Mit Smartphone auf Heimnetzwerk zugreifen

[riversource]

Nur noch mal kurz zu Tailscale oder Zerotier: Richtig ist, dass die Server nur den Verbindungsaufbau vermitteln - außer, beide Clients sitzen hinter NAT Routern. Dann läuft der Traffic über deren Gateway. Das ist in diesem Fall häufig zu erwarten. Und Tailscale/Zerotier verfügen zwangsläufig über die Schlüssel der Verbindung, da sie den kompletten Verbindungsaufbau managen.

Aber selbst wenn die Server nur die Verbindung vermitteln, dann können sie die kompletten Metadaten abgreifen: Welche Endgeräte wann von wo wie lange miteinander kommuniziert haben. Bewegungsprofile, Wohnort, Arbeitgeber, Hobbys- und Freizeitgestaltung lassen sich auf einfache Weise daraus ableiten, und spätestens seit Facebook wissen wir, was diese Daten wert sind. Tailscale hat sich darüber hinaus durch die Wahl der IP-Adressen für die Kundennetze noch ein implizites Sicherheitsleck ins System gebaut, aber das nur am Rande.

Wenn sowas wie Zerotier oder Tailscale, dann nur self-hosted. Aber dann kann man auch direkt ein normales VPN machen, das ist erheblich einfacher zu administrieren. Deshalb bleibe ich dabei: genau die Idee, die der TE im ersten Beitrag skizziert hat, ist das Mittel der Wahl. Besser kann man die Herausforderung nicht lösen!

 

[cloudman]

Nicht ganz richtig. Wenn beide Rechner hinter CGNAT Routern stehen kann es schwierig werden.
Einfaches NAT funktioniert fast immer.
Siehe
https://tailscale.com/blog/how-nat-traversal-works/

Was die Metadaten anbelangt hast du natürlich Recht.
Der VPS Betreiber sieht allerdings auch welche Verbindung aufgebaut werden.

Tailscale hat sich darüber hinaus durch die Wahl der IP-Adressen für die Kundennetze noch ein implizites Sicherheitsleck ins System gebaut, aber das nur am Rande.

Das da wäre? Interessiert mich wirklich.

 

[Vogty79]

Habe jetzt mal Tailscale ausprobiert, das lief auf Anhieb, möchte aber gerne einen VPN damit ich nicht auf Tailscale angewiesen bin, habe es gerne selbst in der Hand, leider bekomme ich das immer noch nicht hin, wenn sich da jemand auskennt kann sich gerne bei mir melden, kann er sich dann mal über Teamviewer ansehen, vielen Dank

 

[CoMo]

Dann benutz doch einfach Headscale?

 

[Vogty79]

Habe da leider keine einfache Anleitung für gefunden wie ich das konfigurieren kann, bin da nicht so vom Fach, eher copy and Paste per Terminal

 

[CoMo]

Also so sonderlich kompliziert sieht mir das nicht aus: https://headscale.net/running-headscale-linux/

 

[Vogty79]

Habe ich mir auch schon angeschaut nur mit den keys etc wo man was wie konfiguriert etc finde ich ziemlich kompliziert, soll sich dann ja das iPhone mit verbinden, Tailscale auf dem iPhone habe ich ja bereits

 

[cloudman]

@CoMo - installieren geht schnell.
Konfigurieren eher nicht.

 

[Vogty79]

normal sollte doch auch OpenVPN gehen? Wireguard will ja nicht laufen warum auch immer, habe den Server neu aufgesetzt das alle Spuren weg sind und fange jetzt clean nochmal neu an

 

[riversource]

Das da wäre? Interessiert mich wirklich.

Bei Tailscale bekommen alle Kunden-Endgeräte eine unique Adresse aus dem 100er CGN Netz. Die einzelnen virtuellen Kundennetze werden dann softwaremäßig zusammengeschaltet, bzw. voneinander abgeschottet. Sollte es bei dieser Trennung einmal zu einem Fehler kommen - warum auch immer - dann können prinzipiell alle Tailscale Geräte aufeinander zugreifen - vollkommen ungeschützt, da die IP-Verbindung auf jeden Fall schon mal funktioniert. Bei Zerotier kann man die verwendeten IP-Bereiche selber festlegen. Wenn es da zu einem vergleichbaren Fehler kommt, dann gibt es IP-Konflikte oder die Geräte sind in unterschiedlichen Netzen unterwegs und sehen sich nicht, und die Wahrscheinlichkeit unerwünschter Datenflüsse sinkt.

normal sollte doch auch OpenVPN gehen?

Klar. Allerdings halte ich OpenVPN für komplexer und weniger performant als Wireguard. Aber es arbeitet noch nach dem herkömmlichen Client/Server Prinzip und nicht als eine Sammlung gleichberechtigter Punkt-zu-Punkt Verbindungen, wie Wireguard. Deshalb mag es gedanklich einfacher sein, sich in ein OpenVPN Setup reinzudenken.

 

[Vogty79]

Ich frage mich wirklich warum WireGuard nicht funktionieren will, habe alles erneut aufgesetzt, eigentlich verstehe ich auch was da passiert ist ja nicht viel dabei…Poste nachher mal meine config

 

[cloudman]

Die einzelnen virtuellen Kundennetze werden dann softwaremäßig zusammengeschaltet, bzw. voneinander abgeschottet. Sollte es bei dieser Trennung einmal zu einem Fehler kommen - warum auch immer - dann können prinzipiell alle Tailscale Geräte aufeinander zugreifen
Tailscale ist im Prinzip doch nichts anderes als ein Wireguard Netzwerk. Ohne die public keys der anderen nodes kann keine Wireguard Verbindung aufgebaut werden bzw der Traffic der anderen nodes nicht entschlüsselt werden. Deshalb sehe ich jetzt nicht warum die IP Range ein Problem ist.

https://tailscale.com/blog/how-tailscale-works/

1. (see login, below).
2. The node contacts the coordination server and leaves its public key and a note about where that node can currently be found, and what domain it’s in.
3. The node downloads a list of public keys and addresses in its domain, which have been left on the coordination server by other nodes.
4. The node configures its WireGuard instance with the appropriate set of public keys.

Note that the private key never, ever leaves its node.

Übersehe Ich da etwas?

 

[LieberNetterFlo]

Ich hab Mal geschwind headscale eingerichtet... eigentlich ganz nett hat jemand Erfahrungen mit dem Web UIs, welches ist empfehlenswert?

 

[riversource]

Tailscale ist im Prinzip doch nichts anderes als ein Wireguard Netzwerk. Ohne die public keys der anderen nodes kann keine Wireguard Verbindung aufgebaut werden bzw der Traffic der anderen nodes nicht entschlüsselt werden. Deshalb sehe ich jetzt nicht warum die IP Range ein Problem ist.

1. Die Verteilung der Schlüssel obliegt Tailscale
2. Warum bekommen überhaupt alle Tailscale Clients eine unique CGN Adresse?

 

[Vogty79]

Habe mal Cloudflare getestet da eine Homepage schon vorhanden war und es kostenlos ist, geht erstaunlich schnell einzurichten, geht beim Streaming z.b. der Traffic eigentlich über Cloudflare oder direkt vom Streaming Server zum Endgerät?

 

[cloudman]

Die Verteilung der Schlüssel obliegt Tailscale

Der public keys ja. So what?
Ist bei PGP z.b. auch nicht anders.

Warum bekommen überhaupt alle Tailscale Clients eine unique CGN Adresse?

https://tailscale.com/kb/1015/100.x-addresses/

Ipv6 ist auch eine Option. Dann mit privater ULA

 

[riversource]

Der public keys ja. So what?

Auch der Private Keys. Wie soll es sonst möglich sein, das komplette Verbindungsmanagement über Tailscale zu machen?
Und im Zweifel reichen verwürfelte öffentliche Schlüssel.

https://tailscale.com/kb/1015/100.x-addresses/

Das erklärt, warum man das 100er Netz genommen hat, aber nicht, warum jeder Client eine unique Adresse benötigt. Die Anforderungen wären auch erfüllbar gewesen, wenn die Adresse der Endgeräte nicht global unique gewesen wäre.

 

[cloudman]

Auch der Private Keys. Wie soll es sonst möglich sein, das komplette Verbindungsmanagement über Tailscale zu machen?

Lies doch nochmal https://tailscale.com/blog/how-tailscale-works/

Note that the private key never, ever leaves its node. This is important because the private key is the only thing that could potentially be used to impersonate that node when negotiating a WireGuard session. As a result, only that node can encrypt packets addressed from itself, or decrypt packets addressed to itself.

Der Quellcodes der Clients auf github - man kann also selbst überprüfen, ob es stimmt was sie da schreiben.


Die IPs sind unique weil man die Netze auch verbinden kann.

 

[LieberNetterFlo]

Habe mal Cloudflare getestet da eine Homepage schon vorhanden war und es kostenlos ist, geht erstaunlich schnell einzurichten, geht beim Streaming z.b. der Traffic eigentlich über Cloudflare oder direkt vom Streaming Server zum Endgerät?

Über Cloudflare, und das ist im kostenlosen Angebot laut AGB nicht erlaubt.

 

[riversource]

Die IPs sind unique weil man die Netze auch verbinden kann.

Eben. Das ist das Killerargument. "Killer" darf man dabei wörtlich nehmen. Man kann Netze einfach so verbinden. Ob das absichtlich oder irrtümlich oder aufgrund eines Fehlers geschieht, ist dabei egal.