Ich nutze eine Fritzbox 5590 an einem Glasfaser-Anschluss der DTAG mit einem recht umfangreichen Heimnetz.
Eine gute Freudin lebt in einem Land, in dem ein freier Internetzugang zunehmend eingeschränkt wird. Zuletzt wurden auch Maßnahmen gegen Messengerdienste und kommerzielle VPN-Anbieter ergriffen.
Daher jetzt meine Idee: Ich stelle eine VPN-Einwahl über einen ansonsten nicht für VPN genutzten und für andere Dienste freien Port (muss man dann ggf. ausprobieren und immer mal wieder wechseln) in ein Gastnetz auf meiner Fritzbox zur Verfügung (muss man sehen, ob man die IP über einen DynDNS-Dienst oder im Rahmen eines “intelligenten” VPN-Dienstes verfügbar macht), das nur dazu dient, hierüber wieder - unbeschränkt - raus ins Internet zu kommen, ohne Zugriff auf die Ressourcen in meinem eigenen Netz zu ermöglichen.
Wäre soetwas ausschließlich mit der Fritzbox realisierbar? Alternativ: Was müsste man minimal zusätzlich aufbauen?
Ich hatte früher professionellere Router mit mehr Möglichkeiten im Einsatz, jetzt soll es aber bei der Fritzbox direkt am Glasfaseranschluss bleiben. In die Tiefen der doch etwas speziellen Möglichkeiten der Fritzbox bin ich noch nicht so hinabgestiegen.
Das einfachste wäre die Kaskadierung von zwei Routern.
Der, der am Anschluss zuerst hängt, dient nur der VPN Einwahl mit Internetausstieg.
Dahinter kommt dann der zweite Router, der dein Heimnetz bereitstellt.
Dieser zweite Router schirmt dein Heimnetz ohne weitere Einstellungen vom Netz des Erstrouters ab - der zweite hält das LAN vom ersten ja für das WAN.
Ansonsten glaube ich nämlich nicht, dass eine Einwahl ins Gästenetz möglich ist - also nicht mit einer Fritzbox.
Besten Dank für die Rückmeldung. An eine Router-Kaskade hatte ich auch schon gedacht (irgendwo müsste noch die alte DSL Fritzbox rumliegen), bin mir nur nicht ganz sicher, wie ich das dann mit der Telefonie mache, die auch über die direkt am Glasfaser-Anschluss hängende Fritzbox läuft, und die ich nach unschönen Erfahrungen der letzten Jahre auch unbedingt da laufen lassen will, und deren Admin-Oberfläche ich regelmäßig brauche. Die muss ich also vom internen Netz erreichbar machen. Mal sehen, ob das bei den Fritzboxen so einfach machbar ist.
Routerkaskade ist gar nicht mehr nötig. In den moderneren Fritten kannst du an der VPN-Verbindung festlegen, welche Endpunkte im internen Netzwerk erreichbar sein sollen.
Bei Wireguard hab ich das im Einsatz. Ob das mit IPSec geht, weiß ich nicht.
IP-Adressen: IPv4 sind knapp, meistens hat man an einem GF-Anschluss nur noch eine IPv6, und die IPv4, die man vielleicht hat, kann hinter einem CG-Nat liegen, und ist von außen nicht erreichbar.
Die Fritzbox konnte lange kein VPN via IPv6, vermutlich kann sie das inzwischen. Allerdings muss auch die gute Freundin, die sich damit verbinden will, eine IPv6 haben, und das ist immernoch alles andere als sebstverständlich.
Internet - Freigaben - VPN (WireGuard) - Stiftsymbol der jeweiligen Verbindung
Aber ich sehe gerade, dass das nur für Netzwerkverbindungen und nicht für Geräteverbindungen geht. Wenn der Router der Person WireGuard beherrscht, dann kannst du deren Netzwerk mit deinem verbinden und dann die Berechtigungen einstellen.
Und dann kann sie auch mit ihren Endgeräten ein eigenes VPN zu ihrem eigenen Router aufmachen und über diese Bande zu deiner Fritte gehen.
Wenn ich mir selbst zuhöre ist eine Router-Kaskade vielleicht doch einfacher für alle beteiligten.