Ich verwende da eine ENA2:

https://www.enertex.de/d-ena.html

iGude,

es gibt z.b FIPBOX.
Ich selbst nutze am liebsten den S1(ab Juni) oder Ise Remonte Connect.
Bei Sparbrötchen Kunden, wird ein Rpi mit OpenVPN hingestellt, der sich Remote zu mir connected und ein Reverse Tunnel möglich macht.

Wenn es gratis sein soll...

ZeroTier

Da spart man sich das Krüppel-OpenVPN-Protokoll.

Jedoch muss ein Zerotier-fähiges Gerät 24/7 laufen. Es gibt einige Router, wie z.B. Mikrotik, welche das von Haus aus können... ansonsten halt einfach nen RPi als Bridge nutzen. Da gibt es genügend Anleitungen im Internet...

wie z.B. https://zerotier.atlassian.net/wiki/...+a+RaspberryPi

Erfahrungen?
Ja deutlich schneller und einfacher als diese "Remote-OpenVPN-Server-Geschichten". 50 Geräte sind kostenfrei, wer mehr will, muss halt zahlen. Apps gibt es für iOS und Android.


Bei vielen OpenVPN-Remote-Diensten wird zusätzlich Geld verlangt,
siehe z.B. diese FIPBOX Geschichte von larsrosen

D.h. wenn du mehrere Geräte , mehrere Ports , whatever hast, entstehen da anscheinend sehr schnell unüberschaubare Kosten... generell muss ich sagen, dass die meiner Meinung nach ein sehr komisches Abo-Modell mit undurchsichtiger Preisliste haben

....

Das Wording von diesen Enertex Leuten finde ich auch etwas komisch...



Wo soll denn angeblich der Unterschied sein zwischen einer Cloud (Server im Rechenzentrum) und einem Relais-Server (Server im Rechenzentrum) ? In beiden fällen wird wohl der Traffic über einen dritten geleitet, es sei denn die benutzen UDP Hole Punching. Trotzdem bin ich in beiden Fällen von einer dritten Partei abhängig.

Die traurige Realität ist, dass man bei Kommunikation über das Internet von mehr als nur einer dritten Partei abhängig ist.

Nein, für die Verbindung über den Relais-Server wird TCP verwendet.

Weder Cloud- noch Relais-Server haben eine klare Definition. Mit Cloud verbindet man irgendeine Form der Verarbeitung auf dem Server, und sei es nur Berechtigungsprüfung. Die Verbindung ist dabei (hoffentlich) mit TLS geschützt, endet aber auf dem Server - sowohl für das mobile Gerät als auch für das Gerät daheim. Der Server ist also ein lohnenswertes Angriffsziel.

Bei der Bezeichnung als Relais-Server haben wir uns an Funk-Relaisstationen orientiert, also an der Weiterleitung ohne weitere Verarbeitung. Die VPN-Verbindung ist auch bei Weiterleitung über den Relais-Server durchgängig und der Relais-Server damit nur noch ein weiterer Weiterleitungsknoten.

Falls du eine (halbwegs aktuelle) Fritzbox nutzt: in der aktuellen Beta ist bereits Wireguard implementiert, was über den IPv6-VPN-Tunnel auch Zugriff auf ipv4 Geräte im eigenen Netz erlauben soll. Probiert habe ich es noch nicht…und wann die Beta zur finalen Version wird weiß ich auch nicht.

bei mir habe ich das auch über eine separate Linux-VM (alternativ RPI) hinter der Fritzbox gelöst, auf der OpenVPN läuft. Und ein Portmapper von fipbox. Ist aber etwas Einrichtungsaufwand…

Habe ich hier auch.
Funktioniert ganz normal indem ich mich mit der IPv6 eines Geräts in meinem Netzwerk verbinde.
Ist sogar einfacher als beim ipv4. Und spart sich das portforwarding da ja jedes Gerät eine öffentliche IP hat.
Man muss allerdings im Router durchaus einstellen dass der Zugriff von extern auf dieses Gerät möglich ist.

Ansonsten ist alles wie bei IPv4.

Gruß, Hendrik

Welchen Router bekommst du den vom Glasfaseranbieter?
Mit der Fritzbox mit der neuen FW sollte es mit Wireguard (wie bereits oben geschrieben) einfach mit IPV6 gehen.

Ich habe auch einen DSL-Lite Anschluß. Ich nutze daran eine OPNSense mit Wireguard, darüber mache ich direkt IPV6.

Sollte ich von extern mal IPv4 benötigen nutze ich einen 1€ vServer bei einem Onlineanbieter mit einer festen IPV4 und IPV6 und route das mit 6tunnel von IPv4 mit Port, auf eine IPv6 IP von mir um.
Ist eigentlich nur ein Einzeiler, wenn das OS läuft. --> schaut dann z.B. so aus:
6tunnel 80 2001:4860:0:2001::68 80

Grüße
Jens

Prinzipiell ist es egal, ob du IPv4 oder IPv6 am WAN-Port anliegen hast, oder beides.
Den VPN-Tunnel kannst du mit IPv4 oder mit IPv6 aufbauen, wobei ich meine mich zu erinnern, dass FritzBoxen kein IPSec mit IPv6 können, aber da bin ich mir nicht sicher.
Das mit dem VPN-Tunnel ist die empfehlenswerteste Variante und klappt auch bei wechselnden IPv6 Präfixes mit einem Anbieter für dynamisches DNS.

Ein paar Hinweise für stitch84 dazu:
1. das klappt so nur, wenn dir dein Anbieter ein fixes IPv6 Präfix zuweist. Wenn dieser sich ändert, wie z. B. bei O2, dann klappt das nicht, bzw. nur sehr umständlich, weil du dann die Adresse immer "zusammensetzten" musst (zugewiesener Präfix + int. Netz + Adresse deines Gerätes, wobei sich die letzten beiden Elemente nicht verändern).
2. Wenn du Zugriffe vom www auf dein internes Netz erlaubst, dann muss du die Quelle des Zugriffs so weit einschränken wie nur möglich. Alle Geräte haben Sicherheitslücken, wenn keine für ein Gerät bekannt ist, dann heißt das nur, dass sie noch nicht entdeckt wurde oder nicht veröffentlicht wurde. Insbesondere im IoT-Bereich sieht es echt gruselig mit der Sicherheit aus.
Daher lieber VPN verwenden, sofern möglich, weil das das Risiko auf ein einzelnes Protokoll reduzierst.
Sollte ein offener Firewallport für den Zugriff auf ein Gerät erforderlich sein und du möchtest nicht, dass dir ein Angreifer potenziell deine ganze Hütte lahmlegt, dann muss das Teil in die DMZ. Ist dir "DMZ" aus der Netzwerktechnik kein Begriff, dann verwende VPN und lass es lieber mit offenen Firewallports.

Du meinst bei sicherheitsorientierten Kunden? Sofern korrekt konfiguriert sollte das wesentlich weniger Angriffsfläche als der S1 bieten.

Nirgends vermutlich... 😉

Ich denke, das wurde in https://knx-user-forum.de/forum/öffe...71#post1769071 erläutert.

Hallo,

Ja, da klingelt etwas.

... den man ja auch bei v4 braucht.


Das stimmt nur, wenn man den Router (die Fritzbox z.B.) das dyndns-Update machen lässt. Wenn man den DynDns-Client (ddclient, inadyn) auf dem Zielrechner des VPN (Server, Raspberry) laufen lässt, dann bekommt der dyndns-Anbieter auch genau dessen IPv6 Adresse.

Ja, wenn du zuhause einen Rechner hast zu dem du eine VPN Verbindung herstellen willst musst du entweder einen Port öffnen, oder du brauchst einen Vermittler im Internet (so machen das Teamviewer und co ja).

Gruß,
Hendrik

Ja, hast völlig Recht, sorry! An den Fall hatte ich nicht gedacht.
Dann muss man die Adresse natürlich nicht selber zusammenbasteln.

... was dann wieder dazu führt, dass dieser Rechner in der DMZ stehen muss, wenn man IT-Grundregeln befolgen möchte (Verbindungen vom www sollten niemals in einem geschützten LAN terminieren).

Diese Themen sind echt doof, weil für den Laien schwer konfigurierbar (z. B. Wissen fehlt, Router = Fritzbox, usw.). D. h. nachdem das ja nicht nur hier im Forum mit externen Portalen, Portfreigaben, usw. gehandhabt wird, besteht unsere IT-Sicherheitsarchitektur zu größten Teilen in der Hoffnung, dass nichts passieren wird, oder dass es einen anderen erwischt.
Und wenn dann irgendwelche ddos-Angriffe mit dem Router/IoT-Gerät/Whatever gefahren werden, dann bekommen das die meisten Leute nicht mal mit.

Sorry für das Grundsatzgeschwafel, aber in der Elektroinstallation gibt es Meisterzwang, aber in der IT nicht, und dann gibt es so Auswüchse, dass z. B. ein BHKW-Hersteller aus der Oberpfalz über Jahre seinen Kunden Portfreigaben einrichtet, mit VNC, mit Standardpasswort. Und das ist nur ein prominentes Beispiel unter vermutlich zehntausenden.

Daher nochmal für stitch84, der ja explizit nach einer VPN-Lösung gefragt hat, das geht auch mit IPv6 und einem Anbieter von dynamischen DNS, sofern du einen Router verwendest, der VPN mit IPv6 kann.
Portfreigaben oder Weiterleitungen solltest du meiden, wenn du mit dem Konzept einer DMZ und dem dazugehörigen Firewall-Regelwerk nicht vertraut bist. Mit einer Fritzbox lässt sich sowas nicht umsetzen.

Hallo,

ich denke, mit einem VPN auf der Fritzbox oder beim Raspi -stets aktuell gehalten- ist man schon sehr weit vorne.
DMZ ist sicher sicherer, aber im Privatbereich eher den IT Nerds vorbehalten.
Mir ist jetzt auch keine sicherheitslücke in OpenVPN und Co bekannt die dazu geführt hat dass man auf den Host einbrechen konnte.
Mag aber auch an mir vorbeigegangen sein.

Gruß Hendrik

Habe hier auch keine gesehen: https://www.cvedetails.com/vulnerabi...8/Openvpn.html (außer vielleicht etwas kompliziertere Authenticatin Bypass) aber, um mich selbst zu zitieren:
Wie viele Leute hätten denn vorher mit so massiven Lücken wie Shellshock, Heartbleed, Meltdown/Spectre, POODLE, KRACK, Log4j, usw. (um ein paar der prominentesten zu nennen, über die selbst in "normalen", also nicht technischen Medien detilliert berichtet wurde) gerechnet?

Als Konsequenz daraus: Angriffsflächen minimieren.