Und der zweite Gedanke war: Wieso soll ich einer Firma (egal ob zerotier.com oder z.B. google.com) die Verwaltung meines privaten LANs überlassen, wenn ich doch einen eigenen, nicht ganz schlechten Server habe, der sich eh die meiste Zeit nur langweilt.
Netzwerke, lokal und Wireguard
- KrisAusEU
- Erledigt
-
Mein Vorschlag:
Route über deinen VPN Server nur den Traffic zwischen den LAN Netzen und NICHT den Traffic fürs Internet.
Einfache Sache:
Gibt jedem LAN eindeutige IPs.
Trage bei AllowedIPs nur die internen IP Adressen der jeweils entfernten Netzwerke ein und deines VPN Servers.
Double checken:
VPN Server muss IP forwarding erlauben
Alle können sich zum VPN Server verbinden
Firewall des VPN Servers so einstellen, dass da Traffic zu den jeweiligen Zielen geroutet werden kann.
Die clients sollten ein KeepAlive senden, wenn keine Portfreigabe am Router vorhanden ist.
Das geht definitiv alles mit Wireguard. Ich mach damit deutlich schlimmere Sachen...
Wenn du nicht wirklich auf die Konsole willst kannst du dir auch eine kleine VM mieten und einfach PfSense oder OpnSense installieren.
Die kannst du als VPN Server verwenden und die Firewall Regeln sind einfacher einzustellen. Die Firewall kannst du dann nutzen um deine teurere VM zusätzlich zu schützen.
-
Also alle deine Wünsche würden sich sowohl mit Wireguard als auch mit Zerotier problemlos realisieren lassen, sei es die Einbindung des Netzes deiner Mutter oder auch der Zugriff von außen auf dein Netz. Auch ohne dafür den ganzen Internettraffic durchs VPN tunneln zu müssen. Das einzige, woran es hier scheitert, sind einige Grundlagen über IP Netzwerke und Routing.
-
Bei Zerotier sieht das für mich im Moment noch ziemlich durchgewürfelt und durcheinander aus... aber funktioniert ja.. ich muss mal die Dokus/Wikis durchlesen.
Nichts für ungut, aber Dir fehlen in der Tat Netzwerkgrundlagen.
Was ist da durcheinander oder schwierig zu verstehen? Man richtet auf einem Controller ein Netzwerk ein. Dieser Controller ist zur Vermittlung (zum "Hole Punching") notwendig und essentiell, ohne einen solchen geht es nicht.
Ansonsten legst Du ein ZT Netzwerk an, joinst alle Clients da rein und dann hängst Du mit allen anderen Netzwerpartnern in einem LAN (wie Dein lokales Netzwerk zu Hause), völlig egal wo die sind und wie die ans Internet angebunden sind. Und das auch noch ohne jede Portfreigabe. Und dann kannst Du im Lan alles machen, was Du zu Hause auch machen kannst.
Was mir auch noch sehr wichtig wäre: Kann ich auch den PC meiner fast 75-jährigen Mutter (anderer Ort, anderer Provider, ebenfalls Provider-NAT) mit meinem Zerotier-LAN verbinden, indem ich bei ihr Zerotier installiere und den Rechner zu meiner Netzwerk-ID hinzufüge? Und auch ihren Drucker (wenn es sein muss, mit einem ollen Raspi 2B und CUPS davor) ?
Ja und jein. Mach VNC oder Teamviewer auf den Rechner Deiner Mutter und verbinde Dich über die ZT IP. Für Teamviewer bräuchtest Du noch nicht mal ZT oder sonst etwas. Den Drucker kannst Du ja dann über den Rechner konfigurieren.
Pro Tip: besorge Deiner Mutter ein iPad. Damit ist der ganze PC Quatsch einfach erledigt und die Sache super einfach. Hey, sogar meine 89jährige Oma macht das 1A, meine Mutter auch. Beide hatten seit Jahren keinen Kontakt zu einem PC mehr. Und halt einen Drucker mit AirPrint (falls denn unbedingt nötig).
-
Und der zweite Gedanke war: Wieso soll ich einer Firma (egal ob zerotier.com oder z.B. google.com) die Verwaltung meines privaten LANs überlassen, wenn ich doch einen eigenen, nicht ganz schlechten Server habe, der sich eh die meiste Zeit nur langweilt.
Musst Du nicht. Du kannst den Controller auch auf dem eigenen Server hosten, am einfachsten über Docker gepullt: https://github.com/key-networks/ztncui-containerized . Der Controller hat trotzdem Kontakt zu den ZT Root Servern, damit jeder ZT Client jedem ZT Netzwerk beitreten kann, egal ob selbst gehostet oder myZT.
Einen Controller als Vermittler brauchts bei sowas, sonst kann das technisch nicht ohne Portweiterleitung bei zwei NW Partnern mit CG-NAT funktionieren.
Die Einrichtung eines eigenen Controllers erfordert (wie vieles andere) Kenntnisse zu Docker, Networking, IPs etc. Und da könnte Deinerseits noch Nachholbedarf da sein. Ich kann die Rechercheinvestition nur empfehlen, Docker ist sooo praktisch.
-
Gerade von einem Freund https://rustdesk.com/ empfohlen und gezeigt bekommen. Im Endeffekt wie Teamviewer, aber man kann den Vermittler / Server selbst hosten (u.a. Docker). Sehr nice.
-
Ein Tablet hab ich ihr letztes Jahr schon geschenkt, kein iPad (zu teuer), ein Android-Gerät.
Ein iPad ist aber dafür sicher (keine Viren im Store) und einfach bedienbar. Kein Vergleich: Android Tablets sind doch quasi nicht existent und wenn man doch eins hat klumpig.
