.

Bis dahin läuft auch Alles super, über das LAN Netzwerk kann ich auch problemlos auf beide NAS zugreifen.

Nun zu meinem Problem:
Der Zugriff auf die DS923+ von extern ist mir bisher noch nicht gelungen.
Habe versucht über die Sense eine Wireguard VPN Verbindung mit entsprechenden Firewallregeln und Portfreigaben in der Fritzbox herzustellen, aber leider hat das nicht geklappt.
Da kommt wohl mein noch mangelndes Verständnis der Netzwerktechnik zum Tragen^^

Wie könnte man das auf eine sichere Art und Weise lösen?
Es werden am Ende 4 Clients per Smartphone und noch 2 Laptops auf die NAS Zugreifen, bis auf mein Smartphone mit dem ich auch auf die DSM Oberfläche möchte und Zugriff per DS File brauche, werden die restlichen Geräte nur Synology Photos nutzen. Für automatische Backups und Zugriff auf die Photos App von Extern.

Bin für jede Hilfe sehr dankbar

 

[ctrlaltdelete]

Ich würde die 6660 im Bridgemodus betreiben und per WG direkt auf die Opensense verbinden.
Edit: Oder in der Fritzbox, die Opensense als Exposed Host und eine statische Route in der Fritzbox anlegen. Oder ein Kabelmodem nutzen vor der Fritzbox.
Schau mal im Opensense Forum!

 

[KeinPlan_aber davon genug]

Über die 6660 läuft noch die Festnetztelefonie und das Gast WLAN, wird das dann nicht zum Problem?

Kleiner Funfact, habe mit AVM telefoniert und die sagten mir, man könne gar keine Fritzbox im Bridgemodus betreiben, auf die Frage warum es die Einstellungen dann gäbe, hatte der nette Herr aber keine Antwort^^

Hab deinen Beitrag vom 5.Dez auch schon gelesen, die Antworten waren sehr interessant aber haben mich noch nicht wirklich zu meiner Lösung gebracht^^

 

[ctrlaltdelete]

Siehe meinen Edit und Telefon kannst du doch dann auf der 7590AX realisieren.
Beispiel zur Suche:
https://forum.opnsense.org/index.php?topic=32549.0

 

[KeinPlan_aber davon genug]

Bin dabei auf etwas Anderes gestoßen und habe das jetzt über Port Forwarding zum laufen gebracht, jedoch weiß ich noch nicht ob mir das hinsichtlich des Sicherheitsaspektes gefällt.

Jetzt werde ich mich weiter einlesen und schauen das ich mal den Bridgemode zum Laufen bekommen oder eben eine funktionierende VPN Lösung eingerichtet bekomme.

Schon mal vielen Dank für deine Antworten, werde nochmal berichten oder ggf. Fragen, wenn ich mich etwas mehr eingelesen habe^^

 

[Ulfhednir]

Habe versucht über die Sense eine Wireguard VPN Verbindung mit entsprechenden Firewallregeln und Portfreigaben in der Fritzbox herzustellen, aber leider hat das nicht geklappt.
Da kommt wohl mein noch mangelndes Verständnis der Netzwerktechnik zum Tragen^^

Hast du zufällig WireGuard in der FritzBox aktiviert? Wenn ja, ist das eine potentielle Fehlerquelle, weil die Fritzbox die entsprechenden Ports selbst verwendet.

 

[Tommes]

Hi!

Ich betreibe eine pfSense hinter einer FRITZ!Box (siehe Signatur). Ich verwende zwar OpenVPN und nicht Wireguard auf der pfSense, aber das Vorgehen sollte analog dazu sein. In der FRITZ!Box habe ich den OpenVPN Port (1194 UDP) an die WAN IP der pfSense weitergeleitet und OpenVPN hat dann die Weiterleitungs-Rules innerhalb der pfSense automatisch konfiguriert. Das bedeutet, das du einmal eine Portweiterleitung von der FRITZ!Box zur (bei dir) OPNsense benötigst und dann nochmal eine Portweiterleitung von WAN der OPNsense zu den jeweiligen Subnetzen.

Zu meinem Setup. Ich habe in der FRITZ!Box statische IPv4 Routen als eine einzige Supernet eingetragen, die von den Subnetzen hinter der pfSense verwendet werden. Der pfSense selber habe ich dann untersagt, zu natten, weshalb ich auch kein doppeltes NAT habe. NAT macht also weiterhin die FRITZ!Box. Aber das nur am Rande...

 

[KeinPlan_aber davon genug]

Hast du zufällig WireGuard in der FritzBox aktiviert? Wenn ja, ist das eine potentielle Fehlerquelle, weil die Fritzbox die entsprechenden Ports selbst verwendet.

Ne hab ich nicht^^

Hi!

Ich betreibe eine pfSense hinter einer FRITZ!Box (siehe Signatur). Ich verwende zwar OpenVPN und nicht Wireguard auf der pfSense, aber das Vorgehen sollte analog dazu sein. In der FRITZ!Box habe ich den OpenVPN Port (1194 UDP) an die WAN IP der pfSense weitergeleitet und OpenVPN hat dann die Weiterleitungs-Rules innerhalb der pfSense automatisch konfiguriert. Das bedeutet, das du einmal eine Portweiterleitung von der FRITZ!Box zur (bei dir) OPNsense benötigst und dann nochmal eine Portweiterleitung von WAN der OPNsense zu den jeweiligen Subnetzen.

Zu meinem Setup. Ich habe in der FRITZ!Box statische IPv4 Routen als eine einzige Supernet eingetragen, die von den Subnetzen hinter der pfSense verwendet werden. Der pfSense selber habe ich dann untersagt, zu natten, weshalb ich auch kein doppeltes NAT habe. NAT macht also weiterhin die FRITZ!Box. Aber das nur am Rande...

Danke für den Tipp, kannst du mir sagen wie du die Regel bzw. Portweiterleitung für OPNsense (pfsense) zu dem Subnetz definiert hast?
Glaube da scheitert es aktuell bei mir^^

 

[Tommes]

Eine Suchmaschine sollte hier dein Freund sein, da ich nicht weiß, inwieweit sich pfSense und OPNsense in der Konfiguration ähneln. Ich würde es vielleicht mal mit dieser Anleitung oder auch mit dieser Anleitung versuchen.

 

[the other]

Moinsen,
da gäbe es diverse potentielle Stolpersteine...zuerst nochmal kurz ne Anleitung zur Einrichtung (ist zwar pfsense hinter Fritzbox, aber überwiegend egal): https://www.heimnetz.de/anleitungen/firewall/pfsense/pfsense-openvpn-server-einrichten/
Unter https://forum.heimnetz.de/forums/opnsense.14/ findest du dann mehr zu opnsense

Stolperstein 1: VPN falsch konfiguriert...? PWL falsch? Port falsch? WAN Interface der *sense falsch?
Nr. 2: Firewallregeln fehlen fürs Interface?
Nr. 3: Firewallregeln auf dem NAS unpassend?

 

[KeinPlan_aber davon genug]

Eine Suchmaschine sollte hier dein Freund sein, da ich nicht weiß, inwieweit sich pfSense und OPNsense in der Konfiguration ähneln. Ich würde es vielleicht mal mit dieser Anleitung oder auch mit dieser Anleitung versuchen.

Ich danke dir vielmals, auf dem Weg werde ich mal experimentieren.
An sich habe ich es schon zu nem guten Teil geschafft, kann über VPN auf die Sense zugreifen und auch auf die DSM Oberfläche, jedoch habe ich noch das Problem das ich nicht auf die Photos App zugreifen kann.
Die möchte immer gern den Weg über die externe IP Mittels DYNDNS gehen.
Aber mit der VPN bin ich ja schon im eigenen Netzwerk und muss nicht nochmal raus.
Denke den Zugriff von den Berechtigungen her habe ich bereits, jedoch fehlt mir die richtige Route um per Klick direkt in die Photos App zu gelangen so wie zuvor von Extern.

 

[Tommes]

Bei der Photos App bin ich leider raus, da ich diese nicht nutze. Sorry.

 

[metalworker]

Hast denn in der Photos App auch die Interne IP Adresse deiner Synology eingetragen?

 

[the other]

Moinsen,
genau das war wohl das Problem, @metalworker ...

 

[metalworker]

Perfekt .
Geht auch mit den Namen.muss man halt mit dem DNS spielen .Aber ich mach es meist bequem per IP