decino
Goto Top

Ganzes Heimnetz oder bestimmte Clienten über VPN mit Wireguardunterstützung laufen lassen

Hey,

wurde bestimmt schon zig mal gefragt aber ich habe wahrscheinlich die falschen Suchbegriffe.

Ich möchte bestimmte Clienten sprich: iPhones, Android Geräte etc. die in meinem Heimnetz sind, nur über eine VPN Verbindung ins Internet lassen.

Was brauche ich dazu? Klar einen VPN Anbieter der Wireguard unterstützt.

Aber was brauche ich an Hardware? Habe einen Proxmox Server und eine Fritzbox 7590.

Habe erst gedacht das ich einen Wireguard Server bei Proxmox aufsetze aber wenn der VPN Anbieter Wireguard unterstützt müsste es ja ein WG Client sein. Und wir kann ich priosieren welcher Client über WG ins Internet darf.

Hoffe ihr könnt mir auf die Sprünge helfen, nach welche Begriffen ich Suchen muss.

LG

Content-ID: 4505020094

Url: https://administrator.de/contentid/4505020094

Ausgedruckt am: 22.11.2024 um 00:11 Uhr

SlainteMhath
SlainteMhath 04.11.2022 um 12:38:17 Uhr
Goto Top
Moin,

darf ich fragen was du damit bezwecken willst? Sicherer oder gar anonym wird das Surfen dadurch nämlich nicht.

Ansonsten: gibt hier im Forum entsprechende Anleitungen wenn mich nicht alles täuscht.

lg,
Slainte
Visucius
Visucius 04.11.2022 aktualisiert um 12:43:37 Uhr
Goto Top
Verstehe die Frage nicht?! Genügt, doch den VPN-Client auf dem iPhone bzw. Android mit dem VPN-Anbieter zu verbinden?! Das ist doch das Kerngeschäft dieser ominösen Klitschen?!

Das hat doch mit Proxmox und Fritzbox gar nix zu tun?!
binBash86
binBash86 04.11.2022 um 12:49:58 Uhr
Goto Top
Nimm doch lieber etwas, was out of the box funktioniert. du könntest dir z.b einen gebrauchten Lancom-Router kaufen:

https://www.ebay.de/itm/185571953886

Hängst den hinter deinen Router und konfigurierst den so, dass er die vorhandene Internetverbindung nutzt. (Assistent, neue Internetverbindung, IPOE-Verbindung)

Danach buchst du einen der VPN-Anbieter hier:

https://vpnanbieter.net/

der z.B PPTP kann. Dann richtest du das als VPN Verbindung und als Default Route ein. Das sind 5 Minuten Konfiguration. Läuft hier bei mir Zuhause wunderbar.
Vision2015
Vision2015 04.11.2022 um 13:33:39 Uhr
Goto Top
Moin...
Ich möchte bestimmte Clienten sprich: iPhones, Android Geräte etc. die in meinem Heimnetz sind, nur über eine VPN Verbindung ins Internet lassen.
wozu soll das gut sein?
also mit sicherheit hat das nix zu tun..... das wäre schon mal klar!

Frank
Vision2015
Vision2015 04.11.2022 um 13:35:24 Uhr
Goto Top
Moin...
Zitat von @binBash86:

Nimm doch lieber etwas, was out of the box funktioniert. du könntest dir z.b einen gebrauchten Lancom-Router kaufen:

https://www.ebay.de/itm/185571953886

Hängst den hinter deinen Router und konfigurierst den so, dass er die vorhandene Internetverbindung nutzt. (Assistent, neue Internetverbindung, IPOE-Verbindung)

Danach buchst du einen der VPN-Anbieter hier:

https://vpnanbieter.net/
was ja sinnfrei ist....

der z.B PPTP kann. Dann richtest du das als VPN Verbindung und als Default Route ein. Das sind 5 Minuten Konfiguration. Läuft hier bei mir Zuhause wunderbar.
jo... und dein VPN Anbieter hat auch zugriff auf dein Netz face-smile

Frank
binBash86
binBash86 04.11.2022 um 14:46:23 Uhr
Goto Top
Sinnfrei ? Begründe.
Im Gegenteil. Alles hinter dem Router surft über die VPN-IP - ist somit über die IP nicht mehr zu lokalisieren.
Man kann die Verbindung natürlich auch auf den Geräten selbst erstellen, ist aber sehr aufwändig und nervig. Man muss die Verbindungen immer manuell aufbauen und überprüfen ob es auch noch aufgebaut ist. Mit dem Router bist du auf Nummer sicher, wenn die Verbindung nicht klappen sollte, ist Sie auch nicht aufgebaut.

Der VPN Anbieter hat Zugriff auf dein Netz ? Nein, weil die PPTP-Verbindung tunnelt nur in die eine Richtung, es gibt keine Netzbeziehung.
Decino
Decino 04.11.2022 um 15:03:20 Uhr
Goto Top
Zitat von @binBash86:

Nimm doch lieber etwas, was out of the box funktioniert. du könntest dir z.b einen gebrauchten Lancom-Router kaufen:

https://www.ebay.de/itm/185571953886

Hängst den hinter deinen Router und konfigurierst den so, dass er die vorhandene Internetverbindung nutzt. (Assistent, neue Internetverbindung, IPOE-Verbindung)

Danach buchst du einen der VPN-Anbieter hier:

https://vpnanbieter.net/

der z.B PPTP kann. Dann richtest du das als VPN Verbindung und als Default Route ein. Das sind 5 Minuten Konfiguration. Läuft hier bei mir Zuhause wunderbar.

Kommt der Lancom denn mit Wireguard zurecht? Könnte ich nicht stattdessen einen GL.iNet GL-AR750 holen und den so Konfigurieren? Der hat ja Wireguard Unterstützung

LG
binBash86
binBash86 04.11.2022 um 15:17:09 Uhr
Goto Top
Wenns Wireguard sein muss dann nimm was anderes. Ich mache das mit PPTP bzw. IPSEC seit 2 Wochen.
2423392070
2423392070 04.11.2022 um 15:17:28 Uhr
Goto Top
Ich würde einen Milkrotik-Router und einen VPN-Anbieter wählen, der am ASN deines ISP gut aufgestellt ist.
Läuft wirklich super mit z. B. Wireguard.
aqui
aqui 04.11.2022 aktualisiert um 17:02:55 Uhr
Goto Top
Oder einen Raspberry Pi... 😉
Merkzettel: VPN Installation mit Wireguard
GL.inet ist OK, ist ja eh ein getarnter OpenWRT Router. Mi(lch)rotik wäre aber deutlich besser vom Featureset bei annähernder Preisgleichheit aber auch etwas steilere Lernkurve.
Von öffentlichen VPN Providern kann man dir aber nur abraten wenn dir deine Datensicherheit etwas wert ist. Negativbeispiele gibt es leider viele.
Ich mache das mit PPTP
Wie gruselig...
https://www.heise.de/hintergrund/Der-Todesstoss-fuer-PPTP-1701365.html
binBash86
binBash86 04.11.2022 um 17:08:21 Uhr
Goto Top
Es geht primär nicht darum die (durch HTTPS sowieso schon verschlüsselten Daten) mittels PPTP nochmal zu verschlüsseln, sondern einfach nur seine Absender IP-Adresse zu ändern um damit die eigene Anonymität zu erhöhen. Außerdem, les mal den Artikel. Bei PPTP ist nur die Serverseite angreifbar, nicht wenn du es selbst nutzt. Man erreicht selbst mit PPTP genau das was man möchte. Ein externes Routing seiner eigenen Internetanfragen um seine eigene WAN-IP zu verschleiern. Nicht mehr möchte man damit erreichen. Dafür reicht das völlig aus.
LordGurke
LordGurke 04.11.2022 um 18:36:44 Uhr
Goto Top
Zitat von @binBash86:

Sinnfrei ? Begründe.
Im Gegenteil. Alles hinter dem Router surft über die VPN-IP - ist somit über die IP nicht mehr zu lokalisieren.

Aber über deine Cookies, über Browser-Fingerprinting, über Logins, über Browser-Erweiterungen...
https://browserleaks.com/canvas

Der VPN Anbieter hat Zugriff auf dein Netz ? Nein, weil die PPTP-Verbindung tunnelt nur in die eine Richtung, es gibt keine Netzbeziehung.

Doch, hätte er. Wenn du es nicht per Firewall verbietest. Alles andere würde ja auch das Surfen im Internet verunmöglichen, wenn der VPN-Provider keine Daten zu dir schicken kann.
binBash86
binBash86 05.11.2022 um 08:02:52 Uhr
Goto Top
Das sehe ich anders, weil es ist ein Point to Point Tunneling Protokoll, das heisst der LC Router maskiert ja selbst nochmal. Das einzige was er erreichen kanny waere der Router bzw. die Firewall. Er kann nicht auf das Netz zugreifen.

Was das Tracking angeht, solange er dir kein Zertifikat unterschiebt, wird das schwer, weil er den Traffic ja nicht aufbrechen kann ohne das du es merkst. Er kann nur deine. DNS Am Traffic anschauen.
Visucius
Visucius 05.11.2022 aktualisiert um 09:40:23 Uhr
Goto Top
weil er den Traffic ja nicht aufbrechen kann

Kann er nicht? Das wäre aber bemerkenswert, wo Du doch vorher von point2point schreibst. Wieso kann das denn dann Dein „Point“, bzw. Deine Seite?

Israelische Sicherheitsfirma kauft im großen Stil VPN-Anbieter
Vision2015
Vision2015 05.11.2022 um 10:07:46 Uhr
Goto Top
Moin...
Zitat von @Visucius:

weil er den Traffic ja nicht aufbrechen kann

Kann er nicht? Das wäre aber bemerkenswert, wo Du doch vorher von point2point schreibst. Wieso kann das denn dann Dein „Point“, bzw. Deine Seite?
ach lass mal.... face-smile
@binBash86 ist natürlich schlauer als wir alle zusammen, und wenn er der meinung ist, das die diversen VPN Anbieter sinnvoll sind, und das da irgendwas verschleiert wird- und das SSL verbindungen nicht aufgebrochen werden können, ja, dann wird das auch so sein!
wichtig ist ja nur, das er sich bei seinem Setup wohl fühlt!

warum irgendjemand seine ip adresse verschleiern will, ist mir eh rätselhaft!
für normale aktivitäten ist sowas völlig unötig, und eine router kaskade bringt keine sicherheit, da der VPN provider ja eh dein gateway kennt...
aber egal... face-smile

Frank
Visucius
Visucius 05.11.2022 aktualisiert um 10:39:28 Uhr
Goto Top
ach lass mal....
Hast ja Recht. Aber so nen inhaltliche Widerspruch innerhalb des selben Posts … findet man ja auch nicht alle Tage 🤭

Das coole ist – die Leute zahlen noch extra für langsame Antwortzeiten und lütte Bandbreite.
Vision2015
Vision2015 05.11.2022 um 10:40:17 Uhr
Goto Top
Moin...
Zitat von @Visucius:

ach lass mal....
Hast ja Recht. Aber so nen inhaltliche Widerspruch innerhalb des selben Posts … findet man ja auch nicht alle Tage 🤭

Das coole ist – die Leute zahlen noch extra für langsame Antwortzeiten und lütte Bandbreite.
face-smile

Frank
binBash86
binBash86 05.11.2022 um 12:12:59 Uhr
Goto Top
Zitat von @Vision2015:

Moin...
Zitat von @Visucius:

weil er den Traffic ja nicht aufbrechen kann

Kann er nicht? Das wäre aber bemerkenswert, wo Du doch vorher von point2point schreibst. Wieso kann das denn dann Dein „Point“, bzw. Deine Seite?
ach lass mal.... face-smile
@binBash86 ist natürlich schlauer als wir alle zusammen, und wenn er der meinung ist, das die diversen VPN Anbieter sinnvoll sind, und das da irgendwas verschleiert wird- und das SSL verbindungen nicht aufgebrochen werden können, ja, dann wird das auch so sein!
wichtig ist ja nur, das er sich bei seinem Setup wohl fühlt!

warum irgendjemand seine ip adresse verschleiern will, ist mir eh rätselhaft!
für normale aktivitäten ist sowas völlig unötig, und eine router kaskade bringt keine sicherheit, da der VPN provider ja eh dein gateway kennt...
aber egal... face-smile

Frank

In deinem Link steht beschrieben, dass irgendwelche israelischen Firmen VPN-Anbieter aufkaufen. Wo ist jetzt der Beweis dafür, dass VPN-Provider ohne selbstsignierte SSL-Zertifikate in der Lage sind deinen SSL-Traffic (Was 99,9% heutzutage ausmacht) aufzubrechen und mitzulesen im Klartext ? Sie können lediglich deinen DNS-Traffic mitlesen, sofern du nicht DNSSEC benutzt. Nutzt du DNSSEC:

https://www.ionos.de/digitalguide/server/knowhow/dnssec-signierte-namens ...

sehen Sie nicht mal das.

Halten wir fest:
Kann der VPN-Provider in dein Netz eindringen ? Nein, weil der Router selbst maskiert, dein Netz ist also nicht adressierbar.
Kann der Provider deinen Internet-Traffic im Klartext sehen ? Nein, weil heutzutage 99,9% der Verbindungen SSL-verschlüsselt sind.
Kann er meine DNS-Anfragen sehen ? Nicht wenn du DNSSEC benutzt.
Macht es Sinn seine eigene IP zu verschleiern ? Absolut, wenn man nicht möchte dass irgendjemand herausfinden kann wer du bist. Wie kann man das herausfinden ? Indem man dich anzeigt und dein Provider deine Identität preisgibt.
binBash86
binBash86 05.11.2022 aktualisiert um 12:25:45 Uhr
Goto Top
Zitat von @Visucius:

weil er den Traffic ja nicht aufbrechen kann

Kann er nicht? Das wäre aber bemerkenswert, wo Du doch vorher von point2point schreibst. Wieso kann das denn dann Dein „Point“, bzw. Deine Seite?

Israelische Sicherheitsfirma kauft im großen Stil VPN-Anbieter

Diese Frage zeigt dass du das Prinzip von SSL-Verschlüsselung nicht verstanden hast. Guck es dir lieber nochmal an:

https://www.youtube.com/watch?v=ANqhinZkkZ8

Mein "Point" kann den Traffic ebenfalls nicht entschlüsseln, weil mein Point ist der Router, der die Pakete ebenfalls nur weitergibt. Erst mein PC kann es entschlüsseln.

Was ist das hier ? IT for Dummies ?

Was denkst du warum du bei einer Appliance wie z.B einer Sophos erstmal das Zertifikat in deinem Netzwerk ausrollen musst ? Weil Sie den SSL-Traffic sonst nicht aufbrechen kann.

Es ist ja schön dass ihr auf irgendwelchen IT-News-Seiten gelesen habt, dass PPTP unsicher ist. Ist es auch. Aber aus dem Aspekt der Verschlüsselung nutzt man das PPTP in diesem Szenario gar nicht, sondern nur als Routingprotokoll. Dafür funktioniert es immer noch gut. Abgesehen davon, es spricht auch nicht dagegen IPSEC mit AES-256 zu verwenden, das unterstützen die Provider in der Liste die ich geschickt habe ebenfalls.
Visucius
Visucius 05.11.2022 aktualisiert um 12:48:29 Uhr
Goto Top
Ich verstehe! Jo, dann ist dit ja alles supi dupi 😂

Viel Erfolg bei Deinem Vorhaben! Verstehe dann natürlich nicht, wozu diesen Thread? Die Anbieter erklären das doch selbst für Novizen? Ich - als IT-Dummie - google das mal für Dich IT-Profi:

https://nordvpn.com/de/blog/vpn-auf-router-einrichten/
https://forum.proxmox.com/threads/vpn-für-komplettes-heimnetz-mit-p ...
binBash86
binBash86 05.11.2022 um 13:39:53 Uhr
Goto Top
Zitat von @Visucius:

Ich verstehe! Jo, dann ist dit ja alles supi dupi 😂

Viel Erfolg bei Deinem Vorhaben! Verstehe dann natürlich nicht, wozu diesen Thread? Die Anbieter erklären das doch selbst für Novizen? Ich - als IT-Dummie - google das mal für Dich IT-Profi:

https://nordvpn.com/de/blog/vpn-auf-router-einrichten/
https://forum.proxmox.com/threads/vpn-für-komplettes-heimnetz-mit-p ...

Ja, wo unter anderem auch PPTP als eine Möglichkeit beschrieben wird. Es ist doch egal wie er es macht, hauptsache et fluppt. Da ich schon einen Erfahrungswert hatte, habe ich diesen Weg vorgeschlagen. Es gibt natürlich auch andere Hersteller die das können.
2423392070
2423392070 05.11.2022 um 13:59:11 Uhr
Goto Top
Zitat von @binBash86:

Zitat von @Visucius:

weil er den Traffic ja nicht aufbrechen kann

Kann er nicht? Das wäre aber bemerkenswert, wo Du doch vorher von point2point schreibst. Wieso kann das denn dann Dein „Point“, bzw. Deine Seite?

Israelische Sicherheitsfirma kauft im großen Stil VPN-Anbieter

Diese Frage zeigt dass du das Prinzip von SSL-Verschlüsselung nicht verstanden hast. Guck es dir lieber nochmal an:

https://www.youtube.com/watch?v=ANqhinZkkZ8

Mein "Point" kann den Traffic ebenfalls nicht entschlüsseln, weil mein Point ist der Router, der die Pakete ebenfalls nur weitergibt. Erst mein PC kann es entschlüsseln.

Was ist das hier ? IT for Dummies ?

Was denkst du warum du bei einer Appliance wie z.B einer Sophos erstmal das Zertifikat in deinem Netzwerk ausrollen musst ? Weil Sie den SSL-Traffic sonst nicht aufbrechen kann.

Es ist ja schön dass ihr auf irgendwelchen IT-News-Seiten gelesen habt, dass PPTP unsicher ist. Ist es auch. Aber aus dem Aspekt der Verschlüsselung nutzt man das PPTP in diesem Szenario gar nicht, sondern nur als Routingprotokoll. Dafür funktioniert es immer noch gut. Abgesehen davon, es spricht auch nicht dagegen IPSEC mit AES-256 zu verwenden, das unterstützen die Provider in der Liste die ich geschickt habe ebenfalls.

Unsicherheit ist hier ein geflügeltes Wort. Nicht so viel drauf geben.
SlainteMhath
SlainteMhath 07.11.2022 um 09:30:39 Uhr
Goto Top
@binBash86
Kann der Provider deinen Internet-Traffic im Klartext sehen ? Nein, weil heutzutage 99,9% der Verbindungen SSL-verschlüsselt sind.
Das hoffe ich nicht! SSL (3.0) gilt schon länger als unsicher. TLS 1.2 bzw. 1.3 sollte man schon verwenden

Macht es Sinn seine eigene IP zu verschleiern ? Absolut, wenn man nicht möchte dass irgendjemand herausfinden kann wer du bist. Wie kann man das herausfinden ? Indem man dich anzeigt und dein Provider deine Identität preisgibt.
Und du meinst der VPN Anbieter gibt deine Anschrift nicht raus, wenn die KriPo vor der Tür steht? Aw, my sweet summer child :D
binBash86
binBash86 07.11.2022 um 10:21:31 Uhr
Goto Top
Zitat von @SlainteMhath:

@binBash86
Kann der Provider deinen Internet-Traffic im Klartext sehen ? Nein, weil heutzutage 99,9% der Verbindungen SSL-verschlüsselt sind.
Das hoffe ich nicht! SSL (3.0) gilt schon länger als unsicher. TLS 1.2 bzw. 1.3 sollte man schon verwenden

Macht es Sinn seine eigene IP zu verschleiern ? Absolut, wenn man nicht möchte dass irgendjemand herausfinden kann wer du bist. Wie kann man das herausfinden ? Indem man dich anzeigt und dein Provider deine Identität preisgibt.
Und du meinst der VPN Anbieter gibt deine Anschrift nicht raus, wenn die KriPo vor der Tür steht? Aw, my sweet summer child :D

Das soll er tun. Aber nicht wenn irgendein Troll im Internet versucht dir irgendwas unterzuschieben oder man irgendwo seine Meinungsfreiheit angeblich überspannt hat.
schoppeit
schoppeit 11.11.2022 um 11:10:18 Uhr
Goto Top
Hallo,

ich hätte vielleicht noch eine passende Idee:

- PFSense Server bei Hetzner (oder einen anderen Hoster seines Vertrauens) mit Wireguard Plugin
- Im Haus ein Mikrotik Router mit RouterOS V7 (Wie @2423392070 schon geschrieben hat, läuft das sehr stabil).
- In den AccessPoints bzw. Wifi-Controller mind. zwei SSIDs erstellen, die zu unterschiedlichen Netzen gehören (bspw. mit VLANs oder Mikrotiks hauseigenem Capsman).

Auf diese Weise kannst du durch Auswahl der SSID entscheiden, welche Geräte über die eigene public ip surfen sollen und welche über die PFSense.

Vor Strafverfolgung schützt das natürlich nicht, aber das soll definitiv auch nicht die Intention meines Beitrags sein! face-smile
ghostp
ghostp 14.01.2023 um 17:50:26 Uhr
Goto Top
Ich kann nicht nachvollziehen, warum es hier 25 Kommentare gibt und keiner geht auf die Frage des Erstellers ein. Der Ersteller möchte eine WG-Verbindung mit einzelnen Geräten (nicht immer nur mit allen) in sein Netzwerk aufbauen.
aqui
aqui 14.01.2023 aktualisiert um 18:04:57 Uhr
Goto Top
Allowed:IPs im WG Setup ist dafür bekanntlich das Zauberwort! 😉

Da aber vom TO keinerlei Feedback oder Infos mehr kommen und er auch scheinbar nicht in der Lage war seinen Thread als erledigt zu schliessen raten wir jetzt mal das er (hoffentlich) alles schon zu seiner Zufriedenheit lösen konnte.
Vision2015
Vision2015 14.01.2023 um 18:09:01 Uhr
Goto Top
Moin...
Zitat von @ghostp:

Ich kann nicht nachvollziehen, warum es hier 25 Kommentare gibt und keiner geht auf die Frage des Erstellers ein. Der Ersteller möchte eine WG-Verbindung mit einzelnen Geräten (nicht immer nur mit allen) in sein Netzwerk aufbauen.
und wo hast du das genau gelesen?
ich Lese:
Ich möchte bestimmte Clienten sprich: iPhones, Android Geräte etc. die in meinem Heimnetz sind, nur über eine VPN Verbindung ins Internet lassen.
wenn das Internet natürlich sein Heimnetz ist, hast du natürlich recht face-smile

Frank
aqui
aqui 14.01.2023 um 18:15:08 Uhr
Goto Top
Wobei er sich dann mit den gruseligen, öffentlichen VPN Providern sicher einen Bärendienst erweist...