Ankündigung

Einklappen
Keine Ankündigung bisher.

VPN mit DS-Lite: hat jemand eine Idee?

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    VPN mit DS-Lite: hat jemand eine Idee?

    Ich hab mal eine Frage an die Netzwerkexperten hier.
    Wir haben im Neubau einen Glasfaser-Anschluss und bekommen von unserem Provider keine klassische IPv4 Adresse mehr, sondern so einen hübschen DS-Lite.
    Soweit ich weiß ist es mit diesem Setup nicht ohne weiteres möglich eine VPN Verbindung einzurichten.

    Ich persönlich habe bislang nur Erfahrung mit VPN Verbindungen, die mit einer klassischen IPv4 Adresse und entsprechend geöffnetem Port funktionieren.

    Ich frage mich, welche Alternative ich habe. Gibt es vielleicht einen VPN Anbieter, dessen Software ich hinter dem Router/Firewall laufen lassen kann und der mir dann über einen seinen Server eine gesicherte Verbindung in mein Netzwerk herstellen kann?
    Hat hier jemand eventuell Erfahrungen damit gemacht?

    #2
    Ich verwende da eine ENA2:

    https://www.enertex.de/d-ena.html
    Gruß Matthias
    EIB übersetzt meine Frau mit "Ehepaar Ist Beschäftigt"
    Meine Homepage - PN nur für PERSÖNLICHES!

    Kommentar


      #3
      iGude,

      es gibt z.b FIPBOX.
      Ich selbst nutze am liebsten den S1(ab Juni) oder Ise Remonte Connect.
      Bei Sparbrötchen Kunden, wird ein Rpi mit OpenVPN hingestellt, der sich Remote zu mir connected und ein Reverse Tunnel möglich macht.
      Elektroinstallation-Rosenberg
      -Systemintegration-
      Planung, Ausführung, Bauherren Unterstützung
      http://www.knx-haus.com

      Kommentar


        #4
        Wenn es gratis sein soll...

        ZeroTier

        Da spart man sich das Krüppel-OpenVPN-Protokoll.

        Jedoch muss ein Zerotier-fähiges Gerät 24/7 laufen. Es gibt einige Router, wie z.B. Mikrotik, welche das von Haus aus können... ansonsten halt einfach nen RPi als Bridge nutzen. Da gibt es genügend Anleitungen im Internet...

        wie z.B. https://zerotier.atlassian.net/wiki/...+a+RaspberryPi

        Erfahrungen?
        Ja deutlich schneller und einfacher als diese "Remote-OpenVPN-Server-Geschichten". 50 Geräte sind kostenfrei, wer mehr will, muss halt zahlen. Apps gibt es für iOS und Android.


        Bei vielen OpenVPN-Remote-Diensten wird zusätzlich Geld verlangt,
        siehe z.B. diese FIPBOX Geschichte von larsrosen

        Was sind Credits?
        Credits sind die digitale Währung auf feste-ip.net.
        Pro Tag und Hostname bzw. Portmapper wird ein Credit benötigt.
        Sie können über mehrere Zahlungswege verschiedene Creditpakete erwerben.
        365 Credits (ein Hostname für ein Jahr) kosten 4,95EUR.
        D.h. wenn du mehrere Geräte , mehrere Ports , whatever hast, entstehen da anscheinend sehr schnell unüberschaubare Kosten... generell muss ich sagen, dass die meiner Meinung nach ein sehr komisches Abo-Modell mit undurchsichtiger Preisliste haben

        ....

        Das Wording von diesen Enertex Leuten finde ich auch etwas komisch...

        Die ENA² setzt nicht auf die „Cloud“, sondern belässt Ihnen die Kontrolle. Der von Enertex kostenlos angebotene und optional verwendbare „Relais-Server“ macht Sie unabhängig von der Art Ihres Internetanschlusses (IPv4, IPv6, DS-Lite) und erspart die Router-Konfiguration. Dabei werden Ihre Ende-zu-Ende verschlüsselten Daten lediglich weitergeleitet. Über KNX-Gruppentelegramme kann gesteuert werden, welcher Benutzer sich aus der Ferne einwählen darf.


        Wo soll denn angeblich der Unterschied sein zwischen einer Cloud (Server im Rechenzentrum) und einem Relais-Server (Server im Rechenzentrum) ? In beiden fällen wird wohl der Traffic über einen dritten geleitet, es sei denn die benutzen UDP Hole Punching. Trotzdem bin ich in beiden Fällen von einer dritten Partei abhängig.
        Zuletzt geändert von starlight2k; 19.05.2022, 09:27.

        Kommentar


          #5
          Zitat von starlight2k Beitrag anzeigen
          Trotzdem bin ich in beiden Fällen von einer dritten Partei abhängig.
          Die traurige Realität ist, dass man bei Kommunikation über das Internet von mehr als nur einer dritten Partei abhängig ist.

          Zitat von starlight2k Beitrag anzeigen
          UDP Hole Punching
          Nein, für die Verbindung über den Relais-Server wird TCP verwendet.

          Weder Cloud- noch Relais-Server haben eine klare Definition. Mit Cloud verbindet man irgendeine Form der Verarbeitung auf dem Server, und sei es nur Berechtigungsprüfung. Die Verbindung ist dabei (hoffentlich) mit TLS geschützt, endet aber auf dem Server - sowohl für das mobile Gerät als auch für das Gerät daheim. Der Server ist also ein lohnenswertes Angriffsziel.

          Bei der Bezeichnung als Relais-Server haben wir uns an Funk-Relaisstationen orientiert, also an der Weiterleitung ohne weitere Verarbeitung. Die VPN-Verbindung ist auch bei Weiterleitung über den Relais-Server durchgängig und der Relais-Server damit nur noch ein weiterer Weiterleitungsknoten.

          Kommentar


            #6
            Falls du eine (halbwegs aktuelle) Fritzbox nutzt: in der aktuellen Beta ist bereits Wireguard implementiert, was über den IPv6-VPN-Tunnel auch Zugriff auf ipv4 Geräte im eigenen Netz erlauben soll. Probiert habe ich es noch nicht…und wann die Beta zur finalen Version wird weiß ich auch nicht.

            bei mir habe ich das auch über eine separate Linux-VM (alternativ RPI) hinter der Fritzbox gelöst, auf der OpenVPN läuft. Und ein Portmapper von fipbox. Ist aber etwas Einrichtungsaufwand…
            Zuletzt geändert von jaydee73; 19.05.2022, 22:35.

            Kommentar


              #7
              Zitat von stitch84 Beitrag anzeigen
              Ich hab mal eine Frage an die Netzwerkexperten hier.
              Wir haben im Neubau einen Glasfaser-Anschluss und bekommen von unserem Provider keine klassische IPv4 Adresse mehr, sondern so einen hübschen DS-Lite.
              Habe ich hier auch.
              Funktioniert ganz normal indem ich mich mit der IPv6 eines Geräts in meinem Netzwerk verbinde.
              Ist sogar einfacher als beim ipv4. Und spart sich das portforwarding da ja jedes Gerät eine öffentliche IP hat.
              Man muss allerdings im Router durchaus einstellen dass der Zugriff von extern auf dieses Gerät möglich ist.

              Ansonsten ist alles wie bei IPv4.

              Gruß, Hendrik

              Kommentar


                #8
                Welchen Router bekommst du den vom Glasfaseranbieter?
                Mit der Fritzbox mit der neuen FW sollte es mit Wireguard (wie bereits oben geschrieben) einfach mit IPV6 gehen.

                Ich habe auch einen DSL-Lite Anschluß. Ich nutze daran eine OPNSense mit Wireguard, darüber mache ich direkt IPV6.

                Sollte ich von extern mal IPv4 benötigen nutze ich einen 1€ vServer bei einem Onlineanbieter mit einer festen IPV4 und IPV6 und route das mit 6tunnel von IPv4 mit Port, auf eine IPv6 IP von mir um.
                Ist eigentlich nur ein Einzeiler, wenn das OS läuft. --> schaut dann z.B. so aus:
                6tunnel 80 2001:4860:0:2001::68 80

                Grüße
                Jens

                Kommentar


                  #9
                  Prinzipiell ist es egal, ob du IPv4 oder IPv6 am WAN-Port anliegen hast, oder beides.
                  Den VPN-Tunnel kannst du mit IPv4 oder mit IPv6 aufbauen, wobei ich meine mich zu erinnern, dass FritzBoxen kein IPSec mit IPv6 können, aber da bin ich mir nicht sicher.
                  Das mit dem VPN-Tunnel ist die empfehlenswerteste Variante und klappt auch bei wechselnden IPv6 Präfixes mit einem Anbieter für dynamisches DNS.

                  Zitat von henfri Beitrag anzeigen
                  Habe ich hier auch.
                  Funktioniert ganz normal indem ich mich mit der IPv6 eines Geräts in meinem Netzwerk verbinde.
                  Ist sogar einfacher als beim ipv4. Und spart sich das portforwarding da ja jedes Gerät eine öffentliche IP hat.
                  Ein paar Hinweise für stitch84 dazu:
                  1. das klappt so nur, wenn dir dein Anbieter ein fixes IPv6 Präfix zuweist. Wenn dieser sich ändert, wie z. B. bei O2, dann klappt das nicht, bzw. nur sehr umständlich, weil du dann die Adresse immer "zusammensetzten" musst (zugewiesener Präfix + int. Netz + Adresse deines Gerätes, wobei sich die letzten beiden Elemente nicht verändern).
                  2. Wenn du Zugriffe vom www auf dein internes Netz erlaubst, dann muss du die Quelle des Zugriffs so weit einschränken wie nur möglich. Alle Geräte haben Sicherheitslücken, wenn keine für ein Gerät bekannt ist, dann heißt das nur, dass sie noch nicht entdeckt wurde oder nicht veröffentlicht wurde. Insbesondere im IoT-Bereich sieht es echt gruselig mit der Sicherheit aus.
                  Daher lieber VPN verwenden, sofern möglich, weil das das Risiko auf ein einzelnes Protokoll reduzierst.
                  Sollte ein offener Firewallport für den Zugriff auf ein Gerät erforderlich sein und du möchtest nicht, dass dir ein Angreifer potenziell deine ganze Hütte lahmlegt, dann muss das Teil in die DMZ. Ist dir "DMZ" aus der Netzwerktechnik kein Begriff, dann verwende VPN und lass es lieber mit offenen Firewallports.

                  Zitat von larsrosen Beitrag anzeigen
                  Bei Sparbrötchen Kunden, wird ein Rpi mit OpenVPN hingestellt, der sich Remote zu mir connected und ein Reverse Tunnel möglich macht.
                  Du meinst bei sicherheitsorientierten Kunden? Sofern korrekt konfiguriert sollte das wesentlich weniger Angriffsfläche als der S1 bieten.

                  Zitat von starlight2k Beitrag anzeigen
                  Wo soll denn angeblich der Unterschied sein zwischen einer Cloud (Server im Rechenzentrum) und einem Relais-Server (Server im Rechenzentrum) ?
                  Nirgends vermutlich... 😉
                  Zuletzt geändert von Goldsmith; 20.05.2022, 12:18.

                  Kommentar


                    #10
                    Zitat von Goldsmith Beitrag anzeigen
                    Nirgends vermutlich... 😉
                    Ich denke, das wurde in https://knx-user-forum.de/forum/öffe...71#post1769071 erläutert.
                    offizielles Supportforum für den Enertex® EibPC: https://knx-user-forum.de/eibpc/
                    Enertex Produkte kaufen

                    Kommentar


                      #11
                      Hallo,

                      Zitat von Goldsmith Beitrag anzeigen
                      Den VPN-Tunnel kannst du mit IPv4 oder mit IPv6 aufbauen, wobei ich meine mich zu erinnern, dass FritzBoxen kein IPSec mit IPv6 können, aber da bin ich mir nicht sicher.
                      Ja, da klingelt etwas.

                      Zitat von Goldsmith Beitrag anzeigen
                      Das mit dem VPN-Tunnel ist die empfehlenswerteste Variante und klappt auch bei wechselnden IPv6 Präfixes mit einem Anbieter für dynamisches DNS.
                      ... den man ja auch bei v4 braucht.


                      Zitat von Goldsmith Beitrag anzeigen
                      Ein paar Hinweise für stitch84 dazu:
                      1. das klappt so nur, wenn dir dein Anbieter ein fixes IPv6 Präfix zuweist. Wenn dieser sich ändert, wie z. B. bei O2, dann klappt das nicht, bzw. nur sehr umständlich, weil du dann die Adresse immer "zusammensetzten" musst (zugewiesener Präfix + int. Netz + Adresse deines Gerätes, wobei sich die letzten beiden Elemente nicht verändern).
                      Das stimmt nur, wenn man den Router (die Fritzbox z.B.) das dyndns-Update machen lässt. Wenn man den DynDns-Client (ddclient, inadyn) auf dem Zielrechner des VPN (Server, Raspberry) laufen lässt, dann bekommt der dyndns-Anbieter auch genau dessen IPv6 Adresse.

                      Zitat von Goldsmith Beitrag anzeigen
                      Daher lieber VPN verwenden, sofern möglich, weil das das Risiko auf ein einzelnes Protokoll reduzierst.
                      Ja, wenn du zuhause einen Rechner hast zu dem du eine VPN Verbindung herstellen willst musst du entweder einen Port öffnen, oder du brauchst einen Vermittler im Internet (so machen das Teamviewer und co ja).

                      Gruß,
                      Hendrik

                      Kommentar


                        #12
                        Zitat von henfri Beitrag anzeigen
                        Wenn man den DynDns-Client (ddclient, inadyn) auf dem Zielrechner des VPN (Server, Raspberry) laufen lässt, dann bekommt der dyndns-Anbieter auch genau dessen IPv6 Adresse.
                        Ja, hast völlig Recht, sorry! An den Fall hatte ich nicht gedacht.
                        Dann muss man die Adresse natürlich nicht selber zusammenbasteln.

                        Zitat von henfri Beitrag anzeigen
                        Ja, wenn du zuhause einen Rechner hast zu dem du eine VPN Verbindung herstellen willst musst du entweder einen Port öffnen
                        ... was dann wieder dazu führt, dass dieser Rechner in der DMZ stehen muss, wenn man IT-Grundregeln befolgen möchte (Verbindungen vom www sollten niemals in einem geschützten LAN terminieren).

                        Diese Themen sind echt doof, weil für den Laien schwer konfigurierbar (z. B. Wissen fehlt, Router = Fritzbox, usw.). D. h. nachdem das ja nicht nur hier im Forum mit externen Portalen, Portfreigaben, usw. gehandhabt wird, besteht unsere IT-Sicherheitsarchitektur zu größten Teilen in der Hoffnung, dass nichts passieren wird, oder dass es einen anderen erwischt.
                        Und wenn dann irgendwelche ddos-Angriffe mit dem Router/IoT-Gerät/Whatever gefahren werden, dann bekommen das die meisten Leute nicht mal mit.

                        Sorry für das Grundsatzgeschwafel, aber in der Elektroinstallation gibt es Meisterzwang, aber in der IT nicht, und dann gibt es so Auswüchse, dass z. B. ein BHKW-Hersteller aus der Oberpfalz über Jahre seinen Kunden Portfreigaben einrichtet, mit VNC, mit Standardpasswort. Und das ist nur ein prominentes Beispiel unter vermutlich zehntausenden.

                        Daher nochmal für stitch84, der ja explizit nach einer VPN-Lösung gefragt hat, das geht auch mit IPv6 und einem Anbieter von dynamischen DNS, sofern du einen Router verwendest, der VPN mit IPv6 kann.
                        Portfreigaben oder Weiterleitungen solltest du meiden, wenn du mit dem Konzept einer DMZ und dem dazugehörigen Firewall-Regelwerk nicht vertraut bist. Mit einer Fritzbox lässt sich sowas nicht umsetzen.

                        Kommentar


                          #13
                          Hallo,

                          ich denke, mit einem VPN auf der Fritzbox oder beim Raspi -stets aktuell gehalten- ist man schon sehr weit vorne.
                          DMZ ist sicher sicherer, aber im Privatbereich eher den IT Nerds vorbehalten.
                          Mir ist jetzt auch keine sicherheitslücke in OpenVPN und Co bekannt die dazu geführt hat dass man auf den Host einbrechen konnte.
                          Mag aber auch an mir vorbeigegangen sein.

                          Gruß Hendrik

                          Kommentar


                            #14
                            Zitat von henfri Beitrag anzeigen
                            Mir ist jetzt auch keine sicherheitslücke in OpenVPN und Co bekannt die dazu geführt hat dass man auf den Host einbrechen konnte.
                            Habe hier auch keine gesehen: https://www.cvedetails.com/vulnerabi...8/Openvpn.html (außer vielleicht etwas kompliziertere Authenticatin Bypass) aber, um mich selbst zu zitieren:
                            Zitat von Goldsmith Beitrag anzeigen
                            Alle Geräte haben Sicherheitslücken, wenn keine für ein Gerät bekannt ist, dann heißt das nur, dass sie noch nicht entdeckt wurde oder nicht veröffentlicht wurde.
                            Wie viele Leute hätten denn vorher mit so massiven Lücken wie Shellshock, Heartbleed, Meltdown/Spectre, POODLE, KRACK, Log4j, usw. (um ein paar der prominentesten zu nennen, über die selbst in "normalen", also nicht technischen Medien detilliert berichtet wurde) gerechnet?

                            Als Konsequenz daraus: Angriffsflächen minimieren.
                            Zuletzt geändert von Goldsmith; 22.05.2022, 09:01.

                            Kommentar

                            Lädt...
                            X