die Konstallation ist richtig, aber ich will nicht unnötig ports freigeben wenn ich eh über die 7590 mit dem MyFritzKonto - VPN(iPsec) oder WG steuern/gehen kann.
Auf der 7490 musst du aber für IPv4 eine Portweiterleitung oder für IPv6 den Port für das VPN freischalten, ansonsten blockt die 7490 alle Anfragen ab und die 7590 ist nicht erreichbar. Bei IPSec musst du, meine ich, 2 Ports weiterleiten/freigeben, bei WireGuard nur ein Port.
IPsec nutzt ISAKMP udp/500 und Nat-T udp/4500, ob die 7490 das weiterleiten kann hängt davon ab oder dort ein IPsec Dienst aktiv ist. Dieser würde die für sich beanspruchen und dann lassen die sich nicht weiter geben.
Ja man kann das mit mehreren Routern so aufbauen, jedoch ist das Routing dann entscheidend.
Sie 7490 muss das Netz was auf der 7590 verwendet wird auch zu dieser routen.
Nur so ergibt sich eine klare Netzwerkstruktur.
Wobei ein VLAN Konzept, ein entsprechender Switch und eine Firewall deutlich mehr Möglichkeiten bietet. Muss ja nicht gleich eine Sense sein, eine UI Lösung mit der DreamMachine ist auch ne gute Möglichkeit.
Ja IoT sollte in ein eigenes Netz, aber nicht alles davon ist gleich böse, gibt ja mit Tasmota auch rein LAN basierte Ansätze.
Nicht schön ist es, wenn ohne die China Cloud nix funktioniert.
Hallo @all,
irgendwie komme ich mit der jetzigen Situation nicht weiter! ich will nicht unhöfflich sein, den die geleistete Hilfe ist mehr als ich jeh erwatet hätte. Aber ich bin newbie bzgl. NAS. Ich bin wie ein Zaungast und kappiere gerade gar nichtst über was ich redet 
. Ich will ja nur folgendes! ich will das alle meine Rechner über die QNAP-NAS welche an der 7590 angeschlossen sind als Netzwerklaufwerk Ordner ansteuert/schreibt/liest/löscht. von außen soll die gleiche Funktionalität gegeben sein. "Mehr" will ich nicht ! Ich will kein Faß aufmachen mit Portsfreigabe und das hat ja tiermutter super erklärt, daß ich dann auch Zugriff gewähren würde den Jungs und Mädels die das nicht tun sollten. Wie stelle ich das an? die VPN Version geht bei mir (7590 und 7490) aber so richtig verstehe ich den Sinn dahinter nicht weshalb ich das überhaupt brauche, denn ich habe viel nachgelesen und auch YT - Videos über das WE mir angesehen, aber da wird nur Zugriff VPN wenn ich auf irgendwelchen Flügplätzen bin damit ich dann sicher surfen kann (oder ist das eine zweideutige Begrifflichkeit 
). Was muss ich lesen/machen damit ich diese 08/15 Funktionalität bekommen. Ich will ja nur einen Speicherort/Platz haben (QNAP) und keine Redundanzen an Daten sondern einen Speicherplatz der Daten Platte A und zeitweise soll die Platte A auf Platte B gespiegelt werden. Wirklich low level NAS - Speicheranliegen. 
Du hattest doch im Eingangspost und jetzt auch gerade davon geschrieben, dass du von extern auf dein NAS zugreifen möchtest, wie in einer Cloud.
Dazu wäre ein VPN das sicherste, aber durch dein Netzwerkaufbau mit 2 IP-Bereichen nicht so einfach zu lösen.
Bzgl. VPN auf einer FritzBox könntest du dir das YT-Video von AVM anschauen:
daß ich dann auch Zugriff gewähren würde den Jungs und Mädels die das nicht tun sollten.
Eine Portfreigabe ist nicht immer gleich böse. Für VPN braucht man diese ebenso, aber das ist hier kein Problem und kein großes Sicherheitsrisiko.
Anders sieht es aus wenn man die Portfreigabe direkt auf zB die GUI vom NAS setzt um darüber an die Daten zu kommen. Das ist dann extrem gefährlich.
Meist reden wir hier im forum im Zusammenhang mit Fernzugriff bei dem Begriff "Portfreigabe" eben über genau diese gefährliche Art des Zugriffs.
VPN braucht in diesem Fall eine Portweiterleitung für 500 und 4500 von der 7490 auf die 7590, bei einer Lösung mit einem Router ist das nicht notwendig, da der VPN Dienest auf dem ersten Router läuft und hier auf den Ports die entsprechenden Dienste lauschen ob Anfragen rein kommen.
Ein VPN ist nichts weiter als ein virtuelles privates Netzwerk, damit kann man viel Anstellen.
Klassisch, Zugriff über einen VPN Tunnel von einer externen Location auf das Internet und damit weiterhin geschützte/gesicherte Netzwerk.
Sucht man das, wird man aber inzwischen mit VPN Anbietern überschwemmt, die meist irgendwo sitzen und privates Surfen verspreche.
Ich weiß ja nicht, da gebe ich einen Anbieter außerhalb der EU dann all meine DNS und Seitenanfragen, weil in der Werbung steht no logging.
Da traue ich irgendwie einem EU Provider mit DSGVO Auflagen weiter als so einem Unternehmen, denn diese Daten sind eine Menge Geld wert, wenn man die schön an die Big Data Buden weiter verkauft.
Ist ja nicht, als wäre das nicht schon ein paar mal vorgefallen, das auf den VPN Kisten der Anbiete dann doch alles mit Logs voll war und die zum Teil sogar schön zentral gesammelt und ausgewertet wurden.
Ein DynDNS-Anbieter stellt dir nur eine (Sub-) Domain zu deiner veränderlichen IP-Adresse zur Verfügung.
Mit dem Key meinst du wohl eher einen VPN-Anbieter.
Bei diesem baut jedoch dein Client eine Verbindung zu einem seiner Server auf, damit du dann zB. eine "direkte" Verbindung in das Ausland bekommst und für andere Seite eine lokale IP-Afresse vorzugaukeln.
Du möchtest aber zB. von deinem SmartPhone oder Notebook unterwegs auf dein NAS zugreifen. Dabei kennst nur du die Keays der VPN-Verbindung.
Danke :-), ich hatte tatsächlich am Anfag die Verwechslung bis mich tiermutter darauf hingewiesen hat, daß das nicht damit gemeint ist. D.h. mein CyberGhost Konto hat nichts mit dem VPN zu tun. 
und ja ich möchte von SmartPhone unterwegs oder aus dem Ausland auf die NAS zugreifen. Ich meinte angenommen ich melde mich bei einem VPN anbieter der kostenlose DYNDNS - Adressen anbietet und er liefert mir nach der
Anmeldung folgenden KEY: 123456789_0815VPN . Dann wäre ja der Key 123456789_0815VPN auch beim VPN Provider gespeichert. D.h. sollte ich nicht nur auf MAC - Adressen den Zugriff begrenzt haben, könnte derjenige den den KEY hat (c&p aus einer Tabelle) sich dann auf die Fritte anmelden. (natürlich ist das sehr weit hergeholt und verlangt auch ein dickes Maß an krimineller Energie, ich will es nur verstehen wollen ob das wirklich so ist und auch möchlich sein kann)....
Hm, so richtig kann ich nicht folgen...
Du brauchst keinen VPN Anbieter, auch nicht für dyndns. Dyndns hat die Fritte integriert (Anbieter wäre dann AVM). Du kannst auch jeden anderen dyndns Dienst nehmen, aber egal wer das ist, der bekommt nix von irgendwelchen Aktivitäten mit, geschweige denn von irgendwelchen Keys.
Nachher ist es natürlich schlichtweg so, dass derjenige der die Zugangsdaten für das VPN kennt (nennen wir es Key, Zertifikat oder Kennwort) auch Zugriff auf das VPN hat. Sicherlich kann man dem vorbeugen indem man (aif welcher Ebene auch immer) das auf MAC Adressen beschränkt, aber ich vermute dass sowas mit Fritzbox nicht möglich ist.
Es ist aber auch relativ ausgeschlossen, dass jemand an diese erforderlichen Daten kommt, wenn du sie nicht öffentlich zugänglich irgendwo ablegst.
Ausland, da kommt es dann drauf an was es dort für politische Einschränkung gibt, bezüglich VPN Nutzung.
Aus einigen Ländern ist hier nur ein SSL VPN möglich, weil das wie normales https aussieht.
Also bleibe mal bei DE oder EU für den Anfang.
Hi tiermutter,
danke für die Antwort. Ich bin momentan mit vielen Inhalten etwas überfordert gewesen, aber es lichtet sich langsam. Das mit dem Key habe ich jetzt verstanden. Danke.
Aber ich glaube das die krux in der Verbindung der zwei Fritzboxen liegt, den ich sah das ich z.B. max.mustermann@gmail.com als MyFritzKonto freigeschaltet hatte auf der 7490 und da die auch auf
"grün" geschaltet war, das gleiche aber noch einmal angemeldet hatte auf der 7590 AX und log. Weise hier kein "grünes" Signal erhalten habe auf der Oberfläche...
ich gehe jetzt Schritt für Schritt durch um Fehlerquellen zu finden und auszumerzen...
PS: Das ist natürlich ein doofer und peinlicher Anfängerfehler... Mal sehen was ich sonst noch an Fehlern verusacht habe.
Crazyhorse, Gott sei Dank sind diese Zeiten in Serbien vorbei. :-). Auch wenn ich aus Serbien ne VPN aufbaue kann ich davon ausgehen, daß das dann schon nach Mitteleuropäischen Maßstäben gehandhabt wird. Danke aber für den Denkansatz daran habe ich jetzt wirklich überhaupt nicht gedacht :-).
Gute Videos bezüglich Netzwerk gibt es einige, aber noch mehr gefährliches Halbwissen.
Gute Quellen:
Aber ich fürchte AVM Spezifisch ist da nix.
Danke Crazyhorse
ich habe jetzt 4 Gänge zurückgeschaltet, ich habe jetzt 2 neue FB User auf der 7490 erstellt, neues MyFritzkonto mit eine neuen frischen Email eingerichtet, habe dies mit dem MS Authentificator gekoppelt und habe jetzt eine saubere Ausgangsposition (Startposition 7490). Jetzt schaue ich mir erstmal die Links an.
NetworkChuck hatte ich schon im Abo Danke!
UPDATE:
Erstes Etappenziel erreicht! Das hätte ich nie und nimmer alleine geschafft. Vielen Dank an die Runde :-). Ich muss sagen ich habe die "schwierigere" Variante gewählt um einen
besseren Lernerfolg an Hand des Beispiels zu haben.
Bislang durchgeführte Arbeiten, chronologisch gelistet:
1.) 7490 resetet.
2.) neues MyFritz-Konto angemeldet auf der 7490 frisch eingespielt (neue eMail-Adresse).
3.) 7490 mit dem Google-Authentificator "verifiziert"
4.) neuen (VPN) FRITZ!Box-Benutzer und nur die VPN Checkbox ausgewählt
5.) da ich bei IONOS eine eingene Domain habe, habe ich die UpdateURL mit meiner Domain gekoppelt und (m)eine IPV4 und IPV6 DynDNS- update - URL erstellt;
Quelle Link- IONOS:
6.) Unter dem FB-Punkt Internet/Friegaben - Registerfeld DynDNS habe ich die neu erstellte UpdateURL von IONOS eingetragen, zzgl. Dominname (optional).
7.) Unter dem FB-Punkt Internet/Friegaben - Registerfeld VPN (IPSec) den neuen VPN Fritz!Box-Benutzer der VPN Verbindung "zugeordnet"
8.) Mein Androidhandy VPN-Netzwerk neu hinzufügen; IKEv2/IPSec PSK als Sicherheitstyp ausgewählt
9.) die von der FB erstellten IPSec-Schlüssel /shared Secret, BN, myfritz-Server-Adresse und das Kennwort zur IPSec-ID ebenfalls in das Handy eingetragen.
10.) Verbinden und siehe da der neue VPN-FRITZ!Box-Benutzer ist im Registerfeld Heimnetz/Netzwerk auf "grün" - Verbindung "VPN" mit dem Schlüsselsymbol.
Ok jetzt habe ich die Verbindung Handy mit der 7490 verbunden. tiermutter Frage wie bekomme ich jetzt diesen durchgeschliffen auf die 7590? (.... ich weiß die Frage war oben gestellt, aber ich würde gerne
hier ansetzen wo der Weg jetzt "sauber" funktioniert).
VG und noch einmal vielen, vielen Dank für die tollen Infos und die Engelsgeduld.
Klingt doch schonmal gut
Die letzte Frage können dir andere sicherlich besser beantworten, ich habe ja keine Fritte...
Prinzipiell braucht es jetzt eine Route vom VPN in das LAN der 7590.
Prinzipiell braucht es jetzt eine Route vom VPN in das LAN der 7590.
Das kann die FritzBox leider nicht und durch das Routing wäre die Sicherheit der hintergeschalteten FritzBoxen für die Katz', ebenso eine Portweiterleitung auf der 7590 in dieser Konstellation.
Der VPN-Tunnel muss an der 7590 enden und nicht an der 7490, damit die Sicherheit weiterhin gegeben ist.
Wie ich schon geschrieben habe, der VPN-Tunnel muss über eine Portweiterleitung von der 7490 an die 7590 weitergereicht werden.
Mir fallen gerade nicht die notwendigen Ports ein, diese sollten aber in der Konfigurationsdatei zu IPSec stehen.
Eine Route reißt ja noch keine Löcher... sie gibt ja nur den Weg vom VPN über die DMZ in das LAN an... was da rein darf, wird dann ja auch wieder geregelt und das wäre dann auf das VPN beschränkt. Aber wie auch schon vorher angemerkt, so ist das natürlich der kompliziertere Weg und mit Fritten scheinbar auch nicht umsetzbar...
Die Ports sind UDP/500 und UDP/4500, doch hat man bei einer FritzBox die Möglichkeit eine bestimmte IP auf WAN Seite auf bestimmtes im LAN zu berechtigen, ich glaube nichts in der Richtung gesehen zu haben.
