VPN Verbindung (CGNAT) - VPS mit WireGuard oder Tailscale

[JerryCurwen]

Kannst du nicht für kleines Geld oder evtl. sogar kostenlos Dual Stack auf deinen Anschluss schalten lassen?
Wer ist denn dein Glasfaser-ISP?

Ich bin bei der Deutschen Glasfaser und hatte hier mal angefragt ob ich eine IPv4 bekommen könnte. Als Antwort habe ich leider nur erhalten, dass dies nur bei Business Tarifen möglich ist. Leider geht's da nicht. Ich hoffe darauf das ich nach zwei Jahren Vertragszeit bei denen, zu einem anderen Anbieter wechseln kann.

Was genau bedeutet das Dual Stack denn? Wenn ich das richtig in Erinnerung habe, dass ich einen Anschluss habe bei dem ich eine eigene IPv4 und IPv6 erhalte, die aber auch wie bei DSL Anschlüssen regelmäßig wechselt?

Hab mir auch günstige VPS angebote angeschaut und bin auf die videoreihe gestossen:

Ah danke für die Info. Den Kanal kenne ich bereits sogar und hatte mir hier auch die Anleitung zu DS-Lite und VPN angesehen.

IPtables ist im übrigens veraltet. nftables heisst das neue.

Möglich das ich mich da vertan habe. Ich muss noch mal schauen, was der in dem Video in der Anleitung genutzt hat. Ich denke aber auch das so eine Firewall ala Webinterface bei Strato oder IONOS, leichter für mich sein wird?!

btw ionos und strato gehören im übrigen zusammen und teilen sich auch Infrastuktur.

Das war mir bereits bekannt. Bisher war ich halt nur immer Strato Kunde. Aber vielleicht ist IONOS da besser. Das HiDrive für Backups ist bei denen auch günstiger (inkl. Protokolle) als bei Strato.

 

[grünerbert]

Außerdem muss man da wieder Vertrauen zum Anbieter haben. Ich denke die kleine VPS Maschine (dazu gibt es ja bereits genug Anleitungen) ist vielleicht ein kleines bisschen mehr Aufwand, aber am Ende vielleicht einfacher, da man schneller Hilfe findet?!

Je nachdem, wie speziell dein Problem wird. Wenn es an DNS und Firewall-Regeln geht, kann es schon komplex werden, vor allem, wenn du all das per CLI einstellen musst. Da hätte ich dir zumindest eine Wireguard-GUI wie wg-easy empfohlen, aber dafür brauchst du wiederum Docker. Damit wird das Managen der ganzen Clients etwas einfacher. Sobald du allerdings per Firewall-Regeln einstellen möchtest, wer worauf zugreifen kann, wird es wieder haarig.

nur WireGuard im Einsatz, da ja auch hier noch die FritzBox meiner Eltern WireGuard unterstützt und mein Unifi Gateway ebenfalls.

Sog. Site-to-Site Verbindungen Fritzbox-Fritzbox sind kein Problem. Zu anderen Routern gibt es evtl. Besonderheiten zu beachten. Die ct hatte dazu mal einen Artikel, speziell für OpenWrt. Habe es aber nie selbst getestet, da bislang keine Notwendigkeit bestand.
Dazu noch der Hinweis, dass der WireGuard-Ping von Telekom zu DG sehr hoch sein kann, jedenfalls ist er das bei mir. Ich rede von 120-140 ms. Lustigerweise liegt er mit Tailscale zwischen denselben Haushalten deutlich niedriger, bei 30-40 ms, obwohl Tailscale unter der Haube ebenfalls WireGuard nutzt.
Das kannst du bereits ohne VPS testen, einfach auf der elterlichen FritzBox (oder dem Synology-NAS) WireGuard-Server einrichten und deinen Laptop oder PC als Client damit verbinden.

Bei beiden würde ich jeweils einen 1 Euro VPS bekommen (1vCore, 1GB RAM, 10 GB SSD).

Kann man machen, reicht für deine Zwecke aus. Falls dir die komplette SSH-/Bash-Administration von WireGuard zu komplex wird, kannst du Docker installieren, wahrscheinlich sogar Proxmox, aber das scheint mir Overkill.

Firewall ala Webinterface bei Strato oder IONOS, leichter für mich sein wird?!

Du wirst beides brauchen: Wenn du ufw/nftables auf dem Server installierst, wirst du dort die Ports freigeben müssen und dazu in der Weboberfläche. Quasi innere und äußere Firewall.
Für einmalige Zugriffe auf GUI-Sachen (wie Portainer, wg-easy o.ä.) empfehle ich einen SSH-Tunnel. Z.B. mit diesem Befehl:

ssh 12.34.56.78 -L 9000:localhost:9000 -N &

Damit tunnelst du Port 9000 auf deinen lokalen PC und kannst dann im Browser den entsprechenden Dienst (in diesem Fall Portainer) so erreichen:
http://localhost:9000

 

[JerryCurwen]

Okay, da sind jetzt noch mal einige Infos dazu gekommen, die mich wieder zum nachdenken angeregt haben. Ich hoffe wirklich das meine zahlreichen Fragen beantwortet werden. Es scheint alles ja doch ziemlich kompliziert zu sein... oder ich denke einfach nur kompliziert 😂

Hier noch mal mein Ziel:

• Backups von Unraid Server 1 aus meinem Heimnetz → Synology NAS in das Heimnetz meiner Eltern
• Backups von Unraid Server 2 aus meinem Heimnetz → Synology NAS in das Heimnetz meiner Eltern
• Backups von Synology NAS aus dem Heimnetz meiner Eltern→ Unraid Server 1 in mein Heimnetz
• Dateien / Daten von unterwegs von meinem Unraid-Server abrufen
  • Abrufen über zwei iPhones
  • Abrufen über zwei iPads
• Zugriff auf Home Assistant von unterwegs (VM auf dem Unraid-Server)
  • Zugriff über zwei vorhandene iPhones
  • Zugriff über zwei vorhandene iPads
• Zugriff auf Plex Musik Server - NUR MUSIK kein VIDEO etcl.
  • Zugriff über zwei vorhandene iPhones
  • Zugriff über zwei vorhandene iPads
• Kameraüberwachung von unterwegs mit der Reolink-App abrufen IP-Kameras
  (Reolink-Kameras sind rein lokal eingerichtet, keine Kommunikation über Reolink- oder andere Server im Internet)
  • Zugriff über zwei vorhandene iPhones
  • Zugriff über zwei vorhandene iPads

Sog. Site-to-Site Verbindungen Fritzbox-Fritzbox sind kein Problem. Zu anderen Routern gibt es evtl. Besonderheiten zu beachten.

Ehrlicherweise war meine Absicht nicht eine Site-to-Site Verbindung einzurichten, und so beide Heimnetze vollständig miteinander zu verbinden, da ich dies in meinem Fall meine ich nicht benötige oder?

Ich habe zwei Unraid Server die jeweils Zugriff auf den Backupserver (Synology) bei meinen Eltern bekommen sollen. Das würde ich dann mit zwei Client-to-Site Verbindungen lösen:

• Unraid Server 1: WireGuard Tunnel über FritzBox meiner Eltern
• Unraid Server 2: WireGuard Tunnel über FritzBox meiner Eltern

Damit können dann meine beiden Server und der Backup-Server kommunizieren und sich gegenseitig per SMB Freigaben die Daten hin und her schieben. Das würde doch reichen oder?

Dazu noch der Hinweis, dass der WireGuard-Ping von Telekom zu DG sehr hoch sein kann, jedenfalls ist er das bei mir. Ich rede von 120-140 ms.

Okay, ich habe das mal mit meinem Unraid Server getestet. Ich hab den Server als Client an der FritzBox meiner Eltern angemeldet und verbunden. Ging tatsächlich, sofort und problemlos. Über eine Konsole auf meinem Unraid Server, habe ich den Backupserver (Synology) bei meinen Eltern angepingt. Von mir (Deutsche Glasfaser) zu meinen Eltern (Deutsche Telekom) liegt der Ping bei ca. 20 ms, was denke ich okay sein sollte oder? Von meinem Mac waren es ebenfalls ca. 15 ms.

Ich habe auf der Synology bei meinen Eltern SSH aktiviert. Per WireGuard Verbindung habe ich dann meinen Mac dort im Heimnetz angemeldet. Ich bin dann per SSH auf die Synology und habe die VPN IP Adresse meines Unriad Servers (der auch per WireGuard im Heimnetz meiner Eltern verbunden ist) angepingt. Hier hatte ich dann auch wieder Pingzeiten von 15-18 ms. Ist der Test so korrekt und aussagekräftig? Wenn ja, sollten die Pingzeiten doch okay sein, oder?

Kann man machen, reicht für deine Zwecke aus. Falls dir die komplette SSH-/Bash-Administration von WireGuard zu komplex wird, kannst du Docker installieren,

Das hatte ich vor einiger Zeit auch schon im Kopf. Aber ich wollte aus Sicherheitsgründen keine Anmeldemasken von GUIs etc. aus dem Internet auf den VPS erreichbar / zugänglich machen. Da ich vielleicht nicht immer sofort die neuesten Updates wegen Sicherheitslücken etc. einspiele. Vielleicht auch nicht immer auf dem aktuellsten Wissenstand bin, wenn mal Sicherheitslücken etc. bei Software etc. bekannt wird. Auch das ich nicht immer auf dem aktuellsten Stand bin wie man was best practices umsetzen sollte, da ich kein IT Experte bin.

Für einmalige Zugriffe auf GUI-Sachen (wie Portainer, wg-easy o.ä.) empfehle ich einen SSH-Tunnel. Z.B. mit diesem Befehl:

Was diese Methode aber eventuell schon sicherer machen würde? So wie ich das Verstehe könnte ich so GUIs oder Logins absichern, so dass diese dann nur von einem autorisierten PC erreichbar sind? Dazu könnte ich dann meinen Mac mini nutzen, einen Rechner bei meinen Eltern und als Fallback eine Linux VM auf meinem Unraid Server 1. So wären nur diese Rechner berechtigt GUIs auf dem Server aufzurufen und sich anzumelden? Sehe ich das richtig?

Firewall-Regeln etc.

Wenn du ufw/nftables auf dem Server installierst, wirst du dort die Ports freigeben müssen und dazu in der Weboberfläche. Quasi innere und äußere Firewall.

Eigentlich dachte ich ja, dass ich die ganzen Firewall Regeln etc. über die GUIs meines Unifi UCG Ultra und der FritzBox meiner Eltern manage. Das geht logischerweise nur, wenn ich natürlich den WireGuard Server auf meinen UCG nutzen könnte (Direktverbindung über IPv6 & IPv4 zu mir nach Hause) und den WireGuard Server auf der FritzBox meiner Eltern (der ja erfolgreich läuft). Da aber der VPS zu meinem Heimnetz dazwischen hängen muss (wegen fehlender eigener IPv4), muss dieser dann logischerweise auch mit Firewall Regeln abgesichert werden, richtig? Also das ich im Prinzip sage, welcher Client über den WireGuard Tunnel des VPS zu mir ins Heimnetz darf?

Frage zu Unifi UCG Ultra als WireGuard Client mit VPS:
Wenn ich mein UCG Ultra als Client am WireGuard Server auf dem VPS einrichten würde, könnte ich die eingehenden Verbindungen in mein Heimnetzwerk von Mobilgeräten etc. aber nicht über die FireWall auf dem UCG Ultra managen sondern müsste dies dann auf dem VPS machen, richtig?

Fragen zu Portmapper

Bei Deinen Eltern (oder Kumpel oder VPS) einen Portmapper = Fallback über IPv4

Wenn ich das richtig verstanden habe, könnte ich auch einen Portmapper bei meinen Eltern laufen lassen, der es mir über IPv6 ermöglichen würde auch über IPv4 auf mein Anschluss zu gelangen, um dann den WireGuard Server auf meinem UCG Ultra zu nutzen / laufen zu lassen? Wenn ich richtig liege, würde dann aber der gesamte Traffic über den Anschluss meiner Eltern laufen, die aktuell nur VDSL 100 haben. Gut wir sprechen hier von Home Assistant, Kameras und Plex... Das sollte ja dennoch reichen.

Ich komme aber nicht mehr hinterher. Ich habe auch noch folgendes gefunden, wäre hier aber wieder an einen Anbieter gebunden:

• https://ipv64.net/cloud-router
• https://ipv64.net/portmapper
• https://ipv64.net/cdn

Alles soll DS-Lite CGNAT Probleme lösen, alles ist aber irgendwas was anderes. 😵‍💫

Sorry für den langen Beitrag. Am hilfreichsten wäre eigentlich wenn man mal mit Leuten vom Fach per Discord reden könnte. 😂

 

[till69]

könnte ich auch einen Portmapper bei meinen Eltern laufen lassen

Den kannst Du überall laufen lassen wo DualStack verfügbar ist (Eltern, Kumpel, VPS)

Bei den "Portmappern" im Netz prüfen, ob UDP (für Wireguard) geht. Oft wird nur TCP angeboten.

 

[grünerbert]

• Backups von Unraid Server 1 aus meinem Heimnetz → Synology NAS in das Heimnetz meiner Eltern
• Backups von Unraid Server 2 aus meinem Heimnetz → Synology NAS in das Heimnetz meiner Eltern
• Backups von Synology NAS aus dem Heimnetz meiner Eltern→ Unraid Server 1 in mein Heimnetz

...was du komplett ohne VPS und Tailscale realisieren kannst, und anscheinend schon gemacht hast. Super 👍

Pingzeiten von 15-18 ms.

Die Pingzeiten sind absolut top, da kann man dich nur beneiden. 😉

Aber ich wollte aus Sicherheitsgründen keine Anmeldemasken von GUIs etc. aus dem Internet auf den VPS erreichbar / zugänglich machen.

Genau das tust du nicht, weil du zwar die Ports in der UFW (nftables) öffnest, nicht aber in der äußeren Anbieter-Firewall. Somit sind sie nicht für alle Welt im Internet erreichbar.

So wie ich das Verstehe könnte ich so GUIs oder Logins absichern, so dass diese dann nur von einem autorisierten PC erreichbar sind? .... So wären nur diese Rechner berechtigt GUIs auf dem Server aufzurufen und sich anzumelden? Sehe ich das richtig?

Quasi. Jeder PC/Server, auf dem du einen privaten SSH-Schlüssel hinterlegt hast, dessen öffentlicher SSH-Schlüssel in der Datei authorized_keys auf dem VPS steht, hat Zugriff. Wenn einmal dein WireGuard-Tunnel komplett eingerichtet ist, brauchst du das wahrscheinlich nicht mehr. Aber besonders während der Einrichtung ist das eine super Variante.

der VPS zu meinem Heimnetz dazwischen hängen muss (wegen fehlender eigener IPv4), muss dieser dann logischerweise auch mit Firewall Regeln abgesichert werden, richtig?

Da der VPS direkt aus dem Internet erreichbar ist, braucht er zwingend eine Firewall. Und die ganzen Regeln, die in deinem Video oder bei ipv64 gezeigt werden sind genau die, die ich meine. Sowas wie

iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 51820 -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -P INPUT DROP
iptables -t nat -A PREROUTING -i eth0 -p tcp -m multiport --dport 80,443 -j DNAT --to-destination 10.0.0.2
iptables -t nat -A POSTROUTING -o wg0 -p tcp -m multiport --dport 80,443 -d 10.0.0.2 -j SNAT --to-source 10.0.0.1

Oder wie auch immer die Befehle dann bei dir lauten.

 

[Avenger84]

ich versteh´ nicht warum du nicht die beiden Netzwerke dauerhaft mit Wireguard verbindest, das mache ich seit Jahren mit 3 Standorten. Da braucht es keine nach außen offenen SSH Ports, kein Tailscale, kein VPS.

 

[JerryCurwen]

@Avenger84
Ich verstehe die Antwort nicht ganz. Das Verbinden für die Backups zum Netz meiner Eltern und wieder zurück, ist garnicht mehr so das Problem. Das läuft bereits und ich schiebe nach und nach jetzt die Daten hin und her. Da reicht doch die einfach Client-to-Site Verbindung?

Viel mehr ist das Problem, welches ich noch habe, die für mich passende Lösung zu finden wie ich mein Netz von außen mit Mobilgeräten erreichen kann, sowohl über IPv6 und IPv4.

Ich verstehe vielleicht nicht ganz welchen Vorteil ich habe wenn ich die beiden Netze vollständig miteinander verbinde, nur damit 3 Server miteinander kommunizieren können? Mag aber sein das es am fehlenden Fachwissen liegt?!

 

[Avenger84]

Ganz einfach: wenn es IPv4 sein muss (Hotel) dann per Wireguard über die Eltern. Ansonsten über IPv6 also dein Zuhause.
So habe ich es auch eingerichtet.
Die eine Seite hatte bis vor kurzem nur IPv4, die andere Seite wie du DG.
Login per Wireguard und Routen in beide Netze von beiden Seiten.

 

[grünerbert]

warum du nicht die beiden Netzwerke dauerhaft mit Wireguard verbindest

Dann ist natürlich dein Ping nach Hause höher, wenn du jedesmal über einen weiteren Anschluss gehst. Aber das sollte noch akzeptabel sein.
Das Haupt-Gegenargument, was mir einfiele, wäre IT-Sicherheit. Je größer das Netz, desto mehr Risiken. Sobald sich ein Gerät eine Ransomware/Virus o.ä. einfängt, hätte es Zugriff auf alle internetfähigen Geräte in beiden Haushalten und könnte dort Schaden anrichten. Daher finde ich "need to know" besser, also den Zugriff per Segmentierung nur auf die Geräte zu beschränken, die ihn auch wirklich brauchen.
Solche Beschränkungen kann man per Firewall-Regeln oder VLANs einstellen, aber das wird mit FritzOS nicht klappen. Und spätestens, wenn bei den Eltern die (Deutsche) Glasfaser kommt, funktioniert es nicht mehr.
Was du noch machen könntest, um auf den VPS zu verzichten: Einen kompatiblen Router kaufen (~50 €) und darauf OpenWrt flashen. Den dann hinter der elterlichen FritzBox ans LAN anschließen und als WireGuard-Server konfigurieren (und das Synology-NAS dranhängen). OpenWrt lässt dich definitiv die ganzen FireWall-Regeln einstellen.
Wenn du jedoch keinerlei Bedenken hast, die Netze zu verbinden, dann ignorier diesen Post und richte einfach das Site-to-Site-VPN ein.

 

[JerryCurwen]

Daher finde ich "need to know" besser, also den Zugriff per Segmentierung nur auf die Geräte zu beschränken, die ihn auch wirklich brauchen.

Genau so sehe ich das auch. Ich versuche generell immer nur das nötigste miteinander zu verbinden und nur Freigaben dort zu erteilen wo es eben notwendig ist. Nicht umsonst habe ich meine Smarthome Geräte, oder Kameras vom Server-Netzwerk etc. getrennt. Ich meine ich weise meine Eltern immer um aktuelle Gefahren hin und Sie fragen auch immer, bevor Sie etwas falsches machen, aber trotzdem sollte hier eben nur das geöffnet oder miteinander verbunden werden, was minimal sein muss.

Und spätestens, wenn bei den Eltern die (Deutsche) Glasfaser kommt, funktioniert es nicht mehr.

Das ist ebenfalls ein Grund weshalb ich gerne den Zugriff von Außen auf mein Netzwerk autark vom Netz meiner Eltern gewährleisten will. Denn es dauert nicht mehr lange bis Sie auch Glasfaser von der Telekom erhalten und da weiß ich nicht wie es aussieht. Wahrscheinlich werden Sie eine IPv4 erhalten. Aber dennoch möchte ich eben die Möglichkeit haben das alles getrennt funktioniert.

Ich denke ich werde vor dem VPS noch die Möglichkeiten bei ipv64 abchecken.

@redjack1000 @Methylherd
Wie sind denn eure Erfahrungen mit Teleport. Mir ist aufgefallen, dass wenn ich mich unterwegs mit Teleport verbinde und die Verbindung aktiv lasse, das nach einiger Zeit ich zwar mit Teleport (und meinem Heimnetz) noch Verbunden bin, aber kein Internet mehr habe. WhatsApp etc. haben keine Verbindung mehr. Ich habe das Gefühl das Teleport nach einiger Zeit beim Wechsel in schlechtere Verbindungen oder WLANs zu Mobilfunk die Verbindung verliert.

Also nach meiner Erfahrung habe ich keine stabile durchgängige Verbindung. Er beendet die Verbindung zwar nicht zum Gateway, aber es geht eben kein Internet-Verkehr mehr durch. Daher ist mein aktueller Stand Teleport nur als Fallback zu nutzen.

 

[Avenger84]

Wenn du mit Wireguard beide Seiten verbindest, kannst du ja immernoch per Firewall (nftables) alles bis auf das was du brauchst verbieten.
Wobei es mich wundern würde wenn der Verschlüsselungstrojaner deiner Eltern die private IP deines Netzwerks erraten würde und die dazugehörigen Logindaten.

 

[JerryCurwen]

Hallo zusammen,

ich habe nun testweise die Variante mit dem VPS eingerichtet. WireGuard läuft, der VPS sollte gehärtet sein, und ich habe im UCG Ultra eine passende Firewall-Regel angelegt, mit der ich auch schon erfolgreich eine Verbindung in mein Heimnetz herstellen konnte.

Gibt es eine elegante Lösung, wie ich auch die DNS-Einträge für meine lokalen IP-Adressen und Dienste nutzen kann? In meinem UCG habe ich verschiedene DNS-Records gesetzt, z. B. für meinen lokalen Unraid-Server, den Plex-Server und andere Dienste.

Diese kann ich aktuell aus dem WireGuard-Netz mit den verschiedenen VPN-Clients nicht nutzen. Über die IP-Adressen funktioniert jedoch alles problemlos.

 

[grünerbert]

passende Firewall-Regel angelegt, mit der ich auch schon erfolgreich eine Verbindung in mein Heimnetz herstellen konnte

Ich dachte, per Default hätte das WireGuard-Subnetz Zugriff auf die LAN-Zone!? So ist es m.E. bei der Fritzbox, zumindest wenn diese als WG-Server agiert. Mit den Unifi-Geräten kenne ich mich nicht aus, hatte noch nie eins. D.h., per Default gelangen Geräte im WireGuard-Subnetz nur auf die Oberfläche des Routers und ins Internet, und du musst den Zugriff aufs Heimnetz explizit erlauben!? Haben sie denn einen eigenen IP-Adressbereich (vermutlich ja)?

Gibt es eine elegante Lösung, wie ich auch die DNS-Einträge für meine lokalen IP-Adressen und Dienste nutzen kann?

Vielleicht musst du eine statische Route vom WireGuard- ins Heim-Subnetz setzen? Ist aber nur ein Gedanke.
Ansonsten klingt dein Szenario wie der ideale Anwendungsfall für Tailscale Subnet Routing, was genau das kann: Von einem Gerät im Heimnetz aus Zugriff auf alle anderen herstellen. Kann auch noch einige DNS-Magic, aber da wird es komplex.

 

[JerryCurwen]

D.h., per Default gelangen Geräte im WireGuard-Subnetz nur auf die Oberfläche des Routers und ins Internet, und du musst den Zugriff aufs Heimnetz explizit erlauben!? Haben sie denn einen eigenen IP-Adressbereich (vermutlich ja)?

@grünerbert Per Default werden externe Zonen erst mal für den eingehenden Verkehr geblockt (außer es sind Antwortpakete aus den internen Zonen, logischerweise). Somit auch meine erstellte WireGuard Server / VPS Client Verbindung vom Unifi Gateway. Da dies eine "Client" VPN Verbindung vom Unifi Gateway zum VPS ist, gehört diese mit zu den externen Zonen. Mann muss explizit eine Firewall Regel erstellen die einen Zugriff auf ausgewählte interne Netze erlaubt. Ich habe hier eine erstellt in der nur das von mir gewählte WireGuard Netzwerk vom VPS Zugriff erhält. Den Zugriff auf das Gateway / Router muss man noch mal separat gewähren.

Vielleicht musst du eine statische Route vom WireGuard- ins Heim-Subnetz setzen?

Ich habe mich mal weiter schlau gemacht und das geht nicht ohne weiteres, bzw. komplizierter Wege. Da ich das Unifi Gateway als DNS Server verwende, erhält der VPN Client nicht ohne weiteres Zugriff auf den eigenen DNS Server des Unifi Gateways. Das könnte ich am einfachsten z. B. mit einem AdGuard DNS Server im Heimnetz umgehen.

Ansonsten klingt dein Szenario wie der ideale Anwendungsfall für Tailscale Subnet Routing, was genau das kann:

Ich hadere immer noch mit mir und Tailscale. Ich weiß nicht warum?!: meine Gedanken dazu sind:

• Wie einfach kann ein Angreifer, der an meinen Tailscale Account kommt, eine Verbindung in mein Heimnetz aufbauen (gibt es hier passendes Monitoring?)
  Da ich mein Smarthome über VPN erreichen will ist es schon eine sensible Verbindung
• Wie kompliziert wird Tailscale für mich und wie schnell kann ich versehentlich falsche Einstellungen in Tailscale vornehmen, die meine Nutzung und die Verbindungen unsicher machen?
• Ich mache mich abhängig von einem Anbieter... (Allgemein gesprochen: sollte er wiedererwartend zukünftig den Dienst einstellen oder kostenpflichtig machen)
• Wie hoch ist die Einarbeitung in Tailscale?!: Ich habe mir die Dokumentation angesehen und hier wird das Ganze fachliche eben nur auf englisch erklärt. Ich möchte da nichts falsch machen.

Ja, ich denke immer wieder darüber nach auch Tailscale einzusetzen. Gerne erst mal als Fallback und später vielleicht als Hauptlösung?! Ich nutze z. B. Unraid für meine beiden Heimserver und auch hier wird Tailscale ja supportet und unterstützt, ja sogar von einigen bekannteren Usern aus der Community empfohlen.

 

[grünerbert]

das geht nicht ohne weiteres, bzw. komplizierter Wege.

Statische Route ist in der Fritzbox sehr einfach, siehe Punkt 4.3

Das könnte ich am einfachsten z. B. mit einem AdGuard DNS Server im Heimnetz umgehen.

Dachte, du hättest sowas bereits. Den könntest du easy auf deinem Unraid-Server installieren. Damit hast du sowohl Werbeblocker als auch DoH.

der an meinen Tailscale Account kommt

Dafür sicherst du natürlich deinen Tailscale-Account mit 2FA ab. Aber ja: Jemand, der Zugriff auf deinen Account bekäme, könnte relativ schnell weitere Geräte hinzufügen. Sicherlich hast du in deinem LAN/Wireguard-Netz/Tailnet nicht alle Dienste offen stehen!? Selbst für SSH/SMB usw. nimmst du doch mindestens Passwortschutz!?

Wie kompliziert wird Tailscale für mich und wie schnell kann ich versehentlich falsche Einstellungen in Tailscale vornehmen

Ist recht einfach und falsche Einstellungen vorzunehmen ist schwer. 😉Höchstens beim DNS, aber das wäre kein Einfallstor für Angreifer

Ich mache mich abhängig von einem Anbieter...

Du kannst headscale auf deinem VPS selbst hosten, dann bist du unabhängiger von amerikanischen Tech-Konzernen. Aber dann bräuchtest du am besten eine Domain für HTTPS usw., ist also deutlich technischer und komplexer als die SaaS-Variante.

Wie hoch ist die Einarbeitung in Tailscale?!:

Gering, aber wenn du mit englischsprachiger Dokumentation nicht zurechtkommst, könnte es mühsam werden, wenn du erst deutsche Übersetzungen oder Quellen suchen musst.
Ich sage ja nicht, dass Tailscale das Nonplusultra ist. Es hat wie jede Lösung Vor- und Nachteile. Manche Sachen macht es sehr gut und einfach, andere können auch nerven (z.B. DNS). Von daher: Wenn du mit der reinen Wireguard-Lösung zurecht kommst, brauchst du Tailscale nicht unbedingt. Es erleichtert einem einfach die Einrichtung insbesondere größerer Netze, wo Wireguard irgendwann viel "Handarbeit" erfordert. Und bietet solche Goodies wie Taildrop, Tailscale SSH, Funnel usw.