Aufruf an alle ioBroker Benutzer bzgl. Portöffnungen
-
kann man die Fritzbox selbst anscheinend so einrichten, daß ALLES per VPN verschlüsselt wird, richtig? `
Die Verschlüsselung erfolgt zwischen VPN-Server und VPN-Client, also über das Internet.Man kann die Fritzbox so einrichten, dass die VPN-Verbindung nicht nur für den Zugang zum Heimnetz, sondern auch für den Zugang zum Internet verwendet werden kann. Dieser Umweg über die Fritzbox ist dann sinnvoll, wenn man sich in einem offenen WLAN in einen Internet-Account (z.B. email) einloggen will. Das ist ohne VPN potentiell gefährlich, da von Hackern mitlesbar.
-
Ich glaube, hier gibts ein paar grundsätzliche Verständnisprobleme …
Was macht DynDNS?
Wenn Dein Router sich mit dem Internet verbindet, bekommt er vom Provider eine IP-Adresse (sagen wir mal 79.1.2.3) . Viele Provider bieten für private Anschlüsse keine statischen (also festen) IP-Adressen an, sondern der Router bekommt diese beim Herstellen der Verbindung dynamisch zugeteilt.
Die Verbindung wird hier auch meist alle 24h zurück gesetzt und neu aufgebaut, damit bekommst Du (spätestens) alle 24h eine neue IP Adresse.
Damit Du nun Deinen Rechner aus dem Internet mit einer gleichbleibenden Adresse erreichen kannst, gibt es Dienste, denen der Router beim Aufbau der Verbindung die aktuelle IP-Adresse schicken kann, und diese dann entsprechend dem DNS (Domain Name Service) Protokoll aufgelöst. Diese Dienste können eben MyFritz, DynDNS oder auch was anderes sein.
Das heisst also, der Service löst einfach den gleichbleibenden Namen wie "abcdefgh.myfritz.de" zur aktuellen IP-Adresse (79.1.2.3) auf, und stellt damit für Deinen Computer im Internet eine gleichbleibende Adresse zur Verfügung.
Das heisst also, das DynDNS Gedöns hat nur was mit Erreichbarkeit zu tun. Mit der Security gar nix. Macht Euch übrigens keine Illusionen, die Hacker kennen die IP-Bereiche der Telekom und der anderen Provider und klappern die regelmäßig ab, Abschalten der DynDNS Namensauflösung bringt Euch sicherheitsmäßig nicht wesentlich vorwärts.
VPN (Virtual Private Network) erweitert dagegen das NETZWERK eines VPN Servers zum Client durch das Internet, und zwar verschlüsselt. Das bedeutet, mit einem etablierten VPN verhält sich z.B. das Handy (VPN Client) genau so, als ob es "lokal" im Netzwerk des Routers (VPN-Server) wäre, hat also Zugriff auf alle Ports etc.
Ganz sicher die eleganteste Lösung.
Damit die VPN Software des Client den Server überhaupt FINDET, braucht Sie die Adresse des Servers, und damit schlägt sich der Bogen zum DynDNS.
SSL bzw. TLS (Transport Layer Security) baut EBENFALLS einen verschlüsselten Kanal auf, aber halt nur für einen Port (der damit freigegeben sein muss). Das heisst erst mal nur, dass (in erster Näherung :)) die Kommunikation nicht belauscht werden kann. Ohne Authentisierung/Zugriffsschutz macht das natürlich keinen Sinn, kann zwar keiner zuhören, aber eh jeder kann rein
Für TLS braucht man ein Private/Public Key Paar, der Server hat den Private Key und kann sich damit ausweisen (sprich, man weiss mit wem man redet). Das Zertifikat ist der Public Key, den eine Zertifizierungsstelle unterschrieben und damit als vertrauenswürdig gekennzeichnet hat (z.B. Lets Encrypt).
Grundsätzlich ist für mich ein authentisierter Zugang über TLS schon ok (im Grunde funktioniert das halbe Internet so ...), aber man muss schon bisschen aufpassen was man da macht, d.h. sicherstellen, dass ein eigenes Schlüsselpaar verwendet wird, das Zertifikat überprüfen und vor allem sicher authentisieren (mindestens sicheres Passwort bei Basic auth).
Ich hoff, dass bringt ein bisschen Licht ins Dunkel der Begriffe
-
Das ist der Fall! Habe eine 6490 Cable (inkl. IPv4). Gibt es dazu eine Anleitung irgendwo? `
-
@ paul53 & dwm:
Vielen Dank für Eure Erklärungen! Ich denke, das ganz grundlegende Prinzip von VPN und DynDNS ist mir jetzt einigermaßen klar geworden und selbst die SSL/TLS-Geschichte ist jetzt deutlich besser verständlich.
Zwei "große Themenkomplexe" habe ich jedoch auch jetzt noch nicht vollends verstanden - seht es mir bitte nach!
- Wenn ich das grundsätzliche Prinzip, bis hier hin zumindest, richtig verstanden habe, ist die Fritzbox der Knotenpunkt/Vermittler (Host?) und alle Geräte, die auf meine Fritzbox oder das Heimnetzwerk samt Geräten zugreifen wollen bzw. für Dritte (insbesondere von außerhalb meines Heimnetzwerks) erreichbar sein sollen, sind die Clients. Die Clients brauchen allesamt eine Fritz-VPN-Software, um mit der Fritzbox reden zu können.
Ich kann also nicht darauf verzichten, auf meinem Server, dem normalen PC, dem Telefon usw. jeweils noch zusätzlich die VPN-Software von AVM zu installieren, damit diese über den Host (Fritzbox) per VPN ins Internet gehen bzw. von dort aus erreichbar sind, richtig?
Die Fritzbox selbst muß nur im MyFritz-Netzwerk angemeldet sein, sonst nichts weiter, richtig?
Wenn ich aber auch Zugriff von außen ermöglichen möchte, kommt wiederum DynDNS ins Spiel, damit das Gerät von außerhalb überhaupt weiß, welche IPv4 ich zu Hause z.Z. gerade habe. Und MyFritz, die Fritzbox selbst oder wer auch immer muß das aber irgendwie noch mitgeteilt bekommen - was bedeutet, daß ich das noch in der Fritzbox irgendwie einstellen muß? Oder wird das von dem Myfritz-Dienst direkt mit erledigt, also VPN UND DynDNS angeboten?
- Offenes WLAN und Fernzugriff: Was ich ebenfalls noch nicht ganz verstanden habe, ist die Variante offenes WLAN und Internet-Account (E-Mail-Konto) bzw. Zugang zum Heimnetz und/oder Internet.
Offenes WLAN bedeutet, soweit ich weiß, das WLAN in einem Hotel, Café o.ä. - von hier aus komme ich per MyFritz-App bereits auf meine Fritzbox drauf (das müßte dann die besagte VPN-Verbindung sein?), sodaß ich dort Einstellungen verändern, Anruflisten prüfen und auf Daten des dort angeschlossenen USB-Stick zugreifen kann. Auf die Daten innerhalb meines Heimnetzwerkes (z.B. NAS) komme ich (bislang) allerdings nicht.
Den Zusammenhang zwischen Internetzugriff (bpsw. E-Mail-Konto) und VPN in einem öffentlichen Netzwerk habe ich womöglich noch nicht so ganz begriffen: Heißt das, daß ich über das öffentliche WLAN eine Verbindung zur Fritzbox zu Hause aufbaue und dann über diesen Umweg/Vermittler erst mit meinem Telefon irgendwo in der Ferne ins Internet gehe? Das würde dann ja in etwa dem kleinen VPN-Programm entsprechen, das ich auf meinem PC (allerdings nur bei Bedarf) laufen lasse, nur daß die Kommunikation eben nicht über irgendwelche Server auf der Welt sondern stattdessen über meine heimische Fritzbox laufen würde.
Und, falls ja, trifft das dann auf alle Verbindungen zu, die ich von meinem Telefon aus aufbaue (also bspw. auch übers 4G-Netz oder aus dem Heimnetz eines Freundes, in das ich eingeloggt bin)?
@ wendy2702: Danke Dir! Ich denke, wenn meine obigen Fragen gekärt sind, komme ich mit diesen Anleitungen dann auch hoffentlich als "Nichtsblicker" endlich zum Ziel.
-
Als erstes: In unserem Fall wird VPN nur für externen Zugriff auf dein Heimnetzwerk benötigt.
Geräte die du nur Zuhause benutzt benötigen keine VPN SW und/oder konfiguration. Es sei den du willst/musst dich mit diesen Geräten in ein anderes Netzwerk verbinden z.B: Firmennetzwerk.
Alle Geräte mit denen du dich von irgendwo auf der Welt mit deinem Heimnetz verbinden willst benötigen eine VPN SW und/oder Konfiguration.
Für PCs gibt es auch von AVM ein VPN Programm welches im Bedarfsfall die Verbindung nach Hause aufbaut. Bei den meisten Smartphones und Tablets kann man das so konfigurieren.
Die Fritzbox selber ist das einzige Gerät welches Ständig bei dir zuhause ist an dem man DYNDNS und VPN einmalig konfigurieren muss.
DYNDNS kann myFritz sein oder ein anderer beliebiger DYNDNS Anbieter.
Wenn du aus einem z.B. offenen WLAN oder vom Internetzugang eines Freundes oder über das Mobilfunknetz schon per myFritz auf die Fritzbix kommst hast du das in der FB scheinbar schon konfiguriert. Eventuell dem Benutzer aber keine Rechte erteilt auch andere Geräte im Netzwerk zu erreichen.
Und ja, wenn du von irgendwo auf der Welt eine Verbindung per VPN zu deiner FB aufbaust läuft sämtliche Kommunikation in einem gesicherten Tunnel über deine FB.
Hier noch ein AVM Link: https://avm.de/service/vpn/uebersicht/
-
ist die Fritzbox der Knotenpunkt/Vermittler (Host?) und alle Geräte, die auf meine Fritzbox oder das Heimnetzwerk samt Geräten zugreifen wollen bzw. für Dritte (insbesondere von außerhalb meines Heimnetzwerks) erreichbar sein sollen, sind die Clients.
Die Fritzbox ist der VPN-Server und alle Geräte, die von außen auf das Heimnetzwerk zugreifen wollen, benötigen einen VPN-Clienten.
Die Clients brauchen allesamt eine Fritz-VPN-Software, um mit der Fritzbox reden zu können.
Nein, die Fritz-VPN-Software "Fritz!Fernzugang" benötigen nur unterwegs genutzte PCs (Notebooks), da diese nicht standardmäßig einen passenden VPN-Clienten installiert haben. Smartphones haben i.d.R. bereits einen VPN-Clienten installiert. Der muss nur für den Fritzbox-VPN-Zugang konfiguriert werden (s. Anleitung).
Ich kann also nicht darauf verzichten, auf meinem Server, dem normalen PC, dem Telefon usw. jeweils noch zusätzlich die VPN-Software von AVM zu installieren, damit diese über den Host (Fritzbox) per VPN ins Internet gehen bzw. von dort aus erreichbar sind, richtig?
Falsch. Die Geräte im Heimnetz benötigen <u>keine</u> VPN-Software.
Die Fritzbox selbst muß nur im MyFritz-Netzwerk angemeldet sein, sonst nichts weiter, richtig?
Die Fritzbox muss beim MyFritz-Dienst angemeldet sein und der VPN-Server muss in der Fritzbox eingerichtet sein.
Wenn ich aber auch Zugriff von außen ermöglichen möchte, kommt wiederum DynDNS ins Spiel, damit das Gerät von außerhalb überhaupt weiß, welche IPv4 ich zu Hause z.Z. gerade habe.
Das erledigt der MyFritz-Dienst.
was bedeutet, daß ich das noch in der Fritzbox irgendwie einstellen muß? Oder wird das von dem Myfritz-Dienst direkt mit erledigt, also VPN UND DynDNS angeboten?
Die Angaben zum MyFritz-Konto werden beim Einrichten des VPN-Servers gemacht.
Offenes WLAN bedeutet, soweit ich weiß, das WLAN in einem Hotel, Café o.ä. - von hier aus komme ich per MyFritz-App bereits auf meine Fritzbox drauf (das müßte dann die besagte VPN-Verbindung sein?), sodaß ich dort Einstellungen verändern, Anruflisten prüfen und auf Daten des dort angeschlossenen USB-Stick zugreifen kann. Auf die Daten innerhalb meines Heimnetzwerkes (z.B. NAS) komme ich (bislang) allerdings nicht.
Das ist der "MyFRITZ!-Internetzugriff" über HTTPS, der nichts mit VPN zu tun hat.
trifft das dann auf alle Verbindungen zu, die ich von meinem Telefon aus aufbaue (also bspw. auch übers 4G-Netz oder aus dem Heimnetz eines Freundes, in das ich eingeloggt bin)?
Verbindungen über LTE sind recht sicher, so dass kein VPN benötigt wird. Ob Du bei Nutzung des Heimnetzes Deines Freundes VPN aktivieren solltest, hängt davon ab, wie das WLAN gesichert ist (mind. WPA2).
-
Hallo Zusammen,
das Thema ist zwar schon etwas alt, für mich gerade jedoch sehr aktuell. Ich habe mir kürzlich einen Raspberry Pi zugelegt um dort iobroker drauf laufen zu lassen, worauf ich gerne mittels VPN zugreifen würde. Das Problem ist jedoch die leidige DS-Lite Thematik, zu der es ja auch einige Videos gibt, jedoch klappt das entweder alles für mich nicht oder ich bin schlicht und ergreifen zu blöd es umzusetzen. Ich habe diverse Services wie zB No-ip probiert, jedoch komme ich einfach nicht mittels VPN in mein Heimnetz rein. Auch über Wireguard funktioniert es nicht, wobei man hier ja einfach nur ein paar simple automatische Schritte durchläuft.
Gibt es inzwischen eine "funktionierende" Anleitung?
-
Mit DSL Lite kenne ich mich nicht aus.
Fürs Handy habe ich VPNcilla.
Und auf der Fritzbox einen Benutzer für VPN eingerichtet.
Klappt 1a und immer zuverlässig. -
@haselchen
Ich mein nicht DSL Lite sondern DS Lite. Also quasi ohne öffentliche IPv4 Adresse. -
@daniel1to falls fritzbox installiert
tasker muss man nicht nutzen - vpncilla kann auch von hand geöffnet werden und dann ein browser
für die config von vpncilla und fritzbox - google ! -
Gibt es auch eine Funktion mit der man den vis Editor intern mit einem Passwort schützen kann. Aber die eigentliche vis nicht? Weil die admin Oberfläche kann man ja auch per Passwort schützen. Es geht mir darum das ich den Editor gerne mit einem Passwort versehen möchte um "Manipulation" zu vermeiden.
