Software Frage VPN nur für bestimmte Clients über FritzBox

Dieses Thema im Forum "Tech & FAQ Forum" wurde erstellt von chaospir8, 4 Dezember 2018.

  1. chaospir8

    chaospir8 ★★★★★-Oldie

    Registriert seit:
    20 Juni 2001
    Beiträge:
    12.364
    Hallo Boardies,

    eine Machbarkeitsfrage in die Runde:

    Idee:
    Bestimmte Clients bei mir daheim, die über die FritzBox verbunden sind und ins Internet dürfen, sollen dies nun nur per VPN tun. Dieses möchte ich aber nicht auf den Clients einzeln einrichten, sondern nur auf der Fritzbox und hier soll dann festgelegt sein, welche der Clients über VPN gehen sollen.

    Details:
    - Ein paar der Clients sind Linux-Receiver, ein paar Android-Geräte, eines davon leider auch ohne root.
    - Der VPN-Anbieter stellt auch per openVPN seinen Dienst bereit.

    Ich konnte bis jetzt nichts in die Richtung ergoogeln, daher kann es sehr wohl sein, dass meine Idee einen Denkfehler hat oder es auch zusätzlicher (Gateway-)Geräte bedarf oder so.

    Also nur her mit Eurer Meinung bzw. Tipps!
    Danke!
    Zuletzt bearbeitet: 4 Dezember 2018
  2. hosit

    hosit Aktives Mitglied

    Registriert seit:
    3 Juni 2001
    Beiträge:
    670
  3. dr_tommi

    dr_tommi alter Oldie

    Registriert seit:
    26 April 2001
    Beiträge:
    12.357
    Nette Idee :D
    Ich glaube du verwechselst hier eine Fritzbox mit einem "richtigen" Router/VPN-Gateway. ;)
    Die Fritzbox kann sowas nicht. Du kannst von der Box aus nur entweder alles durch einen VPN schicken oder gar nichts.
    Weitergehende Einstellungen gehen da nicht. Wo auch. Wie willst du das Routing für die einzelnen Clients einstellen?
  4. chaospir8

    chaospir8 ★★★★★-Oldie

    Registriert seit:
    20 Juni 2001
    Beiträge:
    12.364
    @dr_tommi
    Ich kann mich vage erinnern, dass ich vor vielen Jahren (war aber damals ein älteres FB-Modell, jetzt habe ich 7490) mit Freetz tatsächlich auch das Routing beeinflussen konnte.
    Ich vermute, mit iptables könnte das recht stressfrei gehen (vorausgesetzt neben dem von hosit genannten Weg wäre es möglich, hier noch einen anderen openVPN-Client auf der FB einzurichten) ... nur hat die FB das nicht standardmäßig im Bauch.

    @alle
    Wäre es ein Ansatz (zwar suboptimal, da zweites Gerät, aber was solls), hier einen RaspberryPi (oder ähnliches) zu nutzen?!
    z.B. nach dieser Anleitung? https://www.instructables.com/id/Raspberry-Pi-VPN-Gateway/
    Wenn ich aber so was aufbaue, würde ich ihn auch gleichzeitig als PiHole einrichten wollen ...
    Geht beides auf einmal? Hat hier schon jemand Erfahrung?
  5. hosit

    hosit Aktives Mitglied

    Registriert seit:
    3 Juni 2001
    Beiträge:
    670
    Der Raspi ist wahrscheinlich die preiswerteste Methode. Wenn man das Teil strommässig von der Fritz versorgen könnte, würde man ja ggf das zusätzliche Netzteil sparen. Wollte dasam WE mal mit nem Pihole probieren. Aber der langweilt sich eh und braucht in dem Kontext nicht soo viel. Könnte bei nem VPN-Gateway anders sein...
  6. chaospir8

    chaospir8 ★★★★★-Oldie

    Registriert seit:
    20 Juni 2001
    Beiträge:
    12.364
    @hosit
    Dann warte ich noch Deinen Bericht ab, zumal ich selbst nur einen alten RPi habe ... hoffentlich reicht der von der Leistung her.
  7. DrSnuggles

    DrSnuggles Xanatos

    Registriert seit:
    31 Oktober 2004
    Beiträge:
    20.971
    @chaospir8:

    Als Gateway ist ein PI immer schlecht weil das Netzwerkinterface per USB angebunden ist.
    IIRC müssen dann alle Pakete direkt durch die CPU.
    -> zu lahm

    Ich würde einen Router mit OpenWRT oder noch besser VyOS empfehlen.
  8. tomcattom

    tomcattom Banned

    Registriert seit:
    29 November 2001
    Beiträge:
    1.941
    Das geht nicht! Für ein solches Szenario müsste die FB selbst als VPN-Client geeignet sein und das ist sie nicht.
  9. chaospir8

    chaospir8 ★★★★★-Oldie

    Registriert seit:
    20 Juni 2001
    Beiträge:
    12.364
    Auch, wenn ich sie "freetzen" würde? Also wg. Standard-Firmware-Funktionen nicht geeignet?
    Oder warum ist sie, Deiner Meinung nach, nicht geeignet?
  10. tomcattom

    tomcattom Banned

    Registriert seit:
    29 November 2001
    Beiträge:
    1.941
    Ob das mit Freetz geht weiß ich leider nicht.
    Weil sie es einfach nicht kann.
    FritzBoxen lassen sich nicht direkt mit einem VPN-Service verbinden.
  11. Motorrad

    Motorrad Aktives Mitglied

    Registriert seit:
    24 April 2001
    Beiträge:
    962
    Genau...
    sonst könnte ich auch ORF over IP schaun...
  12. chaospir8

    chaospir8 ★★★★★-Oldie

    Registriert seit:
    20 Juni 2001
    Beiträge:
    12.364
    Was ich inzwischen denke, aber noch nicht ausprobiert habe:
    - Wenn ich die FB 7490 mit Freetz und einem darin enthaltenen openVPN-Client versehe, wird es funktionieren.

    Was mir noch eingefallen ist:
    - Ich habe hier noch eine zweite ausrangierte FB 7270 stehen. Diese könnte ich zusätzlich zur FB 7490 zusätzlich dazunehemen, um nur über diese die Clients über's VPN "nach außen" zu routen.
    Anscheinend geht's auch ohne Freetz, allerdings nur bei Image-Versionen, die noch ein freischaltbares Telnet hatten: https://blog.rotzoll.net/2010/04/fritzbox-7270-als-openvpn-client/

    @Motorrad
    Ich denke, mit so einem "Konstrukt" könntest Du (bei Vorhandensein eines österr. VPNs) ORF schauen.
  13. tomcattom

    tomcattom Banned

    Registriert seit:
    29 November 2001
    Beiträge:
    1.941
    Ok Pirat.

    Du hast viel Zeit zur Muße, auch in der Vorweihnachtszeit und bastelst gern. Ich wünsche ich hätte das auch, daher hier nun eine "Hauruck" Lösung die ich bevorzugen würde und in 20min. läuft.

    Kaufe oder ersteigere dir einen günstigen VPN-Clientfähigen Router und schließe selbigen per LAN an deine Fritte an.
    VPN Zugangsdaten rein. Spezielle Clients an neuen Router anmelden, andere bleiben im "normalen" FB LAN.
    20min. Arbeit. Fertig.
    Zuletzt bearbeitet: 7 Dezember 2018 um 07:58
  14. chaospir8

    chaospir8 ★★★★★-Oldie

    Registriert seit:
    20 Juni 2001
    Beiträge:
    12.364
    @tomcattom
    Mit der Zeit hast Du leider Unrecht. Aber mit Muße und Basterfreude schon :)
    Aber eine Erschwernis habe ich schon noch, auch bei Deinem Ansatz: Die Android-Clients sollen schon noch schön per WLAN mit der FB 7490 verbunden sein und auch alle LAN-Anschlüsse laufen erstmal zu einem LAN-Patchfeld im Keller zusammen und dann in einer Leitung zur Fritzbox. Das Routing sollte also schon noch diese Fritte übernehmen.

    BTW
    Was ist so der günstigste geeignete Router, den Du empfehlen würdest?
    Ich hätte hier noch eine alte "La Fonera" liegen, auf der ich schon vor x Jahren OpenWrt oder DD-Wrt draufgeklatscht habe ... hat aber nur ein Ethernet-Anschluss.
  15. tomcattom

    tomcattom Banned

    Registriert seit:
    29 November 2001
    Beiträge:
    1.941
    Von Patchpanel war ja nun noch keine Rede. :D
    Bei meinem Ansatz würden durch das Panel dann alle LAN-Clients zuerst auf dem VPN-Router auflaufen.
    Das ist ja nicht gewollt.
    Es geht ja wohl darum, die Linux-Reci, für die du wahrscheinlich eine *-**** hast :p, etwas sicherer mit dem Server zu verbinden. Nur eine Vermutung.;)
    Durch die zwei WLAN Netze könntest du schon WLAN-FB und WLAN-VPN getrennt halten.

    Wenn das alles mittels Freetz realisierbar ist, nimm Freetz.
    Router von Asus sind IMHO alle VPN-Client-fähig und kosten ab ca. 25€
    Eine Fonera habe ich gerade beim aufräumen noch gefunden, ca. 25 Jahre alt. würde ich Aufgrund des Alters nicht mehr nehmen.
    Zuletzt bearbeitet: 7 Dezember 2018 um 09:53
  16. chaospir8

    chaospir8 ★★★★★-Oldie

    Registriert seit:
    20 Juni 2001
    Beiträge:
    12.364
    @tomcattom
    Dass bis jetzt der physikalische Aufbau meiner Hausvernetzung nicht angesprochen/beschriben wurde, hängt damit zusammen, dass er bis jetzt (bis zu Deinem Vorschlag in #13) keine Rolle spielte.
    Das mit Asus-Router schaue ich mal.


    @alle
    Sonst noch Ideen?
  17. schwaller

    schwaller Bekanntes Mitglied

    Registriert seit:
    1 Juni 2001
    Beiträge:
    979
    imho kann man, wenn man die ipsec konfiguration manuell erstellt auch so einiges mehr vorgeben. ich meine mich dunkel erinnern zu können, das da auch subnetze vom eigenen netz angegeben werden können.

    da jedoch die rede von openvpn ist, welches die fritte halt von haus aus überhaupt nicht kann, lohnt es nicht, weiterzusuchen ;)

    auch sind solch konfigs meist keine gute idee, da sich mit jeder neuen firmware theoretisch alles ändern kann und genau die sachen die man benötigt, nicht mehr unterstützt werden.
  18. Motorrad

    Motorrad Aktives Mitglied

    Registriert seit:
    24 April 2001
    Beiträge:
    962
    Ich habe keine Keller :-(
    Also wird's nix mit ORF :icon_prost::icon_prost::icon_prost::icon_prost::icon_prost:
  19. hosit

    hosit Aktives Mitglied

    Registriert seit:
    3 Juni 2001
    Beiträge:
    670
    Wochenende war leider nicht so prall. Habe lediglich den Raspi mal mit 230V-Netzteil ans Messgerät gehalten. Sage und schreibe 2 Watt zogen das Netzeteil + Raspi unter "Normallast" (mit Pihole). Das das Messergegebnis mit Vorsicht zu geniessen ist, ist mir klar. Das Netzteil wird bei längerem Betrieb nichtmal handwarm. Das sollte an der Fritze also funzen. Hinter die Couch zur Fritzbox habe ich es dann aber nicht mehr geschafft. :(