KVM Server VPN Fritzbox

  • Hallo Leute, mein vorhaben.


    Ich möchte 4 Standorte mit meinem KVM Server über VPN verbinden.

    Jeder Standort hat eine Fritzbox und alle sind untereinander mit vpn dauerhaft verbunden.

    jetzt muss ich noch eine Verbindung vom Server zu den Fritzboxen machen, aber da hört mein wissen auf.


    Sinn und zweck des Projektes ist ein Monitoring über Iobroker herzustellen, der dann mit den einzelnen anlagen ( z.b. Photovoltaik, Stromspeicher, Ladestationen, Wärmepumpen usw. ) über vpn sicher verbunden werden kann, ich denke das ist für euch kein problem, für mich leider schon.


    folgende frage


    über welche Programme könnte ich die VPN Verbindung vom Server zu den FB machen?



    Vielen dank schon mal.

  • ich denke das ist für euch kein problem

    Ein Problem besteht so lange, bis man es gelöst hat. Ich weiß, dass die Fritzen auf das Cisco IPSec-Protokoll setzen, deshalb würde ich dort anfangen zu suchen. Google & Wikipedia, von dort dann weiter in Richtung konfiguration entsprechender Clients. Vier bis fünf Stunden würde ich sagen, ausreichendes Grundwissen vorausgesetzt, und ich hätte eine funktionierende und sichere Lösung. Wenn du jetzt einfach irgendwas aufsetzt, ohne deine Konfiguration wirklich zu kennen, ist das geradezu eine Einladung dazu, deine Infrastruktur zu missbrauchen. Ich bin mir auch garnicht sicher, ob ein VPN hier wirklich die beste Lösung ist. Es ist zwar verschlüsselt, aber so ein Server könnte auch immer ein Einfallstor sein, daher würde ich eher dazu tendieren, einzelne Dienste mittels TLS anzusprechen, bevor ich einen VPS in mein lokales Netzwerk hänge.

  • Okay, das leuchtet mir ein. Dank für den Tipp.


    Mach es mehr Sinn die einzelnen Geräte über gesicherte portweiterleitungen aus der fb abzufragen? Oder wie meinst du das mit den tls?

  • Das käme darauf an, ob diese Geräte dafür ausgelegt sind, aus dem Internet angesprochen zu werden, und entsprechend abgesichert werden können (IP-Filter u.s.w.). So wie ich dich verstanden habe, willst du ja auf dem Server "nur" ein zentrales Monitoring machen. Da wäre es die beste Lösung, wenn die Geräte selbst den Server kontaktieren, und dort über eine verschlüsselte Verbindung (TLS) die Daten einliefern. Auf diese Weise würde der Server nur entgegen nehmen, könnte aber nicht aktiv in dein Heimnetz oder die Konfiguration deiner Geräte eingreifen. Ob das mit deinen Geräten möglich ist, weiß ich natürlich nicht, aber ich hätte Bauchschmerzen dabei, irgendwelche Smarthome-Geräte gegenüber Verbindungen von außen zu öffnen, egal ob dies über ein VPN oder Portfreigaben geschieht.

  • Das wird sehr schwierig, z.b. ich habe mehrere Speicher die eine tcp Schnittstelle haben, diese Frage ich momentan mittels http request an. Das ist nicht sicher, dessen bin ich mir bewusst, deswegen suche ich jetzt nach einer besseren Lösung. Bei den allermeisten Geräten kommt man nicht an die Config ran um sie so zu programmieren das sie auf meinen Server schreibt. Alles etwas schwierig.

  • In dem Fall wirst du um ein VPN wahrscheinlich tatsächlich nicht herum kommen. Solche Geräte per Portfreigabe zu öffnen, wäre noch gefährlicher. IPSec-kompatible clients gibt es genug, da wirst du dir sicher eine Lösung basteln können. Dann musst du aber große Sorgfalt auf die Absicherung deines Servers verwenden, denn wenn da jemand rein kommt, hat er sofort auch unbeschränkten Zugriff auf deine anderen Netze.


    Eine andere Möglichkeit wäre, einen kleinen Homeserver zwischenzuschalten, der die Zugriffskontrolle und die Verschlüsselung übernimmt, und quasi als Proxy für den Zugriff auf deine Geräte agiert. Den gibst du dann nach außen hin frei. Nur stellt sich dann natürlich die Frage, wozu du dann noch einen Server von Netcup brauchst, denn dann kannst du das Monitoring auch gleich da machen.

  • Bachsau, vielen dank für die guten Denkanstöße. Ich werde es jetzt dann doch tatsächlich mit einem eigenem lokalen Server realisieren, ist für mich zwar nicht die perfekte Lösung weil ich mich vor eigener Hardware immer etwas scheue, aber die sicherste. Besten dank noch mal. Thema [erledigt]