DS-Lite Verständnisfrage Wireguard
Hallo zusammen,
bisher läuft bei mir alles klassisch. pfSense mit DDNS und ich verbinde mich mit OpenVPN in das Heimnetz und erspare mir so zum einen zig Freigaben, da ja alles ansprechbar ist und zum anderen ist es doch etwas sicherer.
Es gibt jedoch wenige normale Portforwardings.
Nun kommt demnächst Deutsche Glasfaser dazu. Natürlich ist man bei 2 Mbit Telekom darüber dankbar.
Damit kommt dann allerdings DS-Lite.
Es gibt da ja Dienste wie feste-ip usw.
Man liest aber auch viel von einem vServer.
Letztere Variante interessiert mich eher und ich habe da eine Verständnisfrage.
Ich verstehe das so, dass meine pfsense mittels Wireguard zu einem vServer eine Verbindung herstellt.
Der vServer ist quasi meine externe IP, da er sämtlichen Traffic zur pfSense routet.
Man könnte somit den DDNS Eintrag auf den vserver setzen und man würde mich erreichen.
Kann ich somit meine wenigen Portforwards laufen lassen und ganz wichtig mein OpenVPN weiter betreiben?
Die Portforwards sinbd natürlich explizit ohne VPN, nur möchte ich ja auch wie gewohnt in mein Heimnetz.
Funktioniert das so, dass quasi nur meine externe IP ein Rechenzentrum vorgelagert wird und die Verbindung dann halt getunnelt wird von der pfSense nach außen??
bisher läuft bei mir alles klassisch. pfSense mit DDNS und ich verbinde mich mit OpenVPN in das Heimnetz und erspare mir so zum einen zig Freigaben, da ja alles ansprechbar ist und zum anderen ist es doch etwas sicherer.
Es gibt jedoch wenige normale Portforwardings.
Nun kommt demnächst Deutsche Glasfaser dazu. Natürlich ist man bei 2 Mbit Telekom darüber dankbar.
Damit kommt dann allerdings DS-Lite.
Es gibt da ja Dienste wie feste-ip usw.
Man liest aber auch viel von einem vServer.
Letztere Variante interessiert mich eher und ich habe da eine Verständnisfrage.
Ich verstehe das so, dass meine pfsense mittels Wireguard zu einem vServer eine Verbindung herstellt.
Der vServer ist quasi meine externe IP, da er sämtlichen Traffic zur pfSense routet.
Man könnte somit den DDNS Eintrag auf den vserver setzen und man würde mich erreichen.
Kann ich somit meine wenigen Portforwards laufen lassen und ganz wichtig mein OpenVPN weiter betreiben?
Die Portforwards sinbd natürlich explizit ohne VPN, nur möchte ich ja auch wie gewohnt in mein Heimnetz.
Funktioniert das so, dass quasi nur meine externe IP ein Rechenzentrum vorgelagert wird und die Verbindung dann halt getunnelt wird von der pfSense nach außen??
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 657825
Url: https://administrator.de/forum/ds-lite-verstaendnisfrage-wireguard-657825.html
Ausgedruckt am: 22.12.2024 um 07:12 Uhr
26 Kommentare
Neuester Kommentar
Zitat von @fnbalu:
Ich verstehe das so, dass meine pfsense mittels Wireguard zu einem vServer eine Verbindung herstellt.
Ja...Ich verstehe das so, dass meine pfsense mittels Wireguard zu einem vServer eine Verbindung herstellt.
Der vServer ist quasi meine externe IP, da er sämtlichen Traffic zur pfSense routet.
Wenn du das so einrichtest, auch ja...Man könnte somit den DDNS Eintrag auf den vserver setzen und man würde mich erreichen.
Da braucht es dann kein DDNS mehr, ein DNS würde genügen, da du ja eine feste IP hast... Aber ansonsten auch: JaKann ich somit meine wenigen Portforwards laufen lassen und ganz wichtig mein OpenVPN weiter betreiben?
Kannst du machen. Oder du terminierst dein OpenVPN direkt am vServer.Die Portforwards sinbd natürlich explizit ohne VPN, nur möchte ich ja auch wie gewohnt in mein Heimnetz.
Funktioniert das so, dass quasi nur meine externe IP ein Rechenzentrum vorgelagert wird und die Verbindung dann halt getunnelt wird von der pfSense nach außen??
Kommt drauf an, was du einrichtest. Du kannst natürlich die Ressourcen des vServers auch noch nutzen. Aber gehen würde es...Funktioniert das so, dass quasi nur meine externe IP ein Rechenzentrum vorgelagert wird und die Verbindung dann halt getunnelt wird von der pfSense nach außen??
VG
Damit kommt dann allerdings DS-Lite.
Nicht zwingend ! Für ein paar Euronen mehr bekomm,st du bei der Dt. Glasfaser auch eine öffentliche IP ohne DS-Lite. Du solltest mal deren Angebote wirklich durchlesen. Letztere Variante interessiert mich eher und ich habe da eine Verständnisfrage.
Hier findest du Details zu dem Thema:Zwei Mobilfunkrouter (TP-Link MR200) per VPN verbinden, ev. per externen VPN-Gateway (VPS-Server)
Einfach mal die Suchfunktion benutzen... 😉
Ich verstehe das so,...
Das hast du richtig verstanden.Man könnte somit den DDNS Eintrag auf den vserver setzen
Man könnte nicht nur man muss sogar !!und ganz wichtig mein OpenVPN weiter betreiben?
Ja ! Du musst sogar nicht einmal die Mischmasch Frickelei mit WireGuard betreiben sondern kannst das auch rein mit OVPN machen. Siehe Link oben !quasi nur meine externe IP ein Rechenzentrum vorgelagert wird
So ist es !Die grundsätzliche Frage die dur dir stellen musst ist ob die Kosten und die Frickelei und Management des vServers die geringen Mehrkosten für eine öffentliche IP wirklich lohnen ??
Vermutlich nicht und du fährst mit ein paar Euro im Glasfaser Vertrag sicherlich bequemer.
Für ein paar Euronen mehr bekomm,st du bei der Dt. Glasfaser auch eine öffentliche IP ohne DS-Lite. Du solltest mal deren Angebote wirklich durchlesen. face-wink
Ne feste IP gibt es bei der DG nur als Geschäftskundehttps://www.deutsche-glasfaser.de/inexio-business/service/faq/
Die Home Tarife bieten das nicht an.
Zitat von @aqui:
Mehrere andere TOs haben hier berichtet das man sie auf Nachfrage auch als Privatkunde bekommt. Muss man dann sicher mit denen klären bevor man sich selber zum DS-Lite Opfer macht für lange Zeit.
Wo? Habe selbst einen DG Anschluss und auch selbst schon mehrfach mit unterschiedlichen Leuten dort telefoniert, keine Chance, deren System hat das laut Aussage der Mitarbeiter nicht für die Privatkunden Tarife implementiert. Vielleicht war das früher mal so, kann ich mir aber nicht vorstellen...Mehrere andere TOs haben hier berichtet das man sie auf Nachfrage auch als Privatkunde bekommt. Muss man dann sicher mit denen klären bevor man sich selber zum DS-Lite Opfer macht für lange Zeit.
Zitat von @147669:
Zitat von @aqui:
Mehrere andere TOs haben hier berichtet das man sie auf Nachfrage auch als Privatkunde bekommt. Muss man dann sicher mit denen klären bevor man sich selber zum DS-Lite Opfer macht für lange Zeit.
Wo? Habe selbst einen DG Anschluss und auch selbst schon mehrfach mit unterschiedlichen Leuten dort telefoniert, keine Chance, deren System hat das laut Aussage der Mitarbeiter nicht für die Privatkunden Tarife implementiert. Vielleicht war das früher mal so, kann ich mir aber nicht vorstellen...Mehrere andere TOs haben hier berichtet das man sie auf Nachfrage auch als Privatkunde bekommt. Muss man dann sicher mit denen klären bevor man sich selber zum DS-Lite Opfer macht für lange Zeit.
Dann nimmt man halt einen Geschäftskundentarif, die haben sowieso bessere SLAs. Was ist das Problem? (Außer Geld )
lks
Zitat von @Lochkartenstanzer:
Dann nimmt man halt einen Geschäftskundentarif, die haben sowieso bessere SLAs. Was ist das Problem? (Außer Geld )
Der nicht vorhandene Gewerbeschein.Dann nimmt man halt einen Geschäftskundentarif, die haben sowieso bessere SLAs. Was ist das Problem? (Außer Geld )
Zitat von @147669:
Zitat von @Lochkartenstanzer:
Dann nimmt man halt einen Geschäftskundentarif, die haben sowieso bessere SLAs. Was ist das Problem? (Außer Geld )
Der nicht vorhandene Gewerbeschein.Dann nimmt man halt einen Geschäftskundentarif, die haben sowieso bessere SLAs. Was ist das Problem? (Außer Geld )
Das stört die Provider in der Regel kaum, wenn man keinen Gewerbeschein hat. Es gibt nämlich auch selbständige Berufe, die man ohne Gewerbeschein ausüben darf, z.B. als IT-Dienstleister/-Berater.
lks
Die DG stört dass wohl schon , warum auch immer. Sie wollen offensichtlich kein Geld verdienen...
Der Verein ist echt eine Zumutung, mein Fazit nach 2 Monaten Kundendasein.
Da bringen einem 400MBit/s nichts wenn die Tuppen nachts regelmäßig ne Stunde unangekündigte Wartungen abfackeln und die Zentralrouter mal eben rebooten. Als Server-Admin muss man ja meist hauptsächlich Nachts arbeiten.
Von Redundanz ala VRRP hat man dort wohl noch nie was gehört..
Der Verein ist echt eine Zumutung, mein Fazit nach 2 Monaten Kundendasein.
Da bringen einem 400MBit/s nichts wenn die Tuppen nachts regelmäßig ne Stunde unangekündigte Wartungen abfackeln und die Zentralrouter mal eben rebooten. Als Server-Admin muss man ja meist hauptsächlich Nachts arbeiten.
Von Redundanz ala VRRP hat man dort wohl noch nie was gehört..
Zitat von @fnbalu:
Man kann auch also auch mit Open VPN zum RZ verbinden, ja?
Ich dachte man nutzt da Wireguard weil es schlanker ist, oder nur weil es Fritzbox & Co auch könnten?
Man kann auch also auch mit Open VPN zum RZ verbinden, ja?
Ich dachte man nutzt da Wireguard weil es schlanker ist, oder nur weil es Fritzbox & Co auch könnten?
Ganze einfach:
- "Stelle" irgendwo in der Cloud einen openVPN-Server hin. (geht zur Not auch ein vserver für dreifuffzich bei einem Billigheimer.)
- Sage dem, daß alle clients miteinander kommunizieren dürfen, ggf noch Netze zum Routen Eintragen.
- Du verbindest Dich von Deinem DS-Lite Anschluß permanent auf diesen Server.
Alle Clients, die sich bei Deinem vserver einwählen haben durch das routing direkt Zugang zu deinem Heimnetz. Da brauchst Du keine Ports zu forwarden. Alternativ kannst Du das gleiche Spiel natürlich mit IPSEC statt mit openVPN machen.
lks
DS-Lite wird wohl langsam zur Mode, leider.
Nein, nicht wenn man einen vernüftigen Provider wählt !Meist sind es die Billigheimer die sich aus Profitgier oder was auch immer nicht rechtzeitig mit entsprechenden v4 Adressen versorgt haben:
https://www.heise.de/newsticker/meldung/Das-war-s-mit-IPv4-Adressen-in-E ...
Den bleibt dann halt nur ein DS-Lite Frickelangebot für den nicht Business Bereich.
Man kann auch also auch mit Open VPN zum RZ verbinden, ja?
Wenn man einen Internet Anschluss hat und das RZ per Internet zu ereichen ist dann ja. Warum sollte es deiner Meinung nicht gehen. Du kannst ja auch Google, administrator.de und viele andere auch im RZ erreichen. Komische Frage im Internet Zeitalter....Ich dachte man nutzt da Wireguard weil es schlanker ist
Nicht denken sondern nachdenken... Welches VPN Protokoll du nutzt ist doch vollkommen Wumpe. Ob du mit deinem Auto bei Aral, Shell oder Jet tankst ist dir doch auch egal. Fahren kannst du mit allen. Mit OpenVPN kennst du dich aus und hast du am laufen. Also warum nicht einfach mit 3 Mausklicks deine bestehende Konfig erweitern wenn du freiwillig DS-Lite Opfer werden willst und gut iss ?!Ganze einfach:
Besser hätt' man es nicht erklären können... Man verbindet sich beispielsweise zu der IP im RZ auf Port 21
Nein ! Du hast vermutlich das Konzept von VPNs völlig missverstanden....- RZ Server ist per festem VPN Tunnel immer mit dem Heimnetz verbunden. Das Heimnetz liegt also quasi wie mit einem verschlüsselten Draht (VPN Tunnel) direkt am RZ vServer an.
- Man verbindet sich per VPN Client zu der IP im RZ und schafft so eine Client Netzwerk Verbindung über einen VPN Tunnel zum RZ Server.
- Der RZ Server ist quasi ein VPN Router der dann das Client VPN IP Netz mit dem Heimnetz VPN einfach nur transparent routet. Diese "Server Zwischenhop" muss ja sein um eine öffentliche v4 IP für deinen remoten VPN Client zu bekommen.
Wenn du sicherstellen kannst das dein remoter Client auch immer mit IPv6 im Internet unterwegs ist dann kannst du dir den ganzen Quatsch mit dem vServer sparen. Denn als DS-Lite Kunde bekommst du ja wie ein Dial Stack Kunde auch immer ein eigenes öffentliches IPv6 Netzwerk zuhause was dann auch weltweit immer erreichbar ist. VPN oder sowas ist dann überflüssig.
Eigentlich doch ein simples Konzept und wahrlich kein Hexenwerk. Kollege @Lochkartenstanzer hat es doch schon wunderbar zusammengefasst oben. Warum tust du dich so schwer damit ?!
Genau. Habe hier zwei o2 Verträge: ipv4, monatl. kündbar, flexibel bei der HW, problemlos online konfiguriert ebenso an der Hotline (aber mit Wartezeit!), schnell geschaltet, kostenfreie Mobilnummern ... und billiger als die Konkurrenz. Seit einem Jahr ausfallfrei.
Aber mach Dir nix draus DSlite ist (leider) auch kein ipv6 sondern sowas veganes ... nicht Fisch, nicht Fleisch und am Ende haste Hunger, wenig Natur und nimmst trotzdem zu 😉
Aber mach Dir nix draus DSlite ist (leider) auch kein ipv6 sondern sowas veganes ... nicht Fisch, nicht Fleisch und am Ende haste Hunger, wenig Natur und nimmst trotzdem zu 😉
die nach meinem Kenntnisstand noch kein IPv6 haben
Stimmt !https://www.datamate.org/status-der-ipv6-implementierung-in-mobilfunknet ...
Muss man sich wohl bei diesem Provider der für den schlechtesten Ausbau und Service ja hinlänglich bekannt ist wohl auch nicht groß wundern.
Zitat von @fnbalu:
Das ist ja das Problem.
Deshalb noch mal die Frage ob man das splitten kann, wie es bisher ja auch möglich ist, dass Port 1 fort VPN ist und ich in mein Heimnetz komme und wählt man IP:2 (wobei die Ports als Symbol dienen) ist es der normale Portforward bis zur pfSense, die dann auf einen Arduino intern zeigt
Klar kannst du das machen... Warum auch nicht?Das ist ja das Problem.
Deshalb noch mal die Frage ob man das splitten kann, wie es bisher ja auch möglich ist, dass Port 1 fort VPN ist und ich in mein Heimnetz komme und wählt man IP:2 (wobei die Ports als Symbol dienen) ist es der normale Portforward bis zur pfSense, die dann auf einen Arduino intern zeigt
Zitat von @fnbalu:
Das ist ja das Problem.
Deshalb noch mal die Frage ob man das splitten kann, wie es bisher ja auch möglich ist, dass Port 1 fort VPN ist und ich in mein Heimnetz komme und wählt man IP:2 (wobei die Ports als Symbol dienen) ist es der normale Portforward bis zur pfSense, die dann auf einen Arduino intern zeigt
Ja kannst du, du musst nur aufpassen das du auf der Seite des Servers den Traffic auch wieder über den Wiregard Tunnel schiebst und nicht asynchron über das Default GW des lokalen Netzes wenn du routest.Das ist ja das Problem.
Deshalb noch mal die Frage ob man das splitten kann, wie es bisher ja auch möglich ist, dass Port 1 fort VPN ist und ich in mein Heimnetz komme und wählt man IP:2 (wobei die Ports als Symbol dienen) ist es der normale Portforward bis zur pfSense, die dann auf einen Arduino intern zeigt
Gibt aber scheinbar doch Dienstleister die gegen kleines Geld bei der Dt. Glasfaser eine öffentliche v4 IP schalten:
https://www.edv-kossmann.de/festeip/
https://www.edv-kossmann.de/festeip/
Nein, ist ein anderer Anbieter, der macht dann intern ein 1:1 NAT.
Feste IPs zuhause in pfsense via Tunnel
Geht so etwas nicht auch mit vServer ohne VPN?
Ja sicher, vor allem günstiger und du kannst mit dem vServer noch andere Dinge anstellen wie z.B. einen PiHole oder eine private Cloud dort platzieren.Feste IPs zuhause in pfsense via Tunnel
Das mit den 10€ wäre es mit wohl sonst wert.
Würde ich mir ehrlich gesagt eher einen vServer zulegen.