Weitere Geräte hinter der Fritzbox über Weboberfläche administrieren

Hallo,
ich konfiguriere meine Fritzbox 7490 über myfritz.net aus der Ferne. (Fernzugriff eingerichtet)
Was muss ich machen um weitere Geräte in diesem Netzwerk via Weboberfläche zu konfigurieren bzw. aufrufen zu können?

Beispiel:
FritzBox 7490 IP: 192.168.178.1 (funktioniert bereits)
Accesspoint01 IP: 192.168.178.50
Accesspoint02 IP: 192.168.178.51
Drucker: IP: 192.168.178.100

Alle Geräte haben eine Weboberfläche und sind im selben Netz, was muss ich an der FritzBox einrichten um auf alle aus der Ferne Zugriff zu haben?

Danke, Thomas

Hallo!

Das Stichwort heißt Portweiterleitung, und ist in den Einstellungen unter Freigaben zu finden.

Aktuell kommst du mit sowas wie https://ThomasW_830e8c.com zu von außen auf deine Fritzbox. Genauer gesagt über https://ThomasW_830e8c.com:443, aber weil 443 der Standard-Port von HTTPS ist kann man das weglassen.
Um auf die anderen Geräte zu kommen, die du aber hoffentlich auch über HTTPS erreichen möchtest, brauchst du eine Portweiterleitung, die da lautet:

Port 444 ->  192.168.178.50:443
Port 445 ->  192.168.178.51:443
...

Danach sind deine Geräte unter

https://ThomasW_830e8c.com:444
https://ThomasW_830e8c.com:445
…

erreichbar. Du mußt hier den Port immer mit angeben, weil das eben kein Standard ist.

Und jetzt nochmal der erhobene Zeigefinger:
Dir ist klar, daß du am besten nur HTTPS nutzt. (Mit HTTP ginge es natürlich auch, da dann ab Port 80 statt 443.)
Dir ist auch klar, daß jedes so ins Netz gebrachte Gerät ein Sicherheitsrisiko ist, und man abwägen sollte, ob das so gut ist. Wenn dein Drucker kein richtiges Passwort hat, macht dein Drucker demnächst interessante Dinge.
Persönlich bevorzuge ich es, mich von außen per VPN ins heimische Netz einzuklinken. Das ist so, als wäre mein Gerät wirklich zu Hause im netz, und es kann auf alles zugreifen. Das hat den Vorteil, daß VPN verschlüsselt und relativ sicher ist. Das würde ich bei nem Wald- und Wiesendrucker nicht zwingend erwarten.

So richtig cool ist https auch nur mit einem passenden Zertifikat…

Muss ich an den Geräten die ich erreichen will auch etwas ändern? Muss der neue Port dort hinterlegt werden oder läuft alles über die FritzBox? Habe es gerade mal eingerichtet, komme aber nicht auf das gewünschte Gerät?!

Erstmal danke für die Erklärung und den Sicherheitshinweis
Muss ich an den Geräten die ich erreichen will auch etwas ändern? Muss der neue Port dort hinterlegt werden (habe ich bis jetzt keine Möglichkeit gefunden) oder läuft alles über die FritzBox? Habe es gerade mal eingerichtet, komme aber nicht auf das gewünschte Gerät?!

Hallo!

Nein, an deinen Geräten am heimischen Netz mußt du nichts einrichten. Die erwarten eben eine eingehende Verbindung auf Port 443, und die Weiterleitung der Fritzbox leitet eingehende Verbindungen auf ihrem Port 444 eben an Port 443 deines ersten APs weiter.

Aber wie gesagt, du mußt auch erstmal wissen, über welchen Port du dich mit deinen Geräten verbindest. HTTPS wäre standardmäßig 443, HTTP dagegen 80.

Da ich jetzt Zugriff auf meine Fritze habe:
Du müsstest eine Freigabe pro Gerät haben, als Protokoll jeweils TCP, Port Extern 444 etc, an Gerät 443 bis 443, und natürlich sollte die Freigabe aktiviert sein. In der Übersicht über alle Freigaben sollte vorne auch ne grüne „LED“ an sein.

Warum willst du das tun? Das würde ich unbedingt lassen. Drucker und Accesspoints im Internet zu exponieren ist extrem fahrlässig.
Wie alt ist wohl die Firmware deines Druckers? Und bist du sicher, dass du vernünftige Passwörter gesetzt hast und nicht zufällig noch eine Wartungsschnittstelle des Herstellers offen steht? Haben wir alles schon gehabt.

Für mich ist unklar: Wozu willst du Drucker und AP von der Ferne aus administrieren?

Wenn das unbedingt sein muss, dann mach ein VPN zu deiner Fritz!Box auf. Dann exponierst du nur die (prinzipbedingt ohnehin exponierte) Fritte öffentlich im Netz. Und die Fritte kümmert sich dann auch um eine sichere Schnittstelle in dein Netzwerk.

Einzelne Geräte gehören niemals (!!!) öffentlich ins Netz.

Glaubste nicht?? Schauen wir doch mal…

Dafür hat er sich über die Suchmaschine Shodan auf die Suche nach aus
dem Internet erreichbaren und verwundbaren Druckern gemacht. […]
Auf diesen Geräten druckte er einen Flyer aus…
https://heise.de/-4237988

oder

Über 200.000 Cisco Switches sind übers Internet erreichbar und lassen
sich umkonfigurieren oder komplett übernehmen[…]
Dazu ist kein Passwort erforderlich; Authentifizierung sieht Smart Install nämlich gar nicht vor
https://heise.de/-3882810

oder, oder, oder!!

Die Liste ist lang.

Ich hab doch hier nach einer Lösung gesucht und nicht nach einer Standpauke!
Ich brauch diese Zugänge und das Risiko ist mir bekannt. Wäre schön wenn auch eine Lösung dabei gewesen wäre und nicht nur der Hinweis das es Risiken birgt… Trotzdem Danke für deinen Kommentar!

Hab ich dir geliefert mit Hinweis auf VPN.

Doch, genau die brauchst du. Dein Lösungsansatz ist offenkundig gefährlicher Mist. Und allein, dass du jetzt hier so lospolterst zeigt mir, dass du nicht wirklich eine Lösung suchst, sondern nur eine Bestätigung deiner eigenen Idee.

IST ES NICHT! Sonst würdest du sofort akzeptieren, dass es eine ganz schlechte Idee ist, irgendwas außerhalb deiner Firewall zu betreiben. Und noch schlimmer ist, dass diese Geräte dann als Strickleiter in dein internes Netzwerk dienen können. Also jemand nutzt eine Schwachstelle in deinem Drucker aus und hangelt sich weiter zu deinem Computer mit all deinen Daten.

Hatte ich jawohl. Lies doch nochmal.

Aber das ist noch hundert mal wichtiger als dir nur zu erklären, wie du deine Firewall durchbohrst. Das ist wie früher. Es reicht nicht, dass Kinder verstehen, wie eine Steckdose funktioniert. Viel wichtiger ist, dass sie auch lernen, dass man da nichts reinsteckt, was da nicht reingehört.

Und genau das hast du bei deiner Firewallbohrerei offensichtlich immernoch nicht verstanden. Man bohrt keine Löcher in Firewalls!

Die EINZIGE SINNVOLLE LÖSUNG ist

VPN!

Warum du diesen Vorschlag als persönliche Beleidigung auffasst verstehe ich überhaupt nicht. Was genau gefällt dir denn an einer sinnfreien Portweiterleitung besser? VPN ist doch genauso kostenlos, genauso einfach einzurichten und zusätzlich noch sicher. Was daran stört dich denn? Was genau ist denn an zusätzlichen Risiken so toll, dass man sie unbedingt, um jeden Preis eingehen will? Nur, weil das der erste Vorschlag war muss es doch nicht der beste, geschweige denn der einzige sein.

Btw., schon mal versucht, für deine Fritzbox eine httpS-Verbindung aufzubauen? Viel Vergnügen. Unverschlüsselte Übertragung aller Passwörter im Klartext durch die ganze Welt macht ja nichts…

Moin,

Shodan ist mächtig. So mächtig, dass man es eigentlich verheimlichen sollte.
Aber danke, dass du mich an diese Maschine erinnert hast. Mit der hat mal ein Lancom-Mensch gezeigt, wieviele Uralt-Router noch im Netz unterwegs sind.

Du glaubst an das Gute im Menschen, stimmt’s?
Warum? Liegt es daran: Flower woman?
(DER Seitenhieb musste sein, sorry.)

Ich glaube nicht daran.
Ich glaube, dass ein Hintertürchen offen gehalten wird, weil es der Entwickler so wollte.
Nichts wäre einfacher, als alle Türen dicht zu machen. Es nicht zu tun, kann eigentlich kein Zufall sein.

Für den Zugriff auf das WLAN sehe ich eine Anwendung:
Man möchte vielleicht mit dem Smartphone das WLAN einschalten können. Und das wird bei ausgeschaltetem WLAN ja nur über WAN -> LAN möglich sein.

Vernünftig ist es nur mit nem VPN. Der Tunnel ist doch mit ner idiotensicheren laientauglichen Anleitung von AVM schnell eingerichtet, soweit ich das überblicke.
Einen VPN zu einem seriösen Anbieter (am besten ins eigene Netz) sollte man IMMER auf einem mobilen Gerät haben. Man denke alleine daran, dass man ja auch mal in einem unverschlüsselten WLAN sein kann. Dann baut man den Tunnel auf und hat einen sehr wichtigen Zweitnutzen!

Warum? Nur weil ich meine sichtbaren Geschlechtsteile weiter oben trage als du bin ich leichtgläubig? Sowas nennt sich Sexismus.

Für die Entwickler schon, für den Anwender nicht. Der weiß es nicht und muss folglich immer erstmal vom Schlimmsten ausgehen.

An der Fritte?? Da ruft man mit jedem angeschlossenen Telefon die #96*1* an und schon ist das wLAN an. Auf Fritz!Fon Geräten gibt es dafür sogar einen extra Menüpunkt.
Oder man konfiguriert einen Zeitplan und schaltet halt ein, wenn man üblicherweise zu hause ist.

Eben.

https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publication/show/1060_VPN-Verbindung-zur-FRITZ-Box-unter-Android-einrichten/

Das, was @sweber da oben schrieb ist zwar sinninhaltlich richtig aber trotzdem falsch, weil man die Risiken eben nicht abschätzen kann, wenn man irgendwas offen ins Netz stellt.

Ja.

Die FritzBoxen können immerhin inzwischen ACME AKA LetsEncrypt

Aber eben nur die FritzBoxen und nicht irgendein Drucker.

Oder $LINUX auf $HIMBEERKGEBAECK und Apache mod_proxy mit Weiterleitung auf $WEBINTERFACE von $GERÄT, dabei Apache aber mit irgendeinem Script mit Letzencrypt verbandeln (ich mag ja dehydrated).

Kompliziert? Na, dann eben doch mit dem beleidigtem Leberwurst-VPN

„Security through obscurity“ ist kein Konzept.

Die Definition von „Entwickler“ ist ja dehnbar. Aber fest verdrahtete Passwörter existieren. Ein besonderes Geschmäckle hat es dann, wenn es nicht „backdoored_password“ lautet sondern so, dass man es beim Lesen des Quelltextes bei flüchtiger Betrachtung selber für Programmcode hält und nicht schnallt, dass hier gerade eine Hintertür geschaffen wurde.

<<< %s(un='%s') = %u"

Ist ein Besipiel. Ausgedacht hat es sich jemand, der schreibenden Zugriff auf den Quellcode von Juniper-Hardware hatte.

Sebastian

Schalte IPv6 und unbegrenzten IPv6-Zugriff für alle Geräte hinter der FritzBox ein. Aber sei nicht traurig angesichts der Nebenwirkungen …

Maxximum Full Scale Cyber!

twentyfour-to-seven geil!

Ist das eine Frage?