L2TP VPN mit DG anschluss (Dual Stack/CGNAT) aufsetzen

[Mr. Poe]

Hallo,

versuche aktuell irgentwie ein L2TP VPN auf meinem router (Edgerouter X) an einem Deutsche Glasfaser aufzusetzen.
nach einigem googeln siehts da aber anscheinend schlecht aus.

gäbe ja mehrere möglichkeiten, das ich mir z.b. einen server irgentwo miete und den als "proxy" verwende oder eine weiterleitung über anbieter wie feste-ip.de einrichte.
bin aber ehrlichgesagt zu geizig für so ne kleine spielerei monatlich geld auszugeben 😅

gibts irgend eine kostenlose möglichkeit ein VPN an meinem anschluss einzurichten?

bzw. ich möchte eigentlich nur von unterwegs auf meinen Home Assistant server zugreifen können, port weiterleitungen funktionieren ja bei mir anscheinend auch nicht...

 

[konkretor]

http://www.vpnazure.net/en/


Brauchst nur bei dir Zuhause irgendwo nen Raspi mit Softether drauf laufen haben
Das ganze nennt sich reverse vpn

Edit:

Achte darauf das du innerhalb des Tunnels eine SSL Verschlüsselung nutzt da dieser reserve vpn nur rc4 nimmt.
Das soll dir erstmal nur die Möglichkeit geben überhaupt dahin zu kommen wo du willst.

 

[Christian1297]

gibts irgend eine kostenlose möglichkeit ein VPN an meinem anschluss einzurichten?

Wenn jemand in der Familie oder ein guter Freund einen Anschluss mit eigener IPv4 Adresse hat kannst du dort einen VPN Server einrichten und deinen Anschluss dorthin verbinden. Stellst du dann von Unterwegs eine Verbindung zum Server her, ist auch ein Zugriff auf dein Netzwerk möglich.

 

[Holzkopf]

Hallo,

versuche aktuell irgentwie ein L2TP VPN auf meinem router (Edgerouter X) an einem Deutsche Glasfaser aufzusetzen.
nach einigem googeln siehts da aber anscheinend schlecht aus.

gäbe ja mehrere möglichkeiten, das ich mir z.b. einen server irgentwo miete und den als "proxy" verwende oder eine weiterleitung über anbieter wie feste-ip.de einrichte.
bin aber ehrlichgesagt zu geizig für so ne kleine spielerei monatlich geld auszugeben 😅

gibts irgend eine kostenlose möglichkeit ein VPN an meinem anschluss einzurichten?

bzw. ich möchte eigentlich nur von unterwegs auf meinen Home Assistant server zugreifen können, port weiterleitungen funktionieren ja bei mir anscheinend auch nicht...

Über IPv6 sollte das ganze doch funktionieren nur halt über IPv4 nicht ohne weiteres.

 

[Autokiller677]

Von außen kommst du halt nur über IPv6 dran - wenn du unterwegs immer IPv6 hast (ist / war lange im Handynetz bei manchen Anbietern nicht der Fall) kann es klappen.

Wobei es eventuell auch etwas Frickeln mit der VPN Config geben kann - ich habe bei meinen Eltern (ebenfalls DG) einen Wireguard VPN laufen, das klappt aktuell aber nur, wenn der Client über IPv4 startet. Ich habe eh einen Server bei OVH für 3,5€ / Monat, der übernimmt dann das umpacken von v4 auf v6.

Der VPN läuft also: Client ---v4---> OVH Server ---v6---> DG Anschluss

Direkt Client ---v6---> DG Anschluss habe ich nicht zum laufen bekommen, wieso auch immer.
Andere Zugriffe (SSH, Cloud, PW-Manager, alles ohne VPN) haben keine Problem direkt über v6 von Client zu DG Anschluss zu laufen.

VPN und v6 only ist immer noch relativ viel Basteln bei den meisten Protokollen hab ich den Eindruck. FritzBoxen z.B. unterstützen es bis heute einfach gar nicht...

 

[spcqike]

sehe ich auch so. wenn du keine eigene IPv4 hast/bekommst, dann eben über IPv6.

alternativ den Umweg über einen zusätzlichen Server. selbst betrieben, bei einem Freund/Eltern oder bei einem VPS Anbieter.

 

[till69]

http://www.vpnazure.net/en/

Brauchst nur bei dir Zuhause irgendwo nen Raspi mit Softether drauf laufen haben

Ausprobieren kann man das auch ganz prima in einer VM
Auch jeder OpenWRT Router (dazu gehört auch der ER-X) geht zum probieren.

 

[bender_]

ich möchte eigentlich nur von unterwegs auf meinen Home Assistant server zugreifen können

Und auf welchem Gerät / Plattform läuft der?
Kannst Du dort keinen flexibleren, IPv6 fähigen VPN Server implementieren?
Der L2TP Service des ER-X kann wohl kein IPv6: https://community.ui.com/questions/IPv6-for-L2TP-on-ER-X/2b447840-4545-4ac0-89ab-28bceefe2b1a

 

[Autokiller677]

Naja, gerade Smart-Home Kram sichert man gerne nochmal etwas extra ab, z.B. durch einen VPN, statt da die Heimsteuerung direkt ins Netz zu hängen.

Ich hab auch wenn möglich Smart Home, SSH und co. nur per VPN zugänglich. Jede Verteidigungslinie hilft.
Bzw. Smart Home ist eh in seinem eigenen VLAN und bekommt nur wenig Verbindungen überhaupt erlaubt.

 

[Mr. Poe]

@Autokiller677 deswegen will ichs ja eigentlich per VPN machen...
ich will bzw. hab ja aktuell keinen server der das umpacken von v4 auf v6 übernehmen kann
habs mit ipv6 direkt auch schon probiert, da kommt keine verbindung zustande.

Der Home assistant server läuft auf ner VirtualBox vm, kann da auch in ner zweiten softether aufsetzen, werd mir das mal anschaun...

mir ist da grad noch was eingefallen...
meine eltern haben nen anschluss von der telekom, damit hats damals funktioniert...
wenn ich jetzt die fritzbox von denen mit meinem router vebinde sollte das doch irgentwie möglich sein darüber das VPN laufen zu lassen oder?

wie setz ich das am besten auf das nur das VPN über diesen port läuft und der restliche trafic über den normalen DG anschluss?
ich müsste ja nur das L2TP/ipsec interface auf z.b. eth2 ändern, in der fritzbox die ports freigeben und das wars oder? bonding etc. macht der ER-X ja nicht automatisch oder?
soll halt alles getrennt bleiben und meine eltern sollen nicht auf mein netzwerk zugreifen können.

 

[bender_]

statt da die Heimsteuerung direkt ins Netz zu hängen.

Das verlangt doch niemand.
Man stellt einen VPN Zugang zum Netz der Heimsteuerung zur Verfügung.
Ob der Tunnel jetzt im Treppenhaus oder im Kinderzimmer ankommt ist doch völlig wurschd wenn im Haus außer der Haustür alle Türen offen sind.
Man könnte sogar ne Tugend draus machen und die Türe zum Kinderzimmer extra abschließen, dann kann auf diesem Weg wenigstens niemand im Rest des Netzwerks rumfuhrwerken sollte es einem Angreifer tatsächlich gelingen den VPN Zugang zu kompromittieren.
Wieso nicht in der VM des Home Assis einen Wireguard Server laufen lassen und über IPv6 connecten?

 

[Mr. Poe]

wird warscheinlich nicht gehen... hab am handy kein ipv6 (zumindest in den wlans mit denen ich immer verbunden bin.)

 

[bender_]

wird warscheinlich nicht gehen

Versuch macht kluch. Du hast schon alles da und wireguard kost nix.

hab am handy kein ipv6 (zumindest in den wlans

Dein Handy kanns aber zu 99,9%.
Die "WLANs" natürlich nur, wenn man auch im Heimnetz und nicht nur im WAN IPv6 zulässt.
Bei den Mobilfunkanbietern fehlt nur noch Vodafone flächendeckend. Man muss natürlich entsprechenden APN verwenden und das Handy auch entsprechend einstellen.
Vielleicht solltest Du das zuerst auf allen Plattformen prüfen: https://www.bitdefender.de/consumer/support/answer/21415/

 

[till69]

hab am handy kein ipv6

Selbst das o2-Netz kann inzwischen IPv6.

Aber IPv6 ist mobil leider eine ziemliche Krücke, da eingehende Verbindungen geblockt werden (bei T und o2, Vodafone ?)

 

[bender_]

IPv6 ist mobil leider eine ziemliche Krücke, da eingehende Verbindungen geblockt werden

Wieso ist das relevant, wenn man seinen Home Assistent Server zuhause von unterwegs erreichen will?

 

[till69]

Wieso ist das relevant

Ist es nicht. Wenn es Dich nicht interessiert, prima. Andere sind dankbar für Infos, die nicht offensichtlich sind.

 

[Mr. Poe]

jaaaa.... mag schon sein dass das mobilfunknetz ipv6 kann, hab meine mobilen daten aber normalerweise abgeschaltet (bzw. wenig datenvolumen) da ich überall wlan hab...

werd wireguard trotzdem mal ausprobieren
sonnst probier ich das mit dem telekom anschluss meiner eltern auch noch

 

[PizziM]

@Autokiller677
Kannst Du Dein Setup etwas näher oder "sehr genau" erläutern bitte?
Ich habe nun auch einen VPS gemietet, welchen ich gerne als Zugangspunkt nutzen möchte, um auf das Deutsche Glasfaser Netz bei meinen Eltern zuzugreifen.

 

[Autokiller677]

Im Grunde ganz einfach:

Nehmen wir an, die v4-IP meines VPS ist 123 und die v6-IP des Servers am DG-Anschluss ist ABC.

Der DNS-A Record für die Domain zeigt auf 123.
Der DNS-AAAA Record zeigt auf ABC.

Auf dem VPS starte ich dann socat für jeden Port, den ich von der v4-VPS Adresse auf die v6-DG Adresse weiterleiten will, z.B. mit diesen Befehlen für SSH + Webserver.

socat TCP4-LISTEN:2200,fork,su=nobody TCP6:[ABC]:22 &
socat TCP4-LISTEN:443,fork,su=nobody TCP6:[ABC]:443 &
socat TCP4-LISTEN:80,fork,su=nobody TCP6:[ABC]:80 &

Das ist alles auf dem VPS. Es werden stumpf alle eingehenden Pakete auf den Ports durchgereicht. SSL-Zertifikate (Let's Encrypt) und co. läuft alles auf dem Server am DG-Anschluss, der VPS leitet einfach nur den verschlüsselten Traffic durch. Insofern entsteht auch kein erhöhtes Risiko für mein Netz / den DG-Server, sollte der VPS mal kompromittiert werden. Der hat keinen Zugriff auf irgendwas sensibles.

Und v6 Anfragen laufen komplett am VPS vorbei.

Vorsicht aber: Wenn das DG-Modem mal länger stromlos geschaltet wird (ist schonmal ein Debugging-Schritt des Tech Supports, oder auch einfach bei einem Stromausfall) bekommt man eine neue v6 IP und muss die den AAAA-Record und die IP in den socat Befehlen ändern. Ist also nix, woran ich z.B. einen Mailsverver betreiben würde, der nicht offline sein darf.

 

[PizziM]

Danke schon dafür. Ich muss leider sagen, dass ich gerade erst dabei bin mich damit mehr zu beschäftigen.
Sprich: Ich kenne mich zu wenig aus.

Lokal einen Raspberry Pi zu installieren mit Wireguard ist kein Thema. Das habe ich geschafft.
Nun geht es aber um das genaue Konstrukt an allen beteiligten Stellen.
Gern würde ich mit dem VPS und den dort benötigten Einstellungen anfangen.

Kannst Du mir sagen, wo ich mir die nötigen Informationen anlesen kann?
Einen VPS habe ich bereits und der SSH Zugriff funktioniert auch problemlos.
Root Kennwort habe ich ebenfalls geändert.

Was muss ich im 1. Schritt alles installieren, um den VPS in den Zustand zu bringen, dass dieser als Vermittlungsstelle funktioniert?

Kannst Du helfen?