VPN Verbindung (CGNAT) - VPS mit WireGuard oder Tailscale

[JerryCurwen]

Hallo zusammen,

ich zerbreche mir schon seit einiger Zeit den Kopf darüber, wie ich den Zugriff von außen auf einige meiner Clients bzw. ggf. mein gesamtes Netzwerk ermöglichen und gleichzeitig Backups in ein anderes Heimnetz (das meiner Eltern) erstellen kann.

Konkret geht es um Backups und den Zugriff auf meine Home-Assistant-VM sowie auf meinen Unraid-Server (Datenserver).

Ich habe einen Glasfaseranschluss ohne eigene IPv4-Adresse, da ich hinter einem CGNAT hänge. Ich möchte gerne als Fallback auch IPv4 nutzen und nicht nur IPv6. Ich habe ein UniFi Netzwerk und als Router nutze ich dar UniFi Gateway UCG Ultra.

Bis gestern war mein Plan, bei einem Provider einen VPS zu mieten und darauf einen WireGuard-Server laufen zu lassen.

Meine Eltern haben aktuell noch einen „normalen“ DSL-Anschluss mit eigener (wechselnder) öffentlicher IPv4-Adresse und einer Fritz!Box.

Gestern bin ich dann über Tailscale gestolpert – und nun überlege ich, welche Methode für mich die bessere Wahl wäre.

Diesbezüglich habe ich allerdings noch ein großes Fragezeichen über meinem Kopf.

Was ich möchte:

• Backups von Unraid → Synology NAS (von meinem Heimnetz zu dem meiner Eltern)
• Backups von Synology NAS → Unraid (vom Heimnetz meiner Eltern zu meinem)
• Dateien / Daten von unterwegs von meinem Unraid-Server abrufen
• Zugriff auf Home Assistant (VM auf dem Unraid-Server)
• Kameraüberwachung von unterwegs mit der Reolink-App abrufen IP-Kameras ohne Tailscale Client (Reolink-Kameras sind rein lokal eingerichtet, keine Kommunikation über Reolink- oder andere Server im Internet)

Ich bin kein IT-Security-Experte und auch kein IT-Spezialist.

Ich würde den VPS mit WireGuard mithilfe von Anleitungen aus dem Internet (z. B. YouTube) aufsetzen und nach bestem Wissen und Gewissen warten.

Die Gefahr besteht natürlich darin, dass ich bei Updates oder Änderungen selbst Hand anlegen muss, was zusätzlichen Aufwand mit sich bringt.

Fragen und Überlegungen, die ich aktuell habe:

Tailscale

• Wie bewertet ihr die Datenschutzrichtlinien von Tailscale im privaten Umfeld (z. B. Metadaten, Geräteinformationen)?
• Wie sind eure Erfahrungen mit Tailscale-Performance bei großen Datenmengen (z. B. Backups >100 GB)?
• Hat jemand schon Langzeitverbindungen (dauerhaft online, z. B. zwischen zwei Homeservers) über Tailscale am Laufen?
• Wie einfach käme jemand an meine Geräte oder könnte sich verbinden, wenn mein Tailscale-Account gehackt würde?

VPS & WireGuard

• Wie häufig müssen beim eigenen VPS mit WireGuard Systemupdates / Kernel-Updates durchgeführt werden?
• Gibt es Empfehlungen für minimalistische VPS-Images (z. B. Debian minimal, Alpine), um den Angriffsvektor klein zu halten?
• Was muss ich besonders beachten, wenn ich einen eigenen VPS mit WireGuard nutze?

 

[madmax2010]

/ Kernel-Updates durchgeführt werden?

automatisiert jede Nacht.

Was muss ich besonders beachten, wenn ich einen eigenen VPS mit WireGuard nutze?

up to date halten, firewall an, fail2ban einrichten, ssh nur via key erlauben.

 

[redjack1000]

Ich habe ein UniFi Netzwerk und als Router nutze ich da UniFi Gateway UCG Ultra.

Warum nutzt du nicht einfach Teleport mit Wifiman?

Cu
redjack

 

[till69]

fail2ban einrichten

Oder SSH nur über IPv6. Wir sind alle tot bevor jemand den Port findet.

Ich möchte gerne als Fallback auch IPv4 nutzen und nicht nur IPv6.

Bis gestern war mein Plan, bei einem Provider einen VPS zu mieten und darauf einen WireGuard-Server laufen zu lassen.

Meine Eltern haben aktuell noch einen „normalen“ DSL-Anschluss mit eigener (wechselnder) öffentlicher IPv4-Adresse und einer Fritz!Box

Wireguard zuhause machen = Hauptzugang über IPv6

Bei Deinen Eltern (oder Kumpel oder VPS) einen Portmapper = Fallback über IPv4

Das geht unter Linux (z.B. RasPi) so:

socat UDP4-LISTEN:51820, fork UDP6:xyz.myfritz.net:51820

 

[Methylherd]

Warum nutzt du nicht einfach Teleport mit Wifiman?

Nutze aufgrund des gleichen Problems (Unifi IPv6 Unterstützung & CGNAT) derzeit Teleport auf dem Handy. Aber können damit auch die Anforderungen erfüllt werden:

• Backups von Unraid → Synology NAS (von meinem Heimnetz zu dem meiner Eltern)
• Backups von Synology NAS → Unraid (vom Heimnetz meiner Eltern zu meinem)

Wireguard wäre meine bevorzugte Lösung, Mit Unifi ist das aufgrund der unzureichenden IPv6 Unterstützung in Bezug auf Wireguard leider nicht mal ebenso einzurichten wie vieles andere.

 

[grünerbert]

Sehr gut, du scheinst dich bereits intensiv mit der Materie beschäftigt zu haben.

• Backups von Unraid → Synology NAS (von meinem Heimnetz zu dem meiner Eltern)
• Backups von Synology NAS → Unraid (vom Heimnetz meiner Eltern zu meinem)

Diese beiden Szenarien solltest du ohne VPS und ohne SoftVPN (Tailscale o.ä.) lösen können. Einfach WireGuard-Server auf der Fritzbox oder dem Synology NAS einrichten und den Unraid von zu Hause als Client damit verbinden.
Für Zugriff auf zu Hause von unterwegs wäre Tailscale eine gute Lösung. Ob es in IPv4-only Netzen funktioniert, kann ich dir gerade nicht sagen, kann es aber mal testen bei nächster Gelegenheit. Ich meine ja, weil der Koordinationsserver in jedem Fall DualStack hat, damit auch deine Tailnet-Geräte finden sollte.

Wie bewertet ihr die Datenschutzrichtlinien von Tailscale im privaten Umfeld (z. B. Metadaten, Geräteinformationen)?

Nicht gänzlich unbedenklich, aber im Rahmen. Natürlich sehen sie deine Metadaten, wann du dich mit dem Tailnet verbindest, welche Geräte du hast. Daraus könnte man manches ableiten, aber das sehen M$, Google, Apple und Co. genauso, und dazu noch weit mehr Details.

Wie einfach käme jemand an meine Geräte oder könnte sich verbinden, wenn mein Tailscale-Account gehackt würde?

Natürlich gilt es das zu vermeiden, daher solltest du deinen Tailscale-Account mit 2FA absichern. Der/Die Angreifer(in) könnte halt auf alle offenen Ports/Dienste in deinem Tailnet zugreifen. Je weniger das sind, desto besser. Da du deine SSH-Zugänge sicherlich mit Public/Private Key abgesichert hast, sollte es kein Weltuntergang sein. Was noch passieren könnte: Jemand könnte dir über Taildrop Dateien schicken, die Viren enthalten. Wenn du wegen des Risikos des Crackings und Privatsphäre besorgt bist, könntest du dein SoftVPN auch selbst hosten, dann sind wir wieder beim VPS. Für Tailscale gibt es Headscale, alternativ Netbird. Aber wenn du bislang keine Erfahrung mit Linux, Bash und Docker hast, würde ich dir erstmal Tailscale klassisch empfehlen.

 

[JerryCurwen]

Hey ganz lieben Dank für die schnellen Antworten. Ich muss da noch mal nachfragen:

up to date halten, firewall an, fail2ban einrichten, ssh nur via key erlauben.

okay, das waren auch die ToDos die ich auf meiner Liste hatte.

Warum nutzt du nicht einfach Teleport mit Wifiman?

Nutze ich aktuell. Läuft leider nicht zuverlässig für den Dauerbetrieb. Zumindest ist das die Erfahrung die ich, über einen Zeitraum von ca. 1 Jahr machen musste. Soll auf jeden Fall weiter als Fallback dienen.

Oder SSH nur über IPv6. Wir sind alle tot bevor jemand den Port findet.

Klingt interessant. Leider kenne ich mich mit IPv6 0 aus. Klingt so, also wäre das Verbinden hier anders als über IPv4. Ist hier keine Port-Angabe notwendig, oder was meinst du, mit bis der Port gefunden wird?

Wireguard zuhause machen = Hauptzugang über IPv6

Bei Deinen Eltern (oder Kumpel oder VPS) einen Portmapper = Fallback über IPv4

Leider verstehe ich die Antwort nicht ganz. Liegt aber bestimmt an meinem fehlenden Fachwissen. Kann das jemand etwas genauer erklären?

Ergänzung (Dienstag um 23:13)

@grünerbert Danke auch für deine ausführliche Antwort und die vielen Anregungen. Ich habe versucht mir so gut es geht im Vorfeld Gedanken zu machen. Allerdings bin ich absolut keine Experte XD.

Diese beiden Szenarien solltest du ohne VPS und ohne SoftVPN (Tailscale o.ä.) lösen können. Einfach WireGuard-Server auf der Fritzbox oder dem Synology NAS einrichten und den Unraid von zu Hause als Client damit verbinden.

Okay stimmt. Dann sollte ich ja eigentlich von beiden Geräten auf das jeweils andere Gerät zugreifen können. Hier möchte ich Duplicati über SMB nutzen. Die Freigaben müsste ich dann entsprechend in den Systemen einrichten. Jeder soll vom jeweils anderen die Daten nur abholen (nur lesen). So mein Plan.

Wenn meine Eltern dann selbst Glasfaser bekommen müsste ich wahrscheinlich dann nur auf die VPS Lösung gehen, wenn sie von der Telekom auch (wie bei mir bei Deutsche Glasfaser) keine eigene IPv4 Adresse erhalten.

Beim Zugriff von unterwegs mit Tailscale stelle ich mir nur die Frage, wie ich z. B. die App von Reolink mit den Kameras nutzen kann, wenn die Kameras selbst ja kein Tailscale Client installiert haben? Also ich müsste auch Clients finden/erreichen die selbst kein Tailscale direkt nutzen.

 

[PERKELE]

Prinzipiell mach ich das das gleiche, mit einem 1€ VPS von Ionos.

Hat genug Durchsatz mit einem WG Server um mehrere Clients zubedienen. I.d.R. Limitiert eh der Upload.

 

[JerryCurwen]

Prinzipiell mach ich das das gleiche, mit einem 1€ VPS von Ionos.

Danke für den Input. Hängt denn an dem Szenario generell viel Wartungsarbeit/Aufwand mit dran? Ich möchte das so minimal wie möglich halten. Auch weil ich nichts falsch machen will.

Es geht viel mehr darum was die Absicherung des Servers selbst betrifft. Ich bin vielleicht in Zukunft nicht immer Up2Date was Sicherheit etc. angeht.

 

[xammu]

Hängt denn an dem Szenario generell viel Wartungsarbeit/Aufwand mit dran?

Der Aufwand ist nicht 0, aber nur mit Wireguard und dem Grundsystem fast bei null.

Nimmst du Debian mit unattended-upgrades, dann hast du eigentlich nachm Einrichten nix mehr zu tun.

 

[grünerbert]

Also ich müsste auch Clients finden/erreichen die selbst kein Tailscale direkt nutzen.

Dafür gibt es das sog. Subnet Routing (bei Netbird gibt es ein ähnliches Feature). Heißt, dein Server (also der mit Unraid) agiert als Knotenpunkt und gibt dir (nach entsprechender Einstellung und Freigabe) Zugriff auf alle Heimnetz-Geräte. Wenn dein Heimnetz z.B. den IPv4-Bereich 192.168.8.0/24 hat, musst du diesen einstellen und im Tailscale-Admin-Panel freigeben. Dann hast du, so du nicht spezielle Firewall-Regeln im Tailnet aktiviert hast, von jedem Gerät im Tailnet aus Zugriff auf alle Heimnetz-Geräte.

mit einem 1€ VPS von Ionos.

Minimal günstiger für 0,84 €/Monat und mit mehr SSD-Speicher bei Netcup.

 

[PERKELE]

Minimal günstiger für 0,84 €/Monat und mit mehr SSD-Speicher bei Netcup.

Ausverkauft und die MwSt liegt bei 0%.

Ich möchte das so minimal wie möglich halten. Auch weil ich nichts falsch machen will.

Dann ist diese Option nichts fuer dich.
Einmal die Woche spendiere ich dem Server updates und pruefe die Logs auf Auffaelligkeiten.

Backups laufen durch ein Script automatisch.

Das sind meist 10-15min.

 

[JerryCurwen]

Danke erst mal an alle, dass Ihr euch die Zeit genommen habt, mir zu antworten. Ich merke das beide Systeme / Varianten durchaus Lösungen für mich sein können. Der VPS ist etwas mehr Aufwand und ich bin für die Sicherheit etc. eben komplett eigenständig verantwortlich. Tailscale wäre etwas mehr "PnP".

Da ich eh Netcup Kunde bin, würde ich mir wahrscheinlich eher dort einen Server holen.

Minimal günstiger für 0,84 €/Monat und mit mehr SSD-Speicher bei Netcup.

Ich glaube dir wird der Nettopreis angezeigt? Ich habe erst garnicht gesehen das die auch so 1 Euro VPS anbieten. Ich hatte erst VPS 250 G11s für 3,99 € (brutto) im Visier, aber ich denke der könnte etwas überdimensioniert sein.

Ich denke der kleine 1vCore 1GB RAM sollte für zwei User und die Backupjobs über WireGuard reichen oder?

Thema Absicherung VPS, da würde ich dann folgende Maßnahmen treffen:

• System mit automatischen Updates aktuell halten
• SSH Login immer bei Bedarf aktivieren, Rest über Remote Konsole bei Netcup
• User für SSH Login anlegen
• SSH Login root deaktivieren
• SSH Login bei Bedarf mit anderem User, dann zu root wechseln
• Nur Port für WireGuard öffnen
• Fail2Ban aktivieren

Fällt euch sonst noch etwas dazu ein?

Ich würde dann vielleicht beide Varianten mal testen und ggf. die VPS Lösung primär nutzen und hätte Tailscale und Teleport (Unifi) als Backup lösung, falls der VPS mal klemmt.

 

[PERKELE]

Ich denke der kleine 1vCore 1GB RAM sollte für zwei User und die Backupjobs über WireGuard reichen oder?

Dicke, bei mir via IONOS (sind die selben Specs) laufen sechs User drueber.

Einzig was ich tat, sind die Sync Zeiten der Backups entsprechend versetzt gelegt.

User A: 0.00 Uhr
User B: 1.30 Uhr
User C 3.00 Uhr
usw.
Und dann faehrt der Backup Server automatisch wieder um 8.00 Uhr herunter (startet dann um 23.00 Uhr wieder)

 

[xammu]

• System mit automatischen Updates aktuell halten

ja

• SSH Login immer bei Bedarf aktivieren, Rest über Remote Konsole bei Netcup

wozu? Die Konsole ist nicht so pricklend und du vergibst dir die Möglichkeit übers VPN per SSH drauf zu gehen.

• User für SSH Login anlegen

ja

• SSH Login root deaktivieren

ja, oder rootlogin nur mit Key erlauben.

• SSH Login bei Bedarf mit anderem User, dann zu root wechseln

ja

• Nur Port für WireGuard öffnen

und SSH,
wenn man seine Logs sauber haben will und Scriptkiddies ärgern will, dann kann man den SSH Port noch verlegen.

• Fail2Ban aktivieren

kann man machen, allerdings hast du nichts zu überwachen, wenn du ssh abschaltest.
wireguard läuft auf Kernelebene ohne Logs, da greift Fail2ban nicht.

kannst dir auch mal knockd anschauen.

Wobei ich persönlich immer ein komplexes Passwort für den Notfall eingerichtet habe. Also Passwort und Keys für den Rootnutzer.

 

[JerryCurwen]

Also ich denke ich werde das jetzt mit einem VPS lösen. Ich glaube das bekomme ich insgesamt besser hin, als mich in die ganze Tailscale Thematik einzulesen. Ich bin jetzt nicht "ganz Linux fremd". Außerdem muss man da wieder Vertrauen zum Anbieter haben. Ich denke die kleine VPS Maschine (dazu gibt es ja bereits genug Anleitungen) ist vielleicht ein kleines bisschen mehr Aufwand, aber am Ende vielleicht einfacher, da man schneller Hilfe findet?! Zumindest denke ich so. Als Fallback nutze ich dann Teleport. So habe ich aber insgesamt nur WireGuard im Einsatz, da ja auch hier noch die FritzBox meiner Eltern WireGuard unterstützt und mein Unifi Gateway ebenfalls. Ich denke das passt?!

Habe dazu glaube ich auch eine ganz gute Anleitung gefunden:

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

Danke auf jeden Fall für eure Hilfe!

 

[JerryCurwen]

Hey, ich habe noch mal eine Frage zu den VPS Angeboten von IONOS, Strato und Netcup.

Leider ist der 1 Euro VPS bei Netcup nicht mehr zu haben, weshalb ich geschaut habe was die anderen beiden (größeren) Hoster so anbieten. Hetzner und co. ist für den Zweck etwas zu teuer. Strato war ich bisher Kunde, habe dort aber als gekündigt und bin zu Netcup (Domains sind dort günstiger). Auch so bin ich mit dem Support von Netcup sehr sehr zufrieden.

Allerdings haben ich gesehen das Strato und IONOS zusätzlich eine Firewall anbieten, die man über das Webinterface einrichten und pflegen kann.

Bei beiden würde ich jeweils einen 1 Euro VPS bekommen (1vCore, 1GB RAM, 10 GB SSD).

Frage: Ergibt diese zusätzliche Firewall bei Strato o. IONOS Sinn oder reicht es wenn ich, wie z. B. im Video erklärt, „nur“ IP Tables in Linux nutze?

Bei Netcup müsste ich halt 2 Euro im Monat zahlen (dafür dann etwas mehr Leistung).

 

[h00bi]

Kannst du nicht für kleines Geld oder evtl. sogar kostenlos Dual Stack auf deinen Anschluss schalten lassen?
Wer ist denn dein Glasfaser-ISP?

 

[Nebuk]

Hab mir auch günstige VPS angebote angeschaut und bin auf die videoreihe gestossen:
https://m.youtube.com/@RaspberryPiCloud/videos?view=0&sort=dd&shelf_id=2
Sind relativ aktuelle videos.

 

[xammu]

Ergibt diese zusätzliche Firewall bei Strato o. IONOS Sinn

Die macht schon Sinn.

IPtables ist im übrigens veraltet. nftables heisst das neue.

btw ionos und strato gehören im übrigen zusammen und teilen sich auch Infrastuktur.