Fernzugriff auf Rut x50

    Nein das geht mit fixer und dynamischer IP von aussen nur wenn der RUTX oder was auch immer eine public IP bekommt.


    Die IP‘s die man normalerweise vom Provider bekommt sind keine routebaren um sie von aussen zu nutzen. Das ist ja das Hauptproblem. Deshalb ja der Umweg als VPN Client von RUTX aus gesehen

    Zitat von Thomas Kleuser

    Das Problem mit der festen IP lässt sich doch mit nem Dyndns lösen, das unterstützt der Router doch nativ, dann kann man auch von aussen ein VPN aufbauen.

    Hmm jain. In regulären Privatkundentarifen im (deutschen) Mobilfunk wird CGNat eingesetzt. Da gehts nicht nur darum keine feste IP zu haben, da gehts vielmehr darum dass das Endgerät eine extern nicht erreichbare IP aus einem privaten Adressbereich hat. Das löst dann auch kein "Dyndns".


    Das hat Stefan auch schon geschrieben, der Begriffszusatz "CGNat" hilft aber vlt. bei der Eigenrecherche und dem Verständnis.


    Mindestens in Geschäftskundentarifen gibts die Möglichkeit per Vertragsoption (meist um die 5€ pro Monat) eine feste, regulär erreichbare IP zu bekommen. I.d.R. aber per IPv6.


    Für den Normalnutzer dürfte eine sog. Hub&Spoke Technologie die ein Anbieter stellt (für RUT User eben zb. über das kostenpflichtige RMS, Preis dort sind ja um die 2€ pro Monat) die einfachste und sinnvollste Variante sein.

    Ich hoffe der "Mist" kommt nie - hab mich jetzt knapp 25 Jahre alt an die 4Bit Geschichte gewöhnt - das kann man sich wenigstens noch einigermassen merken - IPv6 tut ich mich nach wie vor schwer - vor allem HEX kann man sich schlecht merken. Wenn man beruflich darauf angewiesen ist wird's schwer.


    Eigentlich gab's genügend IP's wenn nicht jeder meint eine Public haben zu müssen oder wie manche Bank bzw. Firma einen kompletten Public Range meint beanspruchen zu müssen über mehrere Subnetze hinweg ais welchen Gründen auch immer


    Theoretisch hätten wie bei IPv4 knapp 2.1 Milliarden Class C Adressen - das sollte doch grob ausreichen - muss ja nicht jedes Gerät wie bei IPv6 gedacht im Internet direkt erreichbar sein - das gäbe nur Probleme hinsichtlich Sicherheit usw.

    Mal den Thread wieder hervorholen.


    Bin jetzt von OpenVPN weg da ich dafür eine eigene virtuelle Maschine nehmen musste (hat bestimmte Gründe die hier zu weit führen würden).


    zu Hause habe ich eine relativ gute Leitung. Dahinter "versteckt" sich mein Netzwerk auf Basis von Unifi UDM Pro, entsprechende Switche und WLAN-AP's.


    Tommes hat leider das Wort "WireGuard" in den Raum geworfen. Das liess mir keine Ruhe mehr. Die Unifi kann ja auch schon einige Zeit WireGuard und der RUTX ebenfalls. Also mal neues Projekt, da OpenVPN doch ein bisschen lahm ist wegen dem Overhead im Protokoll hab ich mir jetzt WireGuard konfiguriert. Site-to-Site VPN ist hierfür nicht nötig und würde auch nur gehen wenn die SIM im WoMo-Router eine public IP hätte (aber das Thema hatten wir schon geklärt)


    Server konfigurieren und aktivieren auf der Unifi kein Problem. Da wird sogar die Konfiguration für die Clients entsprechen angelegt. Das aber im RUTX lauffähig zu machen gestaltet sich ein bisschen schwierig. Deshalb hänge ich mal eine anonymisierte config an die man dann am Ende der Datei von /etc/config/network einfügen muss, dann ist der Grossteil schon fertig:


    Dies kann quasi auch als Template für alle anderen WireGuard Server angesehen werden. Der RUTX lässt sich so am schnellsten konfigurieren.


    die Parameter list allowed_ips sagen dem Client eigentlich "nur" dass nur die angegebenen Netzwerk via WireGuard VPN geroutet werden sollen. Alles andere geht normal direkt raus.


    Falls jemand alles durch den Tunnel jagen möchte damit auch Streaming funktioniert einfach die Zeile

    Code
    list allowed_ips '192.168.4.0/24'

    durch

    Code
    list allowed_ips '0.0.0.0/0'

    ersetzen und alle Zeilen danach löschen - dann geht alles über Tunnel.


    Ich möchte nicht alles durch den Tunnel jagen sondern meine Netzwerke "sichtbar" machen. Für's streaming nutze ich Express VPN da ich eh Mediatheken usw. via Deutschland Routen muss (wohne ja in der Schweiz)


    Bis jetzt war das eigentlich noch nichts besonderes. Was Unifi leider via GUI nicht kann ist die Einstellung das Netzwerk von Lilou für zu Hause bereitzustellen. Mit nem kleinen "Trick" geht das. In der GUI kann man zwar das Routing via "Statische Route" konfigurieren, aber WireGuard weiss nicht dass es das Netzwerk durch den Tunnel schicken muss.


    Hierzu kann man sich via SSH mit der UDM verbinden und folgendes Kommando absetzen:

    Code
    wg showconf wgsrv1

    Dann sollte man so etwas in der Art zurückbekommen:


    Code
    [Interface]
ListenPort = 51825
PrivateKey = <Private Key des Servers>

[Peer]
PublicKey = <Public Key des Clients Nr. 1>
AllowedIPs = 192.168.4.2/32
Endpoint = <Public IP und Port wenn verbunden>
ForcedHandshake = 10


    Was hier jetzt fehlt ist die Netzwerkangabe für das WoMo-Netzwerk wenn man das von zu Hause erreichen möchte. Das kann man eintragen mit folgendem Befehl


    Code
    wg set wgsrv1 peer <Public Key des Clients Nr. 1> allowed-ips 192.168.4.2/32,<Womo Netzwerk>

    Und schon kann man alle Endgeräte ohne Neustart des Dienstes von zu Hause erreichen. Leider hat das einen Haken. Nach einem Neustart des VPN Dienstes oder des Unifi UDM Pro ist das wieder weg.


    Aber da kann man sich behelfen. Einfach für den Benutzer root mit "crontab -e" einen Job anlegen, der das alle 5 Minuten mit einem Script prüft und ggbfs. korrigiert.


    Code
    */5 * * * * /data/unifi-core/config/wg-config.sh

    Das Script erstellen

    Bash
    #!/bin/bash

if wg showconf wgsrv1 | grep <WoMo Netzwerk> ; then
    echo Config found
else
    echo No Config found
    wg set wgsrv1 peer <Public Key des entsprechenden Clients> allowed-ips 192.168.4.3/32,<WoMo Netzwerk>
fi

    Dann nur noch ein "chmod 755 /data/unifi-core/config/wg-config.sh" und schon kann Unifi auch das WoMo Netzwerk bereitstellen.


    Die IP 192.168.4.3 bzw. 192.168.4.1 sind natürlich entsprechend anzupassen. Da das keine kritischen Daten sind hab ich das nicht anonymisiert. Wobei das nicht ganz stimmt mit unkritisch, aber dazu muss man erst mal reinkommen um damit was anfangen zu können.


    Sodele - wie immer gilt - wenn Fragen dann Fragen.

    Hi Stefan,


    danke für die genaue Anleitung. Dies entspricht exakt meiner Erfahrung.

    Nutze ebenfalls ein komplettes Unifi Setup zu Hause.

    Ich bin aber umgeschwenkt auf IPSEC mit ikev2 und dynDNS auf beiden Seiten.


    Das läuft bei mir absolut störungsfrei und kann sowohl auf der Unifi Seite und RUTX Seite in der Konfigurationsoberfläche konfiguriert werden ohne CLI Eingriffe und ist reboot sicher.


    Dies nur als eine weitere Info und Erfahrungsbericht. Ich nutze eine Sim Karte der Telekom mit unlimited Datenvolumen im RUTX. Bezüglich ipv6/ipv4 habe ich den Telekom APN umgestellt, dass ich nur ipv4 zugewiesen bekomme. Macht das Leben deutlich einfacher 😀.


    Viele Wege führen nach Rom und es ist schön, das hier im Forum ein so guter heterogener Austausch stattfindet mit unterschiedlichen Lösungsansätzen. Ich mag das hier! 😀

    Guten Morgen Oliver


    IPsec ist auch eine Möglichkeit, bremst aber durch die Verschlüsselung auch ein bisschen. dynDNS auf beiden Seiten? Bekommst Du auf Deiner SIM wirklich ne public IP?


    Die Anleitung vor allem auf der WireGuard Server Seite geht natürlich auch für andere Router usw. da diese Config für alle gleich ist.

    Zitat von spynick

    Guten Morgen Oliver


    IPsec ist auch eine Möglichkeit, bremst aber durch die Verschlüsselung auch ein bisschen. dynDNS auf beiden Seiten? Bekommst Du auf Deiner SIM wirklich ne public IP?

    Hi Stefan,


    Klar... aber für mein VPN sind ca. 15% Durchsatzverlust ok. Ich benötige bidirektionales VPN um per mqtt Fahrzeugdaten abzuholen und zu monitoren. Und ja klar habe ich eine nutzbare IP... Sonst würde es ja nicht funktionieren 😜


    LG

    Ok - das erklärt dann Dein site-to-site VPN.


    Bei meinem Setup kann ich auch auf alle Daten und Geräte im WoMo zugreifen und es per App von überall steuern, aber ohne erforderliche public IP. Public IP zu bekommen ist teilweise nicht einfach und häufig nur gegen Aufpreis. Aber gut für jeden der sie bekommt. Wobei ich eigentlich froh bin dass ich für Lilou keine erreichbare IP habe denn da schlagen auch viel weniger DOS-Attacken an der Firewall auf.


    Ich denke es ist nur eine Frage der Zeit bis Unifi die GUI entsprechend erweitert. Bis dahin komme ich damit gut klar mit meiner Lösung.

    Hi Stefan,


    was mir eben noch einfällt... Hast Du die Telekom APN internet.t-d1.de mal ausprobiert? Die APN internet.telekom ist ein Dualstack mit IPV4 und IPV6. Ich hatte in meinem Post vorher vergessen, die von mir genutzte APN aufzuschreiben... Damit bekommt man eine funktionierende IPV4 Adresse die für Dienste genutzt werden kann. Wie gesagt, bei mir IPSEC-VPN und DynDNS.


    LG

    Hi Oliver


    Nein hab ich nicht. Wird vermutlich auch nicht funktionieren, da ich ein Schweizer Abo habe. Aber der Tipp ist sicherlich auch für andere interessant.


    Mir war wichtig, dass ich die WireGuard für den RUTX hier vereinfacht zur Verfügung stellen konnte, denn wenn man sich das später in der GUI anschaut wäre man nie auf diese Konfiguration für den Client gekommen. Das ist via Datei dann doch viel verständlicher.


    Bei uns bekommst man eine public APN nicht bei jedem Anbieter - und wenn dann nur gegen Aufpreis - wobei mit 5CHF pro Monat das noch erträglich ist. Schweiz eben - da gibts nix für umme.