Setup: 2x Fritzbox (7.39) mit Wireguard, 2x DiskStations, Hyperbackup über VPN - wie vorgehen?

[klemen]

Liebe Forumsmitglieder,

im Betreff wird bereits angekündigt, um was es geht. Gerne würde ich 2 Synology DiskStations (DS116 + DS220+), die an zwei verschiedenen Orten stehen, gegenseitig per Hyperbackup absichern. An beiden Orten läuft eine Fritzbox (1x 7530, 1x 7530AX) mit vorinstalltierter Laborversion, die erstmalig die Verwendung von Wireguard erlaubt.
Auch habe ich an beiden Orten eine fixe IPv4 bzw. IPv6 Adresse.

Soweit so gut. Gerne würde ich nun für wöchentliche Synchronisierungen per Hyperbackup über eine VPN Verbindung laufen lassen.
Ich habe das noch nie gemacht, aber anscheinend lassen können ja die FritzBoxen direkt per VPN verbunden werden. Ich gehe aber davon aus, dass dann die Verbindung ständig aktiviert sein muss, damit Hyperbackup 1x Wöchentlich die DS am anderen Ort finden kann. Sehe ich das richtig? Oder gibt es hier eine Art Wochenplan in der Fritzbox?

Oder wäre es sinnvoller, Wireguard - sofern überhaupt möglich - auf den DStations zu installieren, damit sich nur die Stations per VPN in die Fritzbox der Gegenstelle einklinken?

Über eure Erfahrungen wäre ich euch sehr dankbar!

Lieben Gruß!

Klemen

PS: Anbei auch noch ein Foto von den Einstellungsmöglichkeiten auf der Fritzbox zur WireGuard Verbindung. Was sollte ich hier aktivieren?

 

[klemen]

Ich habe es jetzt sogar geschafft, die Fritzboxen per Wireguard miteinander zu verbinden:
Leider kann man die Verbindung nur aktivieren oder deaktivieren aber keinen Zeitplan erstellen. Was leider auch nicht funktioniert (da Beta?) ist die Zuweisung der VPN Verbindung zu einem ausgewählten Gerät. Dann könnte ich einfach die NAS auswählen und der Rest würde ohne VPN laufen - ist die Annahme richtig?

 

[Iarn]

Die Annahme scheint mir valide. Da die Fritzbox finale Version bald kommen soll, würde ich die abwarten, bevor Du Dixh jetzt groß abmphst und näher sieht eh alles anders aus.

 

[EDvonSchleck]

Leider kann man die Verbindung nur aktivieren oder deaktivieren aber keinen Zeitplan erstellen.

Was stört dich denn an die dauerhafte Verbindung? Warum muss alles Timergesteuert sein?

Was leider auch nicht funktioniert (da Beta?) ist die Zuweisung der VPN Verbindung zu einem ausgewählten Gerät. Dann könnte ich einfach die NAS auswählen und der Rest würde ohne VPN laufen - ist die Annahme richtig?

Ich glaube, du hast ein VPN noch nicht ganz verstanden. Ziel ist es, eine "getunnelte" Verbindung zum gesamten Netzwerk herzustellen.

 

[EDvonSchleck]

Die Annahme scheint mir valide. Da die Fritzbox finale Version bald kommen soll, würde ich die abwarten, bevor Du Dixh jetzt groß abmphst und näher sieht eh alles anders aus.

Viel wird sich bei WG nicht mehr ändern.

 

[klemen]

Was stört dich denn an die dauerhafte Verbindung? Warum muss alles Timergesteuert sein?

Ich glaube, du hast ein VPN noch nicht ganz verstanden. Ziel ist es, eine "getunnelte" Verbindung zum gesamten Netzwerk herzustellen.

Danke für eure Antworten. Meine bisherigen Erfahrungen mit VPN beschränken sich auf Verbindungen vom Laptop (Wohnung) zum Router (Büro). Vielleicht erinnere ich mich falsch, aber ich hatte den Eindruck, dass ich dann Schwierigkeiten hatte, mich mit Netzwerkgeräten in der Wohnung zu verbinden. Auch gehen dann ja alle Daten übers Büro, oder?

Ihr merkt - ich habe keine Ahnung. Ich will einfach verhindern, dass durch die ständige WG Verbindung von Wohnung zu Büro langsame Internetverbindungen oder Störungen zu erwarten sind (an beiden Orten).

 

[klemen]

Vielleicht noch eine Verständnisfrage.
Können mehrere Geräte/Router gleichzeitig die selbe Wireguard Konfiguration verwenden? Oder benötigen die alle einen eigenen Benutzer?
Letzteres kenne ich zumindest von bisherigen IPSec VPN Verbindungen über die Fritzbox.

 

[Benares]

Das IPSec VPN ist meist darauf ausgerichtet, einzelne Benutzer mit ihren PCs/Handys per VPN ins Heimnetz zu bringen. Deshalb hat AVM diese VPN-Konfiguration eher bei den Benutzern angesiedelt.
Bei Wireguard geht es eher um die Anbindung von Rechnern oder ganzen Netzen ohne Benutzerbezug. Was die Benutzer dann damit machen ist eine getrennte Geschichte.

 

[klemen]

Und gibt es Nachteile (für welche Seite auch immer), wenn zwei Fritzboxen ständig per WireGuard verbunden sind?

 

[Benares]

Nö. Eigentlich nicht.
Schau dir mal den Bericht unter Diagnose, Sicherheit an. Da gibt es lediglich einen weiteren, zufälligen(?) Port für Wireguard, der nach außen geöffnet wird.

 

[Iarn]

Viel wird sich bei WG nicht mehr ändern.

Bei WG nicht aber Fritz hat nur einige der angekündigten Features in der beta freigeschaltet.

 

[EDvonSchleck]

Abwarten, so viele Fehler wie die in der Software haben, wäre es unangebracht nicht alles freizugeben. Die bekommen noch nicht einmal die jetzige Beta fertig.

 

[kev.lin]

Ich verwende die VPN-Verbindung zwischen zwei FritzBoxen per IPSec-VPN schon über mehrere Jahre. Wie hier schon angerissen wurde: es handelt sich dabei um die Kopplung zweier lokaler Netze. Daher müssen die FritzBoxen auch in ihren lokalen Netz-Adress-Bereichen unterschiedlich sein (also z.B. einmal 192.168.1.x und einmal 192.168.2.x). Wenn die Boxen nun per VPN gekoppelt werden (daher auch bei AVM der Begriff "Lan-zu-Lan"-Kopplung), kann man aus dem lokalen Netzwerk von Standort A (192.168.1.x) direkt auf Rechner im Netz aus Standort B (192.168.2.x) zugreiffen.

M.E.n. ist es nicht notwendig, die VPN-Verbindung auf einzelne Clients zu begrenzen. Dies ist bei VPNs nur gedacht, wenn sich ein einzelner Client von unterwegs (Handy, Tablet, Notebook) in das Heimnetz einwählen will. Auch bekannt unter dem Begriff "Road-Warrior".

Die aktuelle IPSec-VPN-Kopplung ist sehr stabil. Ich freue mich aber dennoch auf die bald kommende WireGuard-Implementierung, weil dadurch der Durchsatz zwischen den Netzen steigen wird - WireGuard braucht auf den FritzBoxen weniger Rechenleistung als das aktuelle IPSec. Die c't sprach von 100%. Aber so optimistisch bin ich nicht. Aber wenn's ein bisschen mehr wird, bin ich schon froh!

 

[plang.pl]

Auch ich nutze schon lange ein S2S VPN zwischen 2 Fritten. Klappt einwandfrei. Dabei nutze ich aber die Option in der Fritte, dass nicht alle Clients den Tunnel nutzen dürfen. Somit erreiche nur ich selbst mit meinem Hauptrechner und Laptop das jeweils andere Netz. Und die NASen dürfen für Backups hin- und herfunken.
Ich erhoffe mir auch einen höheren Durchsatz zwischen den Netzen. Aber Wireguard kann mir da wahrscheinlich nicht weiterhelfen. Ich hoffe da eher "weiterhin auf den schnellen Internetausbau" in Deutschland

 

[duAffentier]

Ich verwende die VPN-Verbindung zwischen zwei FritzBoxen per IPSec-VPN schon über mehrere Jahre. Wie hier schon angerissen wurde: es handelt sich dabei um die Kopplung zweier lokaler Netze. Daher müssen die FritzBoxen auch in ihren lokalen Netz-Adress-Bereichen unterschiedlich sein (also z.B. einmal 192.168.1.x und einmal 192.168.2.x). Wenn die Boxen nun per VPN gekoppelt werden (daher auch bei AVM der Begriff "Lan-zu-Lan"-Kopplung), kann man aus dem lokalen Netzwerk von Standort A (192.168.1.x) direkt auf Rechner im Netz aus Standort B (192.168.2.x) zugreiffen.

Hab ich auch so gemacht,

Meine Erfahrungen:

- Öffentliche IP muss beim Anbieter vorhanden sein - Hatte da Probleme. Anruf bei VF und beim Kumpel war mit einem Klick alles eingestellt, bei meinem lokalen Anbieter auch - Das spart Nerven bei der Fehlersuche
- Haben nun 4 Netzwerke/FB zusammengeschalten. u.a. NAS-Sync und Plex - Alles super
- die Geschw. über Synology war zu langsam, daher die VPN-VPN (LAN-LAN Kopplung)

Ich würde es weiterhin immer wieder machen.

Bevor ich wo Online ein Speicher-Lifetime-Pass kaufe und irgendwann der Anbieter weg fällt, wird ein altes gebrauchtes NAS gekauft, bei Familienmitglied hingestellt und dort das Backup gespeichert.

 

[Synchrotron]

Die Kopplung per FB ist tatsächlich im privaten und kleingewerblichen Bereich kaum zu toppen. Die Hardware hat man oft schon, und muss es nur noch einrichten. Also wie beschrieben Remote Backup, oder Eltern/Kinder (wenn es mal wieder klemmt), oder günstige Anbindung einer neuen Filiale.

Im Zweifel „tut“ es eine gebrauchte FB, wobei man auf ein wenig Leistung achten sollte. 6590 gibt es zum Beispiel bei eBay für etwas über 100€.

Was oft übersehen wird: Die MyFRITZ-Kennung ist eine vollwertigen DDNS-Adresse. Indem man sie verwendet, braucht man keinen externen DDNS-Dienst mehr. Auf eine statische IP kann man dann meistens auch verzichten.

 

[klemen]

Vielleicht ein kurzer Zwischenstand:

Zuhause klappt der Zugriff aufs Büro problemlos - VPN Verbindung ist konstant aktiv.

Im Büro klappt der Zugriff nicht, beim FB Menü unter dem Reiter VPN (WireGuard) scheint die WireGuard Netzwerk-Verbindung zwar auf, leuchtet jedoch nicht grün. Was muss ich tun, damit die Verbindung anspringt?

Und eine reine Verständnisfrage:
Es reicht wohl nicht aus, dass die FB "Zuhause" zur FB " Büro" die Verbindung herstellt, damit an beiden Orten beide Netzwerke genutzt werden können, richtig? Ich muss auf beiden FBs jeweils eine Netzwerk-Kopplung zur anderen FB herstellen, korrekt?

Dankbar wie immer für Tipps!

Lieben Gruß,

Klemen

 

[plang.pl]

Jap. Musst du auf beiden FritzBoxen machen

 

[klemen]

Ok. Und wie schalte ich bereits eingerichtete Verbindungen auf grün?

 

[plang.pl]

Das kann ich dir nicht genau sagen. Ich habe hier eine IPSec S2S VPN Verbindung. Sobald ich einer Fritte das VPN eingerichtet hatte und den Haken bei "dauerhaft aktiv halten" gesetzt habe, wurde die Verbindung automatisch aufgebaut.