Sicherer externer Zugang zum Heimnetzwerk

  • Hallo Netzwerk-Nerds,

    aufgrund einiger Veränderungen, werde ich ab kommendem Sommer pendeln müssen. Mein Heimnetzwerk, inklusive NAS/Haupt-Server mit Medien-Backend und -Infrastruktur soll mit der Familie wieder nach Deutschland ziehen. Ich werde dann die Woche über mit einem Basis-Netzwerk in einer Wohnung im Ausland sein. Bisher habe ich es immer vermieden, mein Netzwerk nach außen zu "öffnen". Ich möchte/muss das nun aber ändern.

    Dabei sind mir zwei Dinge wichtig:
    1) Wenn im Hauptwohnsitz was schief läuft, z.B. mit dem NAS/Medienserver, oder mit dem Router, oder mit der Fritzbox-Telefonanlage, möchte ich auf diese Geräte von meiner Wohnung aus zugreifen und sie administrieren können.
    2) Ich möchte auf die Dokumente auf dem NAS zugreifen können (lesen/schreiben). Eventuell (wird von den Internetzugängen auf beiden Seiten abhängen), möchte ich auch von den TVH- und den Emby-Servern im Hauptwohnsitz in meine Auslandswohnung streamen können.

    Es "reicht" mir aber Zugang/Tunnel "von Wohnung zu Wohnung". Ich muss nicht von überall auf der Welt auf den Heimserver zugreifen müssen.

    Zur Infrastruktur:
    - Ich werde an beiden Wohnsitzen Unifi verwenden, insbesondere Internet-Gateway, Switches und Access Points.
    - Mein Server läuft auf OMV6 (Debian-basiert)
    - Ein externer VPN-Provider ist ebenfalls vorhanden

    Wie würdet ihr die Netzwerke möglichst sicher verbinden? Würdet ihr Unifi site-to-site nutzen? Wäre super, wenn Ihr Eure Erfahrungen zum Thema teilen könntet...

    Danke Euch und LG,

    M4tt0

    Server: DIY NAS / Media Server w/ i3-8100, 32GB RAM, 4x6 TB WD Red in Raid5, DD Cine S2 + 3 x DuoFlex, OMV w/ Emby, TVheadend, Oscam fully dockered
    Living Room: NVIDIA Shield TV Pro 2019, Panasonic DP-UB9004, NAD 758v3, LG OLED 65 B7, L/R B&W CM10, B&W C S2, B&W ASW10 CM, SL/SR Elac WS 1445, HL/HR Dali Alteco C1
    Kids Room: Xbox One X w/ Kodi, Panasonic Viera TX-P50 Plasma

  • Ich bevorzuge hier die Wireguard Funktion der Fritzbox, aber im Grunde ja, seh einfach zu das Du einen VPN Endpunkt hast den Du erreichen kannst.

    --------------
    Guides nicht mehr verfügbar wegen Youtube unvermögen guten von schlechten Kodi Videos zu unterscheiden.

  • Mann, seid Ihr schnell! :)

    Prima. Danke Euch. Ich brauche dann aber auf beiden Seiten fixe IP-Adressen, oder?

    Server: DIY NAS / Media Server w/ i3-8100, 32GB RAM, 4x6 TB WD Red in Raid5, DD Cine S2 + 3 x DuoFlex, OMV w/ Emby, TVheadend, Oscam fully dockered
    Living Room: NVIDIA Shield TV Pro 2019, Panasonic DP-UB9004, NAD 758v3, LG OLED 65 B7, L/R B&W CM10, B&W C S2, B&W ASW10 CM, SL/SR Elac WS 1445, HL/HR Dali Alteco C1
    Kids Room: Xbox One X w/ Kodi, Panasonic Viera TX-P50 Plasma

  • Jaein

    Grundlegend brauchst du eine Adresse, die du erreichen kannst. Wenn du ein VPN zu dir nach Hause aufbauen möchtest, Dann die WAN IP deines Routers von deinem Internetanschluss

    Ist deine Adresse dynamisch, dann kannst du dir einen DynDNS Dienst zulegen. Ich habe seiner Zeit auf meinem Server ein Script abgelegt welches alle 4 Stunden prüft ob sich meine WAN IP geändert hat und wenn ja, dann schick mir ne Mail mit der aktuell gültigen.

    So habe ich mir den DynDNS gespart.

  • Verstanden. Danke Euch. Werde versuchen statische Adressen zu bekommen. Dann muss ich nur einmal konfigurieren. Aber wenn's nicht geht, oder zu teuer ist, baue ich mir auch einfach ein Script! :)

    Server: DIY NAS / Media Server w/ i3-8100, 32GB RAM, 4x6 TB WD Red in Raid5, DD Cine S2 + 3 x DuoFlex, OMV w/ Emby, TVheadend, Oscam fully dockered
    Living Room: NVIDIA Shield TV Pro 2019, Panasonic DP-UB9004, NAD 758v3, LG OLED 65 B7, L/R B&W CM10, B&W C S2, B&W ASW10 CM, SL/SR Elac WS 1445, HL/HR Dali Alteco C1
    Kids Room: Xbox One X w/ Kodi, Panasonic Viera TX-P50 Plasma

  • So habe ich mir den DynDNS gespart.

    Ich habe das von einer ganz anderen Seite aufgezogen:
    Ich habe eine eigene .de-Domain bei Netcup registriert (1,68 € pro Jahr).
    Dort dann als Nameserver die NS von desec.io hinterlegt (kostenloser DNS-Dienst).
    Bei desec.io hatte ich zuvor einen Account erstellt und in dem Account meine DNS-Records wie gewünscht angelegt. desec.io kann dabei auch als DynDNS-Dienst genutzt werden.
    Dazu hatte ich für jeden Standort eine Subdomain angelegt und für jede Subdomain einen API-Key fürs Ändern des DYN-Records (A und AAAA) erstellt
    Auf meinen Gateway-Routern habe ich dann desec.io als DynDNS-Anbieter hinterlegt und die API-Keys für die betreffende Subdomain des Standorts hinterlegt.
    Ändert sich die IP an einem Standort (durch Zwangstrennung, nach einem Verbindungsabbruch oder warum auch immer), aktualisiert der jeweilige Router den DNS-Eintrag automatisch sofort mit der neuen IP-Adresse.
    So sind alle Standorte auch mit dynamischer IP immer über ihre Subdomain erreichbar.

    In der VPN-Konfiguration habe ich dann natürlich anstatt der IP die Subdomain der Gegenstelle angegeben.
    Welches VPN-Protokoll dann verwendet wird (ob Wireguard, IPsec, oder OpenVPN) ist dann eine Frage der Anforderungen und der verfügbaren Hardware. Manche Router bieten ja nur bestimmte Protokolle an. Auf mancher Hardware laufen bestimmte Protokolle besser. Oder die individuellen Anforderungen geben das Protokoll bereits vor weil die anderen nicht alle gewünschten Merkmale unterstützen.

    Wichtig wäre in jedem Fall nur, dass beide Site intern unterschiedliche Subnetze verwenden, sonst wird es mit dem Routing zwischen den Standorten schwierig.

  • *LOL* OK, klingt nach "hohe Schule". Ich versuche es GANZ SICHER erstmal mit fixen IPs... ;)

    Server: DIY NAS / Media Server w/ i3-8100, 32GB RAM, 4x6 TB WD Red in Raid5, DD Cine S2 + 3 x DuoFlex, OMV w/ Emby, TVheadend, Oscam fully dockered
    Living Room: NVIDIA Shield TV Pro 2019, Panasonic DP-UB9004, NAD 758v3, LG OLED 65 B7, L/R B&W CM10, B&W C S2, B&W ASW10 CM, SL/SR Elac WS 1445, HL/HR Dali Alteco C1
    Kids Room: Xbox One X w/ Kodi, Panasonic Viera TX-P50 Plasma

  • klingt nach "hohe Schule"

    Naja, ist ne günstige, flexible und zuverlässige Lösung. Und bietet noch einige andere tolle Mehrwerte.
    Aufwändiger als mit Skripten zu hantieren ist das auch nicht unbedingt.

    Feste IPs bekommt man halt bei vielen Providern nur schwer oder garnicht. Und wenn dann meistens nur gegen sehr hohen Aufpreis.

  • Ja...Fixe IPs könnte spannend werden. Bei der Telekom war das mit einem Business-Anschluss möglich.

    Bei der Deutschen Glasfaser kostet mich so ein Business Anschluss mehrere Hundert Euro im Monat. Da würde ich dann doch eher einen DynDNS Dienst oder IPv6 bevorzugen. Da muss ich aber auch noch wesentlich tiefer einsteigen. IPv6 gibt da noch wesentlich mehr Möglichkeiten

    Du solltest auch erstmal feststellen, ob du eine IPv4 oder eine IPv6 WAN Adresse hast. Du wirst bestimmt irgendwo eine IPv4 haben (sonst könntest du potentiell nicht alle Server im Netz erreichen, da nicht jeder IPv6 sprechen kann).

    IPv4 Adressen werden aber rar und somit bieten viele Anbieter ein sogenannten CGN (Carrier Grade NAT) an. Da hast du dann eine IPv4 WAN-IP. Diese teilst du dir aber mit vielen anderen Kunden. Somit belegt der ISP für einen gewissen Bereich mit potentiell 1000enden von Kunden nur eine IPv4 IP. Das nennt man NAT (Network Address Translation). Dein Router zu Hause macht das gleiche. Er hat eine WAN-IP und eine interne IP. Die interne IP ist z. B. 192.168.0.1. Deine WAN IP ist natürlich eine öffentlich erreichbare. Kein Rechner von außen kann deine Internen IPs kennen. Ein Server von außen erkennt nur die WAN-IP, die bei ihm anfragt (dein Router über den du raus gehst) und dann dorthin die angefragten Pakete zurück schickt. Dein Router erkennt, dass was auf seiner WAN-IP ankommt und weiß auch, welche interne IP (einer deiner Rechner), diese Pakete angefragt hat und schickt diese da hin.

    Ähnlich machen das auch die ISPs (Internet Service Provider....dein Internetanbieter) bei einem CGN. Du musst es dir nur so vorstellen, dass bei einem ISP die internen IPs die einzelnen Kunden mit jeweils ihren eigenen Routern sind.

    Was dein ISP macht oder nicht erfragst du am besten bei ihm selbst. Ein kurzer Anruf an die Hotline ist meistens ausreichend.

  • Dank nochmal. Der Anbieter im neuen, alten Hauptwohnsitz ist Vodafone. Dort wo wir dann wohnen, gibt es (noch?) kein Glasfaser. Kabel geht bis 1000 MBit. Habe mit dem Service gechattet. Feste IPv4 geht nach Aussage des Supports. Zwar nur mit Business-Paket, aber soll gehen. Preislich soll das sogar dasselbe kosten wir die Home-Pakete. Hoffe mal, dass das hinhaut...

    Server: DIY NAS / Media Server w/ i3-8100, 32GB RAM, 4x6 TB WD Red in Raid5, DD Cine S2 + 3 x DuoFlex, OMV w/ Emby, TVheadend, Oscam fully dockered
    Living Room: NVIDIA Shield TV Pro 2019, Panasonic DP-UB9004, NAD 758v3, LG OLED 65 B7, L/R B&W CM10, B&W C S2, B&W ASW10 CM, SL/SR Elac WS 1445, HL/HR Dali Alteco C1
    Kids Room: Xbox One X w/ Kodi, Panasonic Viera TX-P50 Plasma

  • Das Streamen von der Wohnung ins Internet ist ja vor allem eine Frage der Uplink Geschwindigkeit. Was hast Du denn da fuer eine Bandbreite bei Deinem Kabelanschluss ? In meiner Erfahrung ist das genau der Grund warum man Glasfaser will, weil dort die Upstreambandbreite am hoechsten ist.

    Selbst wenn Du dann sagen wir mal 20 Mbps oder so hast, und damit auch genug um HD vom TV-Headend zu streamen, dann kommt es auch noch darauf an, ob die streamingsoftware mit der ping-zeit zurecht kommt, die Du zum Heimnetz hast. Bei 160 msec (kriegt man in Asien/Amerika), dann geht da streamingmaessig vieles nicht. Wenn Du nur innerhalb Europas bist ist es viel wahrscheinilcher, das das kein Problem ist. Einfach nervig viel schlecht geschriebene stop&go sotware im Streaming. Leider auch in der Kodi streaminglibrary. VLC ist da besser.

    Keine Erfahrung, wuerde jetzt aber als VPN wohl auch wireguard empfehlen, vor allem wenns einfach ist, wenns auf der Fritze ist, und Du Fritze hast. Dachte c't hatte da auch mal Durchsatzmessung gemacht. Das alte IPsec vpn auf den Fritzboxen ist ja sehr lahm, gerade mal 10 Mbps, wenn ich mich recht erinnere.

    Ich hab derzeit OpenConnect auf OpenWRT router, wofuer es ja auch clients auf linux, windows, mac gibt. Da kann ich mich halt auch im Heimnetz einfach nur vom notebook aus einwaehlen wenn ich irgendwo unterwegs bin.

    Ist auf jeden Fall auch sinnvoll, sich noch einen backdoorzugang zu bauen, so das man im Notfall die Fritze auch aus der Ferne fixen kann:

    ssh port in der Fritze auf einen Rechner @home durchstellen, Linux oder so. Und dann wichtig sehr sicheres passwort. Am besten eher noch dual factor authentication (hab ich noch nicht gemacht, weil ich DMZ habe).

    Dann auf dem clientrechner:
    ssh -D3333 user@homerechner

    Und dann auf einem Firefox browser einen SOCKS5 proxy auf 127.0.0.1 konfigurieren, port 3333
    (port 3333 ist egal, bloss beispiel)

    Und damit hat mandann seinen lokalen Firefox effektiv im Heimnetz ueber den rechner auf dem der Port durchgeschleift ist. Und kommt halt auch von innen an die Fritze webseite ran. Funktioniert auch prima um darueber deutsche streamingangebote durchzuleiten.

    Wenn Du weniger linux sondern mehr windows user bist, dann eher einen remote desktop von einem windows rechner im homenetz nach aussen durchleiten. Das aber natuerlich nur mit dual factor authentication. ich nehme dafuer SAASPASS.

  • @M4tt0 schreibt ja dass an beiden Standorten Unifi-Gateways vorhanden sind und die Fritzbox nur als TK-Anlage verwendet wird.
    Aus diesem Grund würde ich die VPN-Verbindung auch von den Unifi-Gateways aus aufbauen.
    Eine VPN-Verbindung via IPsec zwischen den Standorten via Unifi wird wohl immernoch performanter sein als Wireguard auf der Fritte. Zumal ja nur auf einer der beiden Seite eine Fritzbox wäre.
    Wesentlich komplizierter dürfte die Einrichtung auch nicht sein:
    https://help.ui.com/hc/en-us/artic…te-to-Site-VPNs

  • Dürfte, könnte, würde :) Ich stimme dir zwar zu das die Unifi GW die VPN aufbauen sollten - in diesem Fall - aber das WireGuard VPN der Fritzboxen ist ziemlich performant.
    Je nach Fritzbox halt. Mit meiner 7590 kann ich mich z.B. nicht beschweren. Meine 150 Mbit Upload werden voll ausgelastet.

    --------------
    Guides nicht mehr verfügbar wegen Youtube unvermögen guten von schlechten Kodi Videos zu unterscheiden.

  • Dürfte, könnte, würde :) Ich stimme dir zwar zu das die Unifi GW die VPN aufbauen sollten - in diesem Fall - aber das WireGuard VPN der Fritzboxen ist ziemlich performant.
    Je nach Fritzbox halt. Mit meiner 7590 kann ich mich z.B. nicht beschweren. Meine 150 Mbit Upload werden voll ausgelastet.

    ja - kann nur zustimmen -> wireguard mit der Fritzbox ist unschlagbar

    Ich kann das nur bestätigen. Stabil und schnell

    ich habe beide Häuser über IPSec der Fritte miteinander verbunden.
    Ohne Probleme und stabile Verbindungen.
    Auch VPN Aufbau über IPhone / IPad / PC gehen ohne Probleme
    Allerdings habe ich auf der 7590 AX momentan die Beta-Firmware drauf da die Funktion noch nicht in der freigegebenen Firmware drin war

  • Danke für die Erfahrungsberichte! Nach meinen insgesamt sehr positiven Unifi-Erfahrungen in den letzten Jahren, möchte ich eigentlich nicht mehr zu Fritzboxen als Gateway zurück. Das Live-Streaming zwischen den Wohnungen übers Internet ist auch eigentlich eher "nice-to-have". Vorhandene Medien kann ich mir bei Bedarf einfach kopieren und danach lokal abspielen. Und Live-TV nutze ich auch nicht mehr so viel wie früher. Gibt ja Netflix, Disney+ und Prime.

    Ich werde es mal mit dem Unifi site-to-site probieren und berichten, ob und wie es klappt. Dauert aber noch ein paar Monate. Umzug ist erst in den Sommerferien und eine neue Wohnung (inklusive Internetanschluss) muss ich auch noch mieten... ;)

    Server: DIY NAS / Media Server w/ i3-8100, 32GB RAM, 4x6 TB WD Red in Raid5, DD Cine S2 + 3 x DuoFlex, OMV w/ Emby, TVheadend, Oscam fully dockered
    Living Room: NVIDIA Shield TV Pro 2019, Panasonic DP-UB9004, NAD 758v3, LG OLED 65 B7, L/R B&W CM10, B&W C S2, B&W ASW10 CM, SL/SR Elac WS 1445, HL/HR Dali Alteco C1
    Kids Room: Xbox One X w/ Kodi, Panasonic Viera TX-P50 Plasma

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!