Beiträge von fireball

Im Portal von der Deutschen Glasfaser steht auch schon die Anleitung zur Unterstützung der Box:

Anschluss aktivieren

1) Bitte verbinden Sie Ihre FRITZ!Box 5530 oder 5590 mit dem von uns montierten GF-TA und schließen Sie diese an den Strom an.

2) Verbinden Sie ein Endgerät (z. B. Laptop oder Handy) mit dem Router über LAN oder WLAN.

3) Öffnen Sie auf diesem Endgerät einen beliebigen Browser. Sie werden automatisch auf die Aktivierungsseite von DG weitergeleitet.

4) Geben Sie bitte den untenstehenden Aktivierungscode ein und bestätigen Sie Ihre Eingabe.

5) Nun startet der vollautomatische Aktivierungsprozess, der etwa fünf bis zehn Minuten dauert. Ihr Router ist danach für Internet eingerichtet.

6) Richten Sie bitte als letzten Punkt dann noch selbständig Ihre Telefonie ein. Hilfe dazu finden Sie in der Installationsanleitung für kundeneigene Router.

VG

Supi, vielen Dank für deine Anleitung frank_m .

Du hast mir sehr geholfen.

VG

Danke für dein Feedback.

Bevor ich hier zu Tailscale abgerutscht bin... waren wir ja dabei das selber aufzubauen.

Wollen wir das nochmal kurz andiskutieren?!

Ich installiere zwei WG Clients, einer auf dem Handy, einer auf dem RP im Heimnetz.

Ich installiere einen WG Server auf dem VPS und das nicht unter root und wie schließe ich den SSH zugang?!

Ich denke ich würde hier auf einen Strato Server im Moment mit für 5 Euro setzen... der hat auch PLESK, da kann man bestimmt den SSH Daemon stoppen. HIER

Dann tausche ich die Keys... im Server muss ich bestimmt alle Clients bekannt machen?!

Aber wie sage ich dem Server das er quasi durchrouten soll?!

Auf dem RP Client muss ich dann noch wie bei Tailscale das interne Netzwerk freigeben... funktioniert nur bedingt am Handy, aber meine Services kann ich auch IP basiert im Heimnetz aufrufen.

Bei Tailscale kann man einfach den DNS der Frizbox angeben und dann lüppt das für alle Clients...

Was brauch ich noch?!!!

VG+Danke

Hi Frank,

danke für dein Feedback, ich kann nur das schreiben, was ich im Netz erlesen habe und das ist jetzt keine Werbung oder so...

FAQ von Tailscale

Es wird immer versucht eine direkte Verbindung aufzubauen.

Is my traffic routed through your servers?

No.

Tailscale routes traffic over the shortest path possible. In most cases, this is a direct, peer-to-peer connection.

In cases where a direct connection cannot be established, devices will communicate by bouncing traffic off of one or more geographically distributed relay servers, called DERPs. The traffic that bounces through our relay servers is encrypted and no different security-wise than the other dozen hops your Internet packets already make when passing over the network from point A to B.

Tec-Radar:

Security

Traffic between devices using Tailscale is end-to-end encrypted, meaning no one at Tailscale can see what you are sending. No connections are routed through Tailscale’s servers, and most connections are exclusively peer-to-peer between the two machines.

Tailscale users must log in using multi-factor authorization. Users access Tailscale with their existing Google, Microsoft, or GitHub accounts. Since users do not have a separate Tailscale account, there is no way for it to be hacked, adding an extra layer of security.

Also durch das Doppelte NATen bei eiem DG-Anschluss, also einmal die öffentliche IP der DG ins DG Netzwerk und dann nochmal das NATen ins Heimnetz über die Fritzbox... sollte das Endgerät nicht scanbar sein... und damit auch nicht anfällig auf Attacken...

Wie gesagt, ich starte einen Client auf dem Raspi und keinen Server und da ich auch kein Port-Freigegeben habe kann man da auch nix scannen...

Ich bin kein Netzwerker, daher hinterfrag ich das ganze auch lieber zwei mal, aber da ist nach außen nix offen... Ein Outlook-Client hat ja auch keine offene Port, wenn er sich zum Internet verbindet....

Wie das ganz abläuft interessiert mich schon, laut dem Youtube Video ist die technische Doku wohl sehr gut geschrieben, dass muss ich mal im Detail lesen und schauen ob ich es verstehe.

Und wir haben hier keinen VPS im Einsatz. Frage ist was oder wie managed Tailscale das ganze Setup... aber damit wollen die halt Geldverdienen...

BZW... Wer sagt das der Vermieter von VPS-Servern nicht auch noch einen Root-account hat?!

Hi Leute,

ich habe jetzt etwas zeit investiert und mir das Produkt Tailscale angeschaut. Vorbehaltlich euer Expertiese hier mal ein 10min Manual, wie man von überall auf der Welt auf sein Heimnetzwerk auch bei der Deutschen Glasfaser zugreifen kann OHNE Kosten, mMn Einbussen bei der Sicherheit und für jeden nicht Informatiker umsetzbar.

Das Zauberwort Tailscale. Es basiert auf Wireguard. Die Kommunikation läuft nicht direkt und nicht über deren Server.

Macht euch bei Tailscale einen Account, die Nutzung für private Zwecke ist kostenlos bis 100 Geräte.

Danach installiert ihr sowohl auf dem Handy als auf dem Gerät in eurem Heimnetz, welches ihr erreichen wollt einen Tailscale-Client.

Ist das erfolgt sieht man die Geräte in der Oberfläche.

Dann braucht man sich nur noch miteinander verbinden. Keine Konfig in der Fritzbox, keine Externen Portfreigaben, viele Protokolle werden unterstüzt.

Meine Konfig sieht wie folgt aus:

Android Client auf Handy.

Rasperry2 im Heimnetz. Anleitung

So sieht das dann in der WebConsole aus.

Ich brauch im Handy dann nur noch den VPN starten, da wo auch der Fritzbox oder eigene VPN unter android ist und schon kann eine Verbingung zB via SSH auf den raspberry aufgebaut werden.

Ich bin noch einen Schritt weitergegenangen, man kann den raspberry so starten, dass er das interne Netz erreichbar macht, so wie ich es wollte, dannn läuft er als Router. Hier die Anleitung.

Danach neu starten und dann in der WebConsole von Tailscale nochmal das Subnet freigeben/bestätigen.

Und siehe da, ich erreiche auch meinen zweiten RP mit der Heimnetz-IP.

Sehr sehr geil... 10min Arbeit.

Was meint ihr?! Gibts da Nachteile?! Ich bin absolut begeistert und übersehe hier viell ein paar Punkte?!

VG

Hi und guten Morgen,

Danke frank_m, das Angebot nehm ich gern an.

Also meine oberste Prio ist es, dass mein Heimnetzwerk so gut wie möglich geschützt bleibt, daher möchte ich keine zusätzlichen Ports in der Fritzbox freischalten oder offen halten.

Mein Ziel, ich möchte die WebOberfläche meiner Hausautomatisierung von überall auf der Welt erreichen. Diese läuft auf einem RP4 im lokalen Netz.

Zum Testen oder evtl. zur Trennung von VPN und Hausautomatierung, falls das überhaupt notwenig ist, würde ich jetzt einen RP2 mit Wireguard als Client im Heimnetzwerk betreiben. Dieser soll die Verbindung nach Außen zum VPS Server aufbauen und offenhalten. Ich denke in Zeiten von Flatrate und geringem Overhead bei Wireguard ist das kein Problem... bei der Arbeit bin ich auch 24/7 mit VPN eingewählt..

Wie schon beschrieben, wollte ich auf dem VPS den Wireguard Server laufen lassen und dann zusätzlich auf dem Handy einen Client installieren, der mir bei bedarf den Tunnel zum VPS aufbaut und ich dann quasi über den VPS in mein Heimnetzwerk komme.

Was mich noch rumtreibt ist halt, erreiche ich nur den VPS Client im lokalen Netzwerk oder wie konfiguriere ich WG, damit ich alle lokalen 192.168.... Adressen mit allen Protokollen erreichen kann oder, wenns einfacher und trotzdem sicher ist, dann lassen wir den WG Client direkt auf dem RP4 laufen.

Mehr muss ich eigentlich nicht unbedingt erreichen...

Wenn es einen einfacheren Weg gibt, bin ich natürlich für alles offen.... aber was ich bisher an lösungen auch bei fest-ip gesehen habe, bassiert das alles was mit Portmapper zu tun hat mit Portfreigeben in der Fritzbox.

VG+Danke

PS: ich habe grad das Tool Tailscale gefunden... kann das die Administration vereinfachen?!

OK, das ist mir neu, dass ich eine Freigebe benötige, da ich bisher davon ausgegangen bin, dass der Client im Heimnetzwerk die Verbindung zum VPS mit fester IP aufbaut und dann der Tunnel steht.

Für meine Theorie spricht auch, dass die VPN Software/Client meines Arbeitgebers auch zur Firma einen Tunnel aufbauen kann und ich muss dafür keine Freigeben oder extra einstellungen im Router machen... hab ich auch noch nie gehört.

Was ist da bei Wireguard anders? Warum muss da eine Freischaltung gemacht werden?! Könnt ihr mir das beschreiben?!

Wenn die Verbindung von Handy/Client => VPS/Server <= Raspi/Client seht, kann sich dann das Handy frei im HeimNetzwerk, da wo auch der Rapsi steht, bewegen oder muss ich da irgendwie noch das heimische Netzwerk "freigeben"? Ich meine da irgendeine Einstellung mit "allowedIPs" oder so gefunden zu haben?!

VG+Danke

ok, also wenn generell sicher gehen will, dann mach ich meine Variante, so kann ich auch sicher stellen, dass ich aus dem Ausland und div. WLANs Zugriff bekomme und wenn ich sicherstellen kann, dass ich am Handy eine IPv6 habe, dann kann ich auch den Wireguard Server auf dem Raspi im Heimnetz betreiben und den Client auf dem Handy...

Trotzdem frag ich mich dann aber, wie kriegt das Handy direkt zugriff auf die Wireguard-Server in meinem Heimnetz?! Auch wenn der WG-Server im Heimnetz ne IPv6 Adresse hat, die weltweit eindeutig ist, so ist doch nicht automatisch der Zugriff vom Internet auf den Raspi möglich?! Dann muss ich doch sowas wie Portforwarding/Freigabe in der Box einrichten?! Das ist doch aus Sicherheitsgründen wieder "doof" ?!

Hi,

kurze Frage, ich habe jetzt auch Glasfaser und bin über das Problem mit dem VPN nach Hause gestolpert.

Ich habe jetzt viel gelesen, aber so richtig steig ich noch nicht durch.... mein Ansatz wäre

Wireguard Client auf Raspberry im Heimnetz

Wireguard Server auf einem VPS im Netz mit fester IP

Wirguard Client auf dem Handy

So muss man keine Ports frei schalten in der Frizbox oder irgendwas öffen und kommt via IPv4 Verbindung über den Server ins Heimnetz.

Seh ich das so richtig?!

VG