How To für VPN mit Wireguard und VPS / Deutsche Glasfaser IPv6

  • Hallo zusammen,


    ich möchte gern wie gewohnt mobil auf das Heimnetz meiner Fritzbox 7490 zugreifen.

    Bisher ging das prima mit MyFritz-VPN - aber leider hat die FB Probleme mit VPN über IPv6 (Deutsche Glasfaser).


    Soweit ich mich in die Thematik eingelesen habe, wäre die Lösung auf einem VPS (z.B. bei Ionos) Wireguard zu installieren, der dann einen Tunnel zu einem Gerät mit Wireguard im Heimnetz hinter der FB aufbaut.

    Leider finde ich keine verständliche Step by Step Anleitung dazu.

    Ich würde lokal gern in Proxmox einen Container mit Ubuntu aufsetzen und darin Wireguard installieren.


    Habt Ihr einen Tipp???

  • Soweit ich mich in die Thematik eingelesen habe, wäre die Lösung auf einem VPS (z.B. bei Ionos) Wireguard zu installieren, der dann einen Tunnel zu einem Gerät mit Wireguard im Heimnetz hinter der FB aufbaut.

    Ich würde es genau umgekehrt machen: Die lokale Instanz baut einen Tunnel zum VPS auf. Dann können die Daten ggf. auch via IPv4 fließen und man ist weniger abhängig von irgendwelchen dyndns Diensten.

  • Es gibt zahllose Wireguard Anleitungen im Netz. Im Grunde brauchst du ja nichts besonderes: Ein Server als Mittelpunkt, auf dem sich dein Heimnetz dauerhaft einwählt und ein oder mehrere mobile Nodes, die bei Bedarf eine Verbindung aufbauen und dann Zugriff aufs Heimnetz bekommen.


    Ich denke, die hier wird deinen Anforderungen recht nah kommen:

    https://wiki.ubuntuusers.de/WireGuard/


    Achte drauf, dass dein VPS echten root Zugriff bietet (also KVM virtualisiert ist), sonst kannst du wireguard nicht mit Kernel Unterstützung aufsetzen und bist später dann recht langsam unterwegs. OpenVZ Virtuozzo ist meines Erachtens keine Option.

  • Aus meiner Sicht sollte es bei den 1&1 VPS Servern keine Probleme geben. Die Feature-Liste bestätigt, dass man vollen Rootzugang erhält:


    Ich selbst nutze übrigens für ein solches Setup den VPS 200 G8 Server von netcup. Dieser ist etwas teurer, bietet aber gegenüber dem 1-Euro Server von 1&1 deutlich mehr RAM und Festplatten-Speicher.


    Selter: Viel Erfolg und gutes Gelingen!

  • Du findest dieses Forum hier toll und möchtest es unterstützen? Großartig! Hier zeigen wir dir eine Möglichkeit, wie du uns supporten kannst. Es kostet dich keinen Cent mehr und das Forum bleibt hiermit weiter werbefrei.

    Amazon Link

    Nutze diesen Button um bei Amazon einzukaufen. Das kostet dich keinen Cent mehr, jedoch bekommen wir eine kleine Provision.
    Bei Amazon einkaufen und das GF unterstützen
    Mehr Infos gibt es in diesem Thread
  • Hab ein ähnliches Problem.

    Telekom -> Deutschen Glasfaser

    FritzBox 7590 behalten und alles identisch umgezogen - somit keine falsche Config in der 7590.


    Bekomme eine IPv6 und eine "nicht reale" IPv4. Scheinbar ist diese nicht öffentliche IPv4 zusammen mit dem IP Sec der Fritzbox das Problem.

    IPv6 läuft scheinbar gar nicht mehr zusammen mit der VPN Technologie der Fritzbox. Blöd, da ich diese Funktion für alles möglich genutzt habe um von unterwegs ins Heimnetzwerk zu kommen. Handynetz kann IPv6, daher dachte ich, solange es IPv6 <-> IPv6 ist, geht VPN noch, aber dem ist leider nicht so.


    Hatte dann auch sehr viel gelesen und Youtube geschaut.

    Scheinbar liegt es wirklich am VPN von AVM der einfach nicht mehr IPv6 bzw. ohne öffentliche IPv4 laufen möchte.


    Hier wird das die Lösung besprochen die auch hier ab Minute 7 etwa gezeigt wird.


    Tendiere irgendwie zu der bishrigen Lösung, dass mein Handy sich bei dem virtuelle Server meldet und dann an einen Raspberry PI oder ähnliches hinter der 7590 eine IPv6 VPN Verbindung aufbaut um wieder vollen Zugriff auf mein Netzwerk zu haben.


    Sollte so gehen oder ?

    Man braucht aber definitiv ein Computer/Gerät das den Tunnel zwischen virtuellen Server und Netzwerk aufbaut, da die Fritzbox das ja nicht mehr übernehmen kann, korrekt ?




    Auf dieser Seite wird neben Ionosauch ein KAMP v-server genannt der sogar kostenlos ist.

    Zum Testen nicht verkehrt und vielleicht sogar ausreichend. Hat hier Jemand Erfahrung ?


    Dankeschön !!


    Danke !

    Mittwochabend noch nix vor ? Lust auf makerlab-hannover.de ? Gemeinsam an Projekten tüfteln

  • Tendiere irgendwie zu der bishrigen Lösung, dass mein Handy sich bei dem virtuelle Server meldet und dann an einen Raspberry PI oder ähnliches hinter der 7590 eine IPv6 VPN Verbindung aufbaut um wieder vollen Zugriff auf mein Netzwerk zu haben.

    Wenn du dir eh schon einen Raspi gönnst, kannst du dich auch direkt vom Handy aus verbinden. Auf einem Raspi kann man ja IPv6-taugliche VPN Lösungen einrichten.

    Den VPS brauchst du nur, wenn du weiterhin über IPv4 erreichbar bleiben willst. Das ist aber - je nach Internetzugang deiner Clients - optional.


    Das Kamp Angebot sieht für einen Test tatsächlich sehr attraktiv aus. Vielen Dank für den Hinweis, das kannte ich nicht.

  • Dieses Video schon wieder... Das wirft mehr Fragen auf, als es erklärt.


    Der kümmert sich rein gar nicht darum, dass das, was er da startet, auch nach einem Neustart des Servers weiter funktioniert. Die Weiterleitung (ein Tunnel ist es, anders als der Name suggeriert, ja nicht) besteht nur, während dieses Programm läuft.


    Wer virtuelle oder reale Server mit SSH-Login per Passwort betreibt, egal auf welchem Port, kann sich schon mal auf die Kosten einer manuellen Intervention des Hosting-Providers einstellen, wenn das Ding gehackt wird.


    Außerdem ist 6tunnel nur für TCP-Verbindungen, wie auch die meisten anderen Portmapper. Als VPN-Protokoll über so einen Umsetzer kämen dann praktisch nur OpenVPN oder andere TLS-VPNs in Frage.


    Es sei noch der Hinweis erlaubt, dass sich das Kamp Angebot nur an gewerbliche Kunden richtet.

  • Hallo,

    Danke für eure Rückmeldung. Dachte bisher, dass ich mich mit Computer und Netzwerk ganz gut auskenne.

    Aber mit den ganzen Protokollen und VPN bei IPv4 und die Unterschiede bei IPv6 hört es irgendwie doch auf...

    Hab auch feststellen müssen, dass dieser Kamp Server offiziell nur für gewerbetreibende kostenlos ist.


    Ich versuche meine Lage nochmal kurz zu schildern, vielleicht könnt ihr mir nochmal helfen.

    Vorher IPv4 und ich konnte von egal wo ins Netzwerk, an meinen Drucker, an das Fritzbox-NAS und an "alte" IPv4 Netzwerkkameras von D-Link.


    Man kann nun wohl von außen (Handynetz IPv6) über Weiterleitungen und Portöffnung in der Fritzbox eine IPv6 bzw. Dyndns nutzen und direkt auf Geräte weiterleiten lassen. Ging ja auch bei IPv4 über DynDns. Allerdings fand ich das immer unsicher, da die Geräte ja quasi direkt über das Internet ansprechbar sind. Daher war für mich VPN immer die saubere und sichere Lösung, da nur mit korrekten "Passwort" die Fritzbox die Toren öffnet.

    Stimmt doch soweit oder ?

    Ich glaube meine Geräte sind teils auch gar nicht IPv6 tauglich im Heimnetzwerk, was auch Probleme erzeugen könnte.

    Daher halte ich noch an VPN fest und hoffe ich bekomme den irgendwie zum Laufen. AVM hat wohl ein Protokoll das nicht IPv6 tauglich ist, daher dachte ich, ich brauche einen Raspberry PI (habe kein richtiges NAS das OpenVPN oder ähnliches übernimmt), damit ich überhaupt wieder VPN zum Laufen bekomme.


    Oder gibt es andere Lösungen bei meinem Setup ?

    (gibt ja auch einige kostenpflichtige externe Lösungen mit Portforwarding oder IPv4<>IPv6 usw. Aber alles etwas undurchsichtig ob und was nun für meinen Fall wirklich benötigt wird... und ob ich mit Handynetz IPv6 selbst eine Lösung hinbekommen kann)


    Dankeschön vorab für eure Hilfe!!!

    Mittwochabend noch nix vor ? Lust auf makerlab-hannover.de ? Gemeinsam an Projekten tüfteln

    Einmal editiert, zuletzt von Mathias ()

  • AVM hat wohl ein Protokoll das nicht IPv6 tauglich ist, daher dachte ich, ich brauche einen Raspberry PI (habe kein richtiges NAS das OpenVPN oder ähnliches übernimmt), damit ich überhaupt wieder VPN zum Laufen bekomme.

    Das ist richtig.


    Ob du auch noch per IPv4 von außen einen Zugriff auf dein Netz benötigst, oder ob IPv6 dir reicht, musst du am Ende selber entscheiden. Wir wissen ja nicht, wo deine Clients so üblicherweise unterwegs sind. In vielen Hotspots oder Firmennetzen kann es mit IPv6 noch ein Problem geben. Im Mobilfunk können es mittlerweile alle, soweit ich weiß.


    Über einen VPN Tunnel kannst du dann natürlich IPv4 Traffic leiten, auch wenn der Tunnel über IPv6 aufgebaut wurde. Wenn du also eine alte Kamera hast, die nur IPv4 spricht, kannst du deren Bild auf dein Handy übertragen, auch wenn du den Tunnel zum Raspi vorher über IPv6 aufgebaut hast.

  • Das ist richtig.


    Ob du auch noch per IPv4 von außen einen Zugriff auf dein Netz benötigst, oder ob IPv6 dir reicht, musst du am Ende selber entscheiden. Wir wissen ja nicht, wo deine Clients so üblicherweise unterwegs sind. In vielen Hotspots oder Firmennetzen kann es mit IPv6 noch ein Problem geben. Im Mobilfunk können es mittlerweile alle, soweit ich weiß.


    Über einen VPN Tunnel kannst du dann natürlich IPv4 Traffic leiten, auch wenn der Tunnel über IPv6 aufgebaut wurde. Wenn du also eine alte Kamera hast, die nur IPv4 spricht, kannst du deren Bild auf dein Handy übertragen, auch wenn du den Tunnel zum Raspi vorher über IPv6 aufgebaut hast.

    Super Danke für die Rückmeldung.

    Bei uns hier in der Gemeinde hat die Deutsche Glasfaser (DG) nun sehr viele Kunden, sprich die meisten Freunde bei denen mal mal ist, haben DG und somit IPv6. Handynetz wäre mein zweites Szenario und Congstar kann inzwischen gemäß Congstar-Forum (quasi Telekom) auch IPv6. Geprüft mit http://test-ipv6.com/.

    Muss man im NT (Glasfaser<>Ethernet) vor der Fritzbox etwas für VPN konfigurieren bzw. blockt das teil irgendwelche Ports ?

    Kann man als Kunde über ein Webinterface in den NT rein ? (Finde dazu nirgendwo Infos)

    Hat der NT Zugangsdaten, da die Fritzbox ja keine mehr benötigt ? Oder ist die Glasfaser ohne Einwahldaten auf unseren Anschluss bereits "vorprogrammiert und dauerhaft aktiv" ?


    Letzte Frage, um VPN nutzen zu können (Fritzbox kann kein IPv6 VPN, da IPSec ?!), brauche ich ja eine Gegenstelle in meinem Netzwerk.
    Wenn man kein NAS-System mit VPN Funktion hat, braucht man vermutlich einen Raspberry PI oder gibt es andere Lösungen ? (Außer PC oder Server)


    Sorry einige Fragen, hoffe ihr könnte mir helfen die letzten schwarzen Flecken bei Umstellung von Telekom auf DG aufzudecken.


    Dankeschön !! :)

    Mittwochabend noch nix vor ? Lust auf makerlab-hannover.de ? Gemeinsam an Projekten tüfteln

    Einmal editiert, zuletzt von Mathias ()

  • Die test-ipv6 Geschichte ist natürlich endgerätespezifisch. IPv6 kann ja auch im Endgerät - oder sogar im Browser - deaktiviert werden.


    Der NT hat keinen Einfluss auf VPN.


    Ein Raspi ist eine sehr günstige und leistungsfähige Lösung, allerdings mit Handarbeit verbunden. Es gibt zahlreiche Alternativen, die schneller oder besser vorkonfiguriert sind. GL.iNet hat verschiedene Produkte im Portfolio in verschiedenen Leistungsklassen.


    Zum Vergleich: Ich komme mit meinem Raspi auf 200 MBit/s Upstream und 250 MBit/s Downstream. In Upstream Richtung kann er meine Leitung voll auslasten, und in Downstream Richtung ist er sogar noch etwas schneller. Das reicht mir.

  • Zum Vergleich: Ich komme mit meinem Raspi auf 200 MBit/s Upstream und 250 MBit/s Downstream. In Upstream Richtung kann er meine Leitung voll auslasten, und in Downstream Richtung ist er sogar noch etwas schneller. Das reicht mir.

    Mehr schafft der raspi nicht?

    Wenn man bspw. DG GIga 1000/500 hat?

  • Du findest dieses Forum hier toll und möchtest es unterstützen? Großartig! Hier zeigen wir dir eine Möglichkeit, wie du uns supporten kannst. Es kostet dich keinen Cent mehr und das Forum bleibt hiermit weiter werbefrei.

    Amazon Link

    Nutze diesen Button um bei Amazon einzukaufen. Das kostet dich keinen Cent mehr, jedoch bekommen wir eine kleine Provision.
    Bei Amazon einkaufen und das GF unterstützen
    Mehr Infos gibt es in diesem Thread

Erstelle ein Benutzerkonto oder melde dich an um zu kommentieren

Du musst ein Benutzerkonto haben um einen Kommentar hinterlassen zu können

Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Geht einfach!
Neues Benutzerkonto erstellen
Anmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden