Zugriff von Aussen auf IPV4-only Geräte hinter Deutsche Glasfaser / Fritzbox 7590AX

Guck dir mal https://ipv64.net/dyndns.php an.

Hier in Forum wurde schon öfter über VPN über IPV6 geschrieben.

Ist meist die schönere saubere Lösung. Gerade bei älteren Geräten wie deinen, die vielleicht ewig keine Updates mehr gesehen haben auch ein Sicherheitsaspekt

Zitat von mrbutcher

Und bräuchte ich nicht zwei Zugriffsmethoden? (Einmal von aussen über IPV4, und einmal von aussen über IPV6) ?!?

Ja, besser ist das schon

Du hast ja bereits erkannt, das IPv4-only Geräte von Nachteil sein können. Leider ist das bei Unmengen bereits im Einsatz befindlicher IoT Devices ebenfalls der Fall. Die radikale Lösung wäre diese eingeschränkten Geräte zur Entsorgung zu bringen. Die Diskussion mit den Thermomix-Jüngerinnen (Cook-Key) will ich mir gar nicht vorstellen müssen, wenn nicht mehr online auf die Rezeptdatenbank zugegriffen werden kann. Das sei nur ein Beispiel, dass nicht nur Billigware diese Restriktionen hat.

Wenn Du dem Link von west folgst, findest Du auch für die FRITZ!Box, neben vielen anderen, eine Konfiganleitung und da erkennst Du, das sowohl IPv6- als auch IPv4-Adresse übermittelt werden können.

Ein VPN hat den Vorteil, das es besser gesichert werden kann, gerade für den Zugriff auf IoT-Devices ist das ein großer Vorteil. Nichts ist schneller gehackt als ein ESP32-basiertes Gerät (z.B. der zitierte Cook-Key), welches noch nie ein Update erfahren hat. Sakuwa war da schneller mit der Antwort.

Da ich exakt das gleiche Problem habe, war ich so frei mich bei IPv64.net nach den Möglichkeiten zu erkundigen. Wörtliche Antwort: "Nein kann man noch nicht, aber dafür wird es bald ein NAT64 geben. Aber kommt alles. "

Heißt für mich: Wait and see.

Von beliebiger IP (IPv4 oder IPv6) kann man beliebige IP (IPv4 oder IPv6) erreichen, wenn auf beiden Geräten Tailscale läuft, siehe z.B.:

Zitat von Bracew

Hallo,

für den Zugriff auf mein Heimnetz (Anschluss von der Deutschen Glasfaser) von Unterwegs habe ich einen Raspberry Pi im Heimnetz. Auf diesem läuft.

1) Wireguard. Überall wo ich unterwegs eine IPv6 bekomme, zum Beispiel im Mobilfunknetz nutze ich ein VPN via Wireguard. Auf dem RasPi installiert mit PiVPN.

Auf dem RasPi läuft noch ddclient ("Option 2: Use ddclient" auf https://desec.readthedocs.io/en/latest/dyndns/configure.html) als DynDNS Client zur aktualisierung meiner Heim-IPv6 des RasPi bei einem DynDNS-Hoster (bei mir https://desec.io/).

2) Tailscale. Überall wo ich unterwegs nur eine IPv4 bekomme, zum Beispiel via WiFi hotspots nutze ich ein VPN via Tailscale. Tailscale ist es egal, ob das Unterwegs-Gerät IPv4 oder IPv6 hat. Tailscale hat jedoch in manchen sehr restriktiven WLAN Hotspots Schwierigkeiten ein VPN aufzubauen.

Wireguard braucht eine Portfreigabe auf dem Router für den RasPi im Heimnetz.

Tailscale benötigt keine Freigaben auf dem Router, obwohl es intern auch Wireguard nutzt.

Für beides entstehen keine zusätzlichen Kosten.

Alles anzeigen

Siehe oben:

für den Zugriff auf mein Heimnetz (Anschluss von der Deutschen Glasfaser) von Unterwegs habe ich einen Raspberry Pi im Heimnetz.

Zitat von mrbutcher

openvpn? wireguard?

Wenn du mit einem Portmapper arbeiten willst, hat OpenVPN Vorteile, da du dann mit TCP arbeiten kannst. Wireguard kann nur UDP.

Zitat von mrbutcher

Ich richte mir also lokal auf meinem Windows Server einen IPV6 VPN Server ein (welchen?). Den kann ich mit IPV6 direkt von aussen ansprechen.

Wenn der Server dauerhaft läuft, dann geht das.

Zitat von mrbutcher

Brauche ich eine spezielle VPN Client Software oder geht das mit "Bordmitteln" (bei der alten IPV4 Lösung ging es z.b. auf Android ohne zusätzliche App)

Sowohl Wireguard als auch OpenVPN benötigen Zusatzsoftware. Native VPN Protokolle aus Android (IPsec) funktionieren nicht mit Portmappern, da sie kein TCP verwenden.

Zitat von mrbutcher

Kann ich einen DNS Eintrag erstellen der sowohl IPV4 hat und IPV6 und diesen auf den Clients verwenden?

Ja.

Zitat von mrbutcher

Dann komme ich von aussen über ipv6 und ipv4in mein Heimnetz und auch an all meine ipv4 Geräte?

Ja.

Legt euch einen MiniPC zu und installiert eine VPN ( Anydesk oder Teamviewer ) auf den PC. Den lasst ihr einfach im Netzwerk mitlaufen und könnt von überall der Welt aufs Netzwerk zugreifen. Wenn dazu noch ein NAS Server im Netzwerk läuft könnt ihr eure Daten bequem verwalten. Läuft bei mir schon 2 Jahre.

Die Fritzbox 7590AX bekommt hoffentlich in Kürze das Update auf FritzOS 7.50. Damit wird sie in der Lage sein, Wireguard VPNs aufzumachen. Diese Lösung hat gegenüber separaten VPN-Endpunkten im LAN erhebliche Vorteile. Deswegen ist es vielleicht sinnvoll, auf das Update zu warten und nicht erst eine andere Lösung zu bauen. Die Fritzbox 7590 (ohne AX) hat das Update schon bekommen.

Die Fritzbox könnte dann ein VPN zu einem VPS aufbauen. Dafür ist nichtmal IPv6 nötig, weil das auch mit IPv4 durch NAT funktioniert, wenn die Fritzbox die NAT-Relation von innen nach außen öffnet und durch Keep-Alive Pakete aufrecht erhält. Auf dem VPS kannst du dann mit einem Reverse Proxy Dienste mit der öffentlichen IPv4-Adresse des VPS anbieten. Oder, und das würde ich im Falle von Zugriffen auf IoT-Geräte dringend empfehlen, du könntest dich mit deinen mobilen Geräten ebenfalls per VPN mit dem VPS verbinden und dann darüber auf dein Heimnetz zugreifen. Auf diese Weise verlässt du dich nicht auf die "Sicherheit" der IoT Netzwerkstacks.

Versteh nur Bahnhof...

Also in WWW will ich dann auf DG Anschluss bzw. auf die Heizung zu Hause mit 192.168.178.2 und auf den Saugroboter 192.168.178.3 usw. zugreifen. Dann baue ich einen RasPi mit VPN auf....und dann? Muss ich doch an jedem Gerät wo ich unterwegs bin ein IPv6 Zugang haben UND ZUSÄTZLICH den VPN Client laufen lassen um dann auf die internen Adressen zugreifen zu können???

Ich habe gehofft das ein Cloud vServer der eine feste IPv4 und IPv6 da eine Lösung anbieten kann....aber der würde doch z.B. über 6tunnel nur eine "Übersetzung" von IPv4 in Richtung IPv6 von meinem Netz machen...bringt aber doch nichts bei der Heizungssteuerung...??oder?

Was wäre da für eine Lösung möglich mit vServer (da läuft Debian drauf)

Zitat von Karlchen

Dann baue ich einen RasPi mit VPN auf....und dann? Muss ich doch an jedem Gerät wo ich unterwegs bin ein IPv6 Zugang haben UND ZUSÄTZLICH den VPN Client laufen lassen um dann auf die internen Adressen zugreifen zu können???

Mit Tailscale wäre es so, außer, dass du von IPv6 oder auch von IPv4 per VPN auf Deinen Saugroboter aus dem www zugreifen kannst. IPvX spielt keine Rolle.

P.S.: Kostengünstig ist Tailscale natürlich nur, wenn man bereits einen RasPi oder NAS im Heimnetz besitzt.

Es gibt unzählige Möglichkeiten. Die von dir skizzierte Lösung mit dem "6tunnel" setzt in der Tat voraus, dass das angesprochene Geräte IPv6 versteht oder die Verbindung im Heimnetz wieder von einem anderen Gerät zurück auf IPv4 übersetzt wird.

Wenn man die Möglichkeiten eines vServers zur Verfügung hat, gibt es andere und einfachere Lösungen, z.B. die schon genannte VPN-Verbindung von innen nach außen. Dabei muss überhaupt kein IPv6 zum Einsatz kommen und deshalb ist außer dem VPN-Endpunkt kein zusätzliches Gerät im LAN für eine Rückübersetzung nötig. Wenn dann außerdem noch der schon vorhandene Router das VPN aufbauen kann, braucht man gar kein extra Gerät, nur den vServer als VPN-Gegenstück mit einer öffentlichen Adresse.

Eine weitere relativ einfache Lösung ist ein SSH Remote Port Forwarding: Mit der SSH Client Option -R 8001:192.168.178.3:80 würdest du auf dem vServer den Port 8001 öffnen. Alle TCP Verbindungen auf Port 8001 der öffentlichen IP-Adresse des vServers würden dann durch die SSH-Verbindung getunnelt und im LAN würde der SSH Client dann zu 192.168.178.3 auf Port 80 durchverbinden. Dafür bräuchtest du allerdings ein Gerät im LAN, das diese SSH-Verbindung aufbaut und aktiv hält (Keep-Alives).

Es ist dringend davon abzuraten, auf diese Weise Dienste zur Verfügung zu stellen, die sicherheitstechnisch fragwürdig sind. Den Saugroboter oder die Heizungssteuerung sollte man so auf keinen Fall beliebigen Angreifern im Internet präsentieren. Dafür würde ich nur Zugriffsmethoden empfehlen, für die der zugreifende Benutzer selbst als VPN-Teilnehmer authentifiziert sein muss.

Ich hänge mich hier mal mit rein, da es aktuell ist.


Ich will prinzipiell auch wieder eine feste IPv4 haben. Jetzt hab ich öfters was von Wireguard gehört. Da man seine Fritz!Box von DG ja easy hacken kann, um so 7.50 zu installieren, wäre Wireguard ja kein Problem.

Gibt es dafür dann "einfache" Anleitungen, um sich so eine IPv4 zu besorgen?

Ich hab auch von einigen anderen Services gehört, jedoch ist man dann im Speed limitiert. (200 Mbit).

Früher hatte ich mal eine dedicated IPv4 über ein VPN Anbieter. Das ging aber halt nur auf dem Windows Rechner.

Außerdem hab ich noch ein HomeAssistant laufen (auf 'nem PI, also könnte man mit dem PI auch was machen)

lg



TL:R Ich hätte gern ne statische IPv4 in der Fritz!Box, die im Idealfall nur mir gehört

Zitat von Enaske

Da man seine Fritz!Box von DG ja easy hacken kann

Aber man kann es nicht rückgängig machen, und die Box ist nicht dein Eigentum. Ich würde die Finger davon lassen.

Einige Portmapper wie "Feste IP" bieten sowas an. Aber es ist teuer, und ein Speedlimit wirds wohl auch geben. Die Frage ist: Wofür braucht man mehr als 200 MBit/s? Wie dem auch sei, wenn du die VPN Verbindung über die 7590 aufbauen willst, ist das Speedlimit des Anbieters irrelevant.

Alternativ geht auch eine VPN Verbindung zu einem VPS. Aber viel schneller wird das auch nicht. Jedenfalls nicht über die 7590.

Zitat von frank_m

Alternativ geht auch eine VPN Verbindung zu einem VPS. Aber viel schneller wird das auch nicht. Jedenfalls nicht über die 7590.

mrbutcher

Ich glaube der Vorschlag von frank_m ist nicht schlecht.

Hier aus meiner Sicht eine gute Anleitung von Apfelcast

Zitat von frank_m

Aber man kann es nicht rückgängig machen, und die Box ist nicht dein Eigentum. Ich würde die Finger davon lassen.

Einige Portmapper wie "Feste IP" bieten sowas an. Aber es ist teuer, und ein Speedlimit wirds wohl auch geben. Die Frage ist: Wofür braucht man mehr als 200 MBit/s? Wie dem auch sei, wenn du die VPN Verbindung über die 7590 aufbauen willst, ist das Speedlimit des Anbieters irrelevant.

Alternativ geht auch eine VPN Verbindung zu einem VPS. Aber viel schneller wird das auch nicht. Jedenfalls nicht über die 7590.

Doch das ist kein Problem, ich hab meine auf 7.50 gehabt und bin dann einfach wieder auf die Stock Firmware, nach dem einiges mit dem Sync nicht geklappt hat.

Die Frage ist, ob man den günstig ein VPN mit einer IPv4 bekommt?

Und: Da ich ne 400er Leitung habe, möchte ich natürlich auch die 400 Mbit nutzen, den VPN würde ich ja nur nutzen, damit die lästigen Captchas weggehen, die man dank einer high Risk Public IP hat.