Dann muss ich doch sowas wie Portforwarding/Freigabe in der Box einrichten?! Das ist doch aus Sicherheitsgründen wieder "doof" ?!
Eine Freischaltung der Firewall auf der Box ist natürlich nötig.
Wer durch die Tür gehen will, muss sie vorher öffnen.
Dann muss ich doch sowas wie Portforwarding/Freigabe in der Box einrichten?! Das ist doch aus Sicherheitsgründen wieder "doof" ?!
Eine Freischaltung der Firewall auf der Box ist natürlich nötig.
Wer durch die Tür gehen will, muss sie vorher öffnen.
OK, das ist mir neu, dass ich eine Freigebe benötige, da ich bisher davon ausgegangen bin, dass der Client im Heimnetzwerk die Verbindung zum VPS mit fester IP aufbaut und dann der Tunnel steht.
Für meine Theorie spricht auch, dass die VPN Software/Client meines Arbeitgebers auch zur Firma einen Tunnel aufbauen kann und ich muss dafür keine Freigeben oder extra einstellungen im Router machen... hab ich auch noch nie gehört.
Was ist da bei Wireguard anders? Warum muss da eine Freischaltung gemacht werden?! Könnt ihr mir das beschreiben?!
Wenn die Verbindung von Handy/Client => VPS/Server <= Raspi/Client seht, kann sich dann das Handy frei im HeimNetzwerk, da wo auch der Rapsi steht, bewegen oder muss ich da irgendwie noch das heimische Netzwerk "freigeben"? Ich meine da irgendeine Einstellung mit "allowedIPs" oder so gefunden zu haben?!
VG+Danke
Ich glaube, es ist wirklich an der Zeit, dich ein wenig mit den Wireguard Grundlagen zu beschäftigen.
Wireguard bietet zwar einen Modus für Clients hinter NAT Routern ("PersistentKeepalive"), aber das ist im Grunde eine Vergewaltigung des Protokolls. Standardmäßig arbeitet das stateless bi-direktional, sprich: beiden Knoten können sich gegenseitig jederzeit erreichen, ohne das irgendwelche Ports in Firewalls mit Gewalt alle paar Sekunden offengehalten werden. Mit IPv6 an einem Glasfaseranschluss lässt sich das problemlos realisieren, und das würde ich auch massiv empfehlen.
Um dich in deinem Heimnetzwerk uneingeschränkt bewegen zu können, muss das Routing natürlich passen. Dazu gehört als erster Schritt ein geeignetes Setup der jeweiligen IP-Adressen der VPN Knoten als auch das korrekte Einrichten der allowedIPs. Im zweiten Schritt musst du dann dafür sorgen, dass alle Endgeräte in deinem Heimnetz den Weg ins VPN finden, da dein VPN Gateway ja auch nicht auf deinem Default-Gateway untergebracht ist. Sprich: Du brauchst eine statische Route in jedem einzelnen Endgerät, oder eine im Internetrouter fürs gesamte Netz. Details können wir gern auseinander dividieren, wenn du genauer beschreibst, wie das Setup aussieht, dass dir zu Haue zur Verfügung steht. Die bestmögliche Einrichtung hängt ein wenig von den Geräten ab, die es gibt.
da ich bisher davon ausgegangen bin, dass der Client im Heimnetzwerk die Verbindung zum VPS mit fester IP aufbaut und dann der Tunnel steht.
So ist das auch. Eine Freigabe brauchst du nur, wenn die VPN-Verbindung von außen nach innen aufgebaut werden soll, in dem Fall über IPv6 direkt zu deinem Wireguard-Server auf deinem Raspberry Pi. Wenn dagegen der Raspberry Pi eine Verbindung zu einem gemieteten virtuellen Server aufbaut, brauchst du keine Freigabe, egal ob diese Verbindung über IPv4 oder IPv6 läuft. Wireguard kann die Verbindung mit Keep-Alive Paketen in der NAT-Tabelle und in Firewalls offen halten.
Darüber hinaus ist aber auf jeden Fall noch etwas Handarbeit nötig, weil z.B. die Geräte in deinem LAN nicht automatisch wissen, wie die Adressen in deinem VPN zu erreichen sind. Da diese Adressen nicht im LAN sind, würden deine Geräte die Pakete normalerweise an den Router am DG-Anschluss schicken. Der weiß normalerweise auch nicht, wohin damit, und schickt alles, was nicht für das LAN ist, ins Internet. Der VPS ist normalerweise auch nicht als Router konfiguriert. Dafür sind ein paar Einstellungen nötig.
Zu dem Portfreigaben möchte ich gern einen Mentor von mir zitieren.
Der Vorteil beim VPN ist u.a., wenn es richtig konfiguriert ist , nur einen Port freigaben muss um dich sicher von außen in deinem Netz verbinden zu können, anstatt für jeden deiner Dienste einen Schweizer Käse zuhause haben.
Hi und guten Morgen,
Danke frank_m, das Angebot nehm ich gern an.
Also meine oberste Prio ist es, dass mein Heimnetzwerk so gut wie möglich geschützt bleibt, daher möchte ich keine zusätzlichen Ports in der Fritzbox freischalten oder offen halten.
Mein Ziel, ich möchte die WebOberfläche meiner Hausautomatisierung von überall auf der Welt erreichen. Diese läuft auf einem RP4 im lokalen Netz.
Zum Testen oder evtl. zur Trennung von VPN und Hausautomatierung, falls das überhaupt notwenig ist, würde ich jetzt einen RP2 mit Wireguard als Client im Heimnetzwerk betreiben. Dieser soll die Verbindung nach Außen zum VPS Server aufbauen und offenhalten. Ich denke in Zeiten von Flatrate und geringem Overhead bei Wireguard ist das kein Problem... bei der Arbeit bin ich auch 24/7 mit VPN eingewählt..
Wie schon beschrieben, wollte ich auf dem VPS den Wireguard Server laufen lassen und dann zusätzlich auf dem Handy einen Client installieren, der mir bei bedarf den Tunnel zum VPS aufbaut und ich dann quasi über den VPS in mein Heimnetzwerk komme.
Was mich noch rumtreibt ist halt, erreiche ich nur den VPS Client im lokalen Netzwerk oder wie konfiguriere ich WG, damit ich alle lokalen 192.168.... Adressen mit allen Protokollen erreichen kann oder, wenns einfacher und trotzdem sicher ist, dann lassen wir den WG Client direkt auf dem RP4 laufen.
Mehr muss ich eigentlich nicht unbedingt erreichen...
Wenn es einen einfacheren Weg gibt, bin ich natürlich für alles offen.... aber was ich bisher an lösungen auch bei fest-ip gesehen habe, bassiert das alles was mit Portmapper zu tun hat mit Portfreigeben in der Fritzbox.
VG+Danke
PS: ich habe grad das Tool Tailscale gefunden... kann das die Administration vereinfachen?!
Hi Leute,
ich habe jetzt etwas zeit investiert und mir das Produkt Tailscale angeschaut. Vorbehaltlich euer Expertiese hier mal ein 10min Manual, wie man von überall auf der Welt auf sein Heimnetzwerk auch bei der Deutschen Glasfaser zugreifen kann OHNE Kosten, mMn Einbussen bei der Sicherheit und für jeden nicht Informatiker umsetzbar.
Das Zauberwort Tailscale. Es basiert auf Wireguard. Die Kommunikation läuft nicht direkt und nicht über deren Server.
Macht euch bei Tailscale einen Account, die Nutzung für private Zwecke ist kostenlos bis 100 Geräte.
Danach installiert ihr sowohl auf dem Handy als auf dem Gerät in eurem Heimnetz, welches ihr erreichen wollt einen Tailscale-Client.
Ist das erfolgt sieht man die Geräte in der Oberfläche.
Dann braucht man sich nur noch miteinander verbinden. Keine Konfig in der Fritzbox, keine Externen Portfreigaben, viele Protokolle werden unterstüzt.
Meine Konfig sieht wie folgt aus:
Android Client auf Handy.
Rasperry2 im Heimnetz. Anleitung
So sieht das dann in der WebConsole aus.
Ich brauch im Handy dann nur noch den VPN starten, da wo auch der Fritzbox oder eigene VPN unter android ist und schon kann eine Verbingung zB via SSH auf den raspberry aufgebaut werden.
Ich bin noch einen Schritt weitergegenangen, man kann den raspberry so starten, dass er das interne Netz erreichbar macht, so wie ich es wollte, dannn läuft er als Router. Hier die Anleitung.
Danach neu starten und dann in der WebConsole von Tailscale nochmal das Subnet freigeben/bestätigen.
Und siehe da, ich erreiche auch meinen zweiten RP mit der Heimnetz-IP.
Sehr sehr geil... 10min Arbeit.
Was meint ihr?! Gibts da Nachteile?! Ich bin absolut begeistert und übersehe hier viell ein paar Punkte?!
VG
Die Kommunikation läuft nicht direkt und nicht über deren Server.
Das verstehe ich nicht. Wenn sie nicht direkt läuft und nicht über deren Server, woher läuft sie denn dann?
Ich vermute, die Nutzdaten werden direkt übertragen, aber die Vermittlung läuft sehr wohl über deren Server. Heißt: Die verschlüsselten Nutzdaten laufen direkt, während die sensiblen Infos über offene Ports, IP-Adressen und Zugangsinformationen bei denen bekannt sind. Ich kenne das Produkt nicht, aber so sieht es von außen aus.
Was die generelle Bedrohungslage angeht: Da dein VPS eine öffentliche IPv4 hat, ist er natürlich deutlich exponierter Im Netz, als dein heimischer Internetanschluss, der lediglich über eine öffentliche IPv6 verfügt. Auf meinem VPS kann ich auf IPv4 ca. 50 - 100x so viele Portscans und PHP Attacken sehen, als auf IPv6. Irgendwo muss der ServerPort für die Verbindung ja offen sein: Entweder auf deinem VPS oder im Heimnetz. Und du musst bedenken: Wenn der Hacker auf dem VPS ist, ist er in deinem Heimnetz, die haben eine uneingeschränkte VPN Verbindung.
Also wenn größtmögliche Sicherheit das Ziel ist, dann sollte die Umsetzung ohne VPS erfolgen. Allerdings ist die Umsetzung mit einem VPS natürlich deutlich komfortabler, spätestens dann, wenn mehr als ein Netz erreicht werden soll (deshalb mache ich es auch so). Aber man sollte sich der Risiken bewusst sein. Das heißt, dass man vor allem sehr genau weiß, wie man einen VPS von außen zuverlässig verriegelt.
Hi Frank,
danke für dein Feedback, ich kann nur das schreiben, was ich im Netz erlesen habe und das ist jetzt keine Werbung oder so...
Es wird immer versucht eine direkte Verbindung aufzubauen.
No.
Tailscale routes traffic over the shortest path possible. In most cases, this is a direct, peer-to-peer connection.
In cases where a direct connection cannot be established, devices will communicate by bouncing traffic off of one or more geographically distributed relay servers, called DERPs. The traffic that bounces through our relay servers is encrypted and no different security-wise than the other dozen hops your Internet packets already make when passing over the network from point A to B.
Traffic between devices using Tailscale is end-to-end encrypted, meaning no one at Tailscale can see what you are sending. No connections are routed through Tailscale’s servers, and most connections are exclusively peer-to-peer between the two machines.
Tailscale users must log in using multi-factor authorization. Users access Tailscale with their existing Google, Microsoft, or GitHub accounts. Since users do not have a separate Tailscale account, there is no way for it to be hacked, adding an extra layer of security.
Also durch das Doppelte NATen bei eiem DG-Anschluss, also einmal die öffentliche IP der DG ins DG Netzwerk und dann nochmal das NATen ins Heimnetz über die Fritzbox... sollte das Endgerät nicht scanbar sein... und damit auch nicht anfällig auf Attacken...
Wie gesagt, ich starte einen Client auf dem Raspi und keinen Server und da ich auch kein Port-Freigegeben habe kann man da auch nix scannen...
Ich bin kein Netzwerker, daher hinterfrag ich das ganze auch lieber zwei mal, aber da ist nach außen nix offen... Ein Outlook-Client hat ja auch keine offene Port, wenn er sich zum Internet verbindet....
Wie das ganz abläuft interessiert mich schon, laut dem Youtube Video ist die technische Doku wohl sehr gut geschrieben, dass muss ich mal im Detail lesen und schauen ob ich es verstehe.
Und wir haben hier keinen VPS im Einsatz. Frage ist was oder wie managed Tailscale das ganze Setup... aber damit wollen die halt Geldverdienen...
BZW... Wer sagt das der Vermieter von VPS-Servern nicht auch noch einen Root-account hat?!
Ja, die Beschreibung bestätigt im Grunde meine schlimmsten Befürchtungen. Es sind genau die sensiblen Informationen, die zum Verbindungsaufbau nötig sind, die bei denen hinterlegt sind. Da wage ich in aller Form zu bezweifeln, dass ein offener IPv6 Port im Heimnetz das größere Sicherheitsrisiko ist.
Since users do not have a separate Tailscale account, there is no way for it to be hacked, adding an extra layer of security.
Ah, ok, der Account kommt über Google, also kann man ihn nicht hacken. Der Schluss ist ... mutig. Vielleicht kann der individuelle Account bei denen nicht direkt gehackt werden, aber dann arbeiten sie mit SSO Methoden und Authentifizierungstoken. SSO ist komfortabel für den Benutzer, weil er sich nur einmal Zugangsdaten merken muss. Ein zusätzliches Sicherheitsmerkmal ist es nur bedingt. Auch ein Server, in den man sich per SSO einloggt, kann unsicher sein, und damit können sensible Nutzerinformationen im Falle einer Attacke abfließen.
Also durch das Doppelte NATen bei eiem DG-Anschluss, also einmal die öffentliche IP der DG ins DG Netzwerk und dann nochmal das NATen ins Heimnetz über die Fritzbox... sollte das Endgerät nicht scanbar sein... und damit auch nicht anfällig auf Attacken...
Du vergisst IPv6, da ist nichts mit NAT. Aber auch da hilft eine geeignete Firewall. Das ist verhältnismäßig einfach, und vor allem: Du hast es selbst in der Hand.
Wie gesagt, ich starte einen Client auf dem Raspi und keinen Server und da ich auch kein Port-Freigegeben habe kann man da auch nix scannen...
Wenn die Verbindung Peer-to-Peer abläuft, dann ist einer von beiden ein Server und öffnet auch einen Port. Auch wenn die Ports natürlich nur temporär offen sind, und möglicherweise auch nur für das jeweilige Gegenüber. Was mir da eher zu denken gibt, sind diese "DERPs". Die haben ggf. permanent Zugriff auf dein Netz, je nachdem, wohin deine Clients ihre Verbindung aufbauen.
Ich will tailscail hier nicht unnötig runter machen. Es ist unglaublich komfortabel, und ich denke auch, dass die alles dafür tun, dass die Kundendaten sicher sind. Ebenfalls werden die nicht unnötig auf Kundenendgeräte zugreifen oder Daten abfließen lassen. Andernfalls wären die schneller vom Markt verschwunden, als man "Piep" sagen kann.
Man wird das Produkt sicher nutzen können. Aber wenn es eine harte Securitiy Analyse gibt und Sicherheit ein hohes Ziel ist, dann ist tailscail raus. Da ist eine eigene Lösung ohne Cloud Einbindung garantiert sicherer.
Danke für dein Feedback.
Bevor ich hier zu Tailscale abgerutscht bin... waren wir ja dabei das selber aufzubauen.
Wollen wir das nochmal kurz andiskutieren?!
Ich installiere zwei WG Clients, einer auf dem Handy, einer auf dem RP im Heimnetz.
Ich installiere einen WG Server auf dem VPS und das nicht unter root und wie schließe ich den SSH zugang?!
Ich denke ich würde hier auf einen Strato Server im Moment mit für 5 Euro setzen... der hat auch PLESK, da kann man bestimmt den SSH Daemon stoppen. HIER
Dann tausche ich die Keys... im Server muss ich bestimmt alle Clients bekannt machen?!
Aber wie sage ich dem Server das er quasi durchrouten soll?!
Auf dem RP Client muss ich dann noch wie bei Tailscale das interne Netzwerk freigeben... funktioniert nur bedingt am Handy, aber meine Services kann ich auch IP basiert im Heimnetz aufrufen.
Bei Tailscale kann man einfach den DNS der Frizbox angeben und dann lüppt das für alle Clients...
Was brauch ich noch?!!!
VG+Danke
Ich installiere zwei WG Clients, einer auf dem Handy, einer auf dem RP im Heimnetz.
Bei WG gibt es diese strikte Trennung in Server und Client nicht. Es gibt zwei Knoten, die miteinander kommunizieren können. Je nach Konfiguration kann es dann auch Knoten geben, die Datenverkehr zwischen anderen Knoten weiterleiten.
Ich installiere einen WG Server auf dem VPS und das nicht unter root
Doch, unter root. Alles andere funktioniert nicht.
und wie schließe ich den SSH zugang?!
Hoffentlich gar nicht. Sicher ihn ab, verlege ihn auf einen zufälligen Port, aber deaktiviere ihn niemals. Er kann im Zweifel die letzte Möglichkeit sein, den VPN Tunnel wieder zum Leben zu erwecken.
Ich denke ich würde hier auf einen Strato Server im Moment mit für 5 Euro setzen... der hat auch PLESK
Der Server ist ungeeignet.
Man kommt deutlich günstiger an hinreichende Produkte, bei 1&1 oder netcup zum Beispiel. Wichtig ist: Du brauchst echten root Zugang mit der Möglichkeit, Kernelmodule zu kompilieren. Sonst läuft wireguard nicht vernünftig. Achte also auf Begriffe wie "KVM Virtualisierung", das ist gut. Schlecht sind hingegen Technologien wie "Virtouzzo" oder "OpenVZ". Letztere werden häufig zusammen mit Plesk angeboten und kommen auch auf deinem verlinkten Produkt zum Einsatz.
Aber wie sage ich dem Server das er quasi durchrouten soll?!
Er muss IP forwarding aktiviert haben, ggf. für IPv4 und IPv6, falls du beides nutzen willst. Außerdem müssen die Firewall Regeln ggf. entsprechend ausgelegt werden.
Auf dem RP Client muss ich dann noch wie bei Tailscale das interne Netzwerk freigeben
Wenn du es selber einrichtest, musst du auf dem VPS und dem Handy dafür sorgen, dass sie das Netz finden, aber nicht auf dem Raspi. Der Raspi muss ähnlich wie der VPS IP Forwarding machen, da er zum Router wird. Das muss er jetzt für Tailscale auch schon.
Bei Tailscale kann man einfach den DNS der Frizbox angeben und dann lüppt das für alle Clients...
Einen DNS Server kannst du auch bei wireguard direkt mitkonfigurieren. Aber sei dir bewusst, dass das dann für alle DNS Anfragen gilt, und damit ggf. "normale" Internetverbindungen zeitlich negativ beeinflusst, weil die DNS Auflösung länger dauert (sie muss ja durch den Tunnel). Das ist bei Tailscale übrigens auch so.
Was brauch ich noch?!!!
Im Heimnetz müssen die Clients wissen, dass das VPN Netz auf dem Raspi erreichbar ist. Tailscale scheint mit NAT zu arbeiten, weil das offenbar "einfach so" funktioniert. Darum musst du dich bei wireguard selber kümmern.
Hallo,
was bei mir gut dafür funktioniert ist der kleinste Server von Hetzner (cloud).
Da kannst du ssh auch komplett abschalten, da du die Managementconsole hast,
würde ich aber nicht machen, da das Risiko für SSH (ohne Passwort, mit KEY) sehr gering ist.
Ich würde noch ein fail2ban spendieren, falls du nicht alles dicht machst, das blockt dann wiederholte Zugriffsversuche.
Automatische Updates für den Server solltest du auch nicht vernachlässigen, das funktioniert out of the box meist nicht! (z.B. kein reboot)
Du must halt wissen, dass wer den Server übernimmt dein Heimnetz recht offen findet, da der Server in deinem Netz ist.
Um das zu umgehen kann man auch einzelne Routen statt den Vollzugriff ermöglichen, also z.B. nur Zugriff auf die webcam, aber nicht auf den Arbeitsplatzrechner.
Hi,
@firebal, ich habe gerade den Thread hier gefunden.
Schon eine passende Lösung implementiert?
Ich arbeite gerade an einem Blog zum Thema. WireGuard VPN via IPv6.
Vielleicht hilft es ja...
Viele Grüße
Martin