Hallo,
ich wollte mal fragen, welche Lösung Ihr bevorzugt.
Zunächst mein Setup:
Internetzugang erfolgt über eine Fritzbox (6591 Cable bzw. 7530 AX; habe von Provider beides, weil eine Verbindung schlecht ist). Dahinter hängt die UDM Pro SE. Hier habe ich verschiedene VLANS, unter anderem ein separates für den GLi Brume 2.
Das NAT in der UDM ist ausgeschaltet. NAT erfolgt jeweils über die FB.
Auf den FB ist nur der Port 51820 für den Brume 2 freigegeben. Daneben gibt es nur noch die Weiterleitungen auf die einzelnen VLAN’s. Auf einer Fritte läuft noch das klassische Telefon.
Einrichtung habe ich unter anderem mit zahlreichen Videos von Dennis Schröder gemacht. Weiter so!
Nun zum Wireguard:
Auf der UDM bekomme ich es so nicht eingerichtet, da immer nur die IP’s der FB gezogen werden. Daher habe ich aktuell den Brume 2 (isoliert in einem eigenen VLAN) mit dem Wireguard Server im Einsatz und bekomme so einen VPN nach Hause hin. In der UDM habe ich einige einzelne Freigaben erstellt auf die Geräte, an die ich von außen dran kommen möchte. Das läuft.
Als Alternative ist es wohl möglich an der 6591 Cable den LAN 2 als Bridge zu nutzen und dann auf der UDM den Wireguard Server einzurichten.
Eine weitere Alternative wäre, auf jeder Fritte den AVM Wireguard einzurichten.
Welche Alternative ist aus Eurer Sicht
- einerseits die performateste und
- andererseits die sicherste Variante?
Wenn ich den Wireguard Server auf den Fritten einrichte, komme ich dann in die Netze meiner UDM?
Freue mich auf Eure Sichtweisen!
Moin,
Ich finde du solltest erstmal analysieren, warum das WireGuard auf der UDM nicht geht. Das müsste nämlich auch ohne Probleme funktionieren. Denn das Portforwarding auf der FB ist ja ähnlich
Da brauche ich nichts zu analysieren.
Die UDM nimmt die WAN IP, die sie von den FB bekommt. Dies sind aber nicht die öffentlichen IP’s.
Nur wenn ich die FB in den Bridge Modus setze, wird die öffentliche IP durchgereicht an die UDM. Das geht bei der FB 6591 unproblematischm, zumal ich eine feste öffentliche IP habe. Die FB 7530 lässt den Bridge nicht zu. Zudem hat DSL keine öffentliche IPv4 bei mir.
Experiemente mit Exposed Host und anderem funktionieren nicht, denn die öffentliche IP kommt nicht an der UDM an. Damit brauche ich auf der UDM auch kein DynDNS einzurichten, denn die interne IP ändert sich, also ist auch DynDNS nichts mitzuteilen.
Meine Frage war ja auch welche Variante die sicherste und die performanteste ist?
Das ist doch normal. Dafür gibt es bei IPv4 die Portweiterleitung. Als die Fritten noch kein WIreguard konnten hatte ich im LAN der Fritten an entfernten Standorten Raspbery Pi’s als OpenVPN-Server. Der OpenVPN-Port musste in der Fritte an den Pi weitergeleitet werden. Das geht analog auch mit Wireguard und den Wireguard-Ports.
Also wo soll da das Problem sein?
Aha, wichtige Info mal wieder erst auf Nachfrage.
Wenn die 7530 an DS-Lite oder CG-NAT hängt, klappt das ganze eh nur über die 6591. Jedenfalls mit IPv4. Per IPv6 würde das ganze ohne NAT auch über die 7430 gehen.
Richtig, jedenfalls für IPv4. Mit passender Config der Fritte(n) käme aber eine öffentliche IPv6 an der UDM an.
1 Like
Danke für die Ausführungen!
Aber das war alles nicht meine Frage!
Welche Alternative ist aus Eurer Sicht
- einerseits die performateste und
- andererseits die sicherste Variante?
Der Zugriff von den Fritz VPN auf die UDM funktioniert mittlerweile.
Die Portweiterleitungen und auch die Portfreigaben habe ich probiert. Keine Weitergabe der öffentlichen IP.
Wozu auch die öffentliche IP weitergeben? Muss ja nicht unbedingt sein. Du kannst auch die FB bei IPv64 eintragen und die IP aktualisieren lasen. Aber wenn die IP an einem Anschluss sowieso statisch ist, brauchst du ja gar kein DynDNS. Ist doch alles noch einfacher? Und warum kein Bridge-Mode machen?
Ich denke du hast das Konzept Portfreigaben (NAT) bei IPv4 nicht verstanden.
Vielleicht deswegen:
Leider wird nicht gesagt auf welcher !?
Ihr seid ja echt engagiert. Aber das war alles nicht gefragt. Es läuft alles!
Mir ging es nur darum die Frage aufzuwerfen, welche Variante bevorzugt wird!
Es ging einfach mal um den Austausch!
Wir / ich finden aber offensichtlich keine der Varianten gut (ich kann nur für mich sprechen), deswegen wollen wir dir zur richtigen Lösung verhelfen..
Ich kann mich da @m-electronics nur anschließen.