Beiträge von docromano

Zitat von frank_m

Das würde ja bedeuten, dass sich bei Tailscale prinzipiell alle Clients untereinander erreichen können - auch die anderer Nutzer. Wie verhindern sie das denn, so dass nur ein Nutzer Zugriff hat? Und was, wenn da mal was schief geht? Hast du mal einen Portscan gemacht, was du sonst noch so an Geräten oder Diensten siehst auf anderen 100er Adressen?

Genau, alle Clients können sich sehen und erreichen. Es gibt aber nur einen Nutzer im free-Paket. Ich muss mich auf jedem Gerät einloggen, gibt ein expiry date. Kann zentral auf der Tailscale Seite clients rauskicken. Für mehrere Nutzer muss man bezahlen. Ich finde es super komfortabel, weil ich von jedem Gerät auf meinen Server komme. Sicherheit geht vermutlich besser, ich kann das nicht beurteilen. Es ist ja immer eine Abwägung Ease-of-use vs Sicherheit. Hier steht was zur Funktionsweise:

https://tailscale.com/kb/1136/tailnet/

Zerotier läuft bislang ganz passabel, so bräuchte ich später nur noch das interne Routing vom Server auf den homeassistant, das sollte ja einfach sein. Danke auf jeden Fall für die Vorschläge zu iptables.

Mit DNS mache ich es, wenn das alles scheitert. Da habe ich schonmal viel Frust drin investiert...

Netbird sieht auch spannend aus, aber ohne iOS derzeit nichts für mich. Spiele jetzt eine Weile mit ZT, ist relativ lahm. Habe einen Kameraserver laufen, der drei Streams gleichzeitig anzeigt. Via Tailscale kein Problem, kontaktiere ich via ZT unsagbar langsam. Werden die Daten nicht direkt geschickt sondern irgendwie über andere Systeme geroutet ?

/edit

reboot des Servers hat das erstmal behoben, lief aber vorher wochenlang ohne solche Mätzchen...beobachte das mal weiter

Zitat von TBT

Da geht DNS übrigens auch, ist aber nicht integriert und durchaus etwas kompliziert. Da musst Du also eher mit IPs arbeiten, wenn Du Dir die Arbeit nicht machen willst, oder Du machst es wie ich und verwendest schlicht eine öffentliche Domain mit DNS Server für private ZT IPs (also meinserver.meineztdomain.de -> private ZT IP). Der DNS Name geht dann halt nur bei Mitgliedern im ZT Netz, aber er geht.

Ich habs direkt ans Laufen bekommen und fuchse mich da jetzt mal rein...danke dir !

Zitat von TBT

Bevor Du Verrenkungen unternimmst um Dich mit den Limits von Tailscale zu arrangieren, schau Dir doch lieber ZeroTier – Global Area Networking oder NetBird - Zero configuration VPN for fast-moving teams an. Beide haben auch Node Limits, die aber für Deinen Einsatzzweck mehr als ausreichen sollten, da kannst Du noch viel mehr Geräte aufnehmen.

Bei ZT kannst Du diesen Limits auch komplett entkommen, wenn Du Deinen eigenen Controller hostest, dann gibts gar keine Nodelimits mehr. Bei Netbird ist das auch möglich, aber noch deutlich aufwändiger als den ZT Controller zu hosten (dafür aber auch flexibler).

Netbird ist neuer und noch heftig in Entwicklung, aber imho etwas performanter als ZT (da auf Wireguard basierend) und hat einige sehr sehr feine Funktionen, die das Leben erleichtern, wie DNS Namen für die VPN Partner, Zugriffsrechte, mehrere Nutzer für das Controller Webinterface u.v.m.

Zerotier hat bereits mobile Clients für Android und iOS, bei Netbird existieren diese noch nicht, sollen aber in wenigen Monaten kommen.

Alles anzeigen

Cool, danke. ZT schaue ich mir mal an. Clients für alle OSse ist Pflicht, da die Frau iOS, ich Android, Win und Linux nutzen. Tailscale würde auch alles lösen, wenn in der Free Variante mehr als ein User erlaubt wären. Nodes kann das für meine Bedürfnisse genug (20).

Zitat von frank_m

Aber wie sind die Server untereinander verbunden? Wie sieht die IP-Verteilung bei dir exakt aus, also auf dem Server und im Heimnetz und welches Transport-Netz nutzt Tailscale?

Das ist für mich "Tailscale-Magic". Ich habe keine Ahnung wie das funktioniert, wurde irgendwo für die non-dualstack Anschlüsse empfohlen und funktioniert out-of-the-box. Jedes Gerät loggt sich auf Tailscale ein und bekommt eine interne, feste IP zugewiesen.

Mein Heimnetz ist ne Fritzbox, an der hängen der file- und krimskramsserver und ein odroid mit Home Assistant. Alles normale standard Fritz Adressen 192.168.178.xxx. Auf dem Server läuft tailscale. Ich kann auf jedem via Tailscale registrierten Gerät jedes andere unter seiner 100er IP adressieren. Das klappt ohne jedes Problem. Ja, die Sachen liegen auf nem Tailscale Server aber damit kann ich leben. Ich kann also zB auf meinem Android Phone ohne Probleme auf die Samba Freigabe des Servers unter seiner 100er Adresse zugreifen.

Nun möchte ich, dass bei Zugriff auf den Vserver unter port xyz dieser via der 100er Adresse auf einen port dort geroutet wird. Die Verbindung klappt einwandfrei, kann zB vom Vserver ebenfalls aufs Samba zu Hause zugreifen.

ipv6 habe ich mal versucht, bin aber irgendwann frustriert gescheitert. Solche Adressen meiner Frau zu geben wäre auch ehm...kein Zuckerschlecken

So sieht das bei Tailscale aus:

Clipboard01.jpg

Hallo zusammen,

ich bin ein ziemlicher Linux n00b, habe derzeit einen Vserver mit Debian und zu Hause einen x64 Server, ebenfalls auf Debian laufen.

Da ich Glasfaser Deutschland habe, komme ich nicht ohne weiteres wie früher per DynDNS an meinen Server zu Hause ran. Aktuell läuft auf beiden Tailscale, so dass ich relativ einfach zugreifen kann. Der Nachteil ist, dass es ab dem zweiten User kostenpflichtig ist und ich meiner Frau ebenfalls Zugriff auf einige Dienste einrichten möchte.

Nun zu meiner Idee:

Tailscale läuft ja auf meinem Netcup Vserver. Ich würde gerne eine Weiterleitung eines bestimmten Ports des Vservers (zB 10950) auf einen bestimmten Port des Heimservers einrichten. Wegen Tailscale ist die virtuelle IP Adresse des Heimservers fest nach dem Schema 100.x.x.x.

So müsste ich meiner Frau nur meine fixe Vserver Adresse plus Port geben und sie könnte drauf zugreifen. Wenn das möglich wäre, könnte ich auf dem Heimserver noch eine weitere Weiterleitung einrichten, zB auf den Homeserver, mit dem wir Heizung und Licht steuern.

Erste Versuche mit iptables schlugen fehl, was entweder an meiner Syntax oder der Tatsache liegt, dass Tailscale sich selbst auch in die iptables schreibt. Da weiß ich nun auch nicht mehr weiter.

Also: Ist das prinzipiell so möglich und was wäre der korrekte Befehl ?

Thx !