Home-VPN

  • Hallo bzw. Halleluja !


    Da habe ich gefühlt 10 Jahre drauf gewartet, Und es funktioniert auf Anhieb.


    Externer Inhalt www.youtube.com
    Inhalte von externen Seiten werden ohne Ihre Zustimmung nicht automatisch geladen und angezeigt.
    Durch die Aktivierung der externen Inhalte erklären Sie sich damit einverstanden, dass personenbezogene Daten an Drittplattformen übermittelt werden. Mehr Informationen dazu haben wir in unserer Datenschutzerklärung zur Verfügung gestellt.


    Bevor jetzt bei manchen wieder Schnappatmung auftritt - habs vorerst beim roten H installiert. Ich verlange auch von niemand, das er sich jetzt 30 Minuten Video anguckt..


    Ich würde es aber gerne auch lernen / verstehen, statt einfach nur C&P..


    Besonders diese Richtung;


    Code
    iptables -t nat -A PREROUTING -p tcp --dport 81 -j DNAT --to-destination 10.0.0.1:81
    
    iptables -t nat -A POSTROUTING -j MASQUERADE


    Gibts da was? Video-Tutorials, Bücher, etc. ?

    RS 3000 G9.5 SE auch genannt OST22 L - 24 GB RAM, 8 Kerne, AMD Epyc, 960 GB SSD

    Webhosting 8000 SE BF22

  • Was willst du denn genau machen?

    Wenn du dich mit deinem gemieteten Server über VPN verbinden willst, dann mach den Verbindungsaufbau in die andere Richtung. Geht z.B. mit Wireguard und ner Fritzbox ganz gut. Bei iptables musst du dann nur einen Port öffnen (INPUT Chain). Es ist hier immer eine gute Idee alles zu blockieren und nur das Nötigste zu öffnen.


    Über Wireguard könntest du dann alle Dienste auf dem Netcup-Server nutzen.


    Wenn du iptables lernen willst, dann kannst du z.b. Youtoube-Videos ansehen, in Foren nachfragen oder die offizielle Dokumentation ansehen.


    Ich würde die iptables Konfiguration am Anfang von einem Profi prüfen lassen. Einige Dienste brauchen auch eine Überwachung, wohingegen VPN sicher ist, sofern hier keine Fehler bei der Erstellung der public und zugehörigen private Keys oder der Konfiguration gemacht werden.

  • Was willst du denn genau machen?

    Wenn du dich mit deinem gemieteten Server über VPN verbinden willst, dann mach den Verbindungsaufbau in die andere Richtung. Geht z.B. mit Wireguard

    Na das läuft ja schon.. Ich lese auch wirklich viel, aber SSL mit Let´sEncrypt will nicht. also über nginx Proxy. da kriege ich nur "internal error"

    RS 3000 G9.5 SE auch genannt OST22 L - 24 GB RAM, 8 Kerne, AMD Epyc, 960 GB SSD

    Webhosting 8000 SE BF22

  • Du bist über VPN mit deinem netcup Server verbunden und möchtest nginx als Proxy nutzen, der auf dem Netcup Server installiert ist?


    Wegen der VPN-Verbindung brauchst du eigentlich keine zusätzliche tls- Absicherung. Wenn du es doch machen willst, musst du wahrscheinlich eine eigene selbstsignierte CA erstellen, denn wie sollen deine clients z.B. das Serverzertifikat prüfen? Das muss außerhalb des Tunnels geschehen. Dem dem csr muss auch so verfahren werden.


    Ich weiß nicht, ob man nginz entsprechend konfigurieren kann.


    Alternativ kannst du auch den gesamten internettraffic über den vpn leiten, jenachdem was du erreichen willst.

  • Nachtrag, weil ich nicht nachgedacht habe :)


    normalerweise macht man da so:


    - OpenSSL installieren und private key erstellen

    - Csr erstellen und der CA schicken (letzebcrypt)

    - Das Zertifikat bei nginz zusammen mit den Private key hinterlegen.


    Der Client müsste automatisch das Zertifikat auf Gültigkeit prüfen, weil ja ocsp und crl Einträge im Zertifikat vorhanden sind.


    Da gibt's auch Skripte die das automatisieren, insbesondere die Erneuerung des Zertifikats.


    Tls mutual brauchst du nicht oder? xD



    Für so interne Geschichten würde ich allerdings eine eigene selbstsigniertes CA bevorzugen.

  • Da habe ich gefühlt 10 Jahre drauf gewartet

    Das war nicht nötig, du hättest einfach die Anleitung hier im Forum lesen können, die ich mal geschrieben hab. Außerdem hab ich dich mindestens 3 oder 4 Mal darauf aufmerksam gemacht, dass man den Zugang von außen über ein VPN und einen VPS lösen kann. Die dafür benötigten iptables Regeln hab ich hier auch schon mal irgendwo ausführlich erklärt. Du richtest im Grunde eine Portweiterleitung mit iptables ein. Dazu gibt es reichlich Anleitungen, z.B. über Google.

  • vll. sollte der Threadersteller mal genau beschreiben, was er vor hat inkl. Netzwerkdiagramm.

    Es ist doch schwachsinnig einen VPS einzusetzen nur um von Außen auf einen Dienst innerhalb des eigenen Heimnetzes zuzugreifen ?

  • Das war nicht nötig, du hättest einfach die Anleitung hier im Forum lesen können, die ich mal geschrieben hab.

    Mea Culpa ^^;)

    vll. sollte der Threadersteller mal genau beschreiben, was er vor hat inkl. Netzwerkdiagramm.

    Es ist doch schwachsinnig einen VPS einzusetzen nur um von Außen auf einen Dienst innerhalb des eigenen Heimnetzes zuzugreifen ?

    Wieso soll ich jetzt ein Bild malen, um irgendwem zu erklären warum ich von unterwegs gerne auf diesen oder jenen Heimserver zugreifen will?


    Und wieso ist es schwachsinnig, 4 Euro im Monat für nen VPS auszugeben, der mir vieles erleichtert? Wie löst Du das denn? Und jetzt bitte kein DynDNS oder so, dass funktioniert im CG-NAT nicht.


    Gruß, Kris

    RS 3000 G9.5 SE auch genannt OST22 L - 24 GB RAM, 8 Kerne, AMD Epyc, 960 GB SSD

    Webhosting 8000 SE BF22

  • Es ist doch schwachsinnig einen VPS einzusetzen nur um von Außen auf einen Dienst innerhalb des eigenen Heimnetzes zuzugreifen ?

    Nee, das kann schon Sinn machen. Wenn man an einem DS-Light oder CGNAT Anschluss per IPv4 von außen eine Verbindung aufbauen will, dann braucht man von irgendwoher eine öffentliche IPv4. Ein VPS ist eine Möglichkeit dafür. Alternativ kann man Portmapper nutzen, die aber wesentlich unflexibler sind.


    Ich könnte mir eine Antwort auf dein Lets Encrypt Problem konstruieren. Ich könnte mir vorstellen, die Domain löst für IPv4 und IPv6 auf. Du hast Portweiterleitungen nur für IPv4 eingerichtet, Lets Encrypt nutzt aber bevorzugt IPv6: Die Anfrage läuft ins Leere.

  • Dazu bräuchte man mit der LE DNS-Challenge nicht mal einen einzigen Port öffnen. Auch ist VPN mit IPv6 heutzutage kaum noch ein Problem. CG NAT betrifft ja i.d.R. nur den IPv4 Verkehr.


    Aber so wie das Thema hier in zich einzelne Threads aufgesplittet wurde und jedes für sich einzeln betrachtet zu wenig Informationen liefert, ist guter Rat ohnehin ziemlich schwer.

  • Dazu bräuchte man mit der LE DNS-Challenge nicht mal einen einzigen Port öffnen. Auch ist VPN mit IPv6 heutzutage kaum noch ein Problem. CG NAT betrifft ja i.d.R. nur den IPv4 Verkehr.

    Dass mit DNS-Challenge hab ich auch schon probiert, sowohl im Nginx Proxy als auch "zu Fuss" per certbot..


    Entweder bin ich zu ungeduldig, oder die DNS-Einträge hier bei Netcup dauern ewig. Ist ne Standard-.DE Domain, also keine inkl. aus dem Webhosting..

    RS 3000 G9.5 SE auch genannt OST22 L - 24 GB RAM, 8 Kerne, AMD Epyc, 960 GB SSD

    Webhosting 8000 SE BF22

  • Vll. Wäre es sinnvoll mal zu erklären, was gewollt ist?

    Nee, das kann schon Sinn machen. Wenn man an einem DS-Light oder CGNAT Anschluss per IPv4 von außen eine Verbindung aufbauen will, dann braucht man von irgendwoher eine öffentliche IPv4. Ein VPS ist eine Möglichkeit dafür. Alternativ kann man Portmapper nutzen, die aber wesentlich unflexibler sind.


    Ich könnte mir eine Antwort auf dein Lets Encrypt Problem konstruieren. Ich könnte mir vorstellen, die Domain löst für IPv4 und IPv6 auf. Du hast Portweiterleitungen nur für IPv4 eingerichtet, Lets Encrypt nutzt aberami bevorzugt IPv6: Die Anfrage läuft ins Leere.



    Anbieterwechsel zu jemandem der dem Kunden eine dynamische IPv4 zuweist, ist keine Option?

  • Anbieterwechsel zu jemandem der dem Kunden eine dynamische IPv4 zuweist, ist keine Option?

    Nee also hier nicht.. Gibt kein Kabel, und über Telefondraht nur 3000/256 kbits..

    Da beisse ich halt in den sauren Apfel, habe 200/50 MBit, die allerdings auch 85 Euronen (Vodafone / Gigacube unlimited) im Monat kosten.. Das läuft übrigens seit fast 4 Jahren stabil und störungsfrei.. - Da liest man ja auch immer wieder was von Nörglern..


    Hab schonmal nen Auge auf Starlink geworfen, aber nöö, so wie es ist, klappts ja ganz gut.

    RS 3000 G9.5 SE auch genannt OST22 L - 24 GB RAM, 8 Kerne, AMD Epyc, 960 GB SSD

    Webhosting 8000 SE BF22

  • Für so interne Geschichten würde ich allerdings eine eigene selbstsigniertes CA bevorzugen.

    Es gibt hier recht umfangreiche, aber auch komplexe Pakete; wenn man sowieso schon eine eigene Domäne registriert hat, für welche regelmäßig TLS-Zertifikate bei öffentlichen CA angefordert werden, ist es laut eigener Erfahrung deutlich einfacher (und vereinheitlicht Verwaltungsabläufe), wenn man via LetsEncrypt TLS-Zertifikate auch für ein internes VPN verwendet, dem eine Unterdomäne zugeordnet ist. Der zweite „Baustein“ DNS Split Horizon (für die interne IP-Adressen-Auflösung) ist meistens sowieso einfach anzuwenden/aufzusetzen, wenn interne DNS-Server für die Sperrung unerwünschter Zugriffe (Tracking, Werbung) im Einsatz sind.

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing

  • Das läuft übrigens seit fast 4 Jahren stabil und störungsfrei.

    Das ist auch der Grund, warum ich nicht wechseln werde.

    Ich bin seit über zwanzig Jahren bei der Telekom (über die ja auch immer genörgelt wird) und hatte noch nie Ausfälle (OK, DHCP/Nameserver zicken öfter, aber die habe ich auf andere umgestellt)

    Sicher gäbe es bei uns auch günstigere Anbieter. Aber: "Never change a running system" ;)

    Mir ist eine dauerhaft stabile Anbindung (mit immerhin 50 Mbit/s) wichtiger.

  • Mal kurz ne Zwischenfrage..


    Hab mir einen Managed Switch gekauft (TP-Link TL-SG105PE). Managed heisst für mich, der hat eine GUI.. Nur finde ich die IP von dem Teil nirgends. Weder im Router, noch per Suche mit Netzwerkscanner, tracert etc..


    Das Ding funktioniert auch, macht was es soll, habe es wie in der Anleitung beschrieben, mit meinem Router verbunden, der hat 192.168.1.1 - und natürlich auch meinen PC angestöpselt (WLAN aus). Also wenn die Nachricht ankommt, funktionierts. Aber wie finde ich die IP?

    RS 3000 G9.5 SE auch genannt OST22 L - 24 GB RAM, 8 Kerne, AMD Epyc, 960 GB SSD

    Webhosting 8000 SE BF22

  • Das Ding funktioniert auch, macht was es soll, habe es wie in der Anleitung beschrieben,

    Code
    1) To access the configuration utility, open a web-browser and type the default address
    http://192.168.0.1 in the address field of the browser, then press the Enter key

    Du verbindest den Switch nur mit deinem Computer, stellst deinen Computer auf die statische Adresse 192.168.0.2 Subnetzmaske 255.255.255.0 und öffnest die Konfigurationsseite im Browser.


    Dann konfigurierst du den Switch, dann hängst du ihn in dein Netzwerk und stellst deinen Computer wieder um auf DHCP.


    https://static.tp-link.com/res/down/doc/TL-SG108E_V2_UG.pdf