Fernzugriff auf Rut x50

Das Problem mit der festen IP lässt sich doch mit nem Dyndns lösen, das unterstützt der Router doch nativ, dann kann man auch von aussen ein VPN aufbauen.

Nein das geht mit fixer und dynamischer IP von aussen nur wenn der RUTX oder was auch immer eine public IP bekommt.

Die IP‘s die man normalerweise vom Provider bekommt sind keine routebaren um sie von aussen zu nutzen. Das ist ja das Hauptproblem. Deshalb ja der Umweg als VPN Client von RUTX aus gesehen

Thomas Kleuser wrote:

Das Problem mit der festen IP lässt sich doch mit nem Dyndns lösen, das unterstützt der Router doch nativ, dann kann man auch von aussen ein VPN aufbauen.

Hmm jain. In regulären Privatkundentarifen im (deutschen) Mobilfunk wird CGNat eingesetzt. Da gehts nicht nur darum keine feste IP zu haben, da gehts vielmehr darum dass das Endgerät eine extern nicht erreichbare IP aus einem privaten Adressbereich hat. Das löst dann auch kein "Dyndns".

Das hat Stefan auch schon geschrieben, der Begriffszusatz "CGNat" hilft aber vlt. bei der Eigenrecherche und dem Verständnis.

Mindestens in Geschäftskundentarifen gibts die Möglichkeit per Vertragsoption (meist um die 5€ pro Monat) eine feste, regulär erreichbare IP zu bekommen. I.d.R. aber per IPv6.

Für den Normalnutzer dürfte eine sog. Hub&Spoke Technologie die ein Anbieter stellt (für RUT User eben zb. über das kostenpflichtige RMS, Preis dort sind ja um die 2€ pro Monat) die einfachste und sinnvollste Variante sein.

Wann kommt bzw. setzt sich eigentlich IPv6 durch

Gut, wir wollen mal nicht hetzen, ist ja gerade erst gestartet, also vor gerade erstmal 20 Jahren…

Ironie-Ende.

Ich hoffe der "Mist" kommt nie - hab mich jetzt knapp 25 Jahre alt an die 4Bit Geschichte gewöhnt - das kann man sich wenigstens noch einigermassen merken - IPv6 tut ich mich nach wie vor schwer - vor allem HEX kann man sich schlecht merken. Wenn man beruflich darauf angewiesen ist wird's schwer.

Eigentlich gab's genügend IP's wenn nicht jeder meint eine Public haben zu müssen oder wie manche Bank bzw. Firma einen kompletten Public Range meint beanspruchen zu müssen über mehrere Subnetze hinweg ais welchen Gründen auch immer

Theoretisch hätten wie bei IPv4 knapp 2.1 Milliarden Class C Adressen - das sollte doch grob ausreichen - muss ja nicht jedes Gerät wie bei IPv6 gedacht im Internet direkt erreichbar sein - das gäbe nur Probleme hinsichtlich Sicherheit usw.

Mal den Thread wieder hervorholen.

Bin jetzt von OpenVPN weg da ich dafür eine eigene virtuelle Maschine nehmen musste (hat bestimmte Gründe die hier zu weit führen würden).

zu Hause habe ich eine relativ gute Leitung. Dahinter "versteckt" sich mein Netzwerk auf Basis von Unifi UDM Pro, entsprechende Switche und WLAN-AP's.

Tommes hat leider das Wort "WireGuard" in den Raum geworfen. Das liess mir keine Ruhe mehr. Die Unifi kann ja auch schon einige Zeit WireGuard und der RUTX ebenfalls. Also mal neues Projekt, da OpenVPN doch ein bisschen lahm ist wegen dem Overhead im Protokoll hab ich mir jetzt WireGuard konfiguriert. Site-to-Site VPN ist hierfür nicht nötig und würde auch nur gehen wenn die SIM im WoMo-Router eine public IP hätte (aber das Thema hatten wir schon geklärt)

Server konfigurieren und aktivieren auf der Unifi kein Problem. Da wird sogar die Konfiguration für die Clients entsprechen angelegt. Das aber im RUTX lauffähig zu machen gestaltet sich ein bisschen schwierig. Deshalb hänge ich mal eine anonymisierte config an die man dann am Ende der Datei von /etc/config/network einfügen muss, dann ist der Grossteil schon fertig:

config interface 'WG'
    option proto 'wireguard'
    list dns '192.168.4.1'
    option mtu '1420'
    option private_key '<Private Key vom WireGuard Client'
    list addresses '192.168.4.3/32'
    option listen_port '51825'
    option metric '1'
    option disabled '0'

config wireguard_WG 'Connect'
    option endpoint_port '51825'
    option public_key '<Public Key vom WireGuard Server'
    option persistent_keepalive '25'
    option endpoint_host '<Dynamischer Hostname für die Verbindung'
    option route_allowed_ips '1'
    list allowed_ips '192.168.4.0/24'
    list allowed_ips '192.168.1.0/24'
    list allowed_ips '192.168.10.0/24'
    list allowed_ips '192.168.160.0/24'
    list allowed_ips '192.168.110.0/24'

Dies kann quasi auch als Template für alle anderen WireGuard Server angesehen werden. Der RUTX lässt sich so am schnellsten konfigurieren.

die Parameter list allowed_ips sagen dem Client eigentlich "nur" dass nur die angegebenen Netzwerk via WireGuard VPN geroutet werden sollen. Alles andere geht normal direkt raus.

Falls jemand alles durch den Tunnel jagen möchte damit auch Streaming funktioniert einfach die Zeile

list allowed_ips '192.168.4.0/24'

durch

list allowed_ips '0.0.0.0/0'

ersetzen und alle Zeilen danach löschen - dann geht alles über Tunnel.

Ich möchte nicht alles durch den Tunnel jagen sondern meine Netzwerke "sichtbar" machen. Für's streaming nutze ich Express VPN da ich eh Mediatheken usw. via Deutschland Routen muss (wohne ja in der Schweiz)

Bis jetzt war das eigentlich noch nichts besonderes. Was Unifi leider via GUI nicht kann ist die Einstellung das Netzwerk von Lilou für zu Hause bereitzustellen. Mit nem kleinen "Trick" geht das. In der GUI kann man zwar das Routing via "Statische Route" konfigurieren, aber WireGuard weiss nicht dass es das Netzwerk durch den Tunnel schicken muss.

Hierzu kann man sich via SSH mit der UDM verbinden und folgendes Kommando absetzen:

wg showconf wgsrv1

Dann sollte man so etwas in der Art zurückbekommen:

[Interface]
ListenPort = 51825
PrivateKey = <Private Key des Servers>

[Peer]
PublicKey = <Public Key des Clients Nr. 1>
AllowedIPs = 192.168.4.2/32
Endpoint = <Public IP und Port wenn verbunden>
ForcedHandshake = 10

Was hier jetzt fehlt ist die Netzwerkangabe für das WoMo-Netzwerk wenn man das von zu Hause erreichen möchte. Das kann man eintragen mit folgendem Befehl

wg set wgsrv1 peer <Public Key des Clients Nr. 1> allowed-ips 192.168.4.2/32,<Womo Netzwerk>

Und schon kann man alle Endgeräte ohne Neustart des Dienstes von zu Hause erreichen. Leider hat das einen Haken. Nach einem Neustart des VPN Dienstes oder des Unifi UDM Pro ist das wieder weg.

Aber da kann man sich behelfen. Einfach für den Benutzer root mit "crontab -e" einen Job anlegen, der das alle 5 Minuten mit einem Script prüft und ggbfs. korrigiert.

*/5 * * * * /data/unifi-core/config/wg-config.sh

Das Script erstellen

#!/bin/bash

if wg showconf wgsrv1 | grep <WoMo Netzwerk> ; then
    echo Config found
else
    echo No Config found
    wg set wgsrv1 peer <Public Key des entsprechenden Clients> allowed-ips 192.168.4.3/32,<WoMo Netzwerk>
fi

Dann nur noch ein "chmod 755 /data/unifi-core/config/wg-config.sh" und schon kann Unifi auch das WoMo Netzwerk bereitstellen.

Die IP 192.168.4.3 bzw. 192.168.4.1 sind natürlich entsprechend anzupassen. Da das keine kritischen Daten sind hab ich das nicht anonymisiert. Wobei das nicht ganz stimmt mit unkritisch, aber dazu muss man erst mal reinkommen um damit was anfangen zu können.

Sodele - wie immer gilt - wenn Fragen dann Fragen.

Hi Stefan,

danke für die genaue Anleitung. Dies entspricht exakt meiner Erfahrung.

Nutze ebenfalls ein komplettes Unifi Setup zu Hause.

Ich bin aber umgeschwenkt auf IPSEC mit ikev2 und dynDNS auf beiden Seiten.

Das läuft bei mir absolut störungsfrei und kann sowohl auf der Unifi Seite und RUTX Seite in der Konfigurationsoberfläche konfiguriert werden ohne CLI Eingriffe und ist reboot sicher.

Dies nur als eine weitere Info und Erfahrungsbericht. Ich nutze eine Sim Karte der Telekom mit unlimited Datenvolumen im RUTX. Bezüglich ipv6/ipv4 habe ich den Telekom APN umgestellt, dass ich nur ipv4 zugewiesen bekomme. Macht das Leben deutlich einfacher 😀.

Viele Wege führen nach Rom und es ist schön, das hier im Forum ein so guter heterogener Austausch stattfindet mit unterschiedlichen Lösungsansätzen. Ich mag das hier! 😀

Guten Morgen Oliver

IPsec ist auch eine Möglichkeit, bremst aber durch die Verschlüsselung auch ein bisschen. dynDNS auf beiden Seiten? Bekommst Du auf Deiner SIM wirklich ne public IP?

Die Anleitung vor allem auf der WireGuard Server Seite geht natürlich auch für andere Router usw. da diese Config für alle gleich ist.

spynick wrote:

Guten Morgen Oliver

IPsec ist auch eine Möglichkeit, bremst aber durch die Verschlüsselung auch ein bisschen. dynDNS auf beiden Seiten? Bekommst Du auf Deiner SIM wirklich ne public IP?

Hi Stefan,

Klar... aber für mein VPN sind ca. 15% Durchsatzverlust ok. Ich benötige bidirektionales VPN um per mqtt Fahrzeugdaten abzuholen und zu monitoren. Und ja klar habe ich eine nutzbare IP... Sonst würde es ja nicht funktionieren 😜

LG

Ok - das erklärt dann Dein site-to-site VPN.

Bei meinem Setup kann ich auch auf alle Daten und Geräte im WoMo zugreifen und es per App von überall steuern, aber ohne erforderliche public IP. Public IP zu bekommen ist teilweise nicht einfach und häufig nur gegen Aufpreis. Aber gut für jeden der sie bekommt. Wobei ich eigentlich froh bin dass ich für Lilou keine erreichbare IP habe denn da schlagen auch viel weniger DOS-Attacken an der Firewall auf.

Ich denke es ist nur eine Frage der Zeit bis Unifi die GUI entsprechend erweitert. Bis dahin komme ich damit gut klar mit meiner Lösung.

Hi Stefan,

was mir eben noch einfällt... Hast Du die Telekom APN internet.t-d1.de mal ausprobiert? Die APN internet.telekom ist ein Dualstack mit IPV4 und IPV6. Ich hatte in meinem Post vorher vergessen, die von mir genutzte APN aufzuschreiben... Damit bekommt man eine funktionierende IPV4 Adresse die für Dienste genutzt werden kann. Wie gesagt, bei mir IPSEC-VPN und DynDNS.

LG

Hi Oliver

Nein hab ich nicht. Wird vermutlich auch nicht funktionieren, da ich ein Schweizer Abo habe. Aber der Tipp ist sicherlich auch für andere interessant.

Mir war wichtig, dass ich die WireGuard für den RUTX hier vereinfacht zur Verfügung stellen konnte, denn wenn man sich das später in der GUI anschaut wäre man nie auf diese Konfiguration für den Client gekommen. Das ist via Datei dann doch viel verständlicher.

Bei uns bekommst man eine public APN nicht bei jedem Anbieter - und wenn dann nur gegen Aufpreis - wobei mit 5CHF pro Monat das noch erträglich ist. Schweiz eben - da gibts nix für umme.

spynick wrote:

Mal den Thread wieder hervorholen.

Bin jetzt von OpenVPN weg da ich dafür eine eigene virtuelle Maschine nehmen musste (hat bestimmte Gründe die hier zu weit führen würden).

zu Hause habe ich eine relativ gute Leitung. Dahinter "versteckt" sich mein Netzwerk auf Basis von Unifi UDM Pro, entsprechende Switche und WLAN-AP's.

Tommes hat leider das Wort "WireGuard" in den Raum geworfen. Das liess mir keine Ruhe mehr. Die Unifi kann ja auch schon einige Zeit WireGuard und der RUTX ebenfalls. Also mal neues Projekt, da OpenVPN doch ein bisschen lahm ist wegen dem Overhead im Protokoll hab ich mir jetzt WireGuard konfiguriert. Site-to-Site VPN ist hierfür nicht nötig und würde auch nur gehen wenn die SIM im WoMo-Router eine public IP hätte (aber das Thema hatten wir schon geklärt)

Server konfigurieren und aktivieren auf der Unifi kein Problem. Da wird sogar die Konfiguration für die Clients entsprechen angelegt. Das aber im RUTX lauffähig zu machen gestaltet sich ein bisschen schwierig. Deshalb hänge ich mal eine anonymisierte config an die man dann am Ende der Datei von /etc/config/network einfügen muss, dann ist der Grossteil schon fertig:

Source Code

config interface 'WG'
    option proto 'wireguard'
    list dns '192.168.4.1'
    option mtu '1420'
    option private_key '<Private Key vom WireGuard Client'
    list addresses '192.168.4.3/32'
    option listen_port '51825'
    option metric '1'
    option disabled '0'

config wireguard_WG 'Connect'
    option endpoint_port '51825'
    option public_key '<Public Key vom WireGuard Server'
    option persistent_keepalive '25'
    option endpoint_host '<Dynamischer Hostname für die Verbindung'
    option route_allowed_ips '1'
    list allowed_ips '192.168.4.0/24'
    list allowed_ips '192.168.1.0/24'
    list allowed_ips '192.168.10.0/24'
    list allowed_ips '192.168.160.0/24'
    list allowed_ips '192.168.110.0/24'

Display All

Dies kann quasi auch als Template für alle anderen WireGuard Server angesehen werden. Der RUTX lässt sich so am schnellsten konfigurieren.

die Parameter list allowed_ips sagen dem Client eigentlich "nur" dass nur die angegebenen Netzwerk via WireGuard VPN geroutet werden sollen. Alles andere geht normal direkt raus.

Falls jemand alles durch den Tunnel jagen möchte damit auch Streaming funktioniert einfach die Zeile

Source Code

list allowed_ips '192.168.4.0/24'

durch

Source Code

list allowed_ips '0.0.0.0/0'

ersetzen und alle Zeilen danach löschen - dann geht alles über Tunnel.

Ich möchte nicht alles durch den Tunnel jagen sondern meine Netzwerke "sichtbar" machen. Für's streaming nutze ich Express VPN da ich eh Mediatheken usw. via Deutschland Routen muss (wohne ja in der Schweiz)

Bis jetzt war das eigentlich noch nichts besonderes. Was Unifi leider via GUI nicht kann ist die Einstellung das Netzwerk von Lilou für zu Hause bereitzustellen. Mit nem kleinen "Trick" geht das. In der GUI kann man zwar das Routing via "Statische Route" konfigurieren, aber WireGuard weiss nicht dass es das Netzwerk durch den Tunnel schicken muss.

Hierzu kann man sich via SSH mit der UDM verbinden und folgendes Kommando absetzen:

Source Code

wg showconf wgsrv1

Dann sollte man so etwas in der Art zurückbekommen:

Source Code

[Interface]
ListenPort = 51825
PrivateKey = <Private Key des Servers>

[Peer]
PublicKey = <Public Key des Clients Nr. 1>
AllowedIPs = 192.168.4.2/32
Endpoint = <Public IP und Port wenn verbunden>
ForcedHandshake = 10

Was hier jetzt fehlt ist die Netzwerkangabe für das WoMo-Netzwerk wenn man das von zu Hause erreichen möchte. Das kann man eintragen mit folgendem Befehl

Source Code

wg set wgsrv1 peer <Public Key des Clients Nr. 1> allowed-ips 192.168.4.2/32,<Womo Netzwerk>

Und schon kann man alle Endgeräte ohne Neustart des Dienstes von zu Hause erreichen. Leider hat das einen Haken. Nach einem Neustart des VPN Dienstes oder des Unifi UDM Pro ist das wieder weg.

Aber da kann man sich behelfen. Einfach für den Benutzer root mit "crontab -e" einen Job anlegen, der das alle 5 Minuten mit einem Script prüft und ggbfs. korrigiert.

Source Code

*/5 * * * * /data/unifi-core/config/wg-config.sh

Das Script erstellen

Bash

#!/bin/bash

if wg showconf wgsrv1 | grep <WoMo Netzwerk> ; then
    echo Config found
else
    echo No Config found
    wg set wgsrv1 peer <Public Key des entsprechenden Clients> allowed-ips 192.168.4.3/32,<WoMo Netzwerk>
fi

Dann nur noch ein "chmod 755 /data/unifi-core/config/wg-config.sh" und schon kann Unifi auch das WoMo Netzwerk bereitstellen.

Die IP 192.168.4.3 bzw. 192.168.4.1 sind natürlich entsprechend anzupassen. Da das keine kritischen Daten sind hab ich das nicht anonymisiert. Wobei das nicht ganz stimmt mit unkritisch, aber dazu muss man erst mal reinkommen um damit was anfangen zu können.

Sodele - wie immer gilt - wenn Fragen dann Fragen.

Display All

So, lieber Stefan,

die Einrichtung von Wireguard auf dem RUTX würde ich nun angehen.

Damit auch andere was von dir lernen können, würde ich das hier mit dir "besprechen", wenns recht ist?

Was ich erreichen möchte, ist eine vpn Verbindung vom RUTX (Womo) zu meiner Fritzbox 6591 Cable (home).

Das Ganze mit zwei Fritzboxen einzurichten habe ich erfolgreich geschafft und lief auch über Monate ganz gut. Aber der Teltonika ist halt doch um Klassen besser, deshalb würde ich den gerne wieder in Womo integrieren.

Also los gehts:

Erste Frage: du schreibst man muss die config anpassen.

Heisst per ssh oder cli auf den RUTX?

Wie komme ich dann weiter ;-)?

LG
Rudi

Lieber Rudi

Gerne doch. Am besten per SSH auf den RUTX (cli ist zwar fast das gleiche, aber bei SSH kannst Du besser copy/paste machen).

Danach den Code aus dem ersten "Schnipsel" kopieren und entsprechend einfügen in der /etc/config/network wie beschrieben ganz unten am Ende - geht schneller als mühsam über die GUI. Nach dem einfügen musst Du noch deine IP's und keys entsprechend anpassen. Nach nem Reboot sollte dann alles klappen.

Entscheiden musst Du noch ob Du alles nach Hause routen willst oder nur den Datenverkehr der auch nur nach Hause soll - so wie z.B. Deinen Server. Alles andere soll ja via Internet raus aus meiner Sicht. Das kannst Du aber dann auch später in der Web-GUI anpassen.

Auf Seite FB muss ich dann allerdings passen. Das hat bei meiner "Leihbox" nicht so funktioniert wie ich wollte - und leider hab ich die Leihbox auch nicht mehr - da war jemand ein paar Tage ohne Internet, musste ich deshalb zurückbringen

was ich nicht verstehe ist welcher Teil der Einträge wofür steht bzw. welches ist der RUTX und welches die Fritrbox.

Bei Fritz kann man nach dem Erstellenb eine vpn config eine config erstellen lassen, die dann im anderen Router zu importieren wäre. Oder eben händisch eintragen.

Die sieht so aus, wobei die Fritzbox 192.168.0.1 und der RUTX 192.168.1.1 hat:

.........................

[Interface]

PrivateKey = CBdaRDa60CSfaIsVSgp1QIfcF/dV/beBXY/SWIiNWkE=

ListenPort = 50789

Address = 192.168.0.1/24

DNS = 192.168.0.1,192.168.1.1

DNS = fritz.box

[Peer]

PublicKey = /MXHEy4/nEK5jq+05W6sriIL3PtdxvqW4dhHt/sPcWA=

PresharedKey = YaQZTRxwhTWj6hkWp9yXkKjD1v9fRz5jkJ0b6MdViUI=

AllowedIPs = 192.168.1.0/24

PersistentKeepalive = 25

.........................

Die Keys sind natürlich nicht meine

Soll ich Dich kurz anrufen denn prinzipiell steht ja schon alles da

Melde mich

Moin, Stefan

ich bin nach wie vor dafür, in Bischberg einen Workshop zu veranstalten..

Dort könnten dann alle Interessierten ihre dummen Fragen stellen. Ich gehöre auch dazu!

Wolfgang

Mach ich ja bereits für HomeAssistant

danke Stefan für die infos