DS-Lite Verständnisfrage Wireguard

Mitglied: fnbalu

fnbalu (Level 1) - Jetzt verbinden

02.03.2021 um 23:57 Uhr, 1051 Aufrufe, 26 Kommentare

Hallo zusammen,

bisher läuft bei mir alles klassisch. pfSense mit DDNS und ich verbinde mich mit OpenVPN in das Heimnetz und erspare mir so zum einen zig Freigaben, da ja alles ansprechbar ist und zum anderen ist es doch etwas sicherer.
Es gibt jedoch wenige normale Portforwardings.

Nun kommt demnächst Deutsche Glasfaser dazu. Natürlich ist man bei 2 Mbit Telekom darüber dankbar.
Damit kommt dann allerdings DS-Lite.

Es gibt da ja Dienste wie feste-ip usw.
Man liest aber auch viel von einem vServer.

Letztere Variante interessiert mich eher und ich habe da eine Verständnisfrage.

Ich verstehe das so, dass meine pfsense mittels Wireguard zu einem vServer eine Verbindung herstellt.
Der vServer ist quasi meine externe IP, da er sämtlichen Traffic zur pfSense routet.
Man könnte somit den DDNS Eintrag auf den vserver setzen und man würde mich erreichen.

Kann ich somit meine wenigen Portforwards laufen lassen und ganz wichtig mein OpenVPN weiter betreiben?
Die Portforwards sinbd natürlich explizit ohne VPN, nur möchte ich ja auch wie gewohnt in mein Heimnetz.

Funktioniert das so, dass quasi nur meine externe IP ein Rechenzentrum vorgelagert wird und die Verbindung dann halt getunnelt wird von der pfSense nach außen??
Mitglied: BirdyB
03.03.2021 um 05:04 Uhr
Zitat von @fnbalu:
Ich verstehe das so, dass meine pfsense mittels Wireguard zu einem vServer eine Verbindung herstellt.
Ja...
Der vServer ist quasi meine externe IP, da er sämtlichen Traffic zur pfSense routet.
Wenn du das so einrichtest, auch ja...
Man könnte somit den DDNS Eintrag auf den vserver setzen und man würde mich erreichen.
Da braucht es dann kein DDNS mehr, ein DNS würde genügen, da du ja eine feste IP hast... Aber ansonsten auch: Ja
Kann ich somit meine wenigen Portforwards laufen lassen und ganz wichtig mein OpenVPN weiter betreiben?
Kannst du machen. Oder du terminierst dein OpenVPN direkt am vServer.
Die Portforwards sinbd natürlich explizit ohne VPN, nur möchte ich ja auch wie gewohnt in mein Heimnetz.

Funktioniert das so, dass quasi nur meine externe IP ein Rechenzentrum vorgelagert wird und die Verbindung dann halt getunnelt wird von der pfSense nach außen??
Kommt drauf an, was du einrichtest. Du kannst natürlich die Ressourcen des vServers auch noch nutzen. Aber gehen würde es...

VG
Bitte warten ..
Mitglied: aqui
03.03.2021 um 09:14 Uhr
Damit kommt dann allerdings DS-Lite.
Nicht zwingend ! Für ein paar Euronen mehr bekomm,st du bei der Dt. Glasfaser auch eine öffentliche IP ohne DS-Lite. Du solltest mal deren Angebote wirklich durchlesen. ;-) face-wink
Letztere Variante interessiert mich eher und ich habe da eine Verständnisfrage.
Hier findest du Details zu dem Thema:
https://administrator.de/forum/zwei-mobilfunkrouter-tp-link-mr200-vpn-ve ...
Einfach mal die Suchfunktion benutzen... 😉
Ich verstehe das so,...
Das hast du richtig verstanden.
Man könnte somit den DDNS Eintrag auf den vserver setzen
Man könnte nicht nur man muss sogar !!
und ganz wichtig mein OpenVPN weiter betreiben?
Ja ! Du musst sogar nicht einmal die Mischmasch Frickelei mit WireGuard betreiben sondern kannst das auch rein mit OVPN machen. Siehe Link oben !
quasi nur meine externe IP ein Rechenzentrum vorgelagert wird
So ist es !
Die grundsätzliche Frage die dur dir stellen musst ist ob die Kosten und die Frickelei und Management des vServers die geringen Mehrkosten für eine öffentliche IP wirklich lohnen ??
Vermutlich nicht und du fährst mit ein paar Euro im Glasfaser Vertrag sicherlich bequemer.
Bitte warten ..
Mitglied: 147669
147669 (Level 1)
03.03.2021, aktualisiert um 09:58 Uhr
Für ein paar Euronen mehr bekomm,st du bei der Dt. Glasfaser auch eine öffentliche IP ohne DS-Lite. Du solltest mal deren Angebote wirklich durchlesen. ;-) face-wink face-wink
Ne feste IP gibt es bei der DG nur als Geschäftskunde
https://www.deutsche-glasfaser.de/inexio-business/service/faq/
Die Home Tarife bieten das nicht an.
Bitte warten ..
Mitglied: aqui
03.03.2021 um 09:58 Uhr
Mehrere andere TOs haben hier berichtet das man sie auf Nachfrage auch als Privatkunde bekommt. Muss man dann sicher mit denen klären bevor man sich selber zum DS-Lite Opfer macht für lange Zeit.
Bitte warten ..
Mitglied: 147669
147669 (Level 1)
03.03.2021, aktualisiert um 10:20 Uhr
Zitat von @aqui:

Mehrere andere TOs haben hier berichtet das man sie auf Nachfrage auch als Privatkunde bekommt. Muss man dann sicher mit denen klären bevor man sich selber zum DS-Lite Opfer macht für lange Zeit.
Wo? Habe selbst einen DG Anschluss und auch selbst schon mehrfach mit unterschiedlichen Leuten dort telefoniert, keine Chance, deren System hat das laut Aussage der Mitarbeiter nicht für die Privatkunden Tarife implementiert. Vielleicht war das früher mal so, kann ich mir aber nicht vorstellen...
Bitte warten ..
Mitglied: Lochkartenstanzer
03.03.2021, aktualisiert um 10:26 Uhr
Zitat von @147669:

Zitat von @aqui:

Mehrere andere TOs haben hier berichtet das man sie auf Nachfrage auch als Privatkunde bekommt. Muss man dann sicher mit denen klären bevor man sich selber zum DS-Lite Opfer macht für lange Zeit.
Wo? Habe selbst einen DG Anschluss und auch selbst schon mehrfach mit unterschiedlichen Leuten dort telefoniert, keine Chance, deren System hat das laut Aussage der Mitarbeiter nicht für die Privatkunden Tarife implementiert. Vielleicht war das früher mal so, kann ich mir aber nicht vorstellen...


Dann nimmt man halt einen Geschäftskundentarif, die haben sowieso bessere SLAs. Was ist das Problem? (Außer Geld :-) face-smile)

lks
Bitte warten ..
Mitglied: 147669
147669 (Level 1)
03.03.2021, aktualisiert um 10:53 Uhr
Zitat von @Lochkartenstanzer:
Dann nimmt man halt einen Geschäftskundentarif, die haben sowieso bessere SLAs. Was ist das Problem? (Außer Geld :-) face-smile)
Der nicht vorhandene Gewerbeschein.
Bitte warten ..
Mitglied: Lochkartenstanzer
03.03.2021 um 10:56 Uhr
Zitat von @147669:

Zitat von @Lochkartenstanzer:
Dann nimmt man halt einen Geschäftskundentarif, die haben sowieso bessere SLAs. Was ist das Problem? (Außer Geld :-) face-smile)
Der nicht vorhandene Gewerbeschein.

Das stört die Provider in der Regel kaum, wenn man keinen Gewerbeschein hat. Es gibt nämlich auch selbständige Berufe, die man ohne Gewerbeschein ausüben darf, z.B. als IT-Dienstleister/-Berater.

lks
Bitte warten ..
Mitglied: aqui
03.03.2021 um 10:59 Uhr
Auf alle Fälle ein Grund dann von solchem Provider die Finger zu lassen wenn man etwas mehr Ansprüche an sein eigenes Netz hat wie z.B. einen remoten VPN Zugang.

P.S.: Du hattest Recht hatte das mit einem Telekom Glasfaser Kunden verwechselt, sorry !
Bitte warten ..
Mitglied: 147669
147669 (Level 1)
03.03.2021, aktualisiert um 11:14 Uhr
Die DG stört dass wohl schon :-/ face-confused, warum auch immer. Sie wollen offensichtlich kein Geld verdienen...
Der Verein ist echt eine Zumutung, mein Fazit nach 2 Monaten Kundendasein.
Da bringen einem 400MBit/s nichts wenn die Tuppen nachts regelmäßig ne Stunde unangekündigte Wartungen abfackeln und die Zentralrouter mal eben rebooten. Als Server-Admin muss man ja meist hauptsächlich Nachts arbeiten.
Von Redundanz ala VRRP hat man dort wohl noch nie was gehört..
Bitte warten ..
Mitglied: fnbalu
03.03.2021 um 14:03 Uhr
Das ein Netz, was neu entsteht hier und da vielleicht noch nachjustiert werden muss, verstehe ich schon und würde ich tolerieren.
DS-Lite wird wohl langsam zur Mode, leider.
Klar, so alteingesessene wie die Telekom haben das aktuell nicht. Die jedoch aber nicht ausbaut oder nicht darf weil der KVZ von einem Richtfunk Anbieter belegt ist, der absolut unzuverlässig läuft und massiv einbricht, aber IPv4 liefert.
Die Telekom dürfte ganz Deutschland problemlos versorgen können, so war es wohl mal gedacht oder generell früher.

Nun klopft die DG an, bietet Glasfaser ins Haus. Das ist wie ein 6 er im Lotto was die Anbindung betrifft.
DS-Lite ist das Manko, was vielleicht 5% überhaupt nur bemerken.
Deshalb muss die Lösung gesucht werden.


Man kann auch also auch mit Open VPN zum RZ verbinden, ja?
Ich dachte man nutzt da Wireguard weil es schlanker ist, oder nur weil es Fritzbox & Co auch könnten?

Wenn ich bei der DG für meinetwegen einen 5er extra eine v4 bekommen würde, dann nur zu.
Business Anschlüsse magst als privater nicht bezahlen b.z.w. wird man nicht wollen.
Bitte warten ..
Mitglied: Lochkartenstanzer
03.03.2021 um 14:11 Uhr
Zitat von @fnbalu:

Man kann auch also auch mit Open VPN zum RZ verbinden, ja?
Ich dachte man nutzt da Wireguard weil es schlanker ist, oder nur weil es Fritzbox & Co auch könnten?

Ganze einfach:

  • "Stelle" irgendwo in der Cloud einen openVPN-Server hin. (geht zur Not auch ein vserver für dreifuffzich bei einem Billigheimer.)

  • Sage dem, daß alle clients miteinander kommunizieren dürfen, ggf noch Netze zum Routen Eintragen.

  • Du verbindest Dich von Deinem DS-Lite Anschluß permanent auf diesen Server.

Alle Clients, die sich bei Deinem vserver einwählen haben durch das routing direkt Zugang zu deinem Heimnetz. Da brauchst Du keine Ports zu forwarden. Alternativ kannst Du das gleiche Spiel natürlich mit IPSEC statt mit openVPN machen.

lks
Bitte warten ..
Mitglied: aqui
LÖSUNG 03.03.2021 um 14:46 Uhr
DS-Lite wird wohl langsam zur Mode, leider.
Nein, nicht wenn man einen vernüftigen Provider wählt !
Meist sind es die Billigheimer die sich aus Profitgier oder was auch immer nicht rechtzeitig mit entsprechenden v4 Adressen versorgt haben:
https://www.heise.de/newsticker/meldung/Das-war-s-mit-IPv4-Adressen-in-E ...
Den bleibt dann halt nur ein DS-Lite Frickelangebot für den nicht Business Bereich.
Man kann auch also auch mit Open VPN zum RZ verbinden, ja?
Wenn man einen Internet Anschluss hat und das RZ per Internet zu ereichen ist dann ja. Warum sollte es deiner Meinung nicht gehen. Du kannst ja auch Google, administrator.de und viele andere auch im RZ erreichen. Komische Frage im Internet Zeitalter....
Ich dachte man nutzt da Wireguard weil es schlanker ist
Nicht denken sondern nachdenken... ;-) face-wink Welches VPN Protokoll du nutzt ist doch vollkommen Wumpe. Ob du mit deinem Auto bei Aral, Shell oder Jet tankst ist dir doch auch egal. Fahren kannst du mit allen. Mit OpenVPN kennst du dich aus und hast du am laufen. Also warum nicht einfach mit 3 Mausklicks deine bestehende Konfig erweitern wenn du freiwillig DS-Lite Opfer werden willst und gut iss ?!
Ganze einfach:
Besser hätt' man es nicht erklären können... ;-) face-wink
Bitte warten ..
Mitglied: fnbalu
03.03.2021 um 14:58 Uhr
An so eine 3€ vServer Lösung dachte ich.
Das wird wohl schneller und wenn's läuft unkomplizierter sein als Feste-ip u.s.w.

Da kann dann auch jemand ohne VPN den vServer kontaktieren und wenn der richtige Portforward besteht auf eine Freigabe zugreifen?

Wirklich alles 1 zu 1 weiter geleitet.
Man verbindet sich beispielsweise zu der IP im RZ auf Port 21 und man würde auf Port 21 der eigenen pfSense rauskommt ohne dass man als Client VPN nutzt?
Bitte warten ..
Mitglied: aqui
03.03.2021, aktualisiert um 15:28 Uhr
Man verbindet sich beispielsweise zu der IP im RZ auf Port 21
Nein ! Du hast vermutlich das Konzept von VPNs völlig missverstanden....
  • RZ Server ist per festem VPN Tunnel immer mit dem Heimnetz verbunden. Das Heimnetz liegt also quasi wie mit einem verschlüsselten Draht (VPN Tunnel) direkt am RZ vServer an.
  • Man verbindet sich per VPN Client zu der IP im RZ und schafft so eine Client Netzwerk Verbindung über einen VPN Tunnel zum RZ Server.
  • Der RZ Server ist quasi ein VPN Router der dann das Client VPN IP Netz mit dem Heimnetz VPN einfach nur transparent routet. Diese "Server Zwischenhop" muss ja sein um eine öffentliche v4 IP für deinen remoten VPN Client zu bekommen.
Mit Ports oder so einem Unsinn ist da nix, denn deine Netzwerk Verbindung ist ja über das VPN immer transparent. Ein remoter Client verhält sich genau so wie ein Client im lokalen LAN. Der tiefere Sinn eines VPNs wie du es selber ja als alter OpenVPN Nutzer und Profi auch weisst.

Wenn du sicherstellen kannst das dein remoter Client auch immer mit IPv6 im Internet unterwegs ist dann kannst du dir den ganzen Quatsch mit dem vServer sparen. Denn als DS-Lite Kunde bekommst du ja wie ein Dial Stack Kunde auch immer ein eigenes öffentliches IPv6 Netzwerk zuhause was dann auch weltweit immer erreichbar ist. VPN oder sowas ist dann überflüssig.

Eigentlich doch ein simples Konzept und wahrlich kein Hexenwerk. Kollege @Lochkartenstanzer hat es doch schon wunderbar zusammengefasst oben. Warum tust du dich so schwer damit ?! ;-) face-wink
Bitte warten ..
Mitglied: fnbalu
03.03.2021 um 16:50 Uhr
Ich verstehe den Sinn von VPN und nutze es auch.

Ich habe aktuell aber auch einen Port, den ich so regulär forwarde für eine Bekannte und die nutzt O2
O2 hat aber wohl kein IPv6

Ich brauche halt mein VPN und halt auch einen normalen Port.

Quasi nimm Port 1 an für VPN und leite Port 2 so weiter
Bitte warten ..
Mitglied: Visucius
03.03.2021, aktualisiert um 19:22 Uhr
Genau. Habe hier zwei o2 Verträge: ipv4, monatl. kündbar, flexibel bei der HW, problemlos online konfiguriert ebenso an der Hotline (aber mit Wartezeit!), schnell geschaltet, kostenfreie Mobilnummern ... und billiger als die Konkurrenz. Seit einem Jahr ausfallfrei.

Aber mach Dir nix draus DSlite ist (leider) auch kein ipv6 sondern sowas veganes ... nicht Fisch, nicht Fleisch und am Ende haste Hunger, wenig Natur und nimmst trotzdem zu 😉
Bitte warten ..
Mitglied: fnbalu
03.03.2021 um 19:30 Uhr
Ich rede da eher von O2 Mobilfunk, die nach meinem Kenntnisstand noch kein IPv6 haben
Bitte warten ..
Mitglied: Visucius
03.03.2021, aktualisiert um 19:43 Uhr
Achso, mobil. Das kannste mMn. VPN-technisch eh vergessen. Zumindest bei Telekom bin ich da nicht zu Potte gekommen
Bitte warten ..
Mitglied: aqui
04.03.2021 um 11:28 Uhr
die nach meinem Kenntnisstand noch kein IPv6 haben
Stimmt !
https://www.datamate.org/status-der-ipv6-implementierung-in-mobilfunknet ...
Muss man sich wohl bei diesem Provider der für den schlechtesten Ausbau und Service ja hinlänglich bekannt ist wohl auch nicht groß wundern.
Bitte warten ..
Mitglied: fnbalu
04.03.2021 um 14:21 Uhr
Das ist ja das Problem.

Deshalb noch mal die Frage ob man das splitten kann, wie es bisher ja auch möglich ist, dass Port 1 fort VPN ist und ich in mein Heimnetz komme und wählt man IP:2 (wobei die Ports als Symbol dienen) ist es der normale Portforward bis zur pfSense, die dann auf einen Arduino intern zeigt
Bitte warten ..
Mitglied: BirdyB
04.03.2021 um 15:54 Uhr
Zitat von @fnbalu:

Das ist ja das Problem.

Deshalb noch mal die Frage ob man das splitten kann, wie es bisher ja auch möglich ist, dass Port 1 fort VPN ist und ich in mein Heimnetz komme und wählt man IP:2 (wobei die Ports als Symbol dienen) ist es der normale Portforward bis zur pfSense, die dann auf einen Arduino intern zeigt
Klar kannst du das machen... Warum auch nicht?
Bitte warten ..
Mitglied: 147669
147669 (Level 1)
04.03.2021, aktualisiert um 16:52 Uhr
Zitat von @fnbalu:

Das ist ja das Problem.

Deshalb noch mal die Frage ob man das splitten kann, wie es bisher ja auch möglich ist, dass Port 1 fort VPN ist und ich in mein Heimnetz komme und wählt man IP:2 (wobei die Ports als Symbol dienen) ist es der normale Portforward bis zur pfSense, die dann auf einen Arduino intern zeigt
Ja kannst du, du musst nur aufpassen das du auf der Seite des Servers den Traffic auch wieder über den Wiregard Tunnel schiebst und nicht asynchron über das Default GW des lokalen Netzes wenn du routest.
Bitte warten ..
Mitglied: aqui
08.03.2021, aktualisiert um 08:52 Uhr
Gibt aber scheinbar doch Dienstleister die gegen kleines Geld bei der Dt. Glasfaser eine öffentliche v4 IP schalten:
https://www.edv-kossmann.de/festeip/
Bitte warten ..
Mitglied: fnbalu
08.03.2021 um 09:13 Uhr
Und das ist wie von Provider direkt?
Es kommt alles direkt an der pfSense an und dort muss es geregelt werden wie aktuell bei der Telekom beispielsweise?

Geht so etwas nicht auch mit vServer ohne VPN?
Das mit den 10€ wäre es mit wohl sonst wert.
Bitte warten ..
Mitglied: 147669
147669 (Level 1)
08.03.2021, aktualisiert um 10:53 Uhr
Zitat von @fnbalu:

Und das ist wie von Provider direkt?
Nein, ist ein anderer Anbieter, der macht dann intern ein 1:1 NAT.
Geht so etwas nicht auch mit vServer ohne VPN?
Ja sicher, vor allem günstiger und du kannst mit dem vServer noch andere Dinge anstellen wie z.B. einen PiHole oder eine private Cloud dort platzieren.
Feste IPs zuhause in pfsense via Tunnel
Das mit den 10€ wäre es mit wohl sonst wert.
Würde ich mir ehrlich gesagt eher einen vServer zulegen.
Bitte warten ..
Heiß diskutierte Inhalte
Datenschutz
Regierung testet Einsatz von Microsoft Azure-Cloud für die Bundescloud
VisuciusVor 1 TagInformationDatenschutz34 Kommentare

LÄUFT! Deutschland will Microsoft für die Bundescloud testen Ich hätts ja beinahe unter dem Topic "Humor" veröffentlicht. Aber der 1. April ist ja durch ...

Festplatten, SSD, Raid
Festplatte aus defekten Notebook ausgebaut - wird nicht erkannt - Wie gelange ich an meine Daten?
1nCoreVor 1 TagFrageFestplatten, SSD, Raid14 Kommentare

Hallo liebe Community, nach 7 Jahren hat mein XMG Notebook seinen Geist aufgegeben In dem Notebook waren zwei Festplatten verbaut (eine für System und ...

Erkennung und -Abwehr
Wie geschickt sich Malware verstecken kann - Ein Beispiel aus der Praxis eines Security Experts
colinardoVor 16 StundenTippErkennung und -Abwehr3 Kommentare

Servus Kollegen und Mitstreiter, da ja in letzter Zeit die Exchange-Lücken die Admin-Landschaft ziemlich aufgewirbelt haben und dabei auch immer mal wieder "sogenannte" Admins ...

Internet
Woher holt sich Android die Kontaktdaten von unbekannten Rufnummern?
gelöst anteNopeVor 1 TagFrageInternet8 Kommentare

Hallo zusammen, seit einiger Zeit merke ich, dass mir mein Android Gerät Namen und Informationen zu mir unbekannten Teilnehmern präsentiert. Soll heißen eine nicht ...

Windows Netzwerk
MS Lizenzierung - externe Scandienstleistung
monstermaniaVor 1 TagFrageWindows Netzwerk9 Kommentare

Hallo Allerseits, ich habe da mal eine Frage an die MS Lizenzspeziallisten. Eine externe Firma soll Scandienstleistungen für uns erledigen. Dazu ist angedacht, dass ...

Exchange Server
Exchange Update CU19 auf CU20 Fehler - Eine weitere Version dieses Produkts ist bereits installiert
gelöst StefanKittelVor 1 TagFrageExchange Server6 Kommentare

Hallo, ich habe hier einen Exchange 2016 mit CU19 (15.1.2176.2). Darauf wollte ich nun CU20 installiert. Download Es erscheint Eine weitere Version dieses Produkts ...

Exchange Server
April 2021 Microsoft Exchange Server Security Updates
FrankVor 1 TagInformationExchange Server2 Kommentare

Microsoft has released security updates for vulnerabilities found in: Exchange Server 2013 Exchange Server 2016 Exchange Server 2019 These updates are available for the ...

Windows 10
Windows 10 Updates im Abgesicherten Modus nicht möglich!
gelöst Yuuto.LucasVor 23 StundenFrageWindows 1016 Kommentare

Hallo, ich habe aktuell ein Problem bei einem Kunden Rechner. Bei diesem gibt es Probleme mit dem Soundkarten Treiber hdaudio.inf wegen dem der PC ...