[gelöst]DS218 von außen erreichbar

Ich schaue mir da jetzt kein Video an.

Aber klar, ein Proxy auf Layer 7 kann auch dem Zwecke dienen.

Nginx proxy manager für die Synology wäre das

In dem Video benutzen sie einen Proxy, das heißt aber nicht, dass ich das für eine sinnvolle Lösung halte. Der Overhead ist doch reichlich groß, nur um einen UDP Port an die richtige Stelle zu routen.

ich danke Euch Allen erstmal für die Hilfe!

Ich saß gestern Abend wieder recht lang mit Lektüre im Netz und bin jetzt irgendwie zum Schluss gekommen, dass mich die Sache technisch doch ein wenig überfordert und dass das teilweise echt Overkill ist!

Eine Möglichkeit würde ich noch ausdiskutieren wollen, die Ihr von Anfang an propagiert habt: VPN von den Engeräten, wenn ich nicht im Heimetz bin.
Also meine Abwehrhaltung dagegen schwindet von Tag zu Tag mehr und der Sinn dieser Abwehrhaltung erst recht. Manchmal dauert so ein Gedankenprozess etwas um das Verständnis aufzubauen.

Eure Idee war also:
- keine Portfreigaben an der Fritzbox für NAS. Die NAS ist ständig hinter der Fritzbox Firwall.
- eine VPN Verbindung von VPS zur NAS, die ständig aufgebaut ist.

- Endgeräte verbinden sich über VPN mit dem VPS und haben somit zugriff aufs Heimnetz.

Somit hätte ich Zugriff auf die Emails (Mailstation-Inbox) UND das gesamte Heimnetzwerk immer dann, wenn ich vom Handy oder Laptop eine VPN Verbindung zum VPS aufbaue, richtig?

Meine SMTP Inbox aus der App würde ich dann einfach über die lokale IPv4 aus meinem Heimnetz ansprechen. Macht die Sache natürlich wesentlich sicherer, wie ihr schon gesagt habt!

Gibt es VPN Apps für Android, die mir die VPN Verbindung zum VPS automatisch aufbauen, sobald ich das Heim-WLAN verlasse?

Weil dann hätte ich wieder eine Lösung, die immer funktioniert und um die ich mich nicht kümmern muss, speziell händischer VPN-Aufbau.

Zitat von Ice86

- eine VPN Verbindung von VPS zur NAS, die ständig aufgebaut ist.

Umgekehrt, vom NAS zum VPS. Aber ansonsten passt das.

bei Wireguard doch irrelevant, hast du gesagt?

Also VPN Server wird der VPS, VPN Client die NAS.

Und ich kann den 1Eur VPS nehmen, der nicht unbedingt IPv6 Unterstützung braucht. Also das war jetzt mein bescheidenes Verständnis.

Achso, eine Sache noch: brauch ich noch irgendwie DynDNS, wenn ich Wireguard benutze? Falls sich die IPv6 der NAS mal ändert?

Und noch jemand eine Idee für die Android VPN App, die mir automatisch die Verbinding aufbaut, wenn ich aus dem Heimnetz bin?

Edit: letzte Frage abgehakt. Geht über die App Automate!

Dein NAS baut die Verbindung zum VPS auf. Dafür würde ich einen Eintrag im DNS vornehmen.

Deine Endgeräte verbinden sich jetzt entweder über die öffentliche Adresse (auch hier: DNS) zum Proxy, Portweiterleitung etc oder bauen selbst wiederum einen Link via Wireguard auf. Wie du möchtest.

Unter Android kannst du eine konkrete Verbindung in den Schnellzugriff legen. Lässt sich bestimmt weiter automatisieren.

Zitat von Ice86

VPN von den Engeräten, wenn ich nicht im Heimetz bin.

VPN mit Tailscale könntest Du auf Deinen Endgeräten 24/7 (Rund um die Uhr) an lassen, egal ob draussen oder im Heimnetz. Es spielt keine Rolle wo oder in welchem Netz Du Dich befindest. Einmal eingerichtet, immer anlassen und Du hast immer Verbindung von überall als wärst Du Zuhause. Keine Einstellprobleme. KISS.

Man kann Tailscale auf den Endgeräten auch so einstellen, dass jeglicher Datenverkehr durch den VPN-Tunnel nach Hause über die Synology und dann erst ins Internet läuft, zum Beispiel weil man in einem fremden Gast-WLAN oder WiFi-Hotspot befürchtet ausgeforscht zu werden.

Tailscale fällt aus, aber trotzdem danke!

wenn ich das jetzt in Angriff nehme, dann vernünftig mit VPS. Mit der Zeit wird sich die Zahl der Clients erhöhen und naja... so weiß ich zumindest, dass ich den Schein der Kontrolle wahre

Aber gerad gabs den nächsten Dämpfer. Die Synology unterstützt nur OpenVPN nativ und Wireguard nur über Umwege...

Das heißt, ich recherchier jetzt mal weiter, wie ich OpenVPN als Server auf dem VPS eingerichtet bekomme und wie dann auf der Synology als Client.

Kennt sich hier jemand mit OpenVPN aus?

Ich denke, über Konsole auf dem VPS krieg ichs hin, dass OpenVPN immer automatisch startet, wenn der VPS mal neustarten sollte.

In der Synology OpenVPN Client UI gibts ne Tickbox, dass automatisch wieder verbunden werden soll, wenn die Verbinding mal weg sein sollte.

Ich hab in nem Wireguard Tutorial gesehen, dass man auf dem VPS in der Sysctl das IPv4 Forwarding aktivieren muss.

Das sollte genauso für OpenVPN gelten, oder?

Edit: scheiß drauf, ich setz mir nen kleinen Raspi auf

Oder benutze den, auf dem der ioBroker und Raspmatic läuft... mal schauen

n neuer Raspberry 4 B ist bestellt. Damit sollte das hinhauen!

Noch eine Empfehlung für das Betriebssystem für mich? Kann ich getrost das neue Bookworm drauf schieben?

Ich gebe dir nur eine Empfehlung.

Manchmal ist es nett, unterstützende Tools zur Hand zu haben.

Um zu verstehen, was man da tut, empfehle ich das manuell selbst zu konfigurieren.

OpenVPN ist komplexer und nicht so performant wie Wireguard, sollte den Zweck aber gut erfüllen.

Probier dich ein bisschen aus, bevor du eine Lösung favorisierst.

danke danke! ich denke, ich hab jetzt soweit alle Infos beisammen. War echt anfangs nicht straight forward, aber mit den Infos hier und vieeeel Lesen, fühle ich mich vorerst gut gewappnet um loszulegen...
Ich denke, wenns soweit ist, werd ich eh nochmal auf Euch zurück kommen

Entscheidung ist auf Wireguard über einen Raspi gefallen. Den setz ich neu auf, daher noch die Frage, ob ich mit irgendeinem RaspOS auf die Schanuze fliegen könnt?
Bzw. welche Empfehlung Ihr habt, was ich über die SD Karte drüber bügeln soll?

Ich persönlich würde eher eine der größeren Distributionen wie Fedora oder Ubuntu nehmen.

Letztlich werden alle diesen Zweck erfüllen.

Achte auf eine teure SD-Karte oder USB-Stick als Speicher, denn die sind sonst schnell ein Problem.

Einen rpi 4 nutze ich deswegen mit einer SSD, weil die einfachen Karten oder Sticks oft unzuverlässig sind.

wenn ich jetzt noch Adguard Home auf dem gleichen Raspi installieren will, auf dem der Wireguard Client läuft und sich mit dem VPS verbindet...

Sollte der Adguard in nen Docker Container oder kann der auch "normal" auf dem Raspi?

Aim: ich will vom Handy n Full Tunnel haben, der den Adguard DNS nutzt, wenn ich unterwegs bin, und auch Werbung blockt.

In der Client Config vom Handy würd ich dann die Adguard DNS Adresse eintragen und ich weiß nicht, ob der sich verschluckt, wenn Raspi Wireguard Client IP gleich der Adguard DNS IP ist

Also, ob du AdGuard oder Pi-Hole etc. in einem Container installierst oder direkt, ist mehr oder weniger egal. Ein Container kann den Vorteil haben, ihn einfacher warten zu können.

Du kannst in der Wireguard-Config einen DNS "pushen" (dann kannst du alles auf DHCP belassen), also die Adresse im entfernten Heimnetz. Damit würdest du davon profitieren. Den gesamten Traffic zu tunneln hat wenige Vorteile. Aber den Nachteil der verzögerten Latenz und dass du natürlich ausreichend Bandbreite dafür brauchst.

Ich pushe nur den DNS und route ausgewählte Netze über den Tunnel.

Bandbreite ist genug da!

Super, danke sehr!

ich hab angefangen mit der Wireguard Config zu spielen.
Ionos VPS XS eingerichtet. Wireguard als Server konfiguriert.

Auf dem Raspberry Pi hab ich das Raspberry OS Lite Legacy installiert. Wireguard drauf und als Client konfiguriert.

Ich kann vom Server Geräte in meinem Heimnetz anpingen, wie zB. die Fritzbox oder die NAS.

Aber vom Raspberry krieg ich es nicht hin den Server anzupingen, also 10.0.0.1.

Jemand eine Idee warum das so ist?

NAT aktiv?

Im wiefern?

Also ich sitz hinter nem CG Nat, Deutsche Glasfaser.

Aber es hieß ja hier, das ist egal, weil der Client über IPv4 verbindet

Nein, hast du auf dem Pi NAT für VPN aktiviert? Weil dann wird der Rückweg nicht funktionieren. Wenn du einfach blind irgendwelchen Anleitungen gefolgt bist, ist das wahrscheinlich aktiv. Die haben alle nicht verstanden, wie IP Routing funktioniert.