VPN nach Zeitplan automatisch auf- und abbauen

[Moep89]

Ich bräuchte mal eure Hilfe, da ich hierzu bisher nichts hilfreiches finden konnte.


Ich würde gerne von mehreren verschiedenen Rechnern ein VPN zu meiner bzw. einer anderen Fritzbox aufbauen. Das ganze soll täglich zu einer festen Uhrzeit passieren und zu einer festen Zeit dann wieder abgebaut werden.

Hintergrund:

Ich will jeweils zwei Rechner bei mir und an einem anderen Standort auf jeweils ein NAS sichern. Quasi über Kreuz (entferntes Backup), also die zwei Rechner am anderen Standort auf das NAS bei mir und meine zwei auf das NAS dort.
Ich nutze bisher Veeam um das Backup lokal bei mir zu machen. Das soll auch so bestehen bleiben, aber eben um ein Backup auf das entfernte NAS ergänzt werden und die Rechner im anderen Haushalt sollen dann ebenfalls einmal dort lokal auf das NAS und anschließend über's Internet noch ein Backup auf mein NAS hier machen.

Aktuell habe ich auf meiner Frtzbox Wireguard VPN für mein Handy eingerichtet um bei Bedarf komfortabel auf interne Dinge hie rzuzugreifen. Leider finde ich aber nirgendwo irgendwelche Möglichkeiten zur automatischen Verbindung. Ich hätte erwartet, dass der Wireguard Client auf dem PC sowas beinhaltet, aber das Ding ist ja wirklich mehr als rudimentär und kann eigtl. gar nichts außer VPN "an" und "aus".

Hat jemand eine Idee wie man sowas realisieren kann? Gibt es evtl. die Möglichkeit das über die Kommandozeile zu machen und am Ende einfach eine BAT zu erstellen und mit der Aufgabenplanung zu starten?

 

[till69]

Quasi über Kreuz (entferntes Backup)

Die beiden Fritzboxen per Wireguard verbinden, fertig.

und zu einer festen Zeit dann wieder abgebaut werden

Wozu?

 

[Mojo1987]

Wozu?

Security Aspekt.

Wenn der Remotestandort nur fürs Backup genutzt wird dann ist es nicht unüblich, das die Verbindung für den Zweck der Sicherung zeitlich beschränkt vom Remotestandort ausgelöst aufgebaut wird.

Falls das Hauptsystem dann z.B. einen Hackerangriff erlebt, gibt es in diesem idealerweise keinen Weg die Verbindung in Richtiung externes Backup zu initialisieren bzw. überhaupt zu sehen.

Eigentlich sollte sich das mit Veeam und einem Kommandozeilenfähigen VPN Client machen lassen.

 

[till69]

bzw. überhaupt zu sehen

Ohne Kenntnis des Remote-Netzes sieht der PC dieses bei LAN2LAN auch nicht.

Falls das Hauptsystem dann z.B. einen Hackerangriff erlebt

Wenn das ein Backup bedroht, stimmt die Backup-Strategie noch nicht ganz.

 

[Moep89]

Wozu?

Weil das zwei komplette Haushalte mit allerlei Geräten sind. Allein das Chaos durch die gleichen IP Ranges will ich mir nicht vorstellen. Von Sicherheit und Privatsphäre ganz abgesehen. Es sollen nicht permanent alle diese Geräte im "selben" Netz sein.

Deshalb will ich auch nur jeweils die Rechner per VPN mit der jeweils anderen FB verbinden und nicht die Fritzboxen.

Eigentlich sollte sich das mit Veeam und einem Kommandozeilenfähigen VPN Client machen lassen.

Das müsste dann ja der Wireguard Client sein. Leider ist da quasi kein Dokumentation zur Kommandozeile vorhanden.
Ich hatte gehofft, dass jemand das gleiche "Problem" hat (sollte ja ein nicht unüblicher Ansatz beim Backup sein) und da vllt. schon eine funktionierende Konfiguration am Laufen hat.

 

[h00bi]

Kommandozeile Doku findest du oftmals wenn du das Programm in der Kommandozeile oder Powershell starten willst, ggf. mit /? /h -help oder --help

 

[till69]

Allein das Chaos durch die gleichen IP Ranges

Bei LAN2LAN gibt es zwingend unterschiedliche IP-Netze.
Ebenfalls ist der Zugriff aufs Remote NAS beschränkbar.

 

[Moep89]

@h00bi Ja , das stimmt, die "Doku" gibt es. Ist aber leider seeehr rudimentär und völlig unkommentiert. Keine Syntax, keine Erklärung, keine Beispiele. Siehe Screenshot.

Bei LAN2LAN gibt es unterschiedliche IP-Netze.
Ebenfalls ist der Zugriff aufs Remote NAS beschränkbar.

Kannst du das näher erläutern?
Nach dem was ich bisher gelesen habe, müssen die IP Ranges bzw. die Netze sogar zwingend unterschiedlich sein. Schreibt auch AVM selbst. Von irgendeiner Möglichkeit zu genaueren Konfiguration der Zugriffsmöglichkeiten sehe ich ebenfalls nichts.

 

[till69]

Von irgendeiner Möglichkeit zu genaueren Konfiguration der Zugriffsmöglichkeiten sehe ich ebenfalls nichts

Geht bei Wireguard über "AllowedIPs"

 

[Moep89]

Hmm, damit kann man anscheinend das Routing beeinflussen, aber als wirklicher Schutz ist es ja eher nicht geeignet. Zudem bleibt dennoch das Problem der gleichen Netze. Ich müsste alles umstellen auf einer Seite.

Ich denke aber, dass das nicht nötig sein wird. Nach viel Lesen und Trial-and-error mit der Kommandozeile habe ich wahrscheinlich die Lösung gefunden.

Für jede VPN-Konfig kann ein eigener Windows-Dienst erstellt werden, der beim Starten die Verbindung herstellt. Der Dienst startet außerdem automatisch, sobald man ihn erstellt.
Das geht mit folgendem Befehl:

"c:\Program Files\WireGuard\wireguard.exe" /installtunnelservice E:\Sonstiges\Wireguard\KONFIGNAME.conf

Entfernen und somit die Verbindung kappen kann man ihn dann mit folgendem Befehl:

"c:\Program Files\WireGuard\wireguard.exe" /uninstalltunnelservice KONFIGNAME

Beide Befehle habe ich in eine eigene BAT-Datei gepackt und mit diesen jeweils zum gewünschten Zeitpunkt eine Aufgabe über die Aufgabenplanung erstellt. Dadurch startet nun der Dienst mit der Konfig zum Zeitpunkt X und das VPN wird aufgebaut. ein paar Stunden später startet dann die Aufgabe mit der anderen BAT und beendet den Dienst sowie das VPN.

Es wirkt zwar alles immernoch etwas hemdsärmelig und wie robust es ist, weiß ich noch nicht, aber zumindest sollte es erstmal funktionieren.