How To für VPN mit Wireguard und VPS / Deutsche Glasfaser IPv6

    Die IP über WLAN oder LAN ist Standard 192.168.8.1

    Der WAN hat DHCP und bekommt von meiner Fritzbox eine lokale IP.

    Anfangs war das Webinterface er nur über LAN und WLAN erreichbar.

    Inzwischen klappt es auch problemlos von der Fritzbox-Netzwerkseite, sprich über meine FritzBox Repeater aus dem ganze Haus.

    Der Mini-Router WAN ist somit mit dem 7590 LAN verbunden. Sonst ist nichts verbunden.

    Was ich nicht verstehe, trotz Freigabe von HTTPS und Wireguard in der 7590 (siehe vorheriger Post) klappt es jetzt nicht mehr vom Handy.

    Komme über xxx.dnshome.de nicht mehr auf das Webinterface. Ganz seltsam und quasi Willkür.

    IPv6test sagt Handy ist IPv6-fähig. 7590 sagt weiterhin gleiche Einstellungen für Freigabe. Habe testweise eben sogar den kompletten Mini-Router mal freigegeben (Exposed Host). Ohne Besserung.

    Zur deiner Frage, wenn ich die https://xxx.xxx.xxx.xxx eingebe, löst er auf zu http://xxx.xxx.xxx.xxx/#/internet

    Das ist dann das GL.iNet Interface. Wenn ich zu OpenWrt möchte, gehe ich im GL.iNet Menü über "Mehr Einstellungen" -> "Erweitert" -> "Luci" auf einen Link der so aussieht: https://xxx.xxx.xxx.xxx/cgi-bin/luci/

    Von Prinzip ist die Box super. Nur GL.iNet kann wohl kein IPv6 VPN.

    OpenWrt kannes es vermutlich aber irgendwo ist das der Wurm drin.

    Dachte auch ganz Easy Config-File anpassen (DDNS rein) dann müsste es gehen. Hab bestimmt 30 Varianten probiert auch direkt mit aktuell öffentlicher IPv6, ohne Erfolg. Glaube irgendwas stimmt mit der DDNS nicht oder der Mini-Router blockt die Verbindung oder die FritzBox macht etwas blödes...

    Schwierig...

    nslookup löst meine xxx.dnshome.de richtig in IPv4 und IPv6 auf. Daher denke ich das passt.

    Der Fritzbox müsste ich auch vertrauen, kann aber nicht prüfen ob die irgendwas mit den Ports block.

    Ob der Mini-Router nun etwas verbockt und die eingehende Verbindung sieht, weiß ich leider auch nicht...

    Dreh mich irgendwie im Kreis. War ja am Überlegen ob ich alle Einstellunge rein im OpenWrt vornehme, aber finde da auch keine gute Anleitung wie man einen VPN Server im Heimnetzwerk mit Wireguard aufsetzt. Vieles für Raspi, glaube mit den Kommandos schließe ich den Mini-Router aber gleich ab und stelle falsche Sachen ein.

    Probiere jetzt nochmal bißchen rum... vielleicht ein anderer DDNS Anbieter im Luci Interface.

    Mittwochabend noch nix vor ? Lust auf makerlab-hannover.de ? Gemeinsam an Projekten tüfteln

    2 Mal editiert, zuletzt von Mathias (26. August 2021 um 10:20)

    Zitat von Matthias

    Von Prinzip ist die Box super. Nur GL.iNet kann wohl kein IPv6 VPN.

    Doch, kann sie. Das ist ja nichts anderes, als ein Linux System. Ich vermute da eher die Firewall des Mini Routers, die zu restriktiv ist.

    Hast du Zugriff auf die Console? Oder bietet der Mini Router irgendwo in der Weboberfläche einen Paketmittschnitt an? Dann können wir überprüfen, was von deinen Zugriffen von außen beim Minirouter ankommt.

    Könnte erklären, warum ich über MyFritz auf die Oberfläche der FritzBox komme aber es einfach nicht klappt zum Mini-Router durchzukommen.
    Hier fragt Jemand auch ob man die Firwall abschalten kann - Lösung statt Router Modus nur Access Point. Hatte ich auch mal getestet, aber dann blendet da GL.iNet Interface alles bezüglich Fernzugriff und VPN aus. Daher glaube ich das ist auch keine gute Lösung... Würde daher als "Router" fortfahren wie bisher (dafür mit Firewall).

    Konsole geht per Putty.

    GL.iNet Interface bietet keine Möglichkeiten.

    Eventuell über dieses Luci Interface, aber vermute da brauche ich noch plugins etc.

    Denke daher Konsole, sofern das nicht zu komplex ist.

    Schon mal Danke für deine tolle Hilfe!

    Habe in "Luci" den Firewall Status gefunden. Habe dort nichts neues gefunden.
    Hatte manuell eine Portfreigabe im Mini-Router für OpenVpn(1194)+Wireguard(51820)+HTTP(80)+HTTPS(443) eingerichet. Daher nicht über diese Portnummern wundern. Sonst sehe ich aber dort leider keinerlei Infos.

    Edit:

    Über einen externen IPv6 Portscanner komme ich an die FritzBox, jedoch ist der Port 443 an der IPv6 des Mini-Routers angeblich closed.

    Interne IPv6 pings über "CMD" klappen bei Notebook und co, der Mini Router gibt aber keine Antwort.

    Ich glaube es stimmt irgendwas generell nicht mit dem Teil - vermutlich die Firewall. Habe vieles probiert, gebe nun glaube ich auf...

    Mittwochabend noch nix vor ? Lust auf makerlab-hannover.de ? Gemeinsam an Projekten tüfteln

    3 Mal editiert, zuletzt von Mathias (22. August 2021 um 13:27)

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
    Zitat von Matthias

    Könnte erklären, warum ich über MyFritz auf die Oberfläche der FritzBox komme aber es einfach nicht klappt zum Mini-Router durchzukommen.

    Was könnte das erklären? Ich hab dafür immer noch keine vernünftige Erklärung, warum du auf der IPv6 Adresse deiner Fritzbox die Weboberfläche deines Mini Routers aufrufen kannst. Das ist völlig unabhängig von der Firewall, der Zugriff geht auf die falsche Adresse. Dafür gibt es eigentlich nur eine Erklärung: Eine Portweiterleitung mit NAT in der Fritzbox.

    Zitat von Matthias

    Habe in "Luci" den Firewall Status gefunden.

    Da erkennt man, dass für IPv6 die Ports für Wireguard bzw. VPN nicht geöffnet sind. Nur Port 443 ist offen. Auf IPv4 sind mehr Ports offen.


    Zitat von Matthias

    Über einen externen IPv6 Portscanner komme ich an die FritzBox

    Was genau heißt das?


    Zitat von Matthias

    jedoch ist der Port 443 an der IPv6 des Mini-Routers angeblich closed.

    Port 443 ist am WAN Port auf IPv6 offen.


    Zitat von Matthias

    Interne IPv6 pings über "CMD" klappen bei Notebook und co, der Mini Router gibt aber keine Antwort.

    ICMPv6 ist am WAN Port erlaubt, mit einer Begrenzung der Paketanzahl.

    Bin ehrlich gesagt mit meinem Latein am Ende.

    Bei IPv4 hab ich da noch ganz gut durchgeblickt. Die diversen IPv6 Einstellung in der FritzBox übersteigen schon etwas mein Wissen, dazu kommt, dass der GL.iNet Mini-Router nicht ganz so einfach wie gedacht unter IPv6 (Dual Stack Lite) läuft. Ist echt nicht schlimm, aber habe jetzt echt extrem viel Zeit investiert und merke langsam das ist unverhältnis mäßig und muss glaube ich nochmal eine andere Lösung suchen.

    Wenn ich mit dem Mini-Router über "Luci" (OpenWrt) nun über Konsole anfange alles zu konfigurieren, könnte ich mir auch einen deutlich leistungsfähigeren Rasberry PI 4 holen.

    Habe aktuell auch nochmal Nachwuchs bekommen und die Zeit ist echt sehr knapp.

    Werde es daher wohl vorerst mal auf Eis legen und wenn wieder etwas mehr Zeit ist nochmal mit einem Rasberry Pi versuchen (auch wenn das 100%ig keines simplere Lösung ist). Hoffe hier finde ich ein Tutorial das ich 1:1 abarbeiten kann.

    Hoffe ihr bzw du bist mir nicht böse. Aber trotzdem ganz lieben Dank für die Unterstützung.

    Mittwochabend noch nix vor ? Lust auf makerlab-hannover.de ? Gemeinsam an Projekten tüfteln

    Ich bin auch überrascht, dass die GL Router bezgl. IPv6 noch so rudimentär ausgerüstet sind.

    Zitat von Matthias

    Wenn ich mit dem Mini-Router über "Luci" (OpenWrt) nun über Konsole anfange alles zu konfigurieren, könnte ich mir auch einen deutlich leistungsfähigeren Rasberry PI 4 holen.

    Das stimmt.

    Melde dich einfach, wenn es soweit ist.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    Dankeschön !
    Habe mal alles bestellt und bißchen kreuz und quer Anleitung für Raspberry PI gelesen.

    Glaube eine Einstellung in meiner FritzBox könnte vielleicht bei dem Mini-Router ein Problem gewesen sein.

    Wollte es hier mal posten, falls Jemand ähnliche Probleme mit einer 7590 hat.

    Angeblich muss man bei den IPv6 Einstellungen folgendes ändern, dass die IPv6 von außen erreichbar ist,

    da nur eine einfache Portfreigabe "angeblich" nicht mehr ausreicht.

    Man muss wirklich aktiv die IPv6 Adresse bis zum Endgerät durchschleifen und freigeben. Angeblich passiert das hiermit:

    (Werde es mal ausprobieren, wenn der Raspberry PI da ist. Melde mich dann gerne nochmal.) DANKE !

    Mittwochabend noch nix vor ? Lust auf makerlab-hannover.de ? Gemeinsam an Projekten tüfteln

    Einmal editiert, zuletzt von Mathias (26. August 2021 um 10:18)

    Zitat von Matthias

    Angeblich muss man bei den IPv6 Einstellungen folgendes ändern, dass die IPv6 von außen erreichbar ist,

    Das ist grober Unfug. Die Einstellung brauchst du nur, wenn du einen Router hinter der Fritzbox einsetzt, der seinerseits IPv6 Adressen an seine Clients verteilen soll. Sowas macht z.B. Sinn für Gastnetze, abgetrennte Bereiche (Ferienhäuser, Hotels) oder wenn man einen Server mit virtuellen Maschinen betreibt. Ansonsten für private Nutzer eher nicht.

    Um eine IPv6 Adresse, die von der Fritzbox verteilt wurde, von außen erreichbar zu machen, braucht man diese Einstellung garantiert nicht.

    Übrigens interessante Erkenntnis: Im anderen IPv6 Thread wurde eine Anleitung verlinkt, in der jemand eine myFritz Freigabe auf sein NAS Einrichtet. Diese Freigabe taucht in der Fritzbox als ganz normal Portfreigabe auf. Das erklärt zuverlässig, warum du über die myFritz-Adresse deiner Fritzbox auf die Weboberfläche deines Mini Routers zugreifen konntest. Es war die ganze Zeit eine myFritz Freigabe, aber keine Portfreigabe.

    Einmal editiert, zuletzt von frank_m (24. August 2021 um 09:01)

    Deutsche Glasfaser (Dual Stack Lite wohl mit CGNAT) + FritzBox 7590 + Raspberry Pi 4 2GB + Wireguard ( + Adguard)

    Hallo,
    ich wollte mich nochmal melden. Leider habe ich das Thread hier ja recht gut gefüllt.

    Langsam verstehe ich IPv6 besser und bin nun auch ein kleiner Laien-Profi für Raspberry Pi 4 ;)

    Falls Jemand eine ähnliche Lösung sucht, helfe ich gerne mit ein paar Links und einer kleinen Liste

    Raspberry Pi 4 2GB (42€) + org 3A Netzteil (8€) + Gehäuse RB-ALUCASEP4+08 (11€) bei reichelt bestellt.

    Links zu guten Anleitungen die ich in Kombination genutzt habe und meine perfekte Lösung zu finden:

    (1) Putty downloaden + Anleitung zum Vorbereiten "Download OS" + "Image auf Karte" + "SSH" durchführen - siehe hier

    (2) Vorbereitung für VPN am Raspberry und Fritzbox - ganz wichtig - komplett ausführen (Hinweis: Ehternet=eth0 und glaube "PING6" nicht nötig) - hier

    (3) PiVPN installieren (hier für OpenVPN), da ich aber lieber Wireguard nutzen wollte, Video-Anleitung hier 1:1 befolgt. Aber DDNS aus (2) benutzt.

    (4) ***

    (5) Alles VPN wunderbar lief, dazu entschlossen noch etwas mehr auszuprobieren. Ich wollte erst Pi-Hole installieren - siehe hier, habe dann aber mal Adguard und Pi-Hole verglichenund mich auf Grund des einfach aussehenden Webinterface und der zusätzlichen Sicherheitsfeatures (Familienfilter und DNS-over-XXX Lösungen direkt dabei) für Adguard entschieden. Video-Anleitung siehe hierübrigens ohne Docker (da ich mich damit nicht befasst habe).

    (6) Dann nur noch in der 7590 den DNS-Server gemäß Video ändern und man surft werbefrei im ganzen Netzwerk

    (7) Was in der Anleitung nicht erwähnt ist, wir nutzen IPv6, daher unter Netzwerk->Netzwerkeinstellungen->IPv6 Einstellungen dort auch den internen DNS auf die IPv6 des Raspberry Pi verweisen (bitte mit fd00 beginnend). Allgemein ist das Thema DNS Server ("lokal" in den Netzwerkeinstellungen oder "upstream" in den Interneteinstellungen in der Fritzbox nutzen) sehr gut hier erklärt. Lokal (LAN-Seite) ist wohl "besser" da hier alle Geräte einzeln bei Adugard und Pi-Hole aufgelöst werden. Nutze ich und läuft gut.

    (8) Bei meinem Raspi ändert sich wohl die "etc/resolv.conf" und verweist auf den Raspi selbst. Vermute das müsste normal die Fritzbox sein um die internen Clients richtig aufzulösen (z.B. "raspi.fritz.box" oder "drucker.fritz.box" zur internen IP). Bin mir hier nicht ganz sicher, beobachte das und berichte hier zeitnah. Abhilfe hat bei mir wohl der Eintrag bei Adguard (Einstellungen->DNS-Einstellungen->Upstream Server) mit "[/fritz.box/]192.168.xxx.xxx" (IP der Fritzbox bei xxx eintragen) geschafft. Seither sind alle Clients (z.B. Drucker Webinterfaces) wieder im Browser über den jeweiligen Hostname xxx.fritz.box ansprechbar. Bisher läuft alles super.

    (9) Adguard mit guten Listen von Wally3k upgraden. Einfach die Listen hier zusätzlich in Adguard eintragen. Alternative auch die OISD Blocklist (gigantische Einzelliste) wobei ich das Gefühl hatte, dass diese deutlich mehr "Fehlalarme" auslöst. Daher habe ich diese wieder deaktiviert.

    :)

    --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- 

    ***= Blöd geschaut, da ich wieder Probleme mit dem Wireguard VPN von Android (D1 Netz) aus hatte. 


    Problembeschreibung und LÖSUNG:

    Diverse IPv6 Port Scanner genutzt, aber scheinbar kommt man nicht über die DDNS über die Fritzbox rein auf den Raspi.
    Daher viel gegooglt und gemerkt, dass viele andere (Kommentare ganz unten hier oder hier) auch das Problem haben -ohne Lösung-.
    "tcpdump" genutzt, aber nix kam am Raspi an. Ist vermutlich 1:1 das Problem das ich vorher auch mit dem GL.iNet Mini-Router hatte. 

    Dachte schon ich muss aufgeben, bis ich in irgendeinem anderen Forum einen Satz gelesen habe wie "es könnte sein, dass es mehrere IPv6 gibt". 

    Das habe ich bereits in der Fritzbox gesehen, der Mini-Router wie auch der Raspberry hatten zwei öffentliche IPv6. 

    Ich habe in der Fritzbox7590 geschaut: 

    Netzwerk -> "Gerät suchen + bearbeiten" -> IPv6 Adressen anschauen 

    Dort standen tatsächlich 2x "2a00:" drin. Bei mir war die Freigabe in der Fritzbox für genau die andere IP, die der Raspberry dem DDNS gibt. Blöd! 

    Laut Pi-Konsole ist es eine "prefixlen 64 scopeid 0x20" und eine "prefixlen 128 scopeid 0x20". 

    In der Fritzbox kann man auch manuell unter Netzwerk -> "Gerät suchen + bearbeiten" -> IPv6 Interface-ID die Endung der IPv6 (Gerätekennung) manuell ändern. Ich vermute das ist nicht die beste Wahl, aber nach dieser Änderung ging auf einmal die Portweiterleitung (die ich gemäß Anleitung eingerichtet hatte unter: Internet->Freigabe->Portfreigabe mit" UDP 51820" "IPv6 only"). 

    Also nochmal den Raspberry genau geprüft, alle Config-Schritte angeschaut und neugestartet. Scheinbar haben dann Änderungen aus der oberen Anleitung (2) gegriffen und der Raspberry hat seither nur noch eine IPv6 (64er). Diese ist auch in der FritzBox jene IPv6 die Standard unter der Portfreigabe eingefügt wurde und seither gehen auch die Wireguard Anfragen von außen durch die 7590 durch zum Raspberry und alles läuft. Super -> Problem gelöst ! 

    --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- 

    Hoffe die Anleitung hilft anderen Usern weiter, die ähnliche Probleme haben und eine Lösung suchen.
    Finde es blöd, dass die Deutsche Glasfaser keine öffentliche IPv4 anbietet (ok IPv6 ist die Zukunft) und

    das AVM kein VPN für Dual Stack Lite anbietet und wohl auch kein Update bringt (AVM Chat verwies mich an die DG).

    Finde es aber gut, dass man nun eine eigene wohl recht sichere Lösung hat und sogar Vorteile wie den Adguard mitnutzen kann. Daher zufrieden trotz kleinem Invest und nun etwas höherem Stromverbrauch(ist aber ja recht überschaubar).

    frank_m
    Danke auch nochmal für deine Hilfe. Somit wie du sagst keine Änderung bei der Fritzbox bezüglich "Unique Local Addresses (ULA)" NEIN und "DNS-Server, Präfix (IA_PD) und IPv6-Adresse (IA_NA) zuweisen" NICHT nötig. Alles Standard lassen und es läuft auch so.

    Dankeschön !!

    Mittwochabend noch nix vor ? Lust auf makerlab-hannover.de ? Gemeinsam an Projekten tüfteln

    21 Mal editiert, zuletzt von Mathias (1. September 2021 um 09:58) aus folgendem Grund: Anleitung etwas ergänzt und Rechtschreibfehler korrigiert. Ein paar Schlagwörter, die hoffentlich bei der Suche im Forum etwas helfen - sofern diese hier auch gesucht werden: Raspberry Pi 4 / Wireguard VPN / Fritzbox Portweiterleitung / Fritzbox Portfreigabe / PiVPN / Adguard / Probleme Fritzbox Raspberry Erreichbarkeit / VPN schlägt fehl / Wireguard keine Verbindung 7590

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
    Zitat von Mathias

    Bei mir war die Freigabe in der Fritzbox für genau die andere IP, die der Raspberry dem DDNS gibt. Blöd!

    Das ist natürlich wirklich doof, dass der ddns Dienst die falsche IP ausgesucht hat. Du hast nun die Privacy Extensions deaktiviert?

    Zitat von frank_m

    Das ist natürlich wirklich doof, dass der ddns Dienst die falsche IP ausgesucht hat. Du hast nun die Privacy Extensions deaktiviert?

    Ja habe ich gemacht. Eigentlich soll das ja bewirken, dass die IPv6 immer gleich bleibt und sich nicht aus Datenschutzgründen ändern.

    Ich vermute aber auch, dass dadurch die IPv6 auf nur "eine IPv6 (64)" umgestellt wurde. Das hat sich aber erst nach einem Neustart des Raspberry PI gezeigt und somit war dann alles perfekt.

    Ich habe danach nichts mehr an der Konfiguration des Raspberry geändert und habe seither nur noch diese eine IPv6 (64), diese wurde bisher beibehalten und ist 1:1 mit der Freigabe in der Fritzbox identisch. Daher passt das jetzt alles zusammen ohne Bastelei in der Fritzbox.

    Das war vermutlich auch das Problem mit dem GL.iNet. Von Prinzip wäre der günstiger gewesen, aber der Raspberry Pi ist auch sehr sparsam und bietet sogar noch mehr Möglichkeiten (Pi-Hole oder Adguard) und hätte nicht gedacht, dass man mit den ganzen Anleitungen doch so recht einfach ans Ziel kommt.

    Auch nochmal Danke an deine Unterstützung - sonst hätte ich vermutlich gleich alles sein lassen und wäre nicht zu meiner jetzigen Lösung gekommen. :)

    Mittwochabend noch nix vor ? Lust auf makerlab-hannover.de ? Gemeinsam an Projekten tüfteln

    Mathias

    Darf ich fragen, ob es noch immer einwandfrei läuft?

    Ich suche einen stabilen Weg ins Netz meiner Eltern, welche DG haben.

    Gli.Net Router ist vorhanden und bevor ich jetzt aktiv werden, würde ich einfach gerne wissen ob es noch so läuft bei Dir?

    Auch nach Neustarts etc.

    FranktheTank

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    Hallo,

    habt ihr dafür mal tailscale oder zerotier ausprobiert?

    Beim ersten ist meiner Meinung nach die Konfig einfacher.

    Einen PI ins Netz. Einstellen dass der das gesamte Netzt routet und fertig.

    Zugriff über Notebook/Ipad/Handy kein Problem.

    Mit freundlichen Grüßen

    sissi

    DG:Sissi

    Läuft bisher echt perfekt mit dem Raspberry PI. Mit dem GLI.net habe ich es ja nicht hinbekommen - war aber wohl mein Fehler.
    Dachte mit dem GLI.net habe ich weniger arbeit. Aber mit dem Raspberry gibt es so viele gute Anleitungen und wenn es mal läuft läuft es scheinbar ohne Probleme.

    Eigentlich hat PiVPN ein Auto-Update eingerichtet, aber ich schaue gelegentlich auch mal in der Konsole nach mit "sudo apt update && sudo apt upgrade" und lasse mir alle Minute mal wichtige Daten (CPU Temp, Taktrate, Volt, GPU Temp) ausgeben mit "while endless=0; do echo `date +%T` Uhr: `vcgencmd measure_temp` `vcgencmd measure_clock arm` `vcgencmd measure_volts` GPU:`/opt/vc/bin/vcgencmd measure_temp|cut -c6-9` ; sleep 60; done".

    Mit Adguard bin ich mir noch nicht so ganz sicher. Nutze z.B. bei Android kaum Apps mit Werbung. Glaube dort fällt es extrem auf, wenn man so einen Blocker (DNS Resolver) laufen hat. PCs habe eh alle Werbeblocker im Browser. Dafür muss man vorsichtig sein, dass man nicht zu viel blockt. Hab aber noch alles aktiv.

    Bezüglich Wireguard, läuft echt 1A und mega flott.

    Würde es jederzeit wieder so machen. :)

    Hoffe das es weiterhin alles korrekt eingerichtet und sicher ist und man da nicht andauernd was optimieren muss. Bisher läuft es ohne Änderungen perfekt - glaube das bleibt auch so. Daher tolle Lösung !

    Starte eigentlich nichts neu. Letztens Stromausfall (was super selten ist) und danach ging alles wunderbar. Nur der NT von der Glasfaser hatte sich verschluckt und DG meinte über RESET einmal zurücksetzen. Danach ging alles wieder. Raspberry hat aber keine Hilfe benötigt und läuft wunderbar.

    Mittwochabend noch nix vor ? Lust auf makerlab-hannover.de ? Gemeinsam an Projekten tüfteln

    Zitat von Mathias

    Läuft bisher echt perfekt mit dem Raspberry PI. Mit dem GLI.net habe ich es ja nicht hinbekommen - war aber wohl mein Fehler.
    Dachte mit dem GLI.net habe ich weniger arbeit. Aber mit dem Raspberry gibt es so viele gute Anleitungen und wenn es mal läuft läuft es scheinbar ohne Probleme.

    Hallo,

    ich habe über wireguard einen ähnlichen Aufbau.

    wireguard auf einen linux-server -> hetzner-cloud-server

    Mobile Geräte -> hetzner cloud server

    Das läuft alles recht stabil. Ich habe ein script laufen, was permanent(minütlich) die Verbindung zwischen linux und hetzner-cloud server überwacht. Alle paar Stunden, ab und zu alle paar Tage ist die Verbindung für 1-5 Minuten unterbrochen. Danach ist wieder alles gut.

    Ist das bei dir stabiler?

    Was mich an der Lösung stört, wenn jemand den webserver im Zugriff hat, hat er natürlich auch alle freigegebenen Dienste / Verzeichnisse ... im Heimnetz im Griff.

    Wie stellst du sicher, dass der cloud-server immer aktuell ist?

    Ich habe z.B. letzt das update von Debian 10 auf 11 gemacht, da das autoupdate unter 10 stehen geblieben ist.

    Mit freundlichen Grüßen

    DG:Sissi

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    Ich bin bei weitem kein Profi und hoffe, dass meine Config so sauber und sicher ist.

    PiVPN hatte ja darauf hingewiesen, dass Auto-Update aktiviert wird um die Sicherheit zu erhöhen. Das habe ich getan.

    Ob das klappt und wie oft er Updates macht, habe ich nie geprüft (weiß ich auch ehrlich gesagt nicht wie ich das prüfe).

    Hatte die Tage mal "manuell" geschaut und habe noch das neuste Betriebssystem und prüfe immer mal von Hand mit "sudo apt update && sudo apt upgrade" ob alles an Programmen up-to-date ist. Ich hatte ja die Anleitungen diverser Internetseiten befolgt und hoffe, dass die korrekt waren und sich das System auch ohne mein Zutun selbst updaten und aktuell halten würde. Bezüglich der Firewall hoffe ich auch, dass das dieses Tutorial korrekt war und der Raspi so sicher ist - denke aber schon.

    Bisher ist mir noch nicht eine Verbindungsunterbrechung aufgefallen. Muss aber auch fairerweise sagen, ich schiebe keine GB großen Dateien über den VPN, geht mir eher mal um was ausdrucken, kleinere Daten von Datei öffnen oder IP Kameras anschauen. Das ging bisher perfekt.

    Du hast vermutlich den Vorteil, dass du über den Server auch von IPV4 Adressen den VPN nutzen kannst. Meine Lösung geht so nur über IPv6 Netzwerke. Da die Deutsche Glasfaser hier nun sehr präsent ist und fast alle Netzbetrieber auch IPv6 unterstützen war es für mich bisher überall möglich und ok.

    Ansonsten gibt es ja noch diverse kostenpflichtige Lösungen (siehe deine Lösung, z.B. typisch mit ionix oder diese feste-ip Lösungen um von IPv4 auf IPv6 zu tunneln). Kenne mich damit aber noch nicht wirklich aus, da bisher nicht nötig.

    Edit:
    hab mal die zwei wesentlichen Stellen aus dem Tutorial oben direkt zur Minutenangabe auf Youtube verlinkt.
    Hoffe der Typ vom Tutorial wusste was er da erzählt :/

    Edit 2:

    Habe eben mal mit "cat /etc/apt/apt.conf.d/20auto-upgrades" gemäß der Anleitung hier geprüft wie oft er automatisch Updates durchführt:
    APT::Periodic::Update-Package-Lists "1";
    APT::Periodic::Unattended-Upgrade "1";

    Somit wohl täglich.

    Habe auch das Logfile für Auto-Updates mit "tail /var/log/unattended-upgrades/unattended-upgrades.log" geprüft.
    Scheinbar wurde heute morgen um 6 Uhr ein Update gemacht. Scheint daher korrekt zu laufen.

    Mittwochabend noch nix vor ? Lust auf makerlab-hannover.de ? Gemeinsam an Projekten tüfteln

    4 Mal editiert, zuletzt von Mathias (6. Oktober 2021 um 09:21)

    Hi,

    kurze Frage, ich habe jetzt auch Glasfaser und bin über das Problem mit dem VPN nach Hause gestolpert.

    Ich habe jetzt viel gelesen, aber so richtig steig ich noch nicht durch.... mein Ansatz wäre

    Wireguard Client auf Raspberry im Heimnetz

    Wireguard Server auf einem VPS im Netz mit fester IP

    Wirguard Client auf dem Handy

    So muss man keine Ports frei schalten in der Frizbox oder irgendwas öffen und kommt via IPv4 Verbindung über den Server ins Heimnetz.

    Seh ich das so richtig?!

    VG

    Ja. Aber wenn es ausschließlich um die Verbindung vom Handy geht, brauchst du den VPS vermutlich nicht, denn die Mobilfunkprovider in Deutschland bieten inzwischen alle eine IPv6 Adresse.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    ok, also wenn generell sicher gehen will, dann mach ich meine Variante, so kann ich auch sicher stellen, dass ich aus dem Ausland und div. WLANs Zugriff bekomme und wenn ich sicherstellen kann, dass ich am Handy eine IPv6 habe, dann kann ich auch den Wireguard Server auf dem Raspi im Heimnetz betreiben und den Client auf dem Handy...

    Trotzdem frag ich mich dann aber, wie kriegt das Handy direkt zugriff auf die Wireguard-Server in meinem Heimnetz?! Auch wenn der WG-Server im Heimnetz ne IPv6 Adresse hat, die weltweit eindeutig ist, so ist doch nicht automatisch der Zugriff vom Internet auf den Raspi möglich?! Dann muss ich doch sowas wie Portforwarding/Freigabe in der Box einrichten?! Das ist doch aus Sicherheitsgründen wieder "doof" ?!

    Zitat von fireball

    Trotzdem frag ich mich dann aber, wie kriegt das Handy direkt zugriff auf die Wireguard-Server in meinem Heimnetz?!

    Für die entsprechenden Portfreigaben im Router musst du natürlich sorgen. Aber das musst du auch, wenn du den Server auf einem VPS betreibst. Wireguard benötigt Portfreigaben auf Server und Client wenn kein NAT im Spiel ist (ist jedenfalls dringend zu empfehlen).