Wireguard-VPN-Lösung gesucht

[flopower1996]

Mahlzeit Zusammen,
ich benutze zu Hause eine Synology und möchte auch aus der Ferne auf diese zugreifen. Nun wollte ich gestern ein VPN-Profil in der Fritzbox anlegen, jedoch musste ich mit Ernüchterung feststellen, dass nur der alte IPsec-Standard unterstützt wird. Diesen kann ich jedoch nicht nutzen, da ich einen Kabelanschluss (COAX) ohne öffentliche IPv4-Adresse nutze (DS-Lite). Sprich mir bleibt nur der Weg über IPv6 übrig.
Zudem kann ich auf der Fritzbox 6660 Cable keine Labor-Firmware installieren, die Wireguard unterstützen würde, weil es sich um ein Mietgerät von o2 handelt.
Ich sehe nun folgende Optionen:
1. Ich springe heute in den nächsten Mediamarkt und kaufe eine freie 6660 und installiere die Laborfirmware.
2. Oder ich kaufe mir eine integrierte VPN-Lösung, die mit IPv6 umgehen kann und leite per Portforwarding das ganze weiter.

Auf der Synology möchte ich kein Wiregurad installieren. Diese soll komplett hinter der NAT-Firewall bleiben.

Für was würdet ihr euch entscheiden bzw. fällt euch noch eine dritte Möglichkeit ein?

 

[derchris]

Moin, habe letztens bei mir noch Wireguard eingerichtet und durch ein paar Videos geschaut, hier ist auch der Kommentar, dass es "mit der Methode" wohl auch mit einem DS-Lite geklappt hat.

Vielleicht hast du ja ein Pi oder eine Linux VM ...

 

[DrAg0n141]

Du kannst auf deiner Synology einen Wireguard Docker starten. Und dann darüber die VPN machen.

 

[Nordm4nn]

Einfach nen Docker starten oder sonst nen Pi laufen lassen.

 

[chrigu]

Mhhh. Welche Methode ist für dich sicherer
VPN der fritzbox = dein gesamtes Netzwerk wird im vpn sichtbar
VPN der syno = nur die syno ist über vpn erreichbar

 

[Azghul0815]

Ich hab bisher weder Wireguard noch einen anderen VPN via IPv6 zum Laufen bekommen.

Das einzige was bisher lief war, Wireguard auf Pi der sich mit einem Server im Internet verbindet und mein Client, der sich mit dem Server verbindet. Der Server im Internet dient da als Schnittstelle. War mir zu langsam. Hab deshalb ne IPv4 beantragt.

 

[spcqike]

Ich hab bisher weder Wireguard noch einen anderen VPN via IPv6 zum Laufen bekommen.

Dann machst du etwas falsch. Wireguard hat keine Probleme mit IPv6. Meinen Server erreiche ich über beides, das Endgerät darf also frei entscheiden ob es sich per IPv4 oder IPv6 verbindet.

@OP: was spricht deiner Meinung nach gegen Wireguard (oder VPN Server allgemein, kann ja auch OpenVPN sein) direkt auf der Diskstation?

 

[Azghul0815]

Dann machst du etwas falsch. Wireguard hat keine Probleme mit IPv6. Meinen Server erreiche ich über beides, das Endgerät darf also frei entscheiden ob es sich per IPv4 oder IPv6 verbindet.

Anscheinend mach ich was falsch. Ich komme nicht via IPv6 durch meinen Router in mein Heimnetzwerk. Kann am Router liegen, aber bisher keine Chance gehabt. Wenn du mir ne Anleitung hast, die funktioniert, wäre ich sogar sehr verbunden, dann kann ich mir die 10 CHF im Monat für die IPv4 sparen.

Gerne auch via DM, falls es hier zu Offtopic wird.

 

[flopower1996]

@OP: was spricht deiner Meinung nach gegen Wireguard (oder VPN Server allgemein, kann ja auch OpenVPN sein) direkt auf der Diskstation?

Die NAS steht in einem eigenen VLAN und hat keinen WAN-Zugriff.

 

[spcqike]

@Azghul0815 was hast du denn für einen Router / Firewall und was für einen Server? Damit geht es ja schon los
Freigeben musst du bei IPv6 nicht die IP des Routers sondern die des Endgeräts. Im Router musst du nur den Port zum Endgerät öffnen. Das Endgerät selbst muss Verbindungen von fremden Geräten noch akzeptieren. Die dortige Firewall muss halt auch mitmachen.

Die NAS steht in einem eigenen VLAN und hat keinen WAN-Zugriff.

Das eine widerspricht dem anderen nicht. Ist halt ein Routing / Firewall Thema. Ob du nun Traffic zwischen VLANs routest und erlaubst, oder eingehenden Traffic vom Internet erlaubst aber ausgehenden verbietest (mit ausnahme der bestehenden Verbindungen, die von Außen aufgebaut wurden), ist ja unerheblich.

 

[Azghul0815]

@Azghul0815 was hast du denn für einen Router / Firewall und was für einen Server? Damit geht es ja schon los
Freigeben musst du bei IPv6 nicht die IP des Routers sondern die des Endgeräts. Im Router musst du nur den Port zum Endgerät öffnen. Das Endgerät selbst muss Verbindungen von fremden Geräten noch akzeptieren. Die dortige Firewall muss halt auch mitmachen.

Das mit dem Freigeben ist mir durchaus bewusst.
Router ist eine Salt Connect Box, die an einer Fritzbox als Switch und Wlan Verteiler hängt. An der hängt dann ein Pihole (DHCP) und der Wireguard Server, jeweils als Proxmox Container.

 

[spcqike]

Zu dem Router kann ich dir nicht viel sagen. habs mit der Fritzbox / OPNSense zu Hause und es läuft wie gewünscht. (FritzBox als Router hinter einem Kabelmodem, OPNSense als expost Host. Ja, etwas untypisch, aber ich brauch die FB für das Telefon sowieso...)
https://avm.de/service/wissensdaten...0/845_IPv6-Freigaben-in-FRITZ-Box-einrichten/

Wenn der Port freigegeben ist, kann ggf. noch die Firewall bei Proxmox oder der VM/des Containers dazwischen hauen.

Bzw, ist die Saltbox nun Router hinter der FB, oder nur ein "Switch"? Wenn sie hinter der FB als Router läuft, müsste sie ja einen eigenen /64 Präfix von der FB beziehen, damit sie überhaupt korrekt IPv6 Adressen verteilen und routen kann.

 

[Azghul0815]

Die Saltbox ist der Router. Die brauch ich für den 10Gbit Anschluss für den PC.

 

[flopower1996]

So neuer Router gestern gekauft. Funktioniert super, sogar ganz ohne Laborfirmware auf dem 6690.