VPN für Heimnetzwerk

Servus,

ich würde gerne mit einem PC (W10) über ein anderes Netzwerk auf mein Netzwerk daheim zugreifen.

Im Moment läuft auf meinem OMV-Rechner ein Wireguard-Server (https://github.com/wg-easy/wg-easy) War supereinfach zum konfigurieren, mein Handy kann darüber jetzt über meinen heimischen Internetanschluss surfen, aber nicht aufs Heimnetzwerk zu greifen. Also doof. Ich habe auch schon diverseste Konfigurationtipps versucht: ich komme einfach nicht auf einen grünen Zweig.

Jetzt hab ich mal versucht das über die Fritze zu machen. Ich habe mit der 7560 eine etwas ältere, aber auf dem Android ging das über die "MyFritz!"-App auch super einfach zum einrichten. Darüber surft mein Handy jetzt auch über den heimischen Anschluss und kann auf das Heimnetzwerk zugreifen.

Nun würde hätte ich das aber gerne auch für den W10-Rechner. Die VPN-Verbindung von Windows frisst das Fritze-VPN wohl gar nicht, weil das zu alt ist (IPSEC1?), man braucht die Anwendung "Fritz Fernzugang" dazu. Da gibts dann auch die Anwendung "Fritz Fernzugang einrichten" das die Konfigurationsdateien dazu erstellt. "Fritz Fernzugang" frisst die auch, stellt eine Verbindung her und dann geht Netzwerktechnisch gar nix mehr.

Ich habe auch versucht, das Fritz-VPN auf dem Android zu aktivieren und dann einen Hotspot aufzumachen. Aber damit komm ich auch wieder nicht in mein Heimnetz. Und abgesehen davon kann sich das Handy dann nicht mit einem W-LAN verbinden und ich verbrate Datenvolumen. Auch nix schön.

Also, frage in die Runde:

Wer hat ne Idee? Bitte gerne möglichst einfach und Klicki-Bunti - Frau hat letzhin die Errungenschalft "Kind kotzt anderes Kind an und ich habe zwei angekotzte Kinder da" freigeschaltet, da ist also wenig Zeit um sich mit so ner Thematik lange zu beschäftigen. Mal OpenVPN testen? WireGuard/OpenVPN ohne Docker? Gibts in Windows irgendwo nen Haken den ich setzen muss?

Nein, augenscheinlich nicht: https://download.avm.de/fritzbox/fritz…hland/fritz.os/

Zitat von yard2

Sollte mit wg problemlos gehen. Hab ich auf 2 Servern laufen und kann ins Heimnetzwerk

Auch als Docker?

Deinen Tipp habe ich noch nicht gelesen, und habe das einfach mal angepasst. "ip addr" gibt mir für eth0 'eth0@if416' aus, ich habe beides getestet. Der Container kann über Env-Variablen die Befehle entgegen nehmen. Der Stack sieht jetzt so aus:

version: "3.8"
services:
  wg-easy:
    environment:
      # ⚠️ Required:
      # Change this to your host's public address
      - WG_HOST=xyz.foo.bar

      # Optional:
      # - PASSWORD=foobar123
      # - WG_PORT=51820
      # - WG_DEFAULT_ADDRESS=10.8.0.x
      # - WG_DEFAULT_DNS=1.1.1.1
      # - WG_MTU=1420
      # - WG_ALLOWED_IPS=192.168.15.0/24, 10.0.1.0/24
      # - WG_PRE_UP=echo "Pre Up" > /etc/wireguard/pre-up.txt
      - WG_POST_UP=iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0@if416 -j MASQUERADE; #echo "Post Up" > /etc/wireguard/post-up.txt
      # - WG_PRE_DOWN=echo "Pre Down" > /etc/wireguard/pre-down.txt
      - WG_POST_DOWN=iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0@if416 -j MASQUERADE; #echo "Post Down" > /etc/wireguard/post-down.txt
      
    image: weejewel/wg-easy
    container_name: wg-easy
    volumes:
      - .:/etc/wireguard
    ports:
      - "51820:51820/udp"
      - "51821:51821/tcp"
    restart: unless-stopped
    cap_add:
      - NET_ADMIN
      - SYS_MODULE
    sysctls:
      - net.ipv4.ip_forward=1
      - net.ipv4.conf.all.src_valid_mark=1

Es ändert sich dadurch leider nix: Ich kann über Wireguard surfen, aber nicht aufs Heimnetz zugreifen.

Joa... schon... ich glaube ein 2er Pi fliegt noch rum, wenn nicht "sogar" 3er,...

Zitat von darkside40

Dann setz da doch mal den Wireguard drauf auf. Gibt es zig anleitungen für im Netz.

Wäre natürlich eine Möglichkeit. Es hat aber seinen Grund, warum diese Speicherkartenfressenden Monster nur rumfliegen und ich da mittlerweile lieber einen x86 mit SATA verwende. So cool ich die SBCs finde, ich habe mittlerweile eine gewisse Abneigung diesen Dingern gegenüber entwickelt. Aber eine "Notlösung" natürlich,...

Zitat von bennySB

Ich weiß nicht ob ich morgen dazu komme, hatte Wireguard aber selber als Docker per Stack unter OMV am laufen, bevor ich mein Unifi Gateway bekam.

Da war es dann auch kein Problem auf das Heimnetzwerk zuzugreifen. Ich schaue dann mal bzgl. dem Stack hierzu.

Das wäre cool.

Evtl. ist natürlich auch der wg-easy-container nicht der ideale. Er bringt aber dafür halt ne schöne GUI mit aus der man den QR-Code dann bequem abfotografieren kann. Aber lieber einen Container nehmen, aus dem ich die Verbindungsdaten nicht so einfach rausbekomme (macht man ja nicht so oft) als ein SD-Karten-fressendes-Monster...

Zitat von te36

Bin aber auch nur knapp dem Suizid entgangen.

Gut dass ich beschlossen habe, rechtzeitig aufzuhören...

Zitat von te36

Aber wie schnell ist Dein Internetanschluss, e.g.: wie schnell haettest Du denn gerne die VPN Vedrbindung. Das Fritz IPsec auf meiner 7490 schafft glaube ich nur knap 15 Mbps oder so.

Reicht bis dato von vorne bis hinten. Geht ja eher nur darum mal von Unterwegs aus in Grafana nachzugucken was die PV gerade macht, bissl in NodeRed rumzubasteln und ähnliches.

Schöner wäre aber tatsächlich was schnelleres, da ist aber der Leidensdruck nicht hoch genug dass ich da jetzt Kohle für ne 7590 ausgebe. Gebraucht liegt die auch bei deutlich über 150€:

Zitat von te36

wenn man weiss das es auch ohne gehen kann.

So,... um jetzt erstmal möglichst wenig experimentieren zu müssen, habe ich jetzt auf einen Raspi2 mit PiVPN Wireguard installiert und konfiguriert - mit fester IP.

Da ich auf dem anderen Rechner noch Wireguard laufen habe, habe ich den Port eins hochzählen lassen. Mir fällt gerade auf: hätte ich natürlich auch nur in der Fritze machen können,...

Mein Android baut ohne erkennbare Probleme die Wireguard-Verbindung auf. Damit wars dann aber auch schon wieder: Wenn die Verbindung steht, erreiche ich weder Server/Seiten im Internet noch im Heimnetzwerk. Chrome Fehlermeldung: DNS_PROBE_FINISHED_NO_INTERNET.

Als DNS-Provider habe ich in der Installer-GUI die Fritze (192.168.178.1) eingetragen, nachträglich dann auch Googles 8.8.8.8 in der '/etc/pivpn/wireguard/setupVars.conf'. Auch interessant: Mein Windowsrechner kann über den Alias "wireguard.fritz.box" eine ssh-Verbindung aufbauen, bei JuiceSSH vom Android geht das nur über die IP.

Wenn jetzt keine anderen Tipps kommen, würde ich das ganze nochmal neu installieren und dann DHCP aktiviert lassen.

Also... gestern noch mehrmals den RasPi neu installiert, bis zur installation von PiVPN bin ich dann gar nicht erst wirklich gekommen:

Meine Fritze mag diesen Raspi anscheinend nicht. Er bekommt zwar eine IP-Adresse, wird aber unter den Netzwerkgeräten nicht aufgelistet. Damit kann ich auch keine Portweiterleitung einrichten, weil der nicht in der Liste ist und beim manuellen Eingeben der IP bekomme ich die Fehlermeldung "diese IP wird bereits verwendet". Auch ein sehr sinniger Fehler...
Und natürlich kann ich der Fritze so nicht sagen, dem RasPi immer die gleiche IP zu verpassen.
Damit könnten auch die Probleme mit dem Alias zusammenhängen, auch wenn sich das gebessert hat seit ich dem RasPi bei einer der Neuinstallationen einen andren Alias verpasst habe.

Naja, es liegen noch andere SoCs rum, evtl. taugt ja da einer was...

AAAAAlso:

ich habe noch einen Orange Pi One gefunden. Hat mich gerade angelacht da der auch schon im Gehäuse war. Armbian drauf installiert, PiVPN drauf installiert & konfiguriert, Portfreigabe in der Fritze, PiVPN-User angelegt, QR-Code gescannt, und.... läuft!

Dann mal checken ob das dann auf dem Laptop auch läuft.