denfin
Goto Top

Heimnetzwerk Probleme und Fragen (VPN, IPv6, Telekom Speed Port)

Vorwort
Dieser Beitrag richtig sich speziell an Leute, die evtl. selber ein Heimnetzwerk betreiben und Erfahrung mit der Telekom und Speed Port Routern haben. Habe aber auch generelle netzwerkrelevante Fragen.

Was bisher geschah
Ich bin nun seit einigen Wochen wieder dabei mir hobbymäßig ein kleines Heimnetzwerk mit verschiedenen Diensten aufzubauen. Wie es eben oft so ist, habe ich sehr viele Sachen dazu gelernt und würde am liebsten nochmal alles komplett neu aufsetzen. Bevor ich aber eben das mache, muss ich noch einige Dinge verstehen, um in ein paar Monaten nicht direkt wieder in der gleichen Situation zu sein. Außerdem habe ich aktuell auch noch mit ein paar Problemen zu kämpfen, die ich aufgrund mangelnden Wissens in der Netzwerktechnik, nicht gänzlich verstehe und daher auch nicht lösen kann.

Aktuelles Setup

- Speedport Smart 3
- DHCP
- VPN-Zugang aktiv *1*

- Raspberry Pi 3 B+
- pi-hole, Router als Upstream DNS Server hinterlegt, DHCP aus *2*

- Raspberry Pi 5
- Docker
- Nextcloud
- Jellyfin
- weitere Services

Fragen
1: VPN, statische IP, DS-Lite
Ich habe einen Internetvertrag bei der Telekom und einen Speedport Smart 3 Router. Im Router lässt sich ein VPN-Zugang aktivieren und man bekommt eine Wireguard Konfigurationsdatei. Das müsste doch eigentlich bedeuten, dass ich eine statische IPv4 habe und mir nicht irgendwie eine IPv4 mit mehreren teile (das ist doch DS-Lite?), oder nicht?

Rufe ich aus meinem Heimnetzwerk die Seite [whoer.net](https://whoer.net) auf, so bekomme ich eine IPv4 Adresse und bei Proxy auch nein angezeigt.

Wenn ich also mit dieser Konfigurationsdatei einen Tunnel aus einem anderen Netzwerk aufbaue, kann ich nicht auf meine Services Zuhause zugreifen. Nach meinem Verständnis kann das auch nicht mit Firewalleinstellungen oder fehlendem Port Forwarding zu tun haben, da es sich ja eigentlich so verhalten sollte, wie als wäre ich im Heimnetzwerk angemeldet oder ist das ein Trugschluss?

2: Pi-Hole, DNS, Speedport
In Pi-Hole habe ich die IP meines Routers als Upstream DNS Server hinterlegt. In den Query Logs sehe ich die Anfragen, die von meinem Rechner ausgehen, und auch das Dinge blockiert werden. Anfragen von meinem Handy kann ich nicht sehen.

Ich habe bisher gedacht, dass es daran liegen könnte, dass das Handy eine IPv6 Adresse hat und irgendwie einen anderen DNS-Server nutzt. Ich habe hier auch verschiedene Setups ausprobiert wie z.B. DHCP im Router deaktiviert, in Pihole aktiviert. Was ist das einfachste Setup um Pihole für alle Geräte im Netzwerk zu nutzen?
### Wo soll's hingehen
- Eigener VPN-Server: Heißt das verschiedene Wireguard Configs für verschiedene Clients? Speedport Router gibt mir nur eine Config. Möchte aber pro Device eine haben.
- Unbound

Content-ID: 669431

Url: https://administrator.de/contentid/669431

Printed on: December 7, 2024 at 22:12 o'clock

Michi91
Michi91 Nov 12, 2024 at 15:14:51 (UTC)
Goto Top
Moin
Wenn ich also mit dieser Konfigurationsdatei einen Tunnel aus einem anderen Netzwerk aufbaue, kann ich nicht auf meine Services Zuhause zugreifen

Aber der Tunnel ansich wird aufgebaut? Dann steht ja schonmal grundsätzlich die Verbindung zum Speedport und es kann nur noch Routing/Firewalling Ärger machen.
denfin
denfin Nov 12, 2024 at 15:20:34 (UTC)
Goto Top
Ja, wenn ich den Tunnel aufbaue, und wieder whoer.net aufrufe, bekomme ich die IP Adresse angezeigt, die ich auch direkt im Heimnetzwerk habe
denfin
denfin Nov 12, 2024 at 15:23:24 (UTC)
Goto Top
Bezüglich Firewall habe ich selber nie Hand angelegt. Auf den Raspis habe ich nichts zusätzlich installiert und auch am Router nichts selber konfiguriert in die Richtung
aqui
aqui Nov 12, 2024 updated at 18:43:37 (UTC)
Goto Top
die evtl. selber ein Heimnetzwerk betreiben
Gibt es denn noch jemanden der kein Heimnetz betreibt??! 🤔
Das müsste doch eigentlich bedeuten, dass ich eine statische IPv4 habe
Nein, die hast du nicht und bekommst du nur mit Mehrkosten. Auf den einfachen Consumer Anschlüssen ist das nicht üblich.
Du hast dich aber vermutlich falsch ausgedrückt und meisst das du eine öffentliche IP ohne DS-Lite / CGNAT hast. Letzteres ist richtig, denn bei der Telekom gibt es kein DS-Lite die fährt immer mit Dual Stack. Sprich du hast sowohl eine öffentliche IPV4 als auch eine öffentliche IPv6 auf dem Router die immer von außen erreichbar ist.
Dadurch das diese aber wechselt (Thema Zwangstrennung und dynmaischer IPv6 Prefix) muss du ganz einfach mit DDNS arbeiten was alle Router und Firewalls out of the Box supporten. Entsprechende kostenlose Dienste sind im Router vorprogrammiert oder kannst du frei nutzen. Der eingerichtete DDNS Hostname zeigt dann immer auf die aktuelle Router IP Adresse am WAN Port.
In Pi-Hole habe ich die IP meines Routers als Upstream DNS Server hinterlegt.
Das ist richtig!
Wichtig ist das du im DHCP Server der die IP Adressen an die Clients gibt dann den PiHole als DNS Server angibst so das alle Endgeräte den PiHole als DNS Server bekommen.
Tip:
Du solltest einmal einen Blick auf das deutlich bessere Adguard Home werfen:
https://github.com/AdguardTeam/AdGuardHome
https://www.heise.de/ratgeber/Effizient-Werbung-blockieren-Anleitung-fue ...
https://www.heise.de/select/ct/2021/7/2101113595336903136
Mit diesem ist es deutlich einfacher verschlüsselte DNS Server zu nutzen im Uplink wie z.B. den der Telekom: https://dns.telekom.de/dns-query
Außerdem hat du bessere Einzelstatistiken der Blockings der Clients im GUI. On Top gibt es ein einfaches GUI um auch Applikationen im Netz zu sperren wie Facebook und andere Grusel Apps.
Alles zum Thema Wireguard findest du im hiesigen Tutorial!
denfin
denfin Nov 12, 2024 at 19:04:39 (UTC)
Goto Top
Erstmal vielen Dank für die ausführliche Antwort!

Zu der DS-Lite Thematik habe ich noch eine Frage.

Verstehe ich es richtig, dass die Telekom Dual Stack benutzt, was bedeutet, dass ich zwar immer eine IPv6 UND IPv4 Adresse habe, diese sich aber in bestimmten Intervallen ändern?

Wohingehen, man bei DS-Lite immer nur eine IPv6 Adresse hat?

Bedeutet DDNS braucht man als Privatkunde im Grunde immer.


Habe auch noch eine Frage zu DHCP und Pihole.

Die Einstellungen für einen DNS Server im Speedport sind unter "Internetzugang" etwas unintuitiv versteckt. Dort kann man einen Anbieter auswählen und muss Account Daten hinterlegen.


Verstehe ich es richtig, dass ich hier entweder die Möglichkeit hab einen externen Dienstleister wie Cloudflare zu nutzen und diese Daten dort hinterlege, oder alternativ auf meinem Pi einen Unbound DNS Server hoste, und diese Daten dort hinterlege?
bildschirmfoto 2024-11-12 um 19.54.34
denfin
denfin Nov 12, 2024 at 19:24:52 (UTC)
Goto Top
Habe etwas vorschnell geantwortet. Schaue mir jetzt erstmal Adguard an.
the.other
the.other Nov 12, 2024 at 20:56:38 (UTC)
Goto Top
Moinsen,
IdR musst du dich bei keinem DNS Server anmelden...
Der obere Teil mit den credentials ist für den Zugang zum ISP (bei dir Telekom).
Im unteren Teil kannst du dann entweder die DNS Server des ISP nutzen oder aber gibst eine IP des gewünschten DNS Servers an (zB cloudflare, oder was datenschutzfreundlicheres...kannst ja selber suchen).
Noch schöner IMHO wäre es, den pihole zusammen mit unbound auf dem Pi zu betreiben...Und das dann eben zu nutzen.

Dass du zb die Handys nicht unter pihole siehst, kann an diversen Dingen liegen...
...Handy ist im Mobilnetz statt im eigenen WLAN
...Handy nutzt zufällige MAC Adressen statt fester
...Handy nutzt DoH oder DoT und umgeht deinen Pihole
...Apps haben festen eigenen DNS Dienst und umgehen deinen Pihole
...
aqui
aqui Nov 13, 2024 updated at 07:55:41 (UTC)
Goto Top
Verstehe ich es richtig, dass die Telekom Dual Stack benutzt
Jepp, das hast du genau richtig verstanden! 👍
Wohingehen, man bei DS-Lite immer nur eine IPv6 Adresse hat?
Nocht ganz. Du hast da auch eine IPv4 Adresse die aber kommt auf der Kundenanschlussmeile aus dem im Internet nicht routebaren RFC 1918 oder RFC 9568 Bereich. Sie werden dann im Provider RZ über ein zentrales Gateway auf das deren Kunden keinen Einfluss haben auf öffentliche v4 IPs übersetzt. Siehe dazu auch HIER.
Bedeutet DDNS braucht man als Privatkunde im Grunde immer.
Die Masse der Consumer Anschlüsse sicher. Bei der Telekom bekommst du für kleines Geld auch eine feste IP. Bei DS-Lite Providern ist das eher teuren Business Verträgen vorbehalten. Die so für deren knappe IPv4 Kontingente eine bessere Rendite erzielen.
im Speedport sind unter "Internetzugang" etwas unintuitiv versteckt.
Was erwartest du wenn du so einen einfachen "Dreingabe" Router benutzt?! face-wink

IdR musst du dich bei keinem DNS Server anmelden...
Richtig aber du hast das Thema verfehlt! face-sad
Es geht hier um einen DDNS Dienst (Dynamisches DNS) der die dynamische IP Adresse des Router WAN/Internet Ports fest auf einen Hostnamen mappt und bei dem muss man sich in jedem Fall mit einem Account und Hostnamen anmelden auch wenn er kostenfrei ist. Ohne Account ist DDNS ohne jegliche Funktion.
Handy nutzt zufällige MAC Adressen statt fester
Das ist für die Blocking und DNS Client Statistik im PiHole oder Adguard völlig egal, denn dafür zählt einzig und allein nur dessen Client IP Adresse.
Handy nutzt DoH oder DoT und umgeht deinen Pihole
Das gilt nicht nur fürs Smartphone sondern auch für einige Browser. Diese Funktion lässt sich aber im Browser bzw. Setup immer deaktivieren.
https://www.heise.de/hintergrund/DNS-Leck-Browser-ignorieren-Windows-Kon ...
Usw.
the.other
the.other Nov 13, 2024 updated at 08:43:54 (UTC)
Goto Top
Moinsen,
Es geht hier um einen DDNS Dienst

Ja, eigentlich schon, ich bezog mich aber auf die Aussage des TE, der da eben fragte, ob der DNS Server dort in der GUI eingetragen werden muss (und wenn ja, mit "Account Daten")... face-smile

Das ist für die Blocking und DNS Client Statistik im PiHole oder Adguard völlig egal, denn dafür zählt einzig und allein nur dessen Client IP Adresse.
Ja, ich bezog ich aber darauf, dass Geräte aber gar nicht auftauchen, wenn diese also im System mit falscher MAC (bzw. sich dynamisch ändernder) hinterlegt sind, dann stimmt doch irgendwann diese reservierte Zuteilung nicht mehr...dann stehen in Pihole zwar ne IP, es ist aber mittlerweile kein Gerät mehr dieser zugeteilt...

Ich erwähne hier eben "nur" das Handy, da der TE auch nur davon sprach... ;)aber natürlich betrifft DoH und DoT auch andere Geräteklassen...
aqui
aqui Nov 13, 2024, updated at Nov 14, 2024 at 08:42:05 (UTC)
Goto Top
dann stimmt doch irgendwann diese reservierte Zuteilung nicht mehr...
Für Clients im lokalen LAN gibt es ja in dem Sinne keine "reservierten" Zuteilungen. Die dynamische WLAN Mac Adresse bei Smartphones und einigen anderen Endgeräten beziehen sich ja auch immer nur auf die jeweilige SSID. Innerhalb einer WLAN SSID bleibt die Mac immer konstant. Sie wechselt lediglich nur mit der SSID.
Im übrigen sind die Statistiken auf den DNS Filtern dynamisch. Zumindestens Adguard zeigt sie nach einer längeren Inaktivitäts Zeitspanne (konfigurierbar) dann auch nicht mehr an.
Du hast Recht das Smartphones in der Beziehung etwas anders sind aber eben nur etwas was man auch immer customizen kann. face-wink
denfin
denfin Nov 14, 2024 updated at 08:50:47 (UTC)
Goto Top
Es geht hier um einen DDNS Dienst (Dynamisches DNS) der die dynamische IP Adresse des Router WAN/Internet Ports fest auf einen Hostnamen mappt und bei dem muss man sich in jedem Fall mit einem Account und Hostnamen anmelden auch wenn er kostenfrei ist. Ohne Account ist DDNS ohne jegliche Funktion.

DDNS habe ich jetzt eingerichtet. Auf meinem Smartphone kann ich den Wireguard Client nutzen, und komme in mein Heimnetz. (In einem anderen privaten Netzwerk hat es nicht geklappt, tatsächlich auch ein Telekom Anschluss, durfte mich auch auf dem Router mal anmelden um zu schauen, aber konnte nichts finden, könnte das daran liegen, dass ich nicht Port 443 für Wireguard verwende)

Ja, eigentlich schon, ich bezog mich aber auf die Aussage des TE, der da eben fragte, ob der DNS Server dort in der GUI eingetragen werden muss (und wenn ja, mit "Account Daten")...

Und genau das ist mein nächstes Problem. Anscheinend kann ich nicht einfach die IP von Pihole dort hinterlegen. Gibt es hierfür noch irgendein "Workaround" oder bin ich jetzt tatsächlich durch den Router limitiert? Verstehe nicht warum, man nicht einfach eine Option "eigener DNS-Server" hat und dort eben einfach eine IP hinterlegen kann, und einen Anbieter wie Cloudflare oder so zu nutzen eben nur optional ist.
aqui
aqui Nov 14, 2024 updated at 10:12:00 (UTC)
Goto Top
könnte das daran liegen, dass ich nicht Port 443 für Wireguard verwende
Ja, denn das kollidiert bekanntlich mit HTTPS und sollte man nicht machen.
Du solltest deshalb mit den WG Ports immer im Bereich der empfohlenen Ephemeral Ports zwischen 49152 und 65535 bleiben wie es gemeinhin üblich ist.
Anscheinend kann ich nicht einfach die IP von Pihole dort hinterlegen.
Warum sollte das deiner Meinung nicht gehen?? Wer auch via VPN seinen DNS Filter benutzen möchte macht es doch genau so. Wenn du die PiHole IP pingen kannst bei aktivem Tunnel kann man logischerweise auch den Filter benutzen. In Millionen Fritzbox Wireguard Setups wird das doch auch so gemacht denn AVM setzt die FB per Default immer als DNS in seiner Client Konfig Datei. Warum sollte es also ausgerechnet bei dir nicht klappen?
Du hast hier, wie leider so oft, sehr wahrscheinlich einen Fehler in deinem Setup?!
Was hier von Laien gerne vergessen wird die einen lokalen Wireguard Server im internen Netz nutzen statt das VPN wie üblich auf der Peripherie zu terminieren, ist die statische Route auf das interne Wireguard Netz im lokalen Internet Router. Siehe dazu HIER und an einem Praxisbeispiel auch HIER.
denfin
denfin Nov 14, 2024 at 10:01:25 (UTC)
Goto Top
Ja, denn das kollidiert bekanntlich mit HTTPS und machen nichtmal mehr Dummies. Als Entwickler sollte man das wissen. Du solltest deshalb mit den WG Ports immer im Bereich der empfohlenen Ephemeral Ports zwischen 49152 und 65535 bleiben wie es gemeinhin üblich ist.

Ich glaube du hast mich missverstanden. Ich benutze NICHT 443 sondern einen Port zwischen zwischen 49152 und 65535. So abwertende Implikationen finde ich etwas unnötig. Vielleicht können wir einfach sachlich bleiben.

Warum sollte das deiner Meinung nicht gehen??

Habe es versucht. Die UI vom Speedport erwartet, dass ich Accountdaten angebe
the.other
the.other Nov 14, 2024 at 10:08:18 (UTC)
Goto Top
Moinsen,
das kann eigentlich nicht sein:
in deinem Bild gehören im oberen Teil die Daten, die dein ISP für deinen Vertrag angegeben hat.
Der untere Teil ist einfach für die IP des gewünschten DNS Servers, und das kann auch dein Pihole sein und dafür werden auch keine Credentials für Anmeldungen erwartet...
Also: oben am Besten NICHT Telekom (automatisch) wählen, sondern hier einen eigenen Eintrag mit den Anmeldedaten (die zum Anschluss gehören!) angeben, unten dann frei die IP des DNS eintragen, speichern...das sollte es auch schon gewesen sein.
aqui
aqui Nov 14, 2024 updated at 10:26:33 (UTC)
Goto Top
Ich glaube du hast mich missverstanden.
Stimmt, bin auf deine doppelte Verneinung reingefallen...sorry für die Verwirrung! 🙈
Die UI vom Speedport erwartet, dass ich Accountdaten angebe
Für eine statische IP Route?? 🤔 Wohl kaum...
Nur um weiteren Missverständnissen vorzubeugen: Das Setup des lokal verwendeten DNS Servers (hier dein PiHole) steht immer in der Wireguard Client Setup Datei und nicht im Router! (Siehe WG Tutorial!)
Nicht das du hier 2 völlig getrennte Baustellen mit einmal DDNS (im Router) und einmal dem internen DNS Server bei Wireguard (nur WG Client Setup) verwechselst. Beide haben nicht das Geringste miteinander zu tun!
[Interface]
Address = 10.64.64.101/24
PrivateKey = OMjSCv6e/iXECZwq0ZVL5Ywf/KzZvdsGpYKv1512345=
DNS = 172.16.2.1 # <--- Hier steht der lokale DNS!

[Peer]
PublicKey = cA+mynt84tVH1gPaUN66E8K0nfzvpsQMohrEbz54321=
Endpoint = router.myddns.de:51820 
...
Bei aktivem VPN Tunnel verwendet der Client dann statt des lokal erlernten DNS den der ihm im Wireguard Setup mitgegeben wird. Hier im Beispiel 172.16.2.1, bei dir dann die IP deines PiHole.
Kannst du mit ipconfig -all und mit den entsprechenden DNS Testtools wie nslookup oder host auch ganz einfach selber testen und verifizieren! Via Smartphone erledigen das die bekannten HE.NET Tools aus dem jeweiligen App Store.
denfin
denfin Nov 14, 2024 at 11:03:26 (UTC)
Goto Top
Also: oben am Besten NICHT Telekom (automatisch) wählen, sondern hier einen eigenen Eintrag mit den Anmeldedaten (die zum Anschluss gehören!) angeben, unten dann frei die IP des DNS eintragen, speichern...das sollte es auch schon gewesen sein.

Sorry wenn ich ein wenig begriffsstutzig bin, aber was meinst du mit Anmeldedaten (die zum Anschluss gehören)?

Das Setup des lokal verwendeten DNS Servers (hier dein PiHole) steht immer in der Wireguard Client Setup Datei und nicht im Router! (Siehe WG Tutorial!)

Ah ok, das habe ich dann komplett falsch verstanden, aufgrund von dieser Aussage:

Das ist richtig! Wichtig ist das du im DHCP Server der die IP Adressen an die Clients gibt dann den PiHole als DNS Server angibst so das alle Endgeräte den PiHole als DNS Server bekommen.

Ich hatte es so verstanden, weil der Speedport Router DHCP übernimmt. Aber vielleicht gibt es hier auch gerade Überschneidungen von den Themen Pihole und VPN. Würde mir erstmal das Wireguard Tutorial komplett zu Gemüte führen.
bildschirmfoto 2024-11-14 um 11.27.06
the.other
the.other Nov 14, 2024 at 11:55:58 (UTC)
Goto Top
Moinsen,
Sorry wenn ich ein wenig begriffsstutzig bin, aber was meinst du mit Anmeldedaten (die zum Anschluss gehören)?

Na, du hast einen Vertrag bei ISP XY, der gibt dir bei Vertragsabschluss deine Anmeldedaten (meist "Benutzerkennung" und Passwort, damit du dich in dessen Netz anmelden kannst und dieses zukünftig nutzen kannst...ohne Anmeldedaten kein Internet.
aqui
aqui Nov 14, 2024 updated at 14:33:22 (UTC)
Goto Top
Würde mir erstmal das Wireguard Tutorial komplett zu Gemüte führen.
Eine sehr weise Idee! face-wink
Es geht hier ja lediglich rein um ein lokales DNS Problem des VPN Clients das rein gar nichts mit PPPoE Anmeldedaten zu tun hat. Vergiss diesen Punkt also...
weil der Speedport Router DHCP übernimmt.
Das ist ja auch richtig, hier aber vollkommen irrelevant, weil der WG Client im Falle der VPN Nutzung sich ja üblicherweise in einem Fremdnetz befindet und nicht im eigenen Netz, denn im heimischen Netz benötigt man ja logischerweise kein VPN.
In diesem remoten Fremd- oder Mobilnetz lernt der VPN Client per DHCP (oder wie auch immer) seinen DNS Server üblicherweise dynamisch, den er im Normalbetrieb und auch im VPN nutzt wenn kein DNS Server in der WG Client Konfig angegeben ist.
Ist dort aber eine DNS IP angegeben wie z.B. dein heimischer PiHole, dann wird sobald der WG VPN Tunnel aktiv ist der aktuelle DNS Server mit diesem DNS Server überschrieben so das der Client nur noch diesen DNS Server aus der VPN Konfig benutzt. Ist der VPN Tunnel inaktiv wird wieder der ursprüngliche DNS Server aktiv. Einfache Logik! face-wink
Kannst du dir, wie bereits gesagt, auch immer selber ansehen wenn du ein DNS Lookup mit dem nslookup oder host Kommando ausführst. Einmal mit und einmal ohne VPN und dir dann die jeweils verwendeten DNS Serveradressen ansiehst. face-wink