Hallo an alle,

ich bin auf der Suche nach einem DSL-Router, der neben den üblichen Features (VDSL, IP-Telefonie) folgendes Szenario unterstützt:

• Kleines Büro mit 1 iMac und manchmal noch 1 MacBook; IP-Adresse ist fest.
• Der iMac soll für einige wenige Personen, die ebenfalls feste IP-Adressen haben, und nur für diese, aus der Ferne erreichbar sein. D.h. in meinem Verständnis, der Router muss aus der Ferne für einige Personen mit bekannten IP-Adressen (und nur für diese) per Fernzugriff zugänglich sein und dann von dort aus erlauben, den iMac mit Wake-on-LAN aufzuwecken.

Ich hielt das für ein weitverbreitetes, triviales Feature-Set, aber das ist es nicht.

Die FRITZ!Box z.B. kann Wake-on-LAN, aber den Fernzugriff nur global ein- oder ausschalten und nicht auf bestimmte IP-Adressen begrenzen (was ich vollkommen unverständlich finde – wer will denn seinen Router gegenüber dem gesamten Internet öffnen?).

Die aktuellen Digitalisierungsboxen (Serie 2) der Telekom können kein Wake-on-LAN und erlauben zudem zwar einen auf 1 IP-Adresse beschränkten Fernzugriff, aber eben nur auf 1 und nicht ein paar. Die alte (Version 1) Digitalisierungsbox Premium kommt noch am nächsten; sie kann Wake-on-LAN und auch den Fernzugriff beschränken, aber wiederum nur auf eine einzige IP-Adresse.

Das Suchen nach diesen Features ist recht mühsam, da sie nicht auf den Hochglanz-Websites stehen, sondern meist nur in den Handbüchern zu finden sind, die man dazu erstmal aufspüren und herunterladen muss.

Daher wollte ich fragen, ob jemand von Euch vielleicht zufällig einen Router mit den geforderten Eigenschaften kennt.

Vielen Dank im Voraus für alle Antworten!

PS: Mein allererster DSL-Router überhaupt, ein ZyXEL von 1999 , war zwar nur über ein Kommandozeilen-Interface zu konfigurieren, aber konnte das alles …

Der Router RT2600ac von Synology, den ich habe, kann Wake-on-Lan .
Die Firewall kann nach IPs filtern, nach GeoIP usw. Da sind detaillierte Einstellungen möglich.
Für VDSL müsste allerdings ein Modem, z.B. der Telekom, vorgeschaltet werden.

Für sowas ist ein VPN ideal und das kann die FRITZ!Box. Wenn du darauf bestehst, das du auf bestimmte Adressen filtern willst, dann bedenke, das diejenigen, die Zugang erhalten sollen, selber auch feste IP(v4)-Adressen haben müssen. Also kein Zugang, wenn man mit einem Laptop an wechselnden Orten Zugang haben will.

Für so etwas ist Tailscale eine gute Lösung Das muss auf keinem Router installiert werden, sondern nur auf den Clients. Jeder Teilnehmer hat eine fixe IP. Tailscale basiert auf WireGuard.
Damit erhalte ich z.B. jederzeit einen SSH-Zugang zum Mac per iPhone, egal ob im Heimnetz oder unterwegs.

Meines Wissens funktioniert Wake-on-LAN über VPN nicht. Ich lasse mich aber gern eines Besseren belehren.
Ja, aber wie ausdrücklich geschrieben, ist das gegeben.

BTW: Ist es nicht völlig unverantwortlich, den Fernzugriff eines Routers ohne IP-Filterung freizuschalten? Das lädt doch zu brute-force-Angriffen geradezu ein? Selbst wenn das Passwort nicht geknackt wird, besteht dadurch nicht die Gefahr, dass das Netzwerk in die Knie geht?
Völlig klar, aber das wird hier eben nicht benötigt.

Man kann sich, mit ein wenig gefrickel, einen Shortcut basteln, der übers VPN die FB veranlaßt, dort den WoL zu senden. Hoffe ich zumindest. Stichpunkt ist da „Lua“. Damit lassen sich ne ganze Menge Dinge in der FB steuern bzw auslesen. Oder halt, sobald das VPN steht, über das Webfrontend in die Einstellungen Netzwerk gehen…

„früher“ hatte man für solch ein WoL noch eine Telefonnummer reserviert und einen „Kasten“, der beim Klingeln per Relais eine Steckdose schaltete auf das sich „am anderen Ende“ ein Rechner einschaltet. Alles weitere bleibt der Phantasie vorbehalten

Das Problem ist, das ist für eine DAUine. Zu installierende Client-Software, Skripte, Router und Modem getrennt – das alles wird auf Ablehnung stoßen. Es sollte so einfach sein wie in der FRITZ!Box – nur eben nicht mit einem für das ganze Internet geöffneten Fernzugriff. Man sollte ja denken, dass es einen Router gibt, der das einfach out-of the box kann.

Dir ist schon bewusst Weia, dass Wake-on-Lan so wie man es kenn (starten eines 'ausgeschalteten' Rechners) mit den Mac nicht funktioniert. Leider!

Kleine Frage wozu brauchst du WOL? Du kannst den Mac ja so einstellen, dass bei Netzwerkzugriff der Mac den Ruhezustand beendet.

Ich kann meine Synology über VPN wecken. Auch über eine FritzBox.

Ich nutze das jeden Tag bei meinen Macs?
Für meine Begriffe aktiviere ich mit dieser Funktion Wake-on-LAN, mehr nicht.

Es ist ja nicht so, dass ein Mac aufwacht, bloß weil irgendetwas im Netzwerk passiert. Das tut es schließlich laufend.
Ja, natürlich geht das über eine FRITZ!Box. Aber das liegt daran, dass die FRITZ!Box Wake-on-LAN kann, und hat mit dem VPN nix zu tun.

Wake-On-LAN "wie man es kennt" geht immer nur bei Rechnern im Ruhezustand, deshalb heißt es ja "wake". Einen wirklich ausgeschalteten Rechner kann man nicht ferneinschalten.

Nur mit spezieller Hardware, also einem Computer, der einen zweiten "Immer-An"-Computer eingebaut hat, der das Netzteil des Hauptcomputers fernsteuern kann, ist so etwas möglich. Je nach Hersteller heißt so etwas z.B. LOM (Lights Out Management). Die lntel-Versionen des Apple Xserve hatten diese Funktion. Es gibt Gerüchte, dass diese Funktion auch im Apple Studio eingebaut, aber im Moment nicht freigeschaltet ist.

Nein, das ist nicht so - WOL startet einen Rechner, NAS oder was auch immer der ausgeschaltet bzw runtergefahren ist. Da ist der Rechner ausgeschaltet, aber die Netzwerkkarte wird weiter mit Strom versorgt.

Fast jeder PC, NAS usw kann das, nur leider die Macs nicht. Obwohl die gerade die neuen Mx-Rechner ja auch nicht richtig ausgeschalten werden.

Hier auf Wikipedia wird das sehr gut erklärt

Du möchtest den Router über WOL aufwecken? Sorry ich kapiere echt nicht was du möchtest.
WOL ist was komplett anderes!

Das verstehe ich jetzt nicht. Eine auf dem Client installierte Software „schläft“ doch auch, wenn der Rechner schläft. Wie soll sie ihn da aufwecken können?

Dabei ging es nicht um WOL, sondern war eine Reaktion auf das Stichwort "VPN".
Tailscale wird auf den Rechnern installiert. Zwischen allen Rechnern besteht dann eine stabile WireGuard-Verbindung, selbst wenn ich - wie im Fall des iPhones - das Netz verlasse. Dadurch ist der "Mac für alle aus der Ferne erreichbar" - eine Anforderung, die Du oben formuliert hast. Nebenbei ist Tailscale noch kostenlos und funktioniert sofort ohne große Konfiguration.

Zum Aufwecken sollte die Fritzbox in Kombination mit Apple Remote Desktop (was Du ja besitzt) funktionieren. Da habe ich jedoch keine Erfahrung, denn mein Macbook lasse ich bei Bedarf einfach mit ausgeschalteten Monitoren weiterlaufen. Ich probiere aber mal aus, ob das WOL des Synology-Routers mit meinem Windows-Mini-Rechner funktioniert.

Wenn alle beteiligten Rechner feste IP-Adressen haben und der iMac über LAN angeschlossen ist, sollte das die Fritz!Box doch out of the Box unterstützen, oder verstehe ich da was falsch? Wenn Du auf der Fritz!Box bei den Netzwerkeinstellungen reingehst, kannst Du "Wake on LAN" bei Netzwerkzugriff für einzelne Geräte ein-/ausschalten:



Ich gebe zu, tatsächlich ausprobiert habe ich das noch nie!

Nein, wie gesagt ist das zwar technisch machbar, erfordert aber sehr viel weitergehende Unterstützung in Hardware, Firmware und Betriebssystem. Das ist dann nicht mehr das normale WOL, wie es Ende der 1990-er Jahre eingeführt wurde.

Dann solltest Du mal die englische Version dieser Seite lesen, insbesondere die Hinweise zu Einschränkungen im ACPI-S5-Modus.

Bei Windows Laptop funktioniert das Starten des Rechner, so macht unsere IT immer Updates, wenn er am ausgeschaltet am LAN hängt.

Sorry Marcel das stimmt so einfach nicht - in der ganzen IT-Welt bedeutet WOL ein ausgeschaltetes Geräte über LAN einzuschalten - nur bei Apple geht das nicht. S5 ist 'soft off' und Apple kann das nicht.

noch ein Link unter WOL versteht man nun mal das Einschalten eine Geräts.


Genau, das geht nicht nur bei Windows-Laptops das geht bei sehr, sehr, sehr vielen Geräte so (von Rechner, über NAS, bis eigentlich zu jedem Gerät mit Netzwerkkarte).

Aber Weia braucht das ja anscheinend gar nicht. Sondern irgendetwas anderes - ich verstehe aber echt nicht was genau .

Ich logge mich jeweils mit VPN in mein Netzwerk ein und kann dann problemlos auf jeden Mac im Ruhezustand zugreifen. Und alle anderen Geräte starte ich über WOL.

Nein.

Nein, in dem Artikel sind einige Ungenauigkeiten und Fehler. Interessant ist, dass dort auch behauptet wird, dass WOL mit macOS auf Anhieb funktioniert und nicht eingeschaltet werden muss. Das würde Dir ja widersprechen.

Daraus kannst Du nur schließen, dass Du ein spezielles Laptop-Modell mit passenden Treibern und einer Windows-Version hast, die das unterstützt. Viele solcher PC-Notebooks verwenden außerdem spezielle Ruhezustände, die "Fast Startup" bzw. "hybride Hibernation" ermöglichen. Das Gerät ist dann nicht wirklich ausgeschaltet, auch wenn es so aussieht.

Ja, natürlich, das funktioniert wunderbar. Dazu musst Du aber den Zugriff auf die FRITZ!Box aus dem Internet freigeben, und das geht eben nur für alle oder keinen, aber nicht lediglich für bestimmte IP-Adressen. Das ist das einzige, aber eben ein entscheidendes Problem, das ich mit der FRITZ!Box habe.

Weia:

Mit einer FRITZ!Box lässt sich das von Dir skizzierte Szenario mithilfe von VPN und ohne Internetzugriff über HTTPS komfortabel lösen. Ich habe das gerade mal mit einem Mac mini M1 wie folgt praktisch durchgespielt und es funktionierte einwandfrei.

Auf der FRITZ!Box richtest Du für jeden, der auf Deinen iMac zugreifen können soll, ein Benutzerkonto sowie einen individuellen VPN-Zugang ein. Hilfreich sein kann dabei ein MyFRITZ!-Account, dadurch vermeidest Du Probleme mit wechselnden öffentlichen IP-Adressen auf Deiner Seite (ist natürlich nicht erforderlich, wenn Du vom Provider eine feste IP-Adresse bekommen hast).

In der Weboberfläche Deiner FRITZ!Box rufst Du unter „Netzwerk“ „Heimnetz“ die Bearbeitung Deines iMac auf und aktivierst unter „LAN-Verbindung“ die Option „Diesen Computer automatisch starten, sobald aus dem Internet darauf zugegriffen wird.“

Auf den Macs der Benutzer müssen dann nur noch die individuellen VPN-Verbindungen konfiguriert werden, die jeweiligen Logindaten präsentiert die FRITZ!Box automatisch nach erfolgreicher Einrichtung eines jeden Zugangs.

Verbindet sich nun einer der Benutzer per VPN mit Deiner FRITZ!Box und stellt dann beispielsweise eine Serververbindung zu Deinem iMac her, weckt die FRITZ!Box diesen auf. Voraussetzung ist natürlich, dass er sich im Ruhezustand befindet, also nicht ausgeschaltet ist.

Ich hab jahrelang mit Softwareverteilungen und Remoteinstallationen gearbeitet. Das Einschalten eines ausgeschalteten Rechners oder Aufwecken eines Rechners im Ruhezustand wurde immer als Wake On LAN (oder einer seiner Aliasse) bezeichnet. Spezielle Hardware war an den Clients nicht notwendig.
Der Haken bei WOL über mehrere Netzwerksegmente (Subnets, VPN) ist, das Magic Packet zu routen.
@Weia verstehe ich es richtig, dass der Mac in der Regel an ist, aber im Ruhezustand, und egal in welchem Zustand soll darauf zugegriffen werden? Dann brauchst du kein WOL. Einfach den Haken „Bei Netzwerkzugriff aufwachen“ setzen und fertig. Sobald der Mac per Datei- oder Bildschirmfreigabe angesprochen wird, wacht er auf.
Den eigentlichen Fernzugriff würde ich per Wireguard-VPN an der Fritzbox lösen. Die Konfiguration der Clients läuft via QR-Code, das ist sehr sehr einfach.

Ab und zu darf sich so ne Technik ja auch mal weiter entwickeln

Kann auch nur die hier genannte Wireguard VPN S2S Loesung empfehlen. Die QR Code Client Einrichtung ist einfach und bombensicher. Das schwierigste an der ganzen Geschichte ist die Portweiterleitung des Wireguard ports 51820, aber selbst das ist bei Fritz ein Kinderspiel.

Uiuiui, hier schwirren ja die verschiedensten Dinge durcheinander und mir daher der Kopf. 🤯 Statt auf die einzelnen Beiträge für sich einzugehen, versuche ich mal, das thematisch zu ordnen.

Wake-on-LAN

Ich verstehe die Wake-on-LAN-Spezifikation so, dass das Aufwecken aus unterschiedlich tiefen „Schlafzuständen“ (technisch gesprochen die Ruhezustände S3 – S5) komplett von der Wake-on-LAN Spezifikation abgedeckt wird und der Streit daher müßig ist, was man nun „normalerweise“ unter Wake-on-LAN versteht, ob eher „Einschalten“ oder eher „Aufwecken“. Der Name Wake-on-LAN spricht eher für Letzteres als den Normalfall; daher kann ich die Vehemenz von ww nicht nachvollziehen, der auf Einschalten besteht und Macs diesbezüglich irgendwie defizient findet; selbstverständlich beherrschen Macs Wake-on-LAN.


Ruhezustand bei Netzwerkzugriff beenden

Mehrfach wurde hier geschrieben, man brauche bei Macs gar kein Wake-on-LAN, da schließlich schon die Systemeinstellung Energie sparen → Ruhezustand bei Netzwerkzugriff beenden ausreichen würde, dass der Mac bei einem Netzwerkzugriff aufwacht. Meiner Kenntnis nach ist diese Option aber nichts weiter als eben das Aktivieren oder Deaktivieren von Wake-on-LAN.

Die Kommentare zu dieser Systemeinstellung klingen so, als würde ein Mac bei aktivierter Option von selbst aufwachen, wenn ich mich z.B. (via aktivierter Dateifreigabe) im Finder mit dem Dateisystem eines anderen Macs im lokalen Netzwerk verbinden will. Beim Verbindungsversuch wacht de facto der andere Mac aber nicht auf, sondern es gibt einen Timeout beim Verbindungsversuch. Nur, wenn ich den Mac vorher explizit per Wake-on-LAN aufwecke (was aber eben auch nur geht, wenn Ruhezustand bei Netzwerkzugriff beenden aktiviert ist), funktioniert die Verbindung im Finder. Daher verstehe ich das Argument, ich brauche beim Mac kein Wake-on-LAN, sondern müsse nur Ruhezustand bei Netzwerkzugriff beenden aktivieren, absolut nicht. Man muss in der Tat Ruhezustand bei Netzwerkzugriff beenden aktivieren, aber das alleine löst ohne explizit gesendetes Wake-on-LAN magic packet überhaupt nichts.


Wake-on-LAN im Router

Da Wake-on-LAN, wie der Name schon sagt, nur im lokalen Netzwerk funktioniert (anders höchstens mit großen, fehleranfälligen Verrenkungen), muss das magic packet von einem Gerät in diesem lokalen Netzwerk gesendet werden. Für einen Fernzugriff bietet sich daher an, dass der Router an den fraglichen Mac ein magic packet sendet, damit dieser aufwacht. Das geht mit der FRITZ!Box in der Tat sehr komfortabel und mit anderen Routern mit diesem Feature sicher auch. Das schon geschilderte Problem für mich ist, dass ich die feste IP des Routers für die erforderlichen Ports für das Internet global öffnen muss und den Zugriff nicht auf einige wenige IP-Adressen einschränken kann.


VPN

Die Antwort von praktisch allen von Euch auf das Zugriffsproblem ist VPN. Wenn es irgend geht, will ich VPN aber nicht verwenden, da ich es nicht brauche und sehr schlechte Erfahrungen damit gemacht habe. Was ist z.B., wenn in beiden zusammengeschlossenen lokalen Netzen Macs mit derselben lokalen IP-Adresse existieren? Das kann ich nicht ausschließen. Gäbe es dafür eine Lösung?

Generell ist mir die zusätzliche Komplexität und Fehleranfälligkeit eines VPN ein Dorn im Auge. Die Anwendung, um die es mir geht, ist Apple Remote Desktop, das hat solche Probleme prinzipiell nicht und erlaubt den Zugriff auf die GUI des entfernten Macs; das ist hier das Entscheidende. Es bleibt nur eben das Problem der zugriffsberechtigten IP-Adressen. Einen Router zu finden, der beides kann, Wake-on-LAN und Zugriffsbeschränkung auf bestimmte IP-Adressen, war ja meine Ausgangsfrage und ist es immer noch. Es kann doch nicht sein, dass es kein einziges Gerät gibt, das beides kann.

@Weia
Du wirst um VPN nicht herum kommen, wenn Du aus dem WAN sicher durch die Firewall des Routers von aussen durchwillst, um auf einen Rechner im LAN zuzugreifen. Einfach so einen Port am Router freizuschalten ist in diesen Zeiten aeusserst nachlaessig. Was spricht gegen eine VPN? VPN schliesst Apple Remote Desktop nicht aus. Das mache ich tag taeglich von aussen ueber Wireguard mittels iPhone oder Mac und Apple Remote Desktop auf meine Rechner zu Hause zuzugreifen. Rock solid und unterbrechungsfrei seit zwei Jahren.

Nur die Rechner auf die zugegriffen werden soll als static IP den Rest DHCP

Du wählst für Dein eigenes LAN einen exotischen IP-Kreis.

Ja, deswegen will ich ja die Beschränkung auf einige wenige IP-Adressen.
Die zusätzlich Komplexität, die prinzipiell dadurch entsteht, dass jetzt zwei lokale Netze miteinander interagieren. Ich habe da einfach schon sehr sehr schlechte Erfahrungen gemacht. Derselbe lokale IP-Adressraum ist nur der trivialste Fall. Ich weiß auch nicht, ob man bei der FRITZ!Box dann den internen DHCP-Server verwenden muss – das scheidet für mich nämlich prinzipiell aus.

Ich kann in Ansätzen nachvollziehen, dass man VPNs mag, wenn es sich wirklich um private = persönliche lokale Netzwerke derselben Person/Familie handelt, die verbunden werden sollen. Aber in meinem Fall geht es um wildfremde Menschen, die ihre Rechner überhaupt nicht irgendwie darauf vorbereitet haben zu kooperieren.
Das wäre auch noch so ein Punkt: Die Zugriffsrichtung muss unidirektional sein, d.h. ein lokales Netzwerk darf in das andere hineinsehen, aber auf gar keinen Fall umgekehrt.

Mit Apple Remote Desktop ist nichts davon ein Problem.

Geht leider nicht, der ist fest vorgegeben und ich müsste 100te Dateien ändern, wenn ich den lokalen Adressraum ändern würde.

@weia

Wenn du eine VPN vermeiden möchtest, dann geh einfach in port Forwarding der FRITZ!Box. Schalte denn Port 5900
TCP
Control and observe für Apple Remote Desktop frei, aktiviere WoL am Mac der erreicht werden soll und gut. Vorausgesetzt deine Public IP ist statisch. Wenn nicht benötigst du noch eine DynDNS.

Aber sicher ist dieser Weg nicht unbedingt.

Als Zusatz zu FlyingSloth: Vielleicht gibts ja hier Experten, die die in macOS integrierte Firewall z.b. per Terminal so aufbohren können, dass nicht pauschal alle eingehenden Pakete für eine Anwendungen zugelassen werden, sondern nur bestimmte Protokolle/Ports und von bestimmten IPs. Bei anderen Betriebssystemen geht das ja auch.
Aber "drin" ist der Anfrager dann so oder so erstmal.

@weia

Eine andere Möglichkeit wäre Real VNC auf dem Rechner von dem aus außerhalb des LANs aus zugegriffen werden soll. Das beherrscht WoL übers Internet und ist voll kompatibel zu Apple Remote Desktop. Ausserdem kannst du gezielt statische IPs der Clients festlegen.

WAN static IP oder DynDNS ist auch hier wieder Voraussetzung sowie Port Forwarding von 5900 in der Fritzbox.

Ich habe doch einen Router genannt: die Synology-Router.

• Firewall mit definierbaren IPs und IP-Kreise,
• das mitgelieferte VPN ist umfangreicher als vom NAS. Eigene IP-Kreise sind definierbar.
• WOL

Und mit Tailscale habe ich Wireguard und auch einen eigenen IP-Kreis. Wenn ich im Netz bin, habe ich einen Reverse Proxy zum NAS und dann ist es auch kein Problem, wenn die IP intern und extern eine andere ist.
Aber ich dränge Euch das nicht weiter auf.

Dann brauchst Du einen Router / Firewall, die für die eingehenden VPN-Verbindungen einen eigenen IP-Adressraum vergeben, unabhängig davon, welcher am anderen Ende tatsächlich existiert. Das macht eine Fritz!Box nicht, z.B. eine FortiGate kann das. Die hat auch die Möglichkeit sowohl eingehende IPs zu begrenzen und den Zugriff bis auf Dateiebene herunterzubrechen. Zudem kann VPN auf einen beliebigen Port verlegt werden.

Dann lass es am besten Bleiben.

Auch wenn du an einem Router die zugreifenden IP's begrenzt must du trotzdem die GUI freigeben, das bedeutet es gehen dort Anfragen hin die in jedem Fall verarbeitet werden, es entsteht also LAST. Grundsätzlich wird deine IP Sperre ja nicht vom WAN verwaltet sondern immer noch auf dem Router und da ein Angreifer das nicht weis kann er immer noch BrutForce einsetzen.

Wie du selbst schon bemerkt hast ist so eine Funktion wenn vorhanden auf eine IP beschränkt und selbst das ist Blödsinn da die meisten Privaten Anschlüsse keine Feste IP haben mal ganz abgesehen von den ganzen DS-Lite Bastelanschlüssen.

Wenn du eine Remote Software nutzt die ein Portfreigabe ins WAN Braucht ist es auch unsinnig die Fernwartung zu beschränken Port Offen ist Port Offen und Port Offen ist unklug.

Die simpelste Lösung für dein Problem ist wahrscheinlich Schaltet dein Ruhezustand vom MAC aus, das sollte das Grundproblem lösen, vermutlich aber nicht die Sicherheitsprobleme.

Und zu VPN wenn es alle deine Wünsche erfüllen soll, hast du tatsächlich recht dann ist es Komplex für den Admin aber nicht für den Anwender. Ich betreibe VPN zur Standortvernetzung und für Remote Arbeit und dank entsprechen der Konfiguration kann ich dediziert für jeden einzelnen Client und die Verbunden Netze definieren wer was darf und was nicht erlaubt ist.

Marcel, ich schätze dein Wissen sehr - aber hier hast du echt KEINE AHNUNG... 99% aller Windowsrechner können das. Auch für fast alle NAS ist das KEIN PROBLEM. Mach dich doch bitte zuerst mal schlau und schaue etwas über den Tellerrand.

Meine Vehemenz kommt von daher, dass der Router gar keine WOL braucht, ausser du möchtet mit ihm einen Rechner STARTEN, was eben beim Mac nicht geht - leider.

Beim Mac WOL anschalten und schon wacht er selber auf wenn man per Netzwerk darauf zugreift (S3).

Ich würde übrigens auch mit Wiregard (VPN) auf den Router (zB Fritz!Box die können WG) und von dort direkt weiterrouten.

ich glaube ich verstehe jetzt dein 'Problem' - ist in meinen Augen gar keines

Ja, danke, das ist mir ja klar, aber …… eben.

Ja, sorry, ist angekommen, wäre aber nur eine Notlösung wegen des extra erforderlichen DSL-Modems.

Ah, OK, dass sowas geht, wusste ich noch nicht. Da muss ich mal gucken. Danke für die Info!

Das ist mir jetzt nicht ganz klar und ich habe da keine tieferen Kenntnisse. Welche GUI meinst Du denn, die ich freigeben muss und die, wenn ich Dich recht verstehe, nicht nur auf Anfragen von bestimmten IP-Adressen reagieren würde?
Soll heißen, der Router wird durch das Zurückweisen von Anfragen von nicht erlaubten IP-Adressen auch bereits sehr beansprucht, nur bei komplett geschlossenen Ports nicht? Die Last würde gar nicht groß verringert, „nur“ die Sicherheit verbessert?
Aber braucht VPN nicht auch offene Ports? Für einen Kontakt zur Außenwelt muss irgendwas doch immer offen sein?

Apple Remote Desktop (vollverschlüsselt) über VPN wäre sicherer als direkt über die entsprechenden Ports?

Ok, ich kann es nicht lassen und dränge es Euch doch auf. Für Tailscale muss kein Port geöffnet werden.
"Nearly all of the time, you don’t need to open any firewall ports for Tailscale. Tailscale uses various NAT traversal techniques to safely connect to other Tailscale nodes without manual intervention—it “just works.”
Ggf. könnte die Fritzbox für einen Nutzer einen VPN-Zugriff bereitstellen, so dass die alten internen IPs genutzt werden. Alle anderen Geräte greifen über Tailscale zu.

Da das wiederholt behauptet wurde, muss ich jetzt nochmal dumm nachfragen:

Sagt ihr, dass – nehmen wir jetzt mal den einfachsten Fall, alles nur innerhalb eines lokalen Netzwerks – ein schlafender Mac (mit aktivierter Option Ruhezustand bei Netzwerkzugriff beenden) von selbst aufwacht, wenn er (z.B.) mit Finder → Gehe zu → Mit Server verbinden … adressiert wird oder zum Screensharing mit einem Doppelklick auf den entsprechenden Eintrag in der Computerliste in Remote Desktop?

Das war und ist bei meinen 5 Macs nie der Fall; ich musste einen Mac immer erst über Wake-on-LAN aufwecken (z.B. gesendet von Remote Desktop, das dafür deswegen ja einen extra Menüpunkt Verwalten → Ruhezustand beenden … hat, oder vom Terminal aus), bevor er vom Finder aus zugänglich war oder Screensharing in Remote Desktop erlaubte; sonst gibt es einen Timeout. Und damit dieses Wake-on-LAN funktioniert, dafür muss dann auf dem entfernten Mac Ruhezustand bei Netzwerkzugriff beenden aktiviert sein. Ist es das nicht, bewirkt auch ein Wake-on-LAN-Packet überhaupt nichts.

Daher nochmals die Rückfrage: Was genau meint Ihr damit, dass ein Mac „selbst“ aufwacht, wenn aus dem Netz versucht wird, auf ihn zuzugreifen? Ich kann das hier einfach nicht nachvollziehen.

Die der Fritzbox. Denn so wie du schreibst, würdest du dem User die Möglichkeit bieten, den Rechner per WOL über die GUI der Fritzbox aufzuwecken.Wenn du von einer verringerten Last bei einem IP-Filter ausgehst? Ja genau, die Anfragen landen trotzdem immer am Router.
Und auch wenn du keine Ports öffnest, ist z.b. ein DDoS immer möglich, sobald der Angreifer deine IP kennt, selbst wenn die Fritzbox im Stealthmodus ist. Nur weil sie dann keine Rückantwort gibt, heißt es nicht, dass sie die Pakete nicht behandeln/verwerfen muss.Ja. Aber in der Regel läuft zumindest der initiale Aufbau von VPN über UDP. Und da UDP sitzungsunzuverlässig ist, bekommt der Angreifer keine Rückantwort auf seine Anfrage. Und dann ist die Frage, wie viel Energie er in so eine Anfrage steckt, wo er doch gar keine Feedback darüber bekommt, ob sie was bringt.
Das war alles sehr simpel beantwortet, ohne in die Tiefe zu gehen.Ja, allein schon weils nochmal verpackt ist.

@marm: Tailscale benutzt ein Relay (also einen Dritten) um die Verbindung auszuhandeln. Das sollte man dabei wissen. Ob man das mag und akzeptiert, muss man selbst entscheiden.

Weia
klar baucht VPN auch was „offenes“, sonst kann ja keiner anklopfen und per VPN Einlass begehren.

Bei einer reinen Portweiterleitung wird halt alles gleich zum Zielrechner weitergereicht, dann muß der sich mit eventuellen ungebetenen Gästen rumschlagen.

ARD würde ich ausschließlich durch ein VPN leiten, niemals über eine Portweiterleitung.

Wie genau das von marm vorgeschlagene Tailscale funktioniert, weiß ich nicht. Ich vermute mal, das beide Seiten eine Verbindung zu deren Server aufbauen und dort „verbunden“ werden. Ähnlich wie beim TeamViewer.

Was dir eigentlich vorschwebt braucht eigentlich eine DMZ hinter deinem Router wo dann eine Firewall nur „die richtigen“ auf einen VPN Server durchläßt damit diese wiederum in dein Netz auf einen bestimmten Rechner kommen. Allerdings bleibt dabei dann WoL auf der Strecke, das hat man in solch Szenarien eher selten oder ist ungewollt.

Ich würde auf die Filterung verzichten und einfach das VPN der FB nutzen wie dort vorgegeben ist. Das bietet nicht alles, was technisch möglich ist, aber du könntest es ja erstmal damit versuchen.

... aufgeweckt werden kann. Soweit ich weiß, funktioniert das in dem Fall über den Bonjour-Sleep-Proxy.
Der Mac muss dabei via integriertem Ethernet verbunden sein. Mit einer USB-NIC funktioniert das nicht.

caMpi MikeMuc

Danke für Eure ausführlichen Antworten! Ich lasse das alles jetzt mal „sacken“.

Das ließe sich aber mit einem Router im Bridge-Modus, der eine konfigurierbare Firewall und WOL hat, lösen

Die Macs sind alle via Ethernet verbunden, aber den Bonjour-Sleep-Proxy habe ich überall ausgeschaltet, da der ein regelmäßiges Aufwachen der Macs aus dem Schlaf bewirkt, was ich nicht will, und ich stets dachte, der Bonjour-Sleep-Proxy sei nur für über WLAN angebundene Macs wichtig.

Das wäre eine mögliche Erklärung; dem muss ich mal nachgehen.

Dann geht das bei dir tatsächlich nur über WoL. Bonjour ist von Haus aus auch nicht routbar, somit scheidet ein Einsatz im VPN aus.
Und bezüglich Ethernet muss ich mich korrigieren: Laut Apple soll das auch im WLAN gehen, wenn der Mac mindestens 802.11n unterstützt

Ich bin dem mal kurz nachgegangen. Per CLI kann der Status angezeigt werden. Zwischen iPhone und Mac besteht aktuell eine Peer-to-Peer-Verbindung mit der Angabe einer meiner ipv6-Adressen. Sollte das nicht möglich sein, weicht Tailscale auf eine Relay-Verbindung aus. Das ist also eher VPN mit NAT-Übersetzung von ipv4.
Die ipv4-Adressen sind nach dem Schema 100.68.x.x, funktionieren also nur innerhalb von Tailscale.