ComputerBase Menü
Aktuelles

Eigenen VPN-Server aufsetzen oder Alternative dazu?

P

Pummeluff

Lieutenant
Registriert
März 2021
Beiträge
793
Guten Mittag,

Mein Problem:
Seit ein paar Wochen bin ich Kunde der Deutschen Glasfaser. :p

Die etwas genauere Beschreibung:
Vorher hatte ich meinen Anschluss bei 1&1. Damit hatte ich eine native IPv4. Zu meinen Eltern (wohnen 400km entfernt) hatte ich ein VPN über die beiden Fritzboxen (IPSec) aufgebaut. Mit den Mobilgeräten kam ich ebenfalls über das VPN der Fritzbox drauf.

Mit dem Wechsel zur DG hab ich jetzt eine native IPv6 und eine CGN-IPv4. Meine Fritzbox hab ich schon mal auf Version 7.39 aktualisiert, um Wireguard nutzen zu können. IPSec (der Fritzbox?) kann bekanntermaßen keine Tunnel über IPv6 aufbauen.

Damit ergeben sich folgende Eigenschaften:
  • Mein Heimnetz: IPv6 nativ, IPv4 nur innerhalb des Netzes der Deutschen Glasfaser erreichbar. Per IPv6 komm ich auch von außerhalb auf die Fritzbox und mein NAS. Über dynv6.com klappt auch der Zugriff per DynDNS. Wireguard ist auf der Fritzbox eingerichtet.
  • Mobilgeräte: Im Mobilnetz bekomm ich sowohl eine IPv4 als auch IPv6 zugewiesen. Per Wireguard kann ich mich verbinden. Alles funktioniert super. Ok, die Fritzfon-App will sich noch nicht verbinden. Ohne Wireguard komm ich zumindest über DynDNS auf mein NAS und die Fritzbox.
  • Öffentliche Wlan-Netze + Gäste-Wlan in meiner Arbeitsstelle: Leider taucht hier das Problem auf, dass man fast immer nur eine IPv4 zugewiesen bekommt. Für den direkten Zugriff hab ich eine Möglichkeit gefunden (siehe Portmapper), Wireguard klappt damit leider nicht.
  • VPN zu meinen Eltern: Auch hier ist's düster. Meine Eltern sind Kunden eines regionalen Kabelbetreibers und bekommen nur eine IPv4 zugewiesen. Ich hab mal IPv6 aktiviert. Als einzigen Effekt daraus funktionierte die Anmeldung am SIP-Account nicht mehr.

Lösungsversuch feste-ip.net
Portmapper:
Nach Einrichtung des Portmappers kann ich zumindest aus IPv4-Netzen per SSH auf mein NAS zugreifen. HTTP-Portmapping will ich nicht, da mein Wiki nicht für jedermann aus dem Internet zugreifbar sein soll. Wireguard funktioniert leider nicht, da der Portmapper nur TCP unterstützt und Wireguard eine UDP-Verbindung aufbaut. Und für den Zugriff auf meine Fritzbox müsste ich einen 2. Portmapper einrichten. Auch wenn die Kosten dafür vernachlässigbar sind, erscheint mir das trotzdem eher unnütz.

Per SSH hab ich dann einen Tunnel für Port 80 aufgebaut, um auf meinen lokalen Webserver zugreifen zu können. Aber das blockt feste-ip.net ab. Ich bekomm im Browser nur eine Statusseite angezeigt. Git über SSH wollte auch nicht funktionieren.

Das IPSec-VPN der Fritzbox nutzt wohl ebenfalls UDP, so dass feste-ip.net hier auch nicht als Lösung taugt.

feste-ip.net bietet ein eigenes OpenVPN an. Das erscheint mir dann aber wieder unattraktiv, da ich dann sowohl in meinem Netz als auch in dem meiner Eltern hinter der Fritzbox einen OpenVPN-Server einrichten müsste.

Alternative eigener vServer
Kostet in der billigsten Variante 1,29€/Monat. Ich müsste dann auf dem Ding eine Wireguard- und evtl. einen IPSec-Server einrichten, dazu noch den Portmapper von IPv4 auf IPv6. Ist ein Haufen Arbeit, wird mir eine gewisse Lernkurve (IPTablers, IKEv2) bescheren.

Gibt's Alternativen, die mir noch nicht ins Auge gestochen sind?
 
Auf einem eigenen VPS hättest du prinzipiell die Möglichkeit, auch für UDP einen Portmapper zu bauen. Technisch ist das ja nicht sonderlich schwierig.

Alternativ brauchst du einen VPN Server auf dem VPS, auf den sich sowohl deine Eltern als auch dein System als Client verbinden. Mobile Clients wählen sich ebenfalls dort ein und können damit automatisch in beide Netze (falls gewollt). Portmapper braucht man dann nicht mehr, da man ja über den Tunnel alle IP Protokolle fahren kann, die man möchte.

Nur der Vollständigkeit halber (hat mit der Fragestellung nichts zu tun:)
Pummeluff schrieb:
Das IPSec-VPN der Fritzbox nutzt wohl ebenfalls UDP, so dass feste-ip.net hier auch nicht als Lösung taugt.
Zum Vergrößern anklicken....
IPSec liegt unterhalb von UDP. Es gibt NAT-T Protokolle, die IPSec durch UDP tunneln, aber das ist nicht der Standard. Lange Rede, kurzer Sinn: IPSec ohne öffentliche IPs ist die Hölle, und für solche Portmapper nicht wirklich greifbar.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Pummeluff
Pummeluff schrieb:
Gibt's Alternativen, die mir noch nicht ins Auge gestochen sind?
Zum Vergrößern anklicken....
Ich würde der Einfachheit halber den Relay Dienst vom NAS nutzen (den es ziemlich sicher geben wird).
NAS Funktionalität und Wiki aufrufen sind ja bisher die einzigen Aufgaben, die anscheinend zu erfüllen sind.
 
Pummeluff schrieb:
Gibt's Alternativen
Zum Vergrößern anklicken....
wie bender schon angerissen hat müsste dafür zuerst mal klar sein, was du alles erreichen willst.

Die umfangreichste Lösung wäre sicherlich wie von riversource beschrieben einen ipv4 und ipv6 fähigen VPN Server irgendwo zu hosten, der dann entsprechend zu dir oder zu deinen Eltern weiter routet.

Alternativ könntest du auch mit den gängigen Ausreden bei DG nach einer öffentlichen IPv4 fragen.
 
bender_ schrieb:
Ich würde der Einfachheit halber den Relay Dienst vom NAS nutzen (den es ziemlich sicher geben wird).
NAS Funktionalität und Wiki aufrufen sind ja bisher die einzigen Aufgaben, die anscheinend zu erfüllen sind.
Zum Vergrößern anklicken....
Gerade das ist nicht der Fall. Das NAS ist ein Helios 64 mit Debian 11 drauf. Mir war damals wichtig, dass ich kein zugenageltes Fertig-NAS kauf sondern einen vollwertig benutzbaren Heimserver.

Und die Funktionalitäten, die ich bisher auch über VPN genutzt hab, sind: NFS, Git-Server, Mediawiki, Plex, und noch ein paar andere.


h00bi schrieb:
wie bender schon angerissen hat müsste dafür zuerst mal klar sein, was du alles erreichen willst.

Die umfangreichste Lösung wäre sicherlich wie von riversource beschrieben einen ipv4 und ipv6 fähigen VPN Server irgendwo zu hosten, der dann entsprechend zu dir oder zu deinen Eltern weiter routet.

Alternativ könntest du auch mit den gängigen Ausreden bei DG nach einer öffentlichen IPv4 fragen.
Zum Vergrößern anklicken....
Soweit ich weiß, gibt's bei der DG nur eine von außen zugängliche IPv4 bei Business-Anschlüssen. Die Anfrage nach dem Preis spar ich mir einfach mal.

Was will ich erreichen:
s.o. ich möchte wie bisher Zugriff auf die Geräte in meinem Heimnetz. Das Wiki ist mir wichtig, das darf aber nicht aus dem öffentlichen Internet erreichbar sein, da in dem Ding auch Passwörter stehen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Darkman.X
FB7590 + WireGuard + Dual Stack = Kein IPv6-Traffic über VPN?
Antworten
3
Aufrufe
2.328
riversource
R
B
Fritzbox 7590 AX Wireguard und DS-Lite (Drillisch)
2 3
Antworten
46
Aufrufe
1.489
Black-Angel
B
R00kie
IPv6 Präfix bei 1&1? Verwandter bekommt nur 64er und damit Gäste-LAN ohne IPv6
Antworten
12
Aufrufe
926
Holzkopf
H
M
Fritzbox 6690 mit DS-Lite routet traffic nicht durch Wireguard VPN.
2
Antworten
25
Aufrufe
2.536
klampf
K
koma
Wireguard Verbindung möglich? Fritzbox A (IPv4) Fritzbox B (IPv6)
2
Antworten
23
Aufrufe
1.661
koma
koma
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz