Danke!
Auch mal wieder schön zu hören, das es im Normalfall eigentlich funktioniert
Normalerweise bekommen wir ja nur Feedback - was nicht geht, das ist manchmal nicht so ganz motivierend, daher

Makki

Freut mich das das bei dir so schnell geklappt hat...

Ich wollte das demnächst auch in Angriff nehmen und hab schon in diversen Threads zusammengesucht wie das wohl funktionieren könnte.

Wäre toll wenn du deinen Weg etwas ausführlicher dokumentieren könntest, evtl. sogar mit Screenshots und Beschreibung warum was eingestellt wird, das würde mir und bestimmt noch vielen anderen Zeit und Nerven sparen...

Greifst du von der Ferne nur aufs Wiregate/Visu zu oder ist auch der Rest des Netzes zu erreichen? Wäre für mich wichtig um auch mal schnell auf Daten auf meinem NAS zugreifen zu können...

Mache ich gerne, komme ich aber erst heute abend dazu.

Auch der Rest des Netzes ist erreichbar, aber die Einfachheit dieser Konfiguration steht und fällt etwas mit dem eingesetzten Router. Wenn man dort statische Routen hinterlegen kann, ist es sehr simpel. Mehr dazu dann später...

Falls alternative Anleitung/Doku (man selbst ist ja etwas "betriebsblind") bietet sich auch Lexikon an (oder das cometvisu.de Wiki das ich evtl. um sowas mal erweitern wollte), in einem Thread geht das immer so schnell unter..

Makki

Kurzanleitung

1) DynDNS-Account organisieren. Ich habe Webhosting und DynDNS von selfHOST - selfhost gewählt. Das Prozedere ist überall etwas anders, teilweise ist es kostenlos, teilweise nicht. Am Ende jedenfalls sollte man eine Domäne (z.B. xyz.selfhost.bz) zusammen mit einem Benutzernamen und Passwort haben (bei selfhost.de ist das unter dem Punkt "DynDNS Accounte" zu finden).

2) DynDNS-Account im Router einrichten. Bei mir ist das eine FRITZ!Box 2170. Dort ist das zu finden unter "Einstellungen" => "Erweiterte Einstellungen" => "Internet" => "Freigaben" auf dem Reiter "Dynamic DNS". Hier mit den unter 1) genannten Zugangsdaten DynDNS konfigurieren. Router-Handbuch/Hilfe wird weiterhelfen.

3) Damit der VPN-Server des Wiregate von außen erreichbar ist, muss eine Portweiterleitung am Router eingerichtet werden. Der UDP-Port 1194 des Router muss weitergeleitet werden an den Port 1194 der Wiregate-IP-Adresse. Bei der FRITZ!Box 2170 zu finden unter "Einstellungen" => "Erweiterte Einstellungen" => "Internet" => "Freigaben" auf dem Reiter "Portfreigaben". Router-Handbuch/Hilfe wird weiterhelfen.

4) Nun muss im Wiregate ein VPN-Client eingerichtet werden. Auf der Startseite "VPN Einstellungen" => "VPN Clients" gehen und "Neuer VPN-Client" anklicken. Im Feld "Name" einen sprechenden Namen für den Client eingeben, das optionale Passwort für das Client-Zertifikat setzen (wenn gewünscht), im Feld "VPN-Server IP-Adresse/DNS-Name (öffentlich)" die DynDNS-Domäne aus 1) eintragen, z.B. xyz.selfhost.bz. Den Rest nach Gusto ausfüllen und speichern.

5) Nach erfolgreicher Einrichtung erscheint ein neuer Client in der Liste. Hierfür kann man die Konfigurationsdateien oder ein Installationspaket runterladen. Da ich mich unter Kubuntu bewege und den Network-Manager inklusive OpenVPN-Plugin (ein bisschen Internetrecherche wird im Zweifel schnell zum Erfolg führen) verwende, habe ich die Konfigurationsdateien heruntergeladen und in mein Home-Verzeichnis entpackt. Anschließend im Network-Manager die Verbindungsverwaltung aufrufen, Reiter "VPN" wählen und Button "Importieren" anklicken. Im Dateidialog die .ovpn-Datei auswählen und alles wird richtig eingerichtet. Einen brauchbaren Verbindungsnamen eintragen und gegebenenfalls noch das optionale Schlüsselpasswort eintragen. Damit nicht sämtlicher, sondern nur der fürs Heimnetz bestimmte Verkehr durchs VPN geschleust wird, habe ich im Reiter "IPv4-Adresse" in der Box "Routen" ausgewählt und das Häkchen bei "Nur für Quellen dieser Verbindung verwenden" gesetzt.

6) Nun habe ich im Wiregate unter "VPN Einstellungen" => "VPN-Server" im Feld "Zusätzliche Konfiguration (Optional)" den folgenden Eintrag gemacht, um dem Client beim Verbinden mitzuteilen, dass er den Verkehr fürs Heimnetz durch den VPN-Tunnel routet: push "route 192.168.178.0 255.255.255.0"

7) Mit 6) kann man schon mal von außen ins gesamte Heimnetz kommen, damit aber auch eine Antwort zurück kommt, muss man das Heimnetz entsprechend konfigurieren, so dass der Verkehr fürs VPN nicht über das normale Gateway geschickt wird, sondern ans Wiregate. Im Idealfall bietet der Router eine entsprechende Möglichkeit. Bei der FRITZ!Box 2170 zu finden unter "Einstellungen" => "Erweiterte Einstellungen" => "System" => "Netzwerkeinstellungen" auf dem Button "IP-Routen". Hier dann eine neue Route hinzufügen, die das Ziel 172.24.254.0 (Standard-Einstellung des Wiregate, zu finden in den VPN-Server-Einstellungen im Feld "IP-Adressen für Clients") an die Wiregate-IP routet. Router-Handbuch/Hilfe wird weiterhelfen.

8) Netzwerk-Stecker ziehen, UMTS-Stick einstecken, VPN-Verbindung aktivieren und Spaß haben.

Ich hoffe, das hilft einigermaßen weiter. Ich wollte nicht noch mehr ausschweifen. Bei Gefallen stelle ich das gerne ins Wiki und verlinke im Lexikon dorthin.

Ich vermute schon das es hilfreich ist (ich weiss ja wies geht..), weil so von User zu User da eben Dinge drinstehen, die ich als "selbstverständlich" wegdrücken würde..

Zu 1) überlege ich ja schon länger ob man das zentral fürs WG (wäre technisch kein Problem) macht, hat aber ein "gschmäckle" weil egal wie, das dann "nach Hause telefoniert".. (Was das WG ohne expliziten Wunsch so niemals tut!)
Fraglich, ob diese Einstellung in Zeiten wo eh jeder ein Peilgerät (neudeutsch Smartphone) mit sich trägt und Apple/Google/Samsung/.. eh erlaubt alles mit diesen Daten zu tun - noch zeitgemäss ist (?)..

Makki

Wie wär's mit nem Auswahlmöglichkeit im WebIf mit dem man das an/abschalten kann (z.B. unter den DNS Client Optionen, auf der Netzwerkseite)? Dann hätten die Kunden, die's einfach mögen, nur nen Knopf zu drücken - und die, denen das nicht gefällt, lassen's halt aus?

luigi

Danke Michael...

bin zwar noch nicht dazu gekommen das Ganze umzusetzten, aber mit deiner Anleitung werd ichs dann hoffentlich auch schaffen...

Darf ich da mal ein "Ja-Bitte" dranhängen. Ein DynDNS Service fürs WireGate wäre hier gerade sehr hilfreich. Ich hatte es zwar aufm alten WG drauf aber letztens wieder auf einen Dienst (fritzbox) beschränkt. Jetzt streikt dyndns.org da wohl und ich müsste mal "in mein Haus"
Dann hätte man ne Backuplösung.

Gruß

Naja, da stehen viele Fragen im Raum auf die ich nicht antworten mag:
- Datenschutz (Dyndns mit wiregateXXX.wiregate.de ? = potentieller Angriffspunkt); obfuscated 08154711.wiregate.de = potentiell erklärungsbedürftig..)
- Automatisch, manuell, ... eigentlich ists mir lieber nichts damit am hut zu haben
Denkbar ist im ersten Schritt ein Dyndns das nur geht wenns Wartung-VPN aktiv ist aber so richtig schmecken tut mir das alles noch ned..

Makki

Und wenn du das .tar Archiv entpackst? Geht z.B mit 7zip unter Windows.

Top, danke viel mals