How To für VPN mit Wireguard und VPS / Deutsche Glasfaser IPv6

Zitat von Selter

Soweit ich mich in die Thematik eingelesen habe, wäre die Lösung auf einem VPS (z.B. bei Ionos) Wireguard zu installieren, der dann einen Tunnel zu einem Gerät mit Wireguard im Heimnetz hinter der FB aufbaut.

Ich würde es genau umgekehrt machen: Die lokale Instanz baut einen Tunnel zum VPS auf. Dann können die Daten ggf. auch via IPv4 fließen und man ist weniger abhängig von irgendwelchen dyndns Diensten.

Es gibt zahllose Wireguard Anleitungen im Netz. Im Grunde brauchst du ja nichts besonderes: Ein Server als Mittelpunkt, auf dem sich dein Heimnetz dauerhaft einwählt und ein oder mehrere mobile Nodes, die bei Bedarf eine Verbindung aufbauen und dann Zugriff aufs Heimnetz bekommen.

Ich denke, die hier wird deinen Anforderungen recht nah kommen:

https://wiki.ubuntuusers.de/WireGuard/

Achte drauf, dass dein VPS echten root Zugriff bietet (also KVM virtualisiert ist), sonst kannst du wireguard nicht mit Kernel Unterstützung aufsetzen und bist später dann recht langsam unterwegs. OpenVZ Virtuozzo ist meines Erachtens keine Option.

Ich kenne mich mit VMWare nicht so aus, aber von der Feature Beschreibung her sieht es gut aus.

Aus meiner Sicht sollte es bei den 1&1 VPS Servern keine Probleme geben. Die Feature-Liste bestätigt, dass man vollen Rootzugang erhält:

Ich selbst nutze übrigens für ein solches Setup den VPS 200 G8 Server von netcup. Dieser ist etwas teurer, bietet aber gegenüber dem 1-Euro Server von 1&1 deutlich mehr RAM und Festplatten-Speicher.

Selter: Viel Erfolg und gutes Gelingen!

Spräche etwas gegen einen direkten VPN-Zugriff über openVPN (mit einem openVPN-Server zuhause) per ipv6? Das setze ich jetzt so ein und steht der vorherigen Lösung in nichts nach.

Zitat von JAKuhr

Spräche etwas gegen einen direkten VPN-Zugriff über openVPN (mit einem openVPN-Server zuhause) per ipv6?

Nur falls man für die Clients keinen IPv6 Zugang garantieren kann.

Oder man nimmt einen Dienst wie feste-ip.net in Anspruch.

Hab ein ähnliches Problem.

Telekom -> Deutschen Glasfaser

FritzBox 7590 behalten und alles identisch umgezogen - somit keine falsche Config in der 7590.

Bekomme eine IPv6 und eine "nicht reale" IPv4. Scheinbar ist diese nicht öffentliche IPv4 zusammen mit dem IP Sec der Fritzbox das Problem.

IPv6 läuft scheinbar gar nicht mehr zusammen mit der VPN Technologie der Fritzbox. Blöd, da ich diese Funktion für alles möglich genutzt habe um von unterwegs ins Heimnetzwerk zu kommen. Handynetz kann IPv6, daher dachte ich, solange es IPv6 <-> IPv6 ist, geht VPN noch, aber dem ist leider nicht so.

Hatte dann auch sehr viel gelesen und Youtube geschaut.

Scheinbar liegt es wirklich am VPN von AVM der einfach nicht mehr IPv6 bzw. ohne öffentliche IPv4 laufen möchte.

Hier wird das die Lösung besprochen die auch hier ab Minute 7 etwa gezeigt wird.

Tendiere irgendwie zu der bishrigen Lösung, dass mein Handy sich bei dem virtuelle Server meldet und dann an einen Raspberry PI oder ähnliches hinter der 7590 eine IPv6 VPN Verbindung aufbaut um wieder vollen Zugriff auf mein Netzwerk zu haben.

Sollte so gehen oder ?

Man braucht aber definitiv ein Computer/Gerät das den Tunnel zwischen virtuellen Server und Netzwerk aufbaut, da die Fritzbox das ja nicht mehr übernehmen kann, korrekt ?

Auf dieser Seite wird neben Ionosauch ein KAMP v-server genannt der sogar kostenlos ist.

Zum Testen nicht verkehrt und vielleicht sogar ausreichend. Hat hier Jemand Erfahrung ?

Dankeschön !!

Danke !

Zitat von Matthias

Tendiere irgendwie zu der bishrigen Lösung, dass mein Handy sich bei dem virtuelle Server meldet und dann an einen Raspberry PI oder ähnliches hinter der 7590 eine IPv6 VPN Verbindung aufbaut um wieder vollen Zugriff auf mein Netzwerk zu haben.

Wenn du dir eh schon einen Raspi gönnst, kannst du dich auch direkt vom Handy aus verbinden. Auf einem Raspi kann man ja IPv6-taugliche VPN Lösungen einrichten.

Den VPS brauchst du nur, wenn du weiterhin über IPv4 erreichbar bleiben willst. Das ist aber - je nach Internetzugang deiner Clients - optional.

Das Kamp Angebot sieht für einen Test tatsächlich sehr attraktiv aus. Vielen Dank für den Hinweis, das kannte ich nicht.

Den Beitrag von Andys-Blog kenne ich auch, allerdings ist der verlinkte kostenlose Kamp v-server nicht für Privatpersonen erhältlich.

Zitat von KAMP DHP Registrierung

KAMP Produkte und Dienstleistungen richten sich ausschließlich an Geschäftskunden und Gewerbetreibende

Hallo,

Danke für eure Rückmeldung. Dachte bisher, dass ich mich mit Computer und Netzwerk ganz gut auskenne.

Aber mit den ganzen Protokollen und VPN bei IPv4 und die Unterschiede bei IPv6 hört es irgendwie doch auf...

Hab auch feststellen müssen, dass dieser Kamp Server offiziell nur für gewerbetreibende kostenlos ist.

Ich versuche meine Lage nochmal kurz zu schildern, vielleicht könnt ihr mir nochmal helfen.

Vorher IPv4 und ich konnte von egal wo ins Netzwerk, an meinen Drucker, an das Fritzbox-NAS und an "alte" IPv4 Netzwerkkameras von D-Link.

Man kann nun wohl von außen (Handynetz IPv6) über Weiterleitungen und Portöffnung in der Fritzbox eine IPv6 bzw. Dyndns nutzen und direkt auf Geräte weiterleiten lassen. Ging ja auch bei IPv4 über DynDns. Allerdings fand ich das immer unsicher, da die Geräte ja quasi direkt über das Internet ansprechbar sind. Daher war für mich VPN immer die saubere und sichere Lösung, da nur mit korrekten "Passwort" die Fritzbox die Toren öffnet.

Stimmt doch soweit oder ?

Ich glaube meine Geräte sind teils auch gar nicht IPv6 tauglich im Heimnetzwerk, was auch Probleme erzeugen könnte.

Daher halte ich noch an VPN fest und hoffe ich bekomme den irgendwie zum Laufen. AVM hat wohl ein Protokoll das nicht IPv6 tauglich ist, daher dachte ich, ich brauche einen Raspberry PI (habe kein richtiges NAS das OpenVPN oder ähnliches übernimmt), damit ich überhaupt wieder VPN zum Laufen bekomme.

Oder gibt es andere Lösungen bei meinem Setup ?

(gibt ja auch einige kostenpflichtige externe Lösungen mit Portforwarding oder IPv4<>IPv6 usw. Aber alles etwas undurchsichtig ob und was nun für meinen Fall wirklich benötigt wird... und ob ich mit Handynetz IPv6 selbst eine Lösung hinbekommen kann)

Dankeschön vorab für eure Hilfe!!!

Zitat von Matthias

AVM hat wohl ein Protokoll das nicht IPv6 tauglich ist, daher dachte ich, ich brauche einen Raspberry PI (habe kein richtiges NAS das OpenVPN oder ähnliches übernimmt), damit ich überhaupt wieder VPN zum Laufen bekomme.

Das ist richtig.

Ob du auch noch per IPv4 von außen einen Zugriff auf dein Netz benötigst, oder ob IPv6 dir reicht, musst du am Ende selber entscheiden. Wir wissen ja nicht, wo deine Clients so üblicherweise unterwegs sind. In vielen Hotspots oder Firmennetzen kann es mit IPv6 noch ein Problem geben. Im Mobilfunk können es mittlerweile alle, soweit ich weiß.

Über einen VPN Tunnel kannst du dann natürlich IPv4 Traffic leiten, auch wenn der Tunnel über IPv6 aufgebaut wurde. Wenn du also eine alte Kamera hast, die nur IPv4 spricht, kannst du deren Bild auf dein Handy übertragen, auch wenn du den Tunnel zum Raspi vorher über IPv6 aufgebaut hast.

Zitat von frank_m

Das ist richtig.

Ob du auch noch per IPv4 von außen einen Zugriff auf dein Netz benötigst, oder ob IPv6 dir reicht, musst du am Ende selber entscheiden. Wir wissen ja nicht, wo deine Clients so üblicherweise unterwegs sind. In vielen Hotspots oder Firmennetzen kann es mit IPv6 noch ein Problem geben. Im Mobilfunk können es mittlerweile alle, soweit ich weiß.

Über einen VPN Tunnel kannst du dann natürlich IPv4 Traffic leiten, auch wenn der Tunnel über IPv6 aufgebaut wurde. Wenn du also eine alte Kamera hast, die nur IPv4 spricht, kannst du deren Bild auf dein Handy übertragen, auch wenn du den Tunnel zum Raspi vorher über IPv6 aufgebaut hast.

Super Danke für die Rückmeldung.

Bei uns hier in der Gemeinde hat die Deutsche Glasfaser (DG) nun sehr viele Kunden, sprich die meisten Freunde bei denen mal mal ist, haben DG und somit IPv6. Handynetz wäre mein zweites Szenario und Congstar kann inzwischen gemäß Congstar-Forum (quasi Telekom) auch IPv6. Geprüft mit http://test-ipv6.com/.

Muss man im NT (Glasfaser<>Ethernet) vor der Fritzbox etwas für VPN konfigurieren bzw. blockt das teil irgendwelche Ports ?

Kann man als Kunde über ein Webinterface in den NT rein ? (Finde dazu nirgendwo Infos)

Hat der NT Zugangsdaten, da die Fritzbox ja keine mehr benötigt ? Oder ist die Glasfaser ohne Einwahldaten auf unseren Anschluss bereits "vorprogrammiert und dauerhaft aktiv" ?

Letzte Frage, um VPN nutzen zu können (Fritzbox kann kein IPv6 VPN, da IPSec ?!), brauche ich ja eine Gegenstelle in meinem Netzwerk.
Wenn man kein NAS-System mit VPN Funktion hat, braucht man vermutlich einen Raspberry PI oder gibt es andere Lösungen ? (Außer PC oder Server)

Sorry einige Fragen, hoffe ihr könnte mir helfen die letzten schwarzen Flecken bei Umstellung von Telekom auf DG aufzudecken.

Dankeschön !!

Die test-ipv6 Geschichte ist natürlich endgerätespezifisch. IPv6 kann ja auch im Endgerät - oder sogar im Browser - deaktiviert werden.

Der NT hat keinen Einfluss auf VPN.

Ein Raspi ist eine sehr günstige und leistungsfähige Lösung, allerdings mit Handarbeit verbunden. Es gibt zahlreiche Alternativen, die schneller oder besser vorkonfiguriert sind. GL.iNet hat verschiedene Produkte im Portfolio in verschiedenen Leistungsklassen.

Zum Vergleich: Ich komme mit meinem Raspi auf 200 MBit/s Upstream und 250 MBit/s Downstream. In Upstream Richtung kann er meine Leitung voll auslasten, und in Downstream Richtung ist er sogar noch etwas schneller. Das reicht mir.

Zitat von frank_m

Zum Vergleich: Ich komme mit meinem Raspi auf 200 MBit/s Upstream und 250 MBit/s Downstream. In Upstream Richtung kann er meine Leitung voll auslasten, und in Downstream Richtung ist er sogar noch etwas schneller. Das reicht mir.

Mehr schafft der raspi nicht?

Wenn man bspw. DG GIga 1000/500 hat?