Verständnisfrage zu VPN
-
Hallo,
ich habe ioBroker, InfluxDB und Grafana auf einem NUC mit Debian installiert.
Im Heimnetz kann ich mit jedem Gerät (PC, Tablet, Handy) mittels Browser auf jede einzelne App zugreifen.Jetzt will ich auch außerhalb vom Heimnetz auf die Apps zugreifen können.
Als erstes habe ich RemoteDesktop (AnyDesk) über PC probiert. Funktioniert auch ziemlich gut.Als nächstes möchte ich VPN probieren.
Mein Router ist eine Vodafone Station am Kabelanschluss, keine Fritzbox.Also müsste ich unter Debian einen VPN-Server installieren?
VPN-Client ist in den Android-Geräten enthalten.Dann VPN-Verbindung aufbauen.
Dann kann ich wieder mit einem Browser auf die Apps zugreifen?
War‘s das, oder ist speziell für ioBroker noch mehr nötig? -
@hub01 Ich empfehle Wireguard, einfacher geht es kaum.
Damit die Verbindung zustande kommt, musst du im Router noch den notwendigen Port zum NUC freigeben.
Je nach Internetanschluss könnte das mit dem Gerät aber schwierig werden.
Lhttps://forum.vodafone.de/t5/Archiv-Internet-Ger%C3%A4te/Portfreigabe-an-der-Vodafone-Station/td-p/2228334 -
Und ich empfehle tailscale.
Baut auf wireguard auf, erspart dir aber das 'Gefummel'. -
@chrunchy sagte in Verständnisfrage zu VPN:
@hub01 Ich empfehle Wireguard, einfacher geht es kaum.
Damit die Verbindung zustande kommt, musst du im Router noch den notwendigen Port zum NUC freigeben.
.....Genau wegen so was frage ich erst hier nach.
Nur, warum braucht z.B. AnyDesk keine solche Portfreigabe?Nach dem Link würde es mit der Vodafone Station gar nicht gehen.
In den Einstellungen habe ich aber „Port-Forwarding“, „Port-Triggering“ und „IPv6 Host Exposure“ gefunden.
Geht es vielleicht damit? -
@thomas-braun sagte in Verständnisfrage zu VPN:
Und ich empfehle tailscale.
Baut auf wireguard auf, erspart dir aber das 'Gefummel'.Wollte es heute mal testen.
Ich finde es grade nicht so einfach, einen Server aufzusetzen der einen auch den Zugriff auf andere Geräte im LAN erlaubt.Auth Keys die ablaufen. Um das zu umgehen muss man Zugriffsrichlinien definieren in einer (für mich) recht komplexe Datei.
Schau ich mir nochmal an, wenn irgendwann Glasfaser im IPv6 liegt.
-
?
tailscale funktioniert doch genau ohne solche Klimmzüge?
Allerdings kann man das dann alles aber auch bei Bedarf im tailscale-Dashboard pro Client einstellen.
Expiry Dates hab ich z.B. mittlerweile auf 'never' gesetzt.SubNets kann man einrichten, ebenso wie MagicDNS.
So erreiche ich alle Geräte in meinem Heimnetz nahtlos. -
Das sieht für mich nach dem leichtesten weg aus.
https://login.tailscale.com/admin/machines/new-linux
Kann da aber nur 90 Tage nehmen oder diese Usererwaltung.
-
@chrunchy sagte in Verständnisfrage zu VPN:
@hub01 Ich empfehle Wireguard, einfacher geht es kaum.
Geht das mit dem vorhandenen VPN-Client von Android?
Da muss ich einen VPN-Typ auswählen.
PPTP, L2TP, IPSec, IKEv2 -
@hub01 sagte in Verständnisfrage zu VPN:
Nur, warum braucht z.B. AnyDesk keine solche Portfreigabe?
Weil das kein VPN ist. Beide Clients melden sich bei einem externen Server der die Verbindung verwaltet. Die Verbindung ist also nicht direkt sondern läuft über eine Zwischenstation. Und der muss man vertrauen.
-
@dr-bakterius
Wenn ich dich richtig verstehe, hat AnyDesk einen externen Server irgendwo im Internet, ähnlich wie eine Cloud.
Das heißt, ein Client kommt zwar ohne Portfreigabe ins Internet und zum externen Server,
aber vom Internet zum lokalen Server braucht man die Portfreigabe. -
@hub01 sagte in Verständnisfrage zu VPN:
@chrunchy sagte in Verständnisfrage zu VPN:
@hub01 Ich empfehle Wireguard, einfacher geht es kaum.
Geht das mit dem vorhandenen VPN-Client von Android?
Da muss ich einen VPN-Typ auswählen.
PPTP, L2TP, IPSec, IKEv2Es gibt eine Wireguard App.
Neue Verbindungen kannst du dort entweder per Config-Fule eintragen, oder einfach den angezeiten QR-Code vom Server abscannen. -
-
Bildlink ist tot.
Ich lese mich mal Noch was ein.
Glaube aber, nicht alles was ich mit WireGuard mache mit Tailscale umsetzen zu können. -
@hub01 Meinst du, du tust dir einen Gefallen wenn du etwas so sicherheitsrelevantes mit deinem jetzigen Wissen versuchst selbst aufzusetzen?
-
@homoran
Dachte nicht, dass das so schwierig wird.
VPN zum Firmennetz wurde zwar von der IT eingerichtet, aber da wurde auch keine Portfreigabe gemacht.Welches Sicherheitsrisiko besteht?
Wenn nur der NUC betroffen wäre, dann würde ich dadurch lernen.
Wenn aber auch andere Geräte im Netzwerk betroffen sind, muss ich nach einer Alternative schauen.
Was gäbe es für Möglichkeiten, speziell für Android?
ev. die ioBroker App, aber wegen InfluxDB und Grafana? -
@hub01 sagte in Verständnisfrage zu VPN:
Welches Sicherheitsrisiko besteht?
dass dein Netzwerk bei Fehlkonfiguration von jedem aus dem Internet erreichbar wird
-
@chrunchy sagte in Verständnisfrage zu VPN:
Je nach Internetanschluss könnte das mit dem Gerät aber schwierig werden.
https://forum.vodafone.de/t5/Archiv-Internet-Geräte/Portfreigabe-an-der-Vodafone-Station/td-p/2228334Um das man etwas spezifischer Auszudrücken: Falls Dein Internetanschluss nur DS-Lite bietet (also die Vodafone Station keine öffentliche IPv4 Adresse hat), wird die Konfiguration deutlich schwieriger, da das Smartphone dann über einen IPv6 Wireguard Tunnel arbeiten muss...
Falls Du eine öffentliche IPv4 Adresse hast, muss Du noch schauen, wie Du einen Wechsel der öff. Adresse an Deine Endgeräte kommunizierst ... Da gibt es DynDNS Dienste
-
@martinp
Ich habe öffentliche IPv4 und IPv6 Adressen, sowie DNS IPv4 und DNS IPv6 Adressen (konnte nur nichts damit anfangen).
Aber das Ganze sollte universell bleiben, also auch noch funktionieren, falls mir z.B. die öffentliche Adresse genommen wird. -
@homoran sagte in Verständnisfrage zu VPN:
@hub01 sagte in Verständnisfrage zu VPN:
Welches Sicherheitsrisiko besteht?
dass dein Netzwerk bei Fehlkonfiguration von jedem aus dem Internet erreichbar wird
aber deswegen setze ich doch VPN ein?
-
@hub01 das VPN ist die eine Sache, die andere die Portfreigaben für das VPN.
Wenn man das Loch im Router größer macht, als nötig, bietet man Bösewichten mehr Angriffsfläche...
