Zugriff aufs Heimnetz mit Deutscher Glasfaser

Wenn du DynDNS verwendest, musst du:

* einen A Record für deine IPv4 Adresse anlegen

* einen AAAA Record für deine IPv6 Adresse anlegen

Als A und AAAA Record wird jeweils dein DNS Hostname eingetragen.

Die IP Adresse des A Record ist die IPv4 deines VPS Server und die IPv6 ist die Adresse des Rechners, dass du in deinem Heimnetz erreichen willst.

Du kannst die IPv6 Adresse mit zugewiesenen Präfix von DG nehmen. Hat sich bei mir noch nie geändert. Wenn du fürchtest, dass sich der Präfix ändern könnte, dann nehme ein Script oder ein Programm, was meistens von den dynDNS Anbieter angeboten wird und lasse es auf den Rechner laufen, den du im Heimnetz erreichen willst. Falls sich der Präfix jemals ändern sollte, wird automatisch die neue IPv6 an deinen dynDNS Provider gesandt und der AAAA IPv6 Record upgedatet, sprich es wird die neue Adresse im DNS eingetragen.

Anfragen zu deinen DNS Hostname aus einem IPv6 Netz werden mit der IPv6 Adresse aufgelöst und es wird eine Verbindung zu deinem Rechner im Heimnetz hergestellt. Anfragen aus einem IPv4 Netz werden mit der IPv4 Adresse deines VPS beantwortet. Die Verbindung geht zu deinen VPS an die IPv4 Adresse. 6Tunnel sorgt dafür, dass die Verbindung zu deinen IPv6 Rechner im Heimnetzwerk hergestellt wird.

VPS und 6Tunnel wird benötigst um von IPv4 Netzen auf eine IPv6 zu kommen, z.B. der Rechner in deinen Heimnetz. Hier ein Beispiel für 6Tunnel

6tunnel 1194 <Ziel-IPv6-Adresse_oder_Hostname> 1194

So würde z.B. die Weiterleitung von OpenVPN funktionieren. Für jeden Port muss eine eigene 6tunnel-Instanz gestartet werden. Damit das automatisch z.B. nach einem Reboot funktioniert, kann man das Ganze als Shell-Skript verpacken und mittels cron ausführen lassen.

Auf deinen Router (z.B. Fritz.Box) brauchst du eine Forwarding Regel für den Port 1194 auf den entsprechenden IPv6 Rechner im Heimnetz mit Präfix von DG.

Falls du noch ein DynDNS Provider suchst, kann ich dir http://freedns.afraid.org empfehlen.

Alternativ zu 6Tunnel oder SSH könnte man ein echtes VPN aufbauen (Wireguard, OpenVPN), darüber wären auch UDP Verbindungen möglich.

Hallo,

ich habe einen kleinen Nextcloud-Server "hinter" meinem DG-Anschluss stehen. Dabei fahre ich mit einem (schon angesprochenen) reverse-SSH-Tunnel ganz gut, umdenServer auch über IPv4 ansprechen zu können (IPv6 ist selbstverständlich ohne große Umstände möglich).

Ich habe dafür den kleinsten vServer bei Ionos.de für 2,-€ im Monat "gemietet".

Wenn man sich ein bisschen einliest, klappt das auch recht gut und ist schnell eingerichtet:

Zitat

Falls es für jemanden interessant ist, hier steht, wie es geht mit dem reverse-SSH-Tunnel:

https://www.heise.de/select/ct/2018/2/1515452696423264

c’t 2/2018 S. 138

Und das ist die Kurzanleitung in Stichpunkten:

Auf dem vServer

# nano /etc/ssh/sshd_config

> ### relevante Einträge

PermitRootLogin without-password # hier darf nicht no stehen

GatewayPorts yes

ClientAliveInterval 10

ClientAliveCountMax 3

dann:

# cd /root/

[# mkdir .ssh] # existiert hier bereits

# ssh-keygen -t ed25519 -N -f /root/.ssh/example-root

# cd /root/.ssh

# cp example-root.pub authorized_keys

# nano /root/.ssh/authorized_keys

> ### ganz am Anfang der Schlüsselzeile, also als erstes:

command=“/bin/false“ ssh-ed…

# chmod 600 /root/.ssh/authorized_keys

– Die Datei /root/.ssh/example-root muss zum Heimserver über die IPv6 Adresse kopiert

werden;

– auf dem Router muss der Zugang zum Gerät frei gegeben werden:

# ip a #mittlere inet 6 Adresse, also die Adresse vor: […] scope global dynamic mngtmpaddr

– ufw dazu deaktivieren (falls aktiviert): sudo ufw disable

# scp -P xxxx /root/.ssh/example-root user@[2a00:aaaa:bbbb:cccc:dddd:eeee:ffff:ggg]:/home/user/

– xxxxx = Port, falls man einen anderen ssh Port gewählt hat als 22

– 2a00:aaaa:bbbb:cccc:dddd:eeee:ffff:ggg = IPv6-Adresse des Heimservers

Auf dem Heimserver

# mv /home/user/example-root /home/user/.ssh/

# chmod 600 /home/user/.ssh/example-root

Auf dem Heimserver > Aufbau des Tunnels:

temporärer Versuch:

– xxxxx = Port, falls man einen anderen ssh Port gewählt hat als 22

– aa.bbb.ccc.ddd = feste IP-Adresse des vServers

vServer neu starten

Auf Heimserver einloggen

Die Ports links (443) müssen auf dem vServer frei gegeben werden (firewall).

# ssh -R 443:hostname:443 -i /home/user/.ssh/example-root -N 'root@aa.bbb.ccc.ddd‘ ‚-p xxxx‘

– Den einzutragenden hostname bekommt heraus mit dem Befehl: # hostname -f

Den Tunnel automatisch starten:

Auf dem Heimserver

# apt install autossh

# nano /etc/systemd/system/sshtunnel.service

>

[Unit]

Description=Keeps a sshtunnel open

After=network-online.target ssh.service

[Service]

User=root

Environment=“AUTOSSH_PORT=0″

Environment=“AUTOSSH_GATETIME=0″

RestartSec=30

Restart=always

ExecStart=/usr/bin/autossh -M 0 -R 80:hostname:80 -R 443:hostname:443 -i /home/user/.ssh/example-root -o ServerAliveInterval=12 -o ServerAliveCountMax=3 -N 'root@aa.bbb.ccc.ddd‘ -p xxxxx

ExecStop=killall -s KILL autossh

TimeoutStopSec=10

[Install]

WantedBy=multi-user.target

# sudo systemctl start sshtunnel.service

# sudo systemctl status sshtunnel.service

# sudo systemctl enable sshtunnel.service

Wenn alles geklappt hat, dann hat der Heimserver trotz ds-lite eine feste IPv4 Adresse für wenige Euro im Monat. Einen teuren Business-Zugang kann man sich dann sparen, wenn das der einzige Anwendungsgrund ist. Wobei der natürlich immer besser ist (aber eben auch viel teurer)

Alles anzeigen

Hallo,

für den Zugriff auf mein Heimnetz (Anschluss von der Deutschen Glasfaser) von Unterwegs habe ich einen Raspberry Pi im Heimnetz. Auf diesem läuft.

1) Wireguard. Überall wo ich unterwegs eine IPv6 bekomme, zum Beispiel im Mobilfunknetz nutze ich ein VPN via Wireguard. Auf dem RasPi installiert mit PiVPN.

Auf dem RasPi läuft noch ddclient ("Option 2: Use ddclient" auf https://desec.readthedocs.io/en/latest/dyndns/configure.html) als DynDNS Client zur aktualisierung meiner Heim-IPv6 des RasPi bei einem DynDNS-Hoster (bei mir https://desec.io/).

2) Tailscale. Überall wo ich unterwegs nur eine IPv4 bekomme, zum Beispiel via WiFi hotspots nutze ich ein VPN via Tailscale. Tailscale ist es egal, ob das Unterwegs-Gerät IPv4 oder IPv6 hat. Tailscale hat jedoch in manchen sehr restriktiven WLAN Hotspots Schwierigkeiten ein VPN aufzubauen.

Wireguard braucht eine Portfreigabe auf dem Router für den RasPi im Heimnetz.

Tailscale benötigt keine Freigaben auf dem Router, obwohl es intern auch Wireguard nutzt.

Für beides entstehen keine zusätzlichen Kosten.

Zitat von elisses

Ich nehme an, dass man bei Wireguard bzw. Tailscale auch mehrere Verbindungen zum VPS aufbauen muss, wenn man mehere Endgeräte erreichen will - bei mir sind es konkret 2.

Ich habe im Heimnetz mehrere RasPi. Von außen wird eine VPN-Verbindung zum RasPi A aufgebaut. Danach sind alle RasPi im Heimnetz, auch Kameras, Sensoren, Schaltaktoren) etc. über die eine Verbindung erreichbar, als wenn man zu Hause wäre.

Schau mal in diese Beiträge:

Thema

IPv4-Erreichbarkeit via VPS und VPN (WireGuard)

Einleitung

Da es immer wieder Thema ist, möchte ich hier die Chance nutzen, Möglichkeiten aufzuzeigen, wie eine Erreichbarkeit via IPv4 erreicht werden kann, wenn man bei einem Provider ist, der einem keinen vollwertigen IPv4-Zugang mehr anbietet, sondern Techniken wie CG-NAT oder DS-Lite nutzt.

Hintergrund

Im ersten Beispiel greife ich eine Konfiguration auf, wie sie zuletzt diskutiert wurde. Dabei geht es darum, das Heimnetzwerk mithilfe eines VPS für IPv4-Clients verfügbar zu machen. Die…

mbo77

28. Oktober 2023 um 15:41

Thema

IPv4-Erreichbarkeit via Portfreigabe auf einem VPS

Einleitung

Ergänzend zum Beitrag IPv4-Erreichbarkeit via VPS und VPN (WireGuard) möchte ich weitere Möglichkeiten aufzeigen, einzelne Dienste im Heimnetz erreichbar zu machen.

Übersichtszeichnung

Auch hier zunächst eine Übersicht, was erreicht werden soll:



Auf den ersten Blick hat sich nicht viel getan. Es besteht weiterhin eine WireGuard-Verbindung zwischen einem VPS und dem Heimnetzwerk.

Daher gehe ich hier nicht weiter auf diese Verbindung ein, bitte im anderen Thread nachlesen.

Der…

mbo77

29. Oktober 2023 um 15:31

Da könntest du Ideen finden.