heimischer VPN-Server an DS-Lite hinter Router vom Provider

[Thomas_R]

Hallo zusammen,
vielleicht kann mir jemand von euch helfen, sitze/stehe gerade ein wenig auf dem Schlauch:

Mein Provider weist mir leider seit einigen Wochen nur noch eine IPv6-Adresse zu, seither ist mein VPN-Server (Synology-NAS) von außen nicht mehr erreichbar, da viele Mobilfunkanbieter zur Zeit noch fleißig IPv4-Adressen vergeben.

Hardwaremäßig sieht's bei mir zuhause (Frankreich) folgendermaßen aus:

Glasfaseranschluss (DS-Lite) -> Router vom Provider (Portweiterleitungen TCP/UDP möglich, auch DDNS, kein VPN) -> heimisches LAN

Nun möchte ich gerne von außen auf mein Heimnetzwerk zugreifen, zwecks Steuerung diverser Smarthome-Geräte.
Als VPN-Server kann ich entweder das NAS oder einen Win10-Rechner nutzen. Sofern erforderlich, stelle ich mir auch gerne noch einen Rapsi o.ä. auf. Die Verwendung eines anderen Routers (FritzBox o.ä.) ist leider nicht möglich.

Wie stelle ich es nun am geschicktesten an? Jemand eine Idee?

Vielen Dank im Voraus für eure Tipps/Ratschläge!

Viele Grüße und schönes Wochenende
Thomas

 

[till69]

da viele Mobilfunkanbieter zur Zeit noch fleißig IPv4-Adressen vergeben

Selbst o2 hat inzwischen IPv6

Ansonsten:
https://www.feste-ip.net/dslite-ipv6-portmapper/allgemeine-informationen/
https://www.softether.org/4-docs/2-howto/6.VPN_Server_Behind_NAT_or_Firewall/2.VPN_Azure

 

[michi_z1981]

PiHole mit VPN.
Davor einen vServer anmieten, der die IPv4 Pakete in die IPv6 Pakete steckt.

Mit meiner eigenen Domain bei vollem Zugriff auf die Einträge ist das relativ einfach.

 

[foo_1337]

Selbst o2 hat inzwischen IPv6

Naja, er scheint ja in FR zu wohnen. In DE wäre das tatsächlich kein Problem.

 

[till69]

Davor einen vServer anmieten

Jaja ... das ist natürlich die Lösung, wenn jemand (also die meisten) von Linux keine Ahnung hat.

Naja, er scheint ja in FR zu wohnen.

Da wird es bestimmt auch Mobilfunkanbieter mit IPv6 geben.

 

[Thomas_R]

Naja, er scheint ja in FR zu wohnen. In DE wäre das tatsächlich kein Problem.

Hallo zusammen,
Danke für die bisherigen Antworten. In der Tat - gerade nochmals geprüft - vergibt Orange hier in F nur IPv4-Adressen. Bin zwar als Pendler sehr häufig in Deutschland, hätte aber gerne eine immer funktionierende Lösung.
Auf dem Win10-Rechner läuft TeamViewer und ist auch problemlos von außen erreichbar, hätte allerdings gerne eine "saubere" Lösung.

Nochmals Danke für die bisherigen Tipps.

 

[michi_z1981]

Alternative?
Der Übersetzer soll ja im Netz erreichbar sein. Unter IPv4

 

[Thomas_R]

Jaja ... das ist natürlich die Lösung, wenn jemand (also die meisten) von Linux keine Ahnung hat.

Dachte zwar eingangs auch eher an eine "Out-of-the-box"-Lösung, die scheint es aber irgendwie nicht zu geben (bzw. ist mir nicht bekannt)...

 

[till69]

Dachte zwar eingangs auch eher an eine "Out-of-the-box"-Lösung

Ohne zusätzliche Hardware, sieht ersten Link in #2

Wenn Du jemand kennst mit IPv4 kennst, bei dem Du Hardware (RasPi oder Minirouter) hinstellen kannst, wäre das auch eine Lösung.

 

[chrigu]

Mhhh syno hat doch seine eigene cloud Connect , dem ist es egal ob ipv4 oder ipv6 und ist etwas ähnliches wie VPN&ddns.
Mit den syno Apps bestimmt auch im Mobilfunk

 

[michi_z1981]

@chrigu
Ist das DS Connect immer noch so langsam?

Ergänzung (12. Februar 2022)

Wenn Du jemand kennst mit IPv4 kennst, bei dem Du Hardware (RasPi oder Minirouter) hinstellen kannst, wäre das auch eine Lösung.

Wo ist der unterschied zum vServer?
Ausser das beim vServer 100mbit Up and Down dran sind.

 

[Thomas_R]

Ohne zusätzliche Hardware, sieht ersten Link in #2

Danke für die Links. SoftEther hatte ich auch schon auf dem Rechner installiert und mir dabei irgendwie die Treiber der LAN-Karte zerschossen (Klassenkonfiguration für dieses Gerät ein [Code 56] wird eingerichtet..).
Es half final nur das Neuaufsetzen des Rechners.
Lag aber vermutlich nicht ausschließlich an SoftEther, hatte parallel auch den Windows-VPN eingerichtet.

 

[till69]

Wo ist der unterschied zum vServer?

Damit muss man umgehen können, und er kostet Geld.

 

[martinallnet]

Bei sowas ist bei mir auch ein vServer eine Lösung, Wireguard-Link zum vServer und von da zu den Endgeräten.

Ansonsten geht auch Tinc, das kann dann auch pro Link mehr als einen Client und arbeitet eher nach einem Peer-to-Peer-Konzept. Dazu muss aber auch mindestens eines der Clients direkt erreichbar sein, dann werden direkte Links zwischen den Geräten ausgehandelt.
Das kann aber theoretisch auch ein anderer Internetanschluss sein.
Vorteil ist hier halt, das nicht der gesamte Traffic über ein Gateway muss, dieses muss also nicht schnell sein.

 

[michi_z1981]

Ja das stimmt. Aber der Raspberry kostet auch Geld.
Da kann ich 40 Monate den vServer bezahlen.
Ich bin kein Linux Ass, aber ich komme damit zurecht

Bisher hab ich meine Einstellungen umgesetzt bekommen, VPN und andere Dinge nach Hause funktionieren aus beiden Netzen. v4 und V6.

Und mit der FW ist alles andere zu.

 

[madmax2010]

Da wird es bestimmt auch Mobilfunkanbieter mit IPv6 geben.

Es ist wirklich traurig, wie viele Firmen noch immer in den 90ern stecken und nur mit legacy ip klar kommen

Kann dir vllt auch helfen:
https://tunnelbroker.net/

 

[Zerstoerer]

Vielleicht wäre Cloudflare Tunnel noch eine Alternative.

 

[memmex]

Ich habe dazu selbst mal hier eine Anleitung geschrieben: https://www.computerbase.de/forum/t...-firewall-mittels-reverse-ssh-tunnel.1883158/

Aber gibt auch viele Weitere im Internet. Das Stichwort ist hier SSH Reverse Tunnel.

 

[Raijin]

Ein gemieteter Server im www setzt adäquates KnowHow voraus. Nur nach youtube einen Server aufsetzen, riskiert nicht nur die eigenen Daten, sondern kann auch der Allgemeinheit schaden, wenn der Server bei der nächsten DDOS-Attacke als Teil des Botnetzes von $hackergruppe missbraucht wird. Man muss wissen wie man einen Server im www korrekt absichert, um genau das zu verhindern.

Videos bzw Tutorials, die teilweise von kompletten Laien, die nur andere Tutorials nachplappern, oder von Laien mit gefährlichem Halbwissen erstellt wurden, gibt es zu Hauf. Das sieht dann am Ende so aus, dass bei der Firewall nur ein paar kommentarlose Regeln aufgelistet werden, die womöglich sogar wirkungslos sind, weil der Nachklicker des Tutorials eine ganz andere Umgebung hat.

Deswegen ist es essentiell, dass man solche Tutorials, die natürlich nicht alle schlecht sind, versteht und nachvollzieht, um sie ggfs auf das eigene Szenario anzupassen. Wer dazu nicht den nötigen Antrieb hat, dem rate ich vehement von einem Mietserver im www ab.

Genau für solche Menschen gibt es ja gerade Seiten wie zB feste-ip.net, die einem den Teil mit dem KnowHow abnehmen und fertig konfigurierte Dienste anbieten. Ja, das kostet Geld und es mag auch sein, dass es teurer ist als ein eigener VPS, aber dafür muss man nicht tagelang in einem Betriebssystem, von dem man keinen blassen Schimmer hat, rumfummeln und irgendwas abtippen, von dem man gar nicht weiß was es bewirkt - und am Ende baut man unwissend trotzdem den nächsten DDOS-Bot.