fnbalu
Goto Top

DS-Lite Verständnisfrage Wireguard

Hallo zusammen,

bisher läuft bei mir alles klassisch. pfSense mit DDNS und ich verbinde mich mit OpenVPN in das Heimnetz und erspare mir so zum einen zig Freigaben, da ja alles ansprechbar ist und zum anderen ist es doch etwas sicherer.
Es gibt jedoch wenige normale Portforwardings.

Nun kommt demnächst Deutsche Glasfaser dazu. Natürlich ist man bei 2 Mbit Telekom darüber dankbar.
Damit kommt dann allerdings DS-Lite.

Es gibt da ja Dienste wie feste-ip usw.
Man liest aber auch viel von einem vServer.

Letztere Variante interessiert mich eher und ich habe da eine Verständnisfrage.

Ich verstehe das so, dass meine pfsense mittels Wireguard zu einem vServer eine Verbindung herstellt.
Der vServer ist quasi meine externe IP, da er sämtlichen Traffic zur pfSense routet.
Man könnte somit den DDNS Eintrag auf den vserver setzen und man würde mich erreichen.

Kann ich somit meine wenigen Portforwards laufen lassen und ganz wichtig mein OpenVPN weiter betreiben?
Die Portforwards sinbd natürlich explizit ohne VPN, nur möchte ich ja auch wie gewohnt in mein Heimnetz.

Funktioniert das so, dass quasi nur meine externe IP ein Rechenzentrum vorgelagert wird und die Verbindung dann halt getunnelt wird von der pfSense nach außen??

Content-ID: 657825

Url: https://administrator.de/forum/ds-lite-verstaendnisfrage-wireguard-657825.html

Ausgedruckt am: 22.12.2024 um 07:12 Uhr

BirdyB
BirdyB 03.03.2021 um 05:04:09 Uhr
Goto Top
Zitat von @fnbalu:
Ich verstehe das so, dass meine pfsense mittels Wireguard zu einem vServer eine Verbindung herstellt.
Ja...
Der vServer ist quasi meine externe IP, da er sämtlichen Traffic zur pfSense routet.
Wenn du das so einrichtest, auch ja...
Man könnte somit den DDNS Eintrag auf den vserver setzen und man würde mich erreichen.
Da braucht es dann kein DDNS mehr, ein DNS würde genügen, da du ja eine feste IP hast... Aber ansonsten auch: Ja
Kann ich somit meine wenigen Portforwards laufen lassen und ganz wichtig mein OpenVPN weiter betreiben?
Kannst du machen. Oder du terminierst dein OpenVPN direkt am vServer.
Die Portforwards sinbd natürlich explizit ohne VPN, nur möchte ich ja auch wie gewohnt in mein Heimnetz.

Funktioniert das so, dass quasi nur meine externe IP ein Rechenzentrum vorgelagert wird und die Verbindung dann halt getunnelt wird von der pfSense nach außen??
Kommt drauf an, was du einrichtest. Du kannst natürlich die Ressourcen des vServers auch noch nutzen. Aber gehen würde es...

VG
aqui
aqui 03.03.2021 um 09:14:29 Uhr
Goto Top
Damit kommt dann allerdings DS-Lite.
Nicht zwingend ! Für ein paar Euronen mehr bekomm,st du bei der Dt. Glasfaser auch eine öffentliche IP ohne DS-Lite. Du solltest mal deren Angebote wirklich durchlesen. face-wink
Letztere Variante interessiert mich eher und ich habe da eine Verständnisfrage.
Hier findest du Details zu dem Thema:
Zwei Mobilfunkrouter (TP-Link MR200) per VPN verbinden, ev. per externen VPN-Gateway (VPS-Server)
Einfach mal die Suchfunktion benutzen... 😉
Ich verstehe das so,...
Das hast du richtig verstanden.
Man könnte somit den DDNS Eintrag auf den vserver setzen
Man könnte nicht nur man muss sogar !!
und ganz wichtig mein OpenVPN weiter betreiben?
Ja ! Du musst sogar nicht einmal die Mischmasch Frickelei mit WireGuard betreiben sondern kannst das auch rein mit OVPN machen. Siehe Link oben !
quasi nur meine externe IP ein Rechenzentrum vorgelagert wird
So ist es !
Die grundsätzliche Frage die dur dir stellen musst ist ob die Kosten und die Frickelei und Management des vServers die geringen Mehrkosten für eine öffentliche IP wirklich lohnen ??
Vermutlich nicht und du fährst mit ein paar Euro im Glasfaser Vertrag sicherlich bequemer.
147669
147669 03.03.2021 aktualisiert um 09:58:27 Uhr
Goto Top
Für ein paar Euronen mehr bekomm,st du bei der Dt. Glasfaser auch eine öffentliche IP ohne DS-Lite. Du solltest mal deren Angebote wirklich durchlesen. face-wink face-wink
Ne feste IP gibt es bei der DG nur als Geschäftskunde
https://www.deutsche-glasfaser.de/inexio-business/service/faq/
Die Home Tarife bieten das nicht an.
aqui
aqui 03.03.2021 um 09:58:57 Uhr
Goto Top
Mehrere andere TOs haben hier berichtet das man sie auf Nachfrage auch als Privatkunde bekommt. Muss man dann sicher mit denen klären bevor man sich selber zum DS-Lite Opfer macht für lange Zeit.
147669
147669 03.03.2021 aktualisiert um 10:20:51 Uhr
Goto Top
Zitat von @aqui:

Mehrere andere TOs haben hier berichtet das man sie auf Nachfrage auch als Privatkunde bekommt. Muss man dann sicher mit denen klären bevor man sich selber zum DS-Lite Opfer macht für lange Zeit.
Wo? Habe selbst einen DG Anschluss und auch selbst schon mehrfach mit unterschiedlichen Leuten dort telefoniert, keine Chance, deren System hat das laut Aussage der Mitarbeiter nicht für die Privatkunden Tarife implementiert. Vielleicht war das früher mal so, kann ich mir aber nicht vorstellen...
Lochkartenstanzer
Lochkartenstanzer 03.03.2021 aktualisiert um 10:26:34 Uhr
Goto Top
Zitat von @147669:

Zitat von @aqui:

Mehrere andere TOs haben hier berichtet das man sie auf Nachfrage auch als Privatkunde bekommt. Muss man dann sicher mit denen klären bevor man sich selber zum DS-Lite Opfer macht für lange Zeit.
Wo? Habe selbst einen DG Anschluss und auch selbst schon mehrfach mit unterschiedlichen Leuten dort telefoniert, keine Chance, deren System hat das laut Aussage der Mitarbeiter nicht für die Privatkunden Tarife implementiert. Vielleicht war das früher mal so, kann ich mir aber nicht vorstellen...


Dann nimmt man halt einen Geschäftskundentarif, die haben sowieso bessere SLAs. Was ist das Problem? (Außer Geld face-smile)

lks
147669
147669 03.03.2021 aktualisiert um 10:53:23 Uhr
Goto Top
Zitat von @Lochkartenstanzer:
Dann nimmt man halt einen Geschäftskundentarif, die haben sowieso bessere SLAs. Was ist das Problem? (Außer Geld face-smile)
Der nicht vorhandene Gewerbeschein.
Lochkartenstanzer
Lochkartenstanzer 03.03.2021 um 10:56:39 Uhr
Goto Top
Zitat von @147669:

Zitat von @Lochkartenstanzer:
Dann nimmt man halt einen Geschäftskundentarif, die haben sowieso bessere SLAs. Was ist das Problem? (Außer Geld face-smile)
Der nicht vorhandene Gewerbeschein.

Das stört die Provider in der Regel kaum, wenn man keinen Gewerbeschein hat. Es gibt nämlich auch selbständige Berufe, die man ohne Gewerbeschein ausüben darf, z.B. als IT-Dienstleister/-Berater.

lks
aqui
aqui 03.03.2021 um 10:59:02 Uhr
Goto Top
Auf alle Fälle ein Grund dann von solchem Provider die Finger zu lassen wenn man etwas mehr Ansprüche an sein eigenes Netz hat wie z.B. einen remoten VPN Zugang.

P.S.: Du hattest Recht hatte das mit einem Telekom Glasfaser Kunden verwechselt, sorry !
147669
147669 03.03.2021 aktualisiert um 11:14:13 Uhr
Goto Top
Die DG stört dass wohl schon face-confused, warum auch immer. Sie wollen offensichtlich kein Geld verdienen...
Der Verein ist echt eine Zumutung, mein Fazit nach 2 Monaten Kundendasein.
Da bringen einem 400MBit/s nichts wenn die Tuppen nachts regelmäßig ne Stunde unangekündigte Wartungen abfackeln und die Zentralrouter mal eben rebooten. Als Server-Admin muss man ja meist hauptsächlich Nachts arbeiten.
Von Redundanz ala VRRP hat man dort wohl noch nie was gehört..
fnbalu
fnbalu 03.03.2021 um 14:03:15 Uhr
Goto Top
Das ein Netz, was neu entsteht hier und da vielleicht noch nachjustiert werden muss, verstehe ich schon und würde ich tolerieren.
DS-Lite wird wohl langsam zur Mode, leider.
Klar, so alteingesessene wie die Telekom haben das aktuell nicht. Die jedoch aber nicht ausbaut oder nicht darf weil der KVZ von einem Richtfunk Anbieter belegt ist, der absolut unzuverlässig läuft und massiv einbricht, aber IPv4 liefert.
Die Telekom dürfte ganz Deutschland problemlos versorgen können, so war es wohl mal gedacht oder generell früher.

Nun klopft die DG an, bietet Glasfaser ins Haus. Das ist wie ein 6 er im Lotto was die Anbindung betrifft.
DS-Lite ist das Manko, was vielleicht 5% überhaupt nur bemerken.
Deshalb muss die Lösung gesucht werden.


Man kann auch also auch mit Open VPN zum RZ verbinden, ja?
Ich dachte man nutzt da Wireguard weil es schlanker ist, oder nur weil es Fritzbox & Co auch könnten?

Wenn ich bei der DG für meinetwegen einen 5er extra eine v4 bekommen würde, dann nur zu.
Business Anschlüsse magst als privater nicht bezahlen b.z.w. wird man nicht wollen.
Lochkartenstanzer
Lochkartenstanzer 03.03.2021 um 14:11:25 Uhr
Goto Top
Zitat von @fnbalu:

Man kann auch also auch mit Open VPN zum RZ verbinden, ja?
Ich dachte man nutzt da Wireguard weil es schlanker ist, oder nur weil es Fritzbox & Co auch könnten?

Ganze einfach:

  • "Stelle" irgendwo in der Cloud einen openVPN-Server hin. (geht zur Not auch ein vserver für dreifuffzich bei einem Billigheimer.)

  • Sage dem, daß alle clients miteinander kommunizieren dürfen, ggf noch Netze zum Routen Eintragen.

  • Du verbindest Dich von Deinem DS-Lite Anschluß permanent auf diesen Server.

Alle Clients, die sich bei Deinem vserver einwählen haben durch das routing direkt Zugang zu deinem Heimnetz. Da brauchst Du keine Ports zu forwarden. Alternativ kannst Du das gleiche Spiel natürlich mit IPSEC statt mit openVPN machen.

lks
aqui
Lösung aqui 03.03.2021 um 14:46:39 Uhr
Goto Top
DS-Lite wird wohl langsam zur Mode, leider.
Nein, nicht wenn man einen vernüftigen Provider wählt !
Meist sind es die Billigheimer die sich aus Profitgier oder was auch immer nicht rechtzeitig mit entsprechenden v4 Adressen versorgt haben:
https://www.heise.de/newsticker/meldung/Das-war-s-mit-IPv4-Adressen-in-E ...
Den bleibt dann halt nur ein DS-Lite Frickelangebot für den nicht Business Bereich.
Man kann auch also auch mit Open VPN zum RZ verbinden, ja?
Wenn man einen Internet Anschluss hat und das RZ per Internet zu ereichen ist dann ja. Warum sollte es deiner Meinung nicht gehen. Du kannst ja auch Google, administrator.de und viele andere auch im RZ erreichen. Komische Frage im Internet Zeitalter....
Ich dachte man nutzt da Wireguard weil es schlanker ist
Nicht denken sondern nachdenken... face-wink Welches VPN Protokoll du nutzt ist doch vollkommen Wumpe. Ob du mit deinem Auto bei Aral, Shell oder Jet tankst ist dir doch auch egal. Fahren kannst du mit allen. Mit OpenVPN kennst du dich aus und hast du am laufen. Also warum nicht einfach mit 3 Mausklicks deine bestehende Konfig erweitern wenn du freiwillig DS-Lite Opfer werden willst und gut iss ?!
Ganze einfach:
Besser hätt' man es nicht erklären können... face-wink
fnbalu
fnbalu 03.03.2021 um 14:58:12 Uhr
Goto Top
An so eine 3€ vServer Lösung dachte ich.
Das wird wohl schneller und wenn's läuft unkomplizierter sein als Feste-ip u.s.w.

Da kann dann auch jemand ohne VPN den vServer kontaktieren und wenn der richtige Portforward besteht auf eine Freigabe zugreifen?

Wirklich alles 1 zu 1 weiter geleitet.
Man verbindet sich beispielsweise zu der IP im RZ auf Port 21 und man würde auf Port 21 der eigenen pfSense rauskommt ohne dass man als Client VPN nutzt?
aqui
aqui 03.03.2021 aktualisiert um 15:28:24 Uhr
Goto Top
Man verbindet sich beispielsweise zu der IP im RZ auf Port 21
Nein ! Du hast vermutlich das Konzept von VPNs völlig missverstanden....
  • RZ Server ist per festem VPN Tunnel immer mit dem Heimnetz verbunden. Das Heimnetz liegt also quasi wie mit einem verschlüsselten Draht (VPN Tunnel) direkt am RZ vServer an.
  • Man verbindet sich per VPN Client zu der IP im RZ und schafft so eine Client Netzwerk Verbindung über einen VPN Tunnel zum RZ Server.
  • Der RZ Server ist quasi ein VPN Router der dann das Client VPN IP Netz mit dem Heimnetz VPN einfach nur transparent routet. Diese "Server Zwischenhop" muss ja sein um eine öffentliche v4 IP für deinen remoten VPN Client zu bekommen.
Mit Ports oder so einem Unsinn ist da nix, denn deine Netzwerk Verbindung ist ja über das VPN immer transparent. Ein remoter Client verhält sich genau so wie ein Client im lokalen LAN. Der tiefere Sinn eines VPNs wie du es selber ja als alter OpenVPN Nutzer und Profi auch weisst.

Wenn du sicherstellen kannst das dein remoter Client auch immer mit IPv6 im Internet unterwegs ist dann kannst du dir den ganzen Quatsch mit dem vServer sparen. Denn als DS-Lite Kunde bekommst du ja wie ein Dial Stack Kunde auch immer ein eigenes öffentliches IPv6 Netzwerk zuhause was dann auch weltweit immer erreichbar ist. VPN oder sowas ist dann überflüssig.

Eigentlich doch ein simples Konzept und wahrlich kein Hexenwerk. Kollege @Lochkartenstanzer hat es doch schon wunderbar zusammengefasst oben. Warum tust du dich so schwer damit ?! face-wink
fnbalu
fnbalu 03.03.2021 um 16:50:40 Uhr
Goto Top
Ich verstehe den Sinn von VPN und nutze es auch.

Ich habe aktuell aber auch einen Port, den ich so regulär forwarde für eine Bekannte und die nutzt O2
O2 hat aber wohl kein IPv6

Ich brauche halt mein VPN und halt auch einen normalen Port.

Quasi nimm Port 1 an für VPN und leite Port 2 so weiter
Visucius
Visucius 03.03.2021 aktualisiert um 19:22:15 Uhr
Goto Top
Genau. Habe hier zwei o2 Verträge: ipv4, monatl. kündbar, flexibel bei der HW, problemlos online konfiguriert ebenso an der Hotline (aber mit Wartezeit!), schnell geschaltet, kostenfreie Mobilnummern ... und billiger als die Konkurrenz. Seit einem Jahr ausfallfrei.

Aber mach Dir nix draus DSlite ist (leider) auch kein ipv6 sondern sowas veganes ... nicht Fisch, nicht Fleisch und am Ende haste Hunger, wenig Natur und nimmst trotzdem zu 😉
fnbalu
fnbalu 03.03.2021 um 19:30:37 Uhr
Goto Top
Ich rede da eher von O2 Mobilfunk, die nach meinem Kenntnisstand noch kein IPv6 haben
Visucius
Visucius 03.03.2021 aktualisiert um 19:43:53 Uhr
Goto Top
Achso, mobil. Das kannste mMn. VPN-technisch eh vergessen. Zumindest bei Telekom bin ich da nicht zu Potte gekommen
aqui
aqui 04.03.2021 um 11:28:02 Uhr
Goto Top
die nach meinem Kenntnisstand noch kein IPv6 haben
Stimmt !
https://www.datamate.org/status-der-ipv6-implementierung-in-mobilfunknet ...
Muss man sich wohl bei diesem Provider der für den schlechtesten Ausbau und Service ja hinlänglich bekannt ist wohl auch nicht groß wundern.
fnbalu
fnbalu 04.03.2021 um 14:21:00 Uhr
Goto Top
Das ist ja das Problem.

Deshalb noch mal die Frage ob man das splitten kann, wie es bisher ja auch möglich ist, dass Port 1 fort VPN ist und ich in mein Heimnetz komme und wählt man IP:2 (wobei die Ports als Symbol dienen) ist es der normale Portforward bis zur pfSense, die dann auf einen Arduino intern zeigt
BirdyB
BirdyB 04.03.2021 um 15:54:12 Uhr
Goto Top
Zitat von @fnbalu:

Das ist ja das Problem.

Deshalb noch mal die Frage ob man das splitten kann, wie es bisher ja auch möglich ist, dass Port 1 fort VPN ist und ich in mein Heimnetz komme und wählt man IP:2 (wobei die Ports als Symbol dienen) ist es der normale Portforward bis zur pfSense, die dann auf einen Arduino intern zeigt
Klar kannst du das machen... Warum auch nicht?
147669
147669 04.03.2021 aktualisiert um 16:52:49 Uhr
Goto Top
Zitat von @fnbalu:

Das ist ja das Problem.

Deshalb noch mal die Frage ob man das splitten kann, wie es bisher ja auch möglich ist, dass Port 1 fort VPN ist und ich in mein Heimnetz komme und wählt man IP:2 (wobei die Ports als Symbol dienen) ist es der normale Portforward bis zur pfSense, die dann auf einen Arduino intern zeigt
Ja kannst du, du musst nur aufpassen das du auf der Seite des Servers den Traffic auch wieder über den Wiregard Tunnel schiebst und nicht asynchron über das Default GW des lokalen Netzes wenn du routest.
aqui
aqui 08.03.2021 aktualisiert um 08:52:50 Uhr
Goto Top
Gibt aber scheinbar doch Dienstleister die gegen kleines Geld bei der Dt. Glasfaser eine öffentliche v4 IP schalten:
https://www.edv-kossmann.de/festeip/
fnbalu
fnbalu 08.03.2021 um 09:13:16 Uhr
Goto Top
Und das ist wie von Provider direkt?
Es kommt alles direkt an der pfSense an und dort muss es geregelt werden wie aktuell bei der Telekom beispielsweise?

Geht so etwas nicht auch mit vServer ohne VPN?
Das mit den 10€ wäre es mit wohl sonst wert.
147669
147669 08.03.2021 aktualisiert um 10:53:15 Uhr
Goto Top
Zitat von @fnbalu:

Und das ist wie von Provider direkt?
Nein, ist ein anderer Anbieter, der macht dann intern ein 1:1 NAT.
Geht so etwas nicht auch mit vServer ohne VPN?
Ja sicher, vor allem günstiger und du kannst mit dem vServer noch andere Dinge anstellen wie z.B. einen PiHole oder eine private Cloud dort platzieren.
Feste IPs zuhause in pfsense via Tunnel
Das mit den 10€ wäre es mit wohl sonst wert.
Würde ich mir ehrlich gesagt eher einen vServer zulegen.