VPN mit Netgear Router hinter FB 6490

[erwi5]

Hallo
Ich habe die FB 6490 ( Tarif 200 mbit), nutze die Telefonie, und betreibe hinter dieser einen Netgear Router R7000 ( besseres Wlan, mehr Speed beim kopieren etc).
Da die VPN Performance der FB sehr schlecht ist, komme hier nur auf Werte von max. 0,6 mbit (auf Android Phone), möchte ich gerne das VPN über den R7000 nutzen ( stärkerer Prozessor, mehr Speed?). Nun bekommt der R7000 seine IP Adresse von der FB in Form von 192. ... per DHCP und damit geht die VPN Verbindung natürlich nicht. Wie muß ich die FB und den R7000 konfigurieren?

[Onslaught]

Den Netgear in der fritte als Exposed host definieren.

Auf dem Netgear den openVPN server starten und dir dann die .ovpn Datei die du erstellt hast mit nem Editor öffnen und bearbeiten.

So ziemlich am Anfang der Datei steht die IP 192.x.x.x, die is natürlich Müll

Deswegen in der Fritte nen DynDNS dienst einrichten, mit dem AVM eigenen myFritz liefs bei mir nie

Ich hab da SPDNS genommen, is Kostenlos und kann zur Not auch ipv6

Dann halt deine SPDNS Adresse in der .ovpn Datei anstelle der IP eintragen.

So lief das Ding bei mir.

Auf dem smartphone nen openvpn Client laden und die von dir beabeitete ovpn Datei importieren.

PS: ich hab nen Asus, hoffe mal die Netgear sind da ähnlich und können open VPN.....

[erwi5]

Danke
läuft super, übrigens auch mit myfritz.

[erwi5]

Wie sieht es dabei mit der Sicherheit aus? Der Netgear als Exposed Host ist nicht mehr sicher?
Die VPN Verbindung zum Netgear wird ohne Passwortzugang gestartet? Ist das Passwort in den Dateien .crt, .key oder .ovpn gespeichert?

[reneromann]

Wie sieht es dabei mit der Sicherheit aus? Der Netgear als Exposed Host ist nicht mehr sicher?

Der Netgear erhält als Exposed Host jetzt ALLEN eingehenden Traffic aus dem Internet.
Damit ist er ohne jegliche Firewall...
Sicher ist das auf jeden Fall nicht...

Die VPN Verbindung zum Netgear wird ohne Passwortzugang gestartet? Ist das Passwort in den Dateien .crt, .key oder .ovpn gespeichert?

Es gibt kein "Passwort" für das VPN. Vielmehr verwendest du ein Zertifikat (.crt) mit dem zugehörigen privaten Schlüssel (.key) als Authentifizierung.
Ein Angreifer müsste also den korrekten privaten Schlüssel erraten, damit er sich mit deinem VPN verbinden könnte...
Du könntest den privaten Schlüssel auf Clientseite jedoch mit einem Passwort versehen, damit -sollte jemand dein Mobilgerät entwenden- niemand ohne das Passwort den privaten Schlüssel benutzen kann.

[Onslaught]

@ Reneroman

Und was ist daran das Problem das der Netgear jetzt allen Traffic bekommt?

Bekommt er doch auch würde ein normales Modem davor hängen, und würde er auch bekommen wenn er am DSL Anschluss betrieben werden würde.

Der Netgear hat ne eigene Firewall und ein eigenes NAT.

2-Fach NAT braucht in der Regel kein Mensch, gibt eh nur Probleme.

@erwi5:

Du musst nun halt bedenken das auf auf deinem R7000 die Firewall auch laufen muss, sollte sie in der Regel ab Werk auch.
Die Fritte übernimmt diese Rolle nun nicht mehr. Portweiterleitungen musst du ab dann auch nicht mehr in der Fritte einrichten sondern in deinem R7000.
Da die Fritte ja logischerweise im Vergleich zu den Hitron teilen keinen Bridgemode kann ist das die einzige Möglichkeit das so einfach einzurichten.
DU kannst das alles natürlich auch in der Fritte mit Ortweiterleitungen regeln, is mir aber ein zu großer Akt.

WIe gesagt sicher dein Netzwerk über den R7000 und gut is.

[erwi5]

OK
Ich denke auch die Firewall des Netgear sollte reichen.
Allerdings gefällt mir der VPN Zugang ohne zusätzliches Login zum Netgear noch nicht. Das ist bei der FB VPN besser gelöst.
Bei der Konfiguration des VPN im Netgear kann ich kein Login einstellen. Sollte jemand die Konfigurationsdateien "bekommen", so kann dieser sich doch verbinden in mein Netzwerk!?
Wie und wo kann ich ein zusätzliches Login einstellen?

[reneromann]

Warte: Wie genau ist der Netgear und wie genau sind andere Geräte angeschlossen?

Sollte der Netgear mit seinem WAN-Anschluss als einziges Gerät an einen der LAN-Anschlüsse an der Fritzbox angeschlossen sein -und- kein Gerät sonst [weder per LAN noch WLAN!] an der Fritz dranhängen, dann reicht die Firewall des Netgear aus.
Sollte hingegen der Netgear mit einem der LAN-Anschlüsse an einen der LAN-Anschlüsse der Fritz angeschlossen sein -und- weitere Geräte direkt mit der Fritz verbunden sein, dann ist die Firewall des Netgear (logischerweise) nicht aktiv!

[Onslaught]

Nen R7000 hab ich leider nicht, aber bei den Asus Routern kann ich sehr wohl Benutzer und Passwörter vergeben um mich am VPN anzumelden.

Im Asus kann man unter erweiterten Einstellungen angeben das nur Zugriff zugelassen wird mit Benutzername und Passwort.

Zusätzlich könnte man das dann noch an MAC Adressen binden.

Mußt mal schauen ob die Netgear sowas auch haben.

[Onslaught]

@reneroman

bei mir hängt an der Fritte nix ausser mein Asus, und das über die WAN schnitstelle, der ASUS stellt auch das WLAN bereit, da eh schneller.

Die Fritte dient bei mir lediglich als "Modem" und als Telefonzentrale. nicht mehr und nicht weniger.