ComputerBase Menü
Aktuelles

Mit Smartphone auf Heimnetzwerk zugreifen

Nur noch mal kurz zu Tailscale oder Zerotier: Richtig ist, dass die Server nur den Verbindungsaufbau vermitteln - außer, beide Clients sitzen hinter NAT Routern. Dann läuft der Traffic über deren Gateway. Das ist in diesem Fall häufig zu erwarten. Und Tailscale/Zerotier verfügen zwangsläufig über die Schlüssel der Verbindung, da sie den kompletten Verbindungsaufbau managen.

Aber selbst wenn die Server nur die Verbindung vermitteln, dann können sie die kompletten Metadaten abgreifen: Welche Endgeräte wann von wo wie lange miteinander kommuniziert haben. Bewegungsprofile, Wohnort, Arbeitgeber, Hobbys- und Freizeitgestaltung lassen sich auf einfache Weise daraus ableiten, und spätestens seit Facebook wissen wir, was diese Daten wert sind. Tailscale hat sich darüber hinaus durch die Wahl der IP-Adressen für die Kundennetze noch ein implizites Sicherheitsleck ins System gebaut, aber das nur am Rande.

Wenn sowas wie Zerotier oder Tailscale, dann nur self-hosted. Aber dann kann man auch direkt ein normales VPN machen, das ist erheblich einfacher zu administrieren. Deshalb bleibe ich dabei: genau die Idee, die der TE im ersten Beitrag skizziert hat, ist das Mittel der Wahl. Besser kann man die Herausforderung nicht lösen!
 
Nicht ganz richtig. Wenn beide Rechner hinter CGNAT Routern stehen kann es schwierig werden.
Einfaches NAT funktioniert fast immer.
Siehe
https://tailscale.com/blog/how-nat-traversal-works/

Was die Metadaten anbelangt hast du natürlich Recht.
Der VPS Betreiber sieht allerdings auch welche Verbindung aufgebaut werden.

riversource schrieb:
Tailscale hat sich darüber hinaus durch die Wahl der IP-Adressen für die Kundennetze noch ein implizites Sicherheitsleck ins System gebaut, aber das nur am Rande.
Zum Vergrößern anklicken....
Das da wäre? Interessiert mich wirklich.
 
Habe jetzt mal Tailscale ausprobiert, das lief auf Anhieb, möchte aber gerne einen VPN damit ich nicht auf Tailscale angewiesen bin, habe es gerne selbst in der Hand, leider bekomme ich das immer noch nicht hin, wenn sich da jemand auskennt kann sich gerne bei mir melden, kann er sich dann mal über Teamviewer ansehen, vielen Dank
 
Habe da leider keine einfache Anleitung für gefunden wie ich das konfigurieren kann, bin da nicht so vom Fach, eher copy and Paste per Terminal
 
Habe ich mir auch schon angeschaut nur mit den keys etc wo man was wie konfiguriert etc finde ich ziemlich kompliziert, soll sich dann ja das iPhone mit verbinden, Tailscale auf dem iPhone habe ich ja bereits
 
normal sollte doch auch OpenVPN gehen? Wireguard will ja nicht laufen warum auch immer, habe den Server neu aufgesetzt das alle Spuren weg sind und fange jetzt clean nochmal neu an
 
cloudman schrieb:
Das da wäre? Interessiert mich wirklich.
Zum Vergrößern anklicken....
Bei Tailscale bekommen alle Kunden-Endgeräte eine unique Adresse aus dem 100er CGN Netz. Die einzelnen virtuellen Kundennetze werden dann softwaremäßig zusammengeschaltet, bzw. voneinander abgeschottet. Sollte es bei dieser Trennung einmal zu einem Fehler kommen - warum auch immer - dann können prinzipiell alle Tailscale Geräte aufeinander zugreifen - vollkommen ungeschützt, da die IP-Verbindung auf jeden Fall schon mal funktioniert. Bei Zerotier kann man die verwendeten IP-Bereiche selber festlegen. Wenn es da zu einem vergleichbaren Fehler kommt, dann gibt es IP-Konflikte oder die Geräte sind in unterschiedlichen Netzen unterwegs und sehen sich nicht, und die Wahrscheinlichkeit unerwünschter Datenflüsse sinkt.

Vogty79 schrieb:
normal sollte doch auch OpenVPN gehen?
Zum Vergrößern anklicken....
Klar. Allerdings halte ich OpenVPN für komplexer und weniger performant als Wireguard. Aber es arbeitet noch nach dem herkömmlichen Client/Server Prinzip und nicht als eine Sammlung gleichberechtigter Punkt-zu-Punkt Verbindungen, wie Wireguard. Deshalb mag es gedanklich einfacher sein, sich in ein OpenVPN Setup reinzudenken.
 
  • Gefällt mir
Reaktionen: redjack1000
Ich frage mich wirklich warum WireGuard nicht funktionieren will, habe alles erneut aufgesetzt, eigentlich verstehe ich auch was da passiert ist ja nicht viel dabei…Poste nachher mal meine config
 
Die einzelnen virtuellen Kundennetze werden dann softwaremäßig zusammengeschaltet, bzw. voneinander abgeschottet. Sollte es bei dieser Trennung einmal zu einem Fehler kommen - warum auch immer - dann können prinzipiell alle Tailscale Geräte aufeinander zugreifen
Tailscale ist im Prinzip doch nichts anderes als ein Wireguard Netzwerk. Ohne die public keys der anderen nodes kann keine Wireguard Verbindung aufgebaut werden bzw der Traffic der anderen nodes nicht entschlüsselt werden. Deshalb sehe ich jetzt nicht warum die IP Range ein Problem ist.

https://tailscale.com/blog/how-tailscale-works/
  1. (see login, below).
  2. The node contacts the coordination server and leaves its public key and a note about where that node can currently be found, and what domain it’s in.
  3. The node downloads a list of public keys and addresses in its domain, which have been left on the coordination server by other nodes.
  4. The node configures its WireGuard instance with the appropriate set of public keys.
Note that the private key never, ever leaves its node.
Zum Vergrößern anklicken....

Übersehe Ich da etwas?
 
cloudman schrieb:
Tailscale ist im Prinzip doch nichts anderes als ein Wireguard Netzwerk. Ohne die public keys der anderen nodes kann keine Wireguard Verbindung aufgebaut werden bzw der Traffic der anderen nodes nicht entschlüsselt werden. Deshalb sehe ich jetzt nicht warum die IP Range ein Problem ist.
Zum Vergrößern anklicken....
  1. Die Verteilung der Schlüssel obliegt Tailscale
  2. Warum bekommen überhaupt alle Tailscale Clients eine unique CGN Adresse?
 
Habe mal Cloudflare getestet da eine Homepage schon vorhanden war und es kostenlos ist, geht erstaunlich schnell einzurichten, geht beim Streaming z.b. der Traffic eigentlich über Cloudflare oder direkt vom Streaming Server zum Endgerät?
 
cloudman schrieb:
Der public keys ja. So what?
Zum Vergrößern anklicken....
Auch der Private Keys. Wie soll es sonst möglich sein, das komplette Verbindungsmanagement über Tailscale zu machen?
Und im Zweifel reichen verwürfelte öffentliche Schlüssel.

cloudman schrieb:
https://tailscale.com/kb/1015/100.x-addresses/
Zum Vergrößern anklicken....
Das erklärt, warum man das 100er Netz genommen hat, aber nicht, warum jeder Client eine unique Adresse benötigt. Die Anforderungen wären auch erfüllbar gewesen, wenn die Adresse der Endgeräte nicht global unique gewesen wäre.
 
riversource schrieb:
Auch der Private Keys. Wie soll es sonst möglich sein, das komplette Verbindungsmanagement über Tailscale zu machen?
Zum Vergrößern anklicken....
Lies doch nochmal https://tailscale.com/blog/how-tailscale-works/

Note that the private key never, ever leaves its node. This is important because the private key is the only thing that could potentially be used to impersonate that node when negotiating a WireGuard session. As a result, only that node can encrypt packets addressed from itself, or decrypt packets addressed to itself.
Zum Vergrößern anklicken....
Der Quellcodes der Clients auf github - man kann also selbst überprüfen, ob es stimmt was sie da schreiben.


Die IPs sind unique weil man die Netze auch verbinden kann.
 
Zuletzt bearbeitet:
Vogty79 schrieb:
Habe mal Cloudflare getestet da eine Homepage schon vorhanden war und es kostenlos ist, geht erstaunlich schnell einzurichten, geht beim Streaming z.b. der Traffic eigentlich über Cloudflare oder direkt vom Streaming Server zum Endgerät?
Zum Vergrößern anklicken....
Über Cloudflare, und das ist im kostenlosen Angebot laut AGB nicht erlaubt.
 
cloudman schrieb:
Die IPs sind unique weil man die Netze auch verbinden kann.
Zum Vergrößern anklicken....
Eben. Das ist das Killerargument. "Killer" darf man dabei wörtlich nehmen. Man kann Netze einfach so verbinden. Ob das absichtlich oder irrtümlich oder aufgrund eines Fehlers geschieht, ist dabei egal.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

koma
Wireguard Verbindung möglich? Fritzbox A (IPv4) Fritzbox B (IPv6)
2
Antworten
23
Aufrufe
1.729
koma
koma
PieczonyKurczak
Zugriff auf ein entferntes Netzwerk ohne öffentliche IP sowie freigaben
Antworten
12
Aufrufe
2.197
Raijin
Raijin
S
Router scheint Verbindungen auszubremsen
Antworten
19
Aufrufe
926
sebastiano
S
X
  • Geschlossen
Wie kann ich ein VPN Netzwerk neben den Heimnetzwerk realisieren?
2
Antworten
24
Aufrufe
1.347
Markchen
Markchen
D
Wireguard Client IP herausfinden?
Antworten
8
Aufrufe
825
Der_Picknicker
D
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz