ComputerBase Menü
Aktuelles

L2TP VPN mit DG anschluss (Dual Stack/CGNAT) aufsetzen

Ich kann schon, rate aber eher davon ab, ohne das entsprechende Wissen einen öffentlich erreichbaren Server wie den VPS zu betreiben (SSH mit Zertifikaten absichern usw.).

Und das Wissen scheint mir bei dir - nicht böse gemeint - gerade noch sehr dünn zu sein. Denn für die Durchleitung braucht es eben nur was ich geschrieben habe - socat. Lässt sich bei den meisten Distros mit einem Befehl über den Paketmanager installieren.

Dazu musst du die Portfreigaben am DG Anschluss entsprechend setzen (Default-Port für Wireguard ist 51820) und dann eine Weiterleitung von VPS auf dem Port starten.
 
Also ich kann im LINUX System navigieren und Dateien anpassen/erstellen/löschen etc.
Ebenso kann ich Portfreigaben einrichten, welches bei einer Fritzbox nun auch kein Hexenwerk ist :)

Meine Grundideen waren z.B. den Port für SSH zu verändern (wenn möglich) und nicht den Standard Wireguard Port zu benutzen beim VPS. Dazu ein komplexes root Kennwort und dann sollte das Risiko doch schon relativ gering sein. Oder nicht? Dazu könnte ich mir einmal im Moment eine Erinnerung setzen das System mit den neuesten Updates zu versorgen.
Was meist Du?

Ich würde es gerne versuchen.

Und noch eine Frage, aber die ist mehr Grundsätzlicher Natur.
Bestenfalls geht es um 3 Anschlüsse mit DG in der Familie. Auf alle würde ich gerne - bei Bedarf - Zugriff haben wollen. Lässt sich das mit einem VPS lösen?
 
PizziM schrieb:
Meine Grundideen waren z.B. den Port für SSH zu verändern (wenn möglich) und nicht den Standard Wireguard Port zu benutzen beim VPS. Dazu ein komplexes root Kennwort und dann sollte das Risiko doch schon relativ gering sein. Oder nicht?
Zum Vergrößern anklicken....

WireGuard kannst du den Port belassen wie er ist. Das Protokoll von Haus aus sicher.

SSH würde ich das Kennwort komplett deaktivieren. Lieber auf key authentication wechseln.
Bei Bedarf noch fail2ban installieren, um IP Adressen bei erfolglosen loginversuchen nach drei Fehlversuchen zu blockieren.
 
PizziM schrieb:
Meine Grundideen waren z.B. den Port für SSH zu verändern (wenn möglich) und nicht den Standard Wireguard Port zu benutzen beim VPS.
Zum Vergrößern anklicken....
Standard Ports wechseln ist mehr Obfuscation als richtige Sicherheitsmaßnahme, aber hilft auch ein bisschen.
PizziM schrieb:
Dazu ein komplexes root Kennwort und dann sollte das Risiko doch schon relativ gering sein. Oder nicht? Dazu könnte ich mir einmal im Moment eine Erinnerung setzen das System mit den neuesten Updates zu versorgen.
Zum Vergrößern anklicken....
SSH Zugriff für ROOT direkt komplett deaktivieren. Und dein User-Passwort sollte auch komplex sein, vor allem, wenn der User sudo kann.
Der wirklich sichere Weg ist aber wie gesagt Passwörter ganz deaktivieren und Zertifikate zum Login zu verwenden. Fail2Ban schadet auch nicht, wie schon empfohlen.

Updates einmal im Monat finde ich etwas wenig persönlich. Ich lasse bei mir überall das Paket unattended upgrades laufen, das Update von selbst jede Nacht und startet bei Bedarf sogar neu. Kann man aber einstellen wie man es braucht / mag. (geht natürlich nur bei nicht-kritischen Services, wo es kein Weltuntergang ist, wenn ein Update doch mal was lahmlegt. Passiert bei Debian, was ich überall auf den Servern hab zwar eher selten, aber man weiß ja nie).

PizziM schrieb:
Bestenfalls geht es um 3 Anschlüsse mit DG in der Familie. Auf alle würde ich gerne - bei Bedarf - Zugriff haben wollen. Lässt sich das mit einem VPS lösen?
Zum Vergrößern anklicken....
Zugriff bei Bedarf löse ich normalerweise über TeamViewer. Familienmitglied lässt mich auf einen PC, ich kann an die FB oder was auch immer. Finde ich auch angenehmer, wenn da kein Verdacht im Raum stehen kann, dass ich irgendwie rumschnüffel oder so (kommt natürlich auch auf das Verhältnis zu der Person an). Derjenige weiß zumindest immer wann ich da bin und kann es auch selber verhindern wenn er es nicht will. Und man braucht keinen laufenden Service, keine Ports offen, funktioniert durch nahezu jedes NAT und alles.
 
Zuletzt bearbeitet:
@alle
Vielen Dank jetzt bereits.
OK...also da gibt es noch was zu tun, sehe ich :)

Ich habe Wireguard bereits drauf, aber mehr noch nicht.
Mir leuchtet das mit dem Zertifikat ein. Hat jemand dazu auf Debian ein Tutorial in Verbindung mit MacOS? Würde das gerne angehen.

Die Teamviewer Variante gibt es auch. Keine Frage.
Ich will unser FamilienNAS gerne an den Anschluss mit der Glasfaser umziehen und dann brauche ich den ständigen Zugriff, so dass ich jederzeit Dinge anschieben/verändern/updaten kann.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz