Mit Smartphone auf Heimnetzwerk zugreifen

[Vogty79]

Hallo habe da ein Problem, hier erstmal meine Konfiguration:

Telekom LTE Router der das Internet bereitstellt und per WLAN an eine FRITZ!Box 7590 übergibt. Die FRITZ!Box verteilt dann das Internet an die verschiedenen Geräte PCs Smartphone etc.

Portfreigabe geht nicht da der LTE Router kein DMZ oder Bridge unterstützt. Außerdem habe ich keine öffentliche IP vom Anbieter. Also sperrt der LTE Router schon die Ports.

Jetzt meine Idee

Ich setze einen VPN auf einen VServer auf und damit verbindet sich das Smartphone und das Gerät wo ich zugreifen möchte, in meinem Fall ein PC mit einen Streamingserver. Das quasi beide Geräte sich zum Verver verbinden und der VPN einen Tunnel aufbaut und die Geräte miteinander verbindet.

Geht das so wie ich mir das vorstelle? Der VServer also der VPN darauf hat ja eine öffentliche IP und wird ja direkt von den beiden Geräten angesprochen als ausgehende Verbindung. Wenn ja welchen VPN sollte ich nehmen der einfach zu konfigurieren ist, wireshark oder openvpn?

Danke für eure Hilfe. Für eine Beispielkonfiguration bin ich sehr dankbar.

 

[K-551]

Die Fritzbox unterstützt Wireguard. Sollte damit auch gehen, und musst kein eigenen VPN-Server aufsetzten. Weiß aber nicht wie sich das mit deiner anderen infrastuktur verhält.

Hatte aber zur DSL-Umstellung bei uns zu hause übergangsweise ein Handy and den USB-Port der FB angeschlossen und die hat dieses als 5G Modem verwendet. und da funktionierte Wireguard auch problemlos.

wie es sich mit anderen VPN-Diensten und einer anderen Infrastrucktur verhält kann ich aber wirklich nicht sagen...

 

[riversource]

Ja. Die Idee wurde auch schon ziemlich oft beschrieben hier im Forum. Ich würde aber die Fritzbox den Tunnel zum VPS aufbauen lassen. Aber der PC kann es natürlich auch. Wireguard ist eine gute Wahl für den Fall.

 

[CoMo]

Die Fritzbox unterstützt Wireguard. Sollte damit auch gehen, und musst kein eigenen VPN-Server aufsetzten.

Wie soll das denn funktionieren ohne öffentliche IP-Adresse und ohne Portfreigaben?

 

[Vogty79]

Also VServer VPN drauf installieren und die FRITZ!Box direkt mit dem VPN verbinden lassen, dann kann man auf alle Geräte die mit der FRITZ!Box verbunden sind drauf zugreifen? Aber dann würde ja der komplette Internetverkehr über den VPN laufen?

 

[CoMo]

Das kannst du dann entsprechend in der Wireguard-Konfiguration anpassen.

Bevor du dir jetzt direkt ein VPS für einen Monat klickst: in der Cloud, z.B. bei Hetzner, kannst du dir Server auch auf Stundenbasis buchen. Sogar mit Wireguard vorinstalliert. Kosten für den kleinsten: €0.006 / Stunde. Am Besten spielst du erst mal damit rum.

 

[K-551]

Der Wireguard Standard-Port ist 51820. Den kann man aber umstellen. Und ich bezweifle, dass die Telekom alle Ports außer 80 und 443 sperrt...

Ich weis nicht wie das mit der nicht öffentlichen IP-funktioniert.
Aber das mit der FB und Wireguard mal zu probieren kostet nicht mal ne halbe stunde arbeit. Wenns nicht geht, dann kann man immer noch weiter machen.

Mal ganz davon abgesehen, würde ich mich bei der Telekom mal kundig machen, warum sie dir, wenns es nicht funktioniert, die Möglichkeit vorenthalten einen VPN zu nutzen.
Mag mich täuschen, riecht aber nach Verlretzung der Netztneutralität...

 

[CoMo]

Der Wireguard Standard-Port ist 51820. Den kann man aber umstellen. Und ich bezweifle, dass die Telekom alle Ports außer 80 und 443 sperrt...

Was redest du denn da für einen Unsinn? Auf dem LTE-Router sind keine eingehenden Verbindungen möglich, das steht doch im ersten Post. Der Port ist da völlig egal. Wenn der Telekom Router keine Ports weiterleiten kann, dann kann die Fritzbox auch keine Verbindungen annehmen.

 

[LieberNetterFlo]

Du könntest auch mal ZeroTier oder Tailscale anschauen, vielleicht ist das ja was für dich? Dein Problem mit eingehenden Verbindungen umgehst du damit auf jeden Fall

(Ich nutze Cloudflare Tunnel, aber da ist streaming im kostenlosen Angebot nicht erlaubt)

 

[CoMo]

Das ist ja im Grunde das, was er vorhat. Nur sind das halt kommerzielle Produkte und nicht self-hosted.

Für Tailscale gibt es da aber offenbar was: https://github.com/juanfont/headscale

 

[riversource]

Der Router ist irrelevant. Es werden keine eingehenden Anfragen auf Mobilfunk IPs geroutet, selbst bei öffentlichen IPs. Der VPN Server der Fritzbox kann also nicht genutzt werden.

Bei Zerotier und Tailscale gibt man viele Metadaten preis, darüber sollte man sich klar sein.

 

[till69]

Geht das so wie ich mir das vorstelle?

Ja

Oder erst mal so probieren:
https://www.softether.org/4-docs/2-howto/6.VPN_Server_Behind_NAT_or_Firewall/2.VPN_Azure

 

[cloudman]

Nur sind das halt kommerzielle Produkte und nicht self-hosted.

Tailscale ist für eine handvoll von Geräten für private Nutzer kostenlos.
Das ganze ist in ein paar Minuten eingerichtet.
Ja es ist nicht self hosted - headscale selbst aufsetzen ist nicht ohne.
Aber warum auch. Der Traffic läuft zwischen den Clients direkt . Der Tailscale Server vermittelt nur den Verbindungsaufbau.

 

[CoMo]

Aber warum auch. Der Traffic läuft zwischen den Clients direkt . Der Tailscale Server vermittelt nur den Verbindungsaufbau.

Und das wollte der TE ja. Headscale klingt da ja gar nicht so verkehrt.

Ja es ist nicht self hosted - headscale selbst aufsetzen ist nicht ohne.

Wenn du das schon mal gemacht hast, darfst du ja gerne deine Erfahrungen damit teilen

 

[xammu]

Für alle die bezüglich der eingehenden Ports meckern.

Die Fritzbox baut eine ausgehende Verbindung zum vServer auf. Da sind Portweiterleitungen wurst. Nur die Firewall am Vserver und das Routing muss angepasst werden.

Exakt so mache ich das mit meinem Garten .

Eine Fritzbox 7362SL mit Openwrt baut über LTE ein Wireguard VPN auf. Von der anderen Seite macht es ein Server mit Debian. Beide treffen sich auf einem Vserver im öffentlichem Internet und können wunderbar miteinander reden.

Und die Sensoren im Garten schicken ihre Werte per MQTT übers VPN in das Netz des DebianServers.

 

[cloudman]

Wenn du das schon mal gemacht hast, darfst du ja gerne deine Erfahrungen damit teilen

Naja https://headscale.net und dann Configuration.
Ja ich habe es mal auf einem vServer installiert - da ist schon ein bisschen was zu tun. War mehr aus Neugier.
Aber nachdem für mich Tailscale keine Nachteile hat muss ich dafür keinen vServer laufen lassen (und mich darum kümmern).
Wenn mein Traffic über ihre Server ginge wäre es eine andere Geschichte.

Warum nicht erst mal Tailscale testen und wenn man dann immer noch den Drang hat es selbst zu hosten kann man immer noch einen Headscale Server aufsetzen.
Die Clients bleiben gleich man muß dann nur den eigenen Server als Parameter setzen

 

[Vogty79]

Ok dann versuche ich das mal mit Tailscale, habe in der Zwischenzeit versucht mit WireGuard klarzukommen aber irgendwie schaffe ich es nicht eine Verbindung aufzubauen, habe es auf einen VServer installiert und dann Keys erzeugt etc nach einer Anleitung, aber wenn ich die Verbindung dann per Terminal prüfen will sehe ich kein handshake, denke er verbindet sich dann nicht wirklich, public keys habe ich überprüft aber kriege das einfach nicht zum laufe, mit Smartphone und macOS Client getestet

 

[xammu]

denke er verbindet sich dann nicht wirklich

Am vServer hast du die entsprechenden Ports für Wireguard auch geöffnet?

 

[Vogty79]

Ja 51820 ist geöffnet, Mac und Smartphone sagen auch das sie verbunden sind, aber das steht selbst da wenn ich auf dem vserver WireGuard stoppe. Wer cool wenn mir da jemand helfen könnte das zu realisieren, vserver ist ja schon gemietet und WireGuard ist installiert, nur irgendwo ist der Fehler, schon halbe Nacht gesucht woran es liegt…

 

[cloudman]

Bei Zerotier und Tailscale gibt man viele Metadaten preis, darüber sollte man sich klar sein.

Stimmt schon. Sie wissen wer ich bin und wann ich mich verbinde und noch ein paar andere Daten . Die Tailscale Clients sind übrigens Open Source. Der Koordinerungsserver allerdings nicht - deshalb ist Headscale entstanden.
Tailscale und ZeroTier sind allerdings primär daran interessiert ihr Angebot zu verkaufen und nicht daran Daten zu sammeln.

Übrigens kann der Betreiber eines vServers genauso Metadata sammeln.