Zugriff Macbook -> VPN Firtzbox > Mac mini

So, aaaalso: Erst einmal vielen Dank für die Hilfe, vor allem an Olivetti und roedert für den Tipp mit dem Fritzbox-Gastnetz. Ich habe das vom AmpliFi-Router aufgespannte Netz jetzt umbenannt in 192.168.200.0 und in der Fritzbox eine statische Route in dieses Netz eingerichtet mit der Fritzbox-seitigen IP-Adresse des AmpliFi-Routers als Gateway.

Damit ist es tatsächlich möglich, nach Einwahl per VPN in die Fritzbox den AmpliFi-Router (192.168.200.1) anzupingen. Was nach wie vor nicht geht, ist den Mac mini per Ping zu erreichen. Ich denke, dass da noch eine Portweiterleitung notwendig ist. Könnt Ihr mir einen Tipp geben, wie die Portweiterleitung aussehen muss, damit das klappt?

Anzugeben ist vor allem die "Art der Anwendung" (ftp Server, http Server, ..., Andere Anwendungen). Alles außer "Andere Anwendungen" erfordert nur noch die interne IP-Adresse, an die der Port weiterzuleiten ist. Wenn man "Andere Anwendungen" wählt, wird man nach dem Protokoll und den Ports gefragt. Ich habe für VPN die Kombinationen UDP/500 und UDP/4500 gefunden und teilweise Ports im Bereich 17xx.

Was will ich konkret tun? Per VPN den Mac mini für VNC / Bildschirmfreigabe bedienen und gelegentlich im Finder einen Ordner der Mac mini-Festplatte mounten.

Wäre super, wenn ich da noch einen Tipp zu den notwendigen Port-Forwarding-Einstellungen bekommen könnte. :)
 
JochenN schrieb:
Wäre super, wenn ich da noch einen Tipp zu den notwendigen Port-Forwarding-Einstellungen bekommen könnte. :)
Zum Vergrößern anklicken....

Du verwechselst Themen und Verbindungen.

Was Du erreichen willst, hast ja beschrieben. Was fehlt sind die Angaben:

1. Fritzbox IP - ?
2. AmpliFi IP1 - 192.168.200.1
3. AmpliFi IP2- ?
4. Mac mini IP - ?
 
Die Fritzbox als mit dem Internet verbundener Router hat die interne IP 192.168.178.1. Der AmpliFi Router hinter der Fritzbox hat auf der Fritzbox-Seite die IP 192.168.178.60, selbst als Router die IP 192.168.200.1. Der Macmini hat über den AmpliFI Router die (feste) IP 192.168.200.2

Wenn Port Forwarding für verschiedene Ports eingerichtet werden muss: Geschieht dies dann a) in der Fritzbox (forwarding von Fritzbox an AmpliFi Router), b) im AmpliFi Router (forwarding von AmpliFi an Mac mini) oder c) in beidem?

Was meinst du mit "Du verwechselst Themen und Verbindungen."?
 
Portforwarding muss in der Fritzbox nur für direkte Zugriffe aus dem Internet eingerichtet werden. Wenn du dich per VPN auf die Fritzbox einwählst, brauchst du dort kein Portforwarding.
Kenn das AmpliFi-Teil nicht - macht dies ein "echtes" Routing oder ein NAT (wie es normal auf den Consumer-WAN-Routern stattfindet). Bei NAT musst du im AmpliFi entsprechende Portweiterleitungen einrichten, bei echtem Routing ist sowas nicht erforderlich.

Nur wegen vernünftigem WLAN einen weiteren Router einzusetzen ist zwar machbar, aber eigentlich Unsinn - ein oder mehrere Accesspoints wären hier die richtige Lösung gewesen.

Edit: Habe mal die Anleitung überflogen. Es ist ein "NAT-Router", es gibt aber auch einen Bridgemode der dir das Routing abschaltet. Somit ist alles im IP-Netz der Fritzbox 192.168.178.x und du brauchst gar kein zustätzliches Netz 192.168.200.x
Die Verkabelung bleibt dabei identisch.

https://help.amplifi.com/hc/en-us/articles/220979347-Does-AmpliFi-support-bridge-mode-
 
  • Gefällt mir
Reaktionen: ObiTobi
JochenN schrieb:
Was meinst du mit "Du verwechselst Themen und Verbindungen."?
Zum Vergrößern anklicken....

Wie @roedert schon geschrieben hat - bei VPN kein Portforwarding.

Und wenn es darum geht wirklich brauchbares WLAN zu haben ohne irgendwelche Krücken - kann ich Dir nur ans Herz legen https://www.alternate.de/Ubiquiti/UAP-AC-PRO-Access-Point/html/product/1288692?event=search
Ich habe mich selbst zu Hause Jahrelang mit Fritzen & Co. ständig nur geärgert. Irgendwann ist es mir der Kragen geplatzt und habe mir 2 von den AccessPoints gekauft (1 Dachboden, 1 Erdgeschoss) und weiß nicht mehr was Probleme, Geschwindigkeitseinbusse usw. sind. Dann habe ich es einem Arbeitskollegen auch empfohlen der zuerst sehr skeptisch war weil eben "NUR" Accesspoint und ~140 EUR. Jetzt ist er dankbar.
 
Hallo roedert, danke für deine Hilfe. Das Problem ist zunächst wie oben in #21 beschrieben: Als VPN User auf der Fritzbox (eingewählt über ein Macbook Air von außen) kann ich den AmpliFI Router (192.168.200.1) anpingen, aber den Mac mini (192.168.200.2) nicht. Die Frage ist also: Welche Ports muss ich in Fritzbox bzw. AmpliFi an den Mac mini weiterleiten, damit erstmal der Ping funktioniert?
Ich entnehme deiner Antwort, dass die Portweiterleitungen eher im AmpliFi Router vorzunehmen sind statt in der Fritzbox. Das werde ich heute Abend mal testen und mich wieder melden.
 
@ObiTobi: Genau aus dem Grund, weil das WLAN der Fritzbox samt FritzRepeater sehr instabil ist, habe ich mir das Ubiquiti AmpliFI HD System ja gekauft. WLAN funktioniert super, Abdeckung 1a. Problem bleibt, dass ich - wenn ich als VPN User in die Fritzbox eingewählt bin - den Mac mini nicht erreiche.
 
@JochenN

also wegen Ping - hast Du dem mini auch "gesagt" wie das Netz 192.168.178.0 zu erreichen ist?
Und ob Du ihn wirklich nicht erreichst ist noch ganz andere Frage - Du wirst vermutlich auf dem Mini die Firewall eingeschaltet haben oder? Ist da vielleicht auch ICMP geblockt?
 
@ObiTobi: Wenn ich im gleichen Netz bin wie der Mac mini, erreiche ich ihn per Ping. Als VPN User, im übergeordneten Netz aber nicht. Von daher dürfte das Problem nicht sein, dass der Mac grundsätzlich nicht auf Pings reagiert, sondern einfach die Erreichbarkeit. Also: Router 192.168.200.1 wird erreicht, ein Mac mini mit der IP 192.168.200.2 aber nicht. Nachdem ich bei bestehender Einwahl über VPN mich im Programm "Bildschirmfreigabe" per IP-Adresse mit dem Mac mini verbinde (was sehr gut funktioniert hat, als alles noch im Fritzbox Netz 192.168.178.x war), ist die Erreichbarkeit aus meiner Sicht wichtig.

roedert schrieb:
Nur wegen vernünftigem WLAN einen weiteren Router einzusetzen ist zwar machbar, aber eigentlich Unsinn - ein oder mehrere Accesspoints wären hier die richtige Lösung gewesen.
Zum Vergrößern anklicken....
Access points zu einem Fritzbox WLAN hinzuzufügen schien mir nach vielen Recherchen immer noch deutlich instabiler zu sein als die AmpliFI Lösung. Zumal Accesspoints nur dann wirklich performant arbeiten, wenn sie per LAN-Kabel angeschlossen sind, was bei mir im Haus nicht möglich ist.
roedert schrieb:
Edit: Habe mal die Anleitung überflogen. Es ist ein "NAT-Router", es gibt aber auch einen Bridgemode der dir das Routing abschaltet. Somit ist alles im IP-Netz der Fritzbox 192.168.178.x und du brauchst gar kein zustätzliches Netz 192.168.200.x
Die Verkabelung bleibt dabei identisch.
Zum Vergrößern anklicken....
. Das ist mir bewusst, aber dann gibt es im WLAN des AmpliFi keinen Gastmodus mehr. Auf den möchte ich nicht verzichten. Daher suche ich eine Lösung, die ausschließlich auf den richtigen Einstellungen auf Fritzbox bzw. AmpliFi basiert. Wenn es die gibt, nutze ich die. Nur wenn nicht, überlege ich Alternativen.
 
JochenN schrieb:
Access points zu einem Fritzbox WLAN hinzuzufügen schien mir nach vielen Recherchen immer noch deutlich instabiler zu sein als die AmpliFI Lösung. Zumal Accesspoints nur dann wirklich performant arbeiten, wenn sie per LAN-Kabel angeschlossen sind, was bei mir im Haus nicht möglich ist.
Zum Vergrößern anklicken....
Hier wirfst du mal wieder vieles durcheinander. Accesspoints werden keinem WLAN hinzugefügt, sondern sie stellen ein WLAN bereit - gespeist vom LAN. Einem bestehenden WLAN kann man zur Reichweitenerhöhung einen Repeater hinzufügen - das ist wahrscheinlich das was du gelesen hast und was auch zu recht oft als instabil gilt.

Wenn dein AmpliFi weiter Router sein soll, musst du dort ein Portforwarding einrichten - für die Bildschrimfreigabe zB Port 5900 auf deinen Mac Mini.
Du verbindest dich dann per VPN mit der Fritzbox und zur Bildschirmfreigabe spricht du die IP des AmpliFi (192.168.178.60) an - nicht den Mini selbst! Der AmpliFI leitet dann genau diese Anwendung (TCP-Port 5900) auf den Mini. Einen direkten Ping auf den Mini wirst du vom Fritzbox-Netz bzw. VPN nicht hinbekommen, da das AmpliFi-Teil eben zusätzlich zum Routing auch NAT macht und somit zur "Einbahnstrasse" wird und entgegengesetzter Traffic nur über Portfreigaben realisiert werden kann.

ObiTobi schrieb:
also wegen Ping - hast Du dem mini auch "gesagt" wie das Netz 192.168.178.0 zu erreichen ist?
Zum Vergrößern anklicken....
Der Mini kennt nur sein Default-Gateway (der AmpliFi mit 192.168.200.1) - darüber erreicht er auch das 178er Netz. Ein Ping vom Mini auf die Fritzbox wird auch klappen, nur eben nicht in umgekehrter Richtung aufgrund des NAT.
 
roedert schrieb:
Der Mini kennt nur sein Default-Gateway (der AmpliFi mit 192.168.200.1) - darüber erreicht er auch das 178er Netz. Ein Ping vom Mini auf die Fritzbox wird auch klappen, nur eben nicht in umgekehrter Richtung aufgrund des NAT.
Zum Vergrößern anklicken....

Ich habe mir die Doku zu dem "zweifelhaften" Teil nicht angeschaut (dafür ist der TO zuständig) - nur wenn das Teil NAT macht, dann doch in beide Richtungen oder aber ist das so ein geiles Teil was in so einem Konstrukt gar nicht funktionieren kann.
Und wenn ich mir auf der Seite so Schlagworte wie "
Does AmpliFi have a firewall?

A: Yes, AmpliFi is protected by a built-in firewall.



How does AmpliFi's firewall protect me and my data?

A: AmpliFi's firewall serves as a barricade between the outside internet and your home network. Only information requested by devices within your home network is allowed in or out." durchlese,
kommt schnell, dass die Schnittstelle die mit Fritzbox verbunden ist als WAN definiert wird und jeglicher Zugriff von da per se verboten ist, außer man kann die FW in dem Teil auch selbst konfigurieren.
Ich muss aber eingestehen, bin gerne bereit jemanden zu helfen der Schwierigkeiten hat aber Dokumentation zu einem Produkt werde ich nicht lesen ;)


JochenN schrieb:
Das ist mir bewusst, aber dann gibt es im WLAN des AmpliFi keinen Gastmodus mehr. Auf den möchte ich nicht verzichten. Daher suche ich eine Lösung, die ausschließlich auf den richtigen Einstellungen auf Fritzbox bzw. AmpliFi basiert. Wenn es die gibt, nutze ich die. Nur wenn nicht, überlege ich Alternativen.
Zum Vergrößern anklicken....

Tja hättest Du eben WLAN Access Point(s) kaufen sollen und nicht so eine All-In-One Lösung bei der u.U nichts oder nicht alles Abschaltbar ist.
 
Das "zweifelhafte" Teil ist ein ganz normaler Internetrouter wie zB die Apple Airports auch. WAN ist fürs Internet gedacht und von WAN kommt standardmäßig nix rein - einziger Weg dies zu öffnen sind eben Portweiterleitungen
 
verstehe ich jetzt auch nicht, was daran zweifelhaft sein soll.
und die lösung steht eh' in @roederts #30.
 
roedert schrieb:
wie zB die Apple Airports auch
Zum Vergrößern anklicken....

Ja und von genau solchen Lösungen halte ich nichts - man sieht nichts, man kann nichts bis kaum was konfigurieren. Kurz - entweder passt so eine Lösung sofort oder ist nur 5 Rad am Wagen.

@JochenN
Was Du ew. machen könntest so fern Du zwischen dem mini und der Fritzbox "brauchbares" WLAN kriegst, wäre auf der Fritze WLAN zu aktivieren und eins nur für Dein mini zu definieren. Damit kommst über VPN auf den mini drauf und von anderen Geräten wohl auch, da sie auf der LAN Seite von dem AmpliFi stehen und damit die interne FW nicht dazwischen funkt.
 
...hier wurde vorgeschlagen, den Amplifi als Bridge zu konfigurieren - das ist Käse: Eine Bridge ist so etwas wie ein softwaredefinierter Switch, du willst aber Routing bzw. Netztrennung. Üblicherweise droppen die in NAT-Routern definierten Firewalls alle Pakete, die nicht von der LAN-Seite angefordert wurden. Am einfachsten dürfte es sein, auf der Amplifi eine Destination-NAT-Regel zu definieren, die alle Pakete mit IPs aus dem VPN-Bereich des Fritze-LANs an die IP des Mini im Amplifi-LAN weiterleitet. Das musst du allerdings für alle benötigten Ports definieren.
 
bowman schrieb:
...hier wurde vorgeschlagen, den Amplifi als Bridge zu konfigurieren - das ist Käse: Eine Bridge ist so etwas wie ein softwaredefinierter Switch, du willst aber Routing bzw. Netztrennung.
Zum Vergrößern anklicken....
Nein das war kein Käse. Es ging ursprünglich darum das WLAN der Fritzbox zu ersetzen, dass es dadurch zu einem zweiten Netz und Routing kam war eher (ungewünschte) Begleiterscheinung. Dass der Bridgemode ungeeignet ist, stimmt aber insoweit, dass dann keine GästeWLAN mit dem AmpliFi-Teil mehr möglich war (zumindest nicht mit der momentanen Firmware).
Der beste (und von AmpliFi) vorgesehene Weg wäre, die Anbindung des AmpliFis ans Internet über ein reines Modem und keinen Router wie die Fritzbox zu machen.
 
Zuletzt bearbeitet:
Das Problem ist im Prinzip gelöst, der entscheidende Hinweis kam von roedert; anbei eine kurze Zusammenfassung. Vorher erlaube ich mir aber eine kleine Anmerkung an roedert.

Eigentlich hatte ich mich über deine Aussage
roedert schrieb:
Hier wirfst du mal wieder vieles durcheinander. Accesspoints werden keinem WLAN hinzugefügt, sondern sie stellen ein WLAN bereit - gespeist vom LAN. Einem bestehenden WLAN kann man zur Reichweitenerhöhung einen Repeater hinzufügen - das ist wahrscheinlich das was du gelesen hast (...)
Zum Vergrößern anklicken....
ziemlich geärgert; man muss hier niemanden als orientierungslosen Trottel darstellen ("mal wieder vieles durcheinander"), nur weil man nicht jede Facette einer Thematik 100% technisch genau darstellt. Darüber könntest du in einer ruhigen Minute mal nachdenken.

Dennoch danke ich dir sehr für den Inhalt deines Beitrags, denn das hier:
roedert schrieb:
Wenn dein AmpliFi weiter Router sein soll, musst du dort ein Portforwarding einrichten - für die Bildschrimfreigabe zB Port 5900 auf deinen Mac Mini. Du verbindest dich dann per VPN mit der Fritzbox und zur Bildschirmfreigabe spricht du die IP des AmpliFi (192.168.178.60) an - nicht den Mini selbst!
Zum Vergrößern anklicken....
war der entscheidende Punkt. Danke auch an alle, die hier mitgeholfen haben, vor allem auch an Olivetti und ObiTobi.

Zusammenfassung:
Um in einem Setup wie meinem ("Fritzbox und dahinter ein weiterer Router, an dem alle Geräte hängen") von einem an der Fritzbox angemeldeten VPN User per Bildschirmfreigabe auf einen Mac zugreifen zu können, braucht man
  • keine statische Route in der Fritzbox
  • keine Portweiterleitung auf der Fritzbox
  • sondern ausschließlich eine einzige Portweiterleitung (Port 5900) auf dem zweiten Router an das Gerät, auf dass man per Bildschirmfreigabe zugreifen will; weitere Ports, die man in diesem Zusammenhang im Internet findet (500, 4500, 1701), braucht man nicht weiterzuleiten (für diesen Zweck)
  • und schon gar kein Windows-Tool wie Fritz!Fernzugang. Der Support von AVM hat sich hier nicht mit Ruhm bekleckert, die Jungs (s.o.) in diesem Forum bzw. diesem Thread sind da besser ;)
Wenn man sich per Bildschirmfreigabe verbinden will / eine VNC-Verbindung herstellen will, adressiert man nicht das eigentliche Zielgerät (in meinem Fall den Mac mini), das funktioniert nämlich nicht, sondern den Router, an dem dieses Gerät hängt und von dem es den entsprechenden Port weitergeleitet bekommt.

Eine letzte Frage habe ich noch: Wenn ich bisher als VPN User auf die Dateien auf dem Mac mini zugreifen wollte, habe ich mich im Finder meines Macbook per "Mit Server verbinden..." (CMD-K) verbunden über den Pfad "smb://<username>:<passwort>@<lokale IP des Mac mini>/". Das funktioniert jetzt nicht mehr. Ich habe in der Port-Liste von Apple nichts Offensichtliches gefunden, was man zu diesem Zweck als Portweiterleitung verwenden könnte. Kennt jemand zufällig den Port, um den es hier geht?

Nochmals DANKE!
 
JochenN schrieb:
Eine letzte Frage habe ich noch: Wenn ich bisher als VPN User auf die Dateien auf dem Mac mini zugreifen wollte, habe ich mich im Finder meines Macbook per "Mit Server verbinden..." (CMD-K) verbunden über den Pfad "smb://<username>:<passwort>@<lokale IP des Mac mini>/". Das funktioniert jetzt nicht mehr. Ich habe in der Port-Liste von Apple nichts Offensichtliches gefunden, was man zu diesem Zweck als Portweiterleitung verwenden könnte. Kennt jemand zufällig den Port, um den es hier geht?
Zum Vergrößern anklicken....
Habe mal probiert: TCP Port 139 (SMB) hätte nahe gelegen, funktioniert aber nicht. Oder zumindest reicht dieser Eintrag alleine nicht aus...
 
JochenN schrieb:
ziemlich geärgert; man muss hier niemanden als orientierungslosen Trottel darstellen ("mal wieder vieles durcheinander")....
Zum Vergrößern anklicken....
Diese Interpretation hast du so herausgelesen, war aber von mir keinesfalls so gemeint.
Das "mal wieder" hatte ich geschrieben, weil im Laufe des ganzen Threads bei mir -und wie ich herausgelesen habe auch bei anderen Usern- einige Verwirrungen aufgetreten waren, die aus ungenauen Beschreibungen oder teilweisen falsch verwendeten Begriffen kamen.
Aber hast recht, das "mal wieder" klingt ein wenig provozierend und ich hätte es im Nachhinein gesehen besser weggelassen ... kannst dir aber sicher sein, dass es keinesfalls so gemeint war.
Es war nur ein "freundlicher Hinweis" oder besser gesagt Klarstellung der Begrifflichkeiten.
 
JochenN schrieb:
per "Mit Server verbinden..." (CMD-K) verbunden über den Pfad "smb://<username>:<passwort>@<lokale IP des Mac mini>/"
Zum Vergrößern anklicken....
Das ist leider der falsche Weg ... hier müsste es auch wieder heissen: smb://<username>:<passwort>@192.168.178.60/ .. also genau wie bei der Bildschirmfreigabe die WAN-IP des 2. Routers ansprechen

Je nach Samba-Version und OS werden die Ports 137-139 und/oder 445 genutzt und müssen entsprechend weitergeleitet werden.

Alternativ kannst du auch afp nutzen (afp://192.168.178.60) mit dem TCP-Port 548.

Edit: Samba-Portnummern korrigiert
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten