Glasfaseranschlüsse

Gisbert · 24 Januar 2019, 14:34:55

Zitat von: Wernieman am 24 Januar 2019, 14:08:16
Andere sind von dem Aufwand zu erschreckt, das sie wechseln, WEIL es schwierig war ...

Ich denke, dass es schwieriger ist als Gas- oder Stromanbieter zu wechseln.

Ich hatte im Dezember 2018 die Möglichkeit weg von Unitymedia zu gehen. Ich bin geblieben, weil ich bei gleicher Leistung kein besseres Angebot per DSL bekommen habe und weil die Leistung (IPv4, 150 Up, 20 Down) meinen Erwartungen entsprochen hat. Das ganze hat aber auch 3 Telefonate + insgesamt eine Stunde am Telefon gekostet.

Viele Grüße Gisbert

Frini · 07 Februar 2019, 06:42:28

Seit gestern Abend sind wir nun auch im Glasfasernetzunterwegs. Up und Down 100Mbit sind schon ein Unterschied. Leider habe ich mich ebenfalls von den Versprechen auf den Info-Veranstaltungen blenden lassen.
Wir haben einen DS-Lite Anschluss von der deutschen Glasfaser und somit keine öffentliche IPv4 mehr

Zu blöd nur, dass ich folgendes dringend benötige:
Zugang auf NAS für meine Frau (also möglichst einfach) damit sie in der Schule auf Ihre Unterlagen zugreifen kann oder bei Kaffeekränzchen Fotos rumzeigen kann.
Zugang über VPN für mich, um in China der Whatsapp, Youtube, Google Sperrung zu umgehen.
Mittels VPN hätte ich dann ebenfalls vollen Zugriff auf FHEM und alle übrigen Netzwerkteilnehmer im Heimnetz.

Die VPN Verbindung muss nicht sooo schnell sein, da ich darüber eigentlich keine großen Daten schaufel. Nur mal abends aus dem Hotel ein paar Codezeilen in FHEM anpassen oder mal gucken, was das Haus so macht.

Ansonsten könnte ich mich ja auch über NAS (Synology DS213+) direkt über IPv6 einwählen und die volle Geschwindigkeit nutzen.

Was ich im Vorfeld erlesen habe, und was meinen Schädel die letzte Nacht nicht hat Schlafen lassen ist folgendes:
Über feste-ip könnte ich den universellen Portmapper nehmen und darüber dann direkt das NAS aufrufen. Unabhängig ob ich im IPv4 oder IPv6 unterwegs bin. Das kann ich in den Hotels übers WLAN nicht ausschließen. Habe ich das richtig verstanden? Kann ich diesen über einen Apache Reverse Proxy mit Jailban absichern? Irgendwie gefällt mir die ganze Sache mit den öffentlichen IPv6 Adressen nicht.

Wie handhabe ich das nun mit dem VPN-Tunnel? die Fritzbox hat zwar einen eigenen VPN-Server, diesen habe ich bis jetzt (alter Anschluss) genutzt. Ich installiere auf einem Raspberry OpenVPN und hole mir über feste-ip einen weiteren universellen Portmapper um mich darüber einwählen zu können?

Kann ich beides über einen Zugang regeln? Also ich stelle mir einen neuen Raspberry in den Keller, auf dem läuft ein Apache Server als Reverse Proxy über den ich mich dann auf die NAS einwählen kann oder wahlweise über OpenVPN einen VPN-Tunnel? Ich würde glaube ich einen weiteren Raspberry nehmen und nicht den von FHEM missbrauchen. Irgendwie hab ich da ein sichereres Gefühl im Bauch.

Mir ist bewusst, dass es hier das FHEM-Forum ist, und vielleicht etwas am Thema vorbei. Aber ich steh gerade echt vor einem Problem und die letzten 4 Tage lesen hat mich nur noch mehr verwirrt $:-\$
Ich weiß, dass es keine Out-of-the-Box Lösung gibt. Für einen Schubs in die richtige Richtung oder ein zwei Schlagwörter wäre ich wirklich dankbar. Ich muss in 2 Wochen wieder für 3 Wochen nach Tianjin und bis dahin muss ich irgendwas laufen haben, da unser Telekom-Anschluss Ende Februar komplett wegfällt. $:-\$
Wenn ich in diesem Thread zu OT bin eröffne ich gerne einen neuen Thread.

Bartimaus · 07 Februar 2019, 07:43:08

Moin,

bin auch seit letztem WE bei Dt.Glasfaser und stehe bald vor demselben Problem. Zzt bin ich parallel noch im UM-Netz unterwegs, und habe derzeit 2 Gateways im heimischen Netz, so das ich noch per VPN auf das Hausnetzwerk zugreifen kann.

Hier ist eine Info, wie Du das Problem lösen kannst:

https://www.ulrichivens.de/index.php/glasfaser/

Ein Freund hat sich aufgrund dieser Anleitung einen Rootserver incl. IPv4-Adresse gemietet, und nutzt darauf die Software 6Tunnel um damit eine heimische Verbindung aufbauen zu können. Allerding muss er wohl auch im Heimnetz einen alternativen VPN-Server (auf RPi) nutzen, da das mit dem VPN-Server der Fritz nicht klappt.

Fazit: Ich finde es kompliziert, aber es funktioniert.

Gisbert · 07 Februar 2019, 08:11:12

Hallo Frini,

ich hatte das mit feste-ip.net und deren Universellem Portmapper gelöst. OpenVPN hatte ich auf meinem Fhem-RPi3B und meinem Android-Handy laufen, da hatte ich keine Nachteile gesehen. Wichtig ist nur noch, dass das VPN auf einem Rechner/Server läuft, der sich im gleichem IP-Adressraum wie der Router/Fritzbox befindet.

Ich hab mir mal ein kleines how-to geschrieben, da die Einrichtung nach der Beschreibung bei feste-ip.net leicht verwirrend ist. Ich war dabei einen Wiki-Artikel zu erstellen, dann hab ich wohl einmal zuviel zurück gedrückt, dann war der ganze Text weg; ich werde das bei Gelegenheit nachholen. In der Fritzbox wird kein VPN eingetragen, aber Portweiterleitungen (wenn ich mich recht entsinne).

Ich kann dir mein how-to zusenden.
Nachdem mein Vertrag ausgelaufen war, bin ich zu einem Dual-Stack-Vertrag, echte IPv4 und IPv6-Adresse, gewechselt, da ich mir der work around über feste-ip.net ein Dorn im Auge war; technisch hat es astrein funktioniert, und die Kosten von ~ 5 Eur sind nicht der Rede wert.

"Apache Server als Reverse Proxy": da kenne ich mich nicht aus; ergo habe ich das nicht genutzt.

Viele Grüße Gisbert

Bartimaus · 07 Februar 2019, 08:29:54

Hallo Gisbert,

würdest Du mir Dein Howto auch zur Verfügung stellen ?

Frini · 07 Februar 2019, 08:37:31

Hallo,
ja danke das wäre nett.
Ich hätte kein Problem damit bis 5€ im Monat auszugeben.
Ich brauche erstmal ne Richtung in die ich loslaufen kann.

Die Anleitung hatte ich auch schon einmal gelesen. Aber da fängt die Verwirrung schon an. Ist das nur der universelle Portmapper oder auch die VPN-Tunnel Lösung?
OpenVPN werde ich auf einen Raspberry setzen, welcher über IPV6 erreichbar sein wird. Das werde ich am Wochenende in Angriff nehmen.
Nach meinem bescheidenen Verständnis müsste ich dann einen Portmapper nutzen um von IPv4 auf IPv6 weitergeleitet zu werden und mit der entsprechenden Fritzbox-Freigabe dann direkt auf den OPENVPN Server zugreifen können, sprich über die entsprechende HandyApp mich direkt einwählen können.
Somit wäre ich doch erstmal wieder im lokalen Netzwerk unterwegs wie bisher in meinem VPN-Tunnel auch.

ich habe mir gerade über dynv6 und spdyn ipv4 und ipv6 Adressen gesichert. So wie ich das verstanden habe leiten dynv6 ebenfalls die Ports weiter. Also wenn ich in einem IPv4 Netz unterwegs bin leitet mich dieser auf den OPENVPN Server auf dem Raspberry unter IPV6 weiter.

Das ist echt harter Stoff für mich. Sorry für die blöden fragen.

Die zweite Geschichte mit dem Apache Reverse Proxy wollte ich eigentlich nur vorschalten, damit ich die Limitierung des VPN TCP umgehen kann und meine Frau mit voller Geschwindigkeit auf die Fotos der Station zugreifen kann.

Wernieman · 07 Februar 2019, 10:13:41

Kannst Du anstatt apache auch nginx nehmen? Dort ist ein proxy einfacher zu konfigurieren ...

Habe hier einfach einen pi für solche Aufgaben genommen.

Frini · 07 Februar 2019, 10:24:35

Kann auch nginx nehmen. Die einzige Aufgabe von dem Teil ist ersteinmal die direkte Adresse zum NAS zu verschlüsseln.

Prof. Dr. Peter Henning · 07 Februar 2019, 12:49:59

Ich rate trotzdem zum Apache. Ist besser ausgetestet in dieser Funktion.

LG

pah

herrmannj · 07 Februar 2019, 12:57:25

Nginx ist leichter (sparsamer) und steht in nichts nach. Geschmackssache. Wichtiger als das Werkzeug ist wie immer richtige Umgang damit.

Wernieman · 07 Februar 2019, 13:03:35

Zitat von: Prof. Dr. Peter Henning am 07 Februar 2019, 12:49:59
Ich rate trotzdem zum Apache. Ist besser ausgetestet in dieser Funktion.

Da muß ich mittlerweile widersprechen. NGINX ist heute "der" Proxy, wenn man nicht einen größeren nehmen will. Vor allem in Dockre-Umgebungen heute sehr verbreiten und getstet. Mehr als apache (als reiner proxy)

Ich knn aber zustimmen: Eine genaue Config und ein Verständnis ist immer von nöten.

Was ich nicht verstehe:

ZitatDie einzige Aufgabe von dem Teil ist ersteinmal die direkte Adresse zum NAS zu verschlüsseln.

Eigentlich nimmt man einen Proxy, um einen "Vorfilter" zuhaben oder sogar den Zugriff zu beschleunigen (Stichwort Caching). Was soll es mir bringen, die Adresse zu verschleiern?

Frini · 07 Februar 2019, 14:35:35

Hatte auf diversen Anleitungen gelesen, dass ein Reverse Proxy den direkten Zugang aus dem Internet verschleiert und die dahinter nutzbaren Geräte schützt.
Im speziellen hier im Forum für einen FHEM zugriff.

Ich hatte mir im ersten step so etwas vorgestellt.
xxx.mydns.de/NAS --> ReverseProxy --> FTP auf Discstation
xxx.mydns.de/fhem --> ReverseProxy --> FHEM
usw. Wobei ich eigentlich im ersten Step erst einmal nur die Discstation alse das NAS ansprechen möchte.

Wichtiger ist mir allerdings jetzt im ersten Step einen VPN Zugang zu meinem Heimnetz aufzubauen. Meine Frau kann warten.
Wenn ich das ebenfalls mit dem NGINX bewerkstelligen kann wäre das super.
xxx.mydns.de/VPN --> ReverseProxy --> OpenVPN

Wobei die mydns.de Geschichte IPv4 ist, der ReverseProxy auf dem Raspberry mit IPV6 angesprochen wird und der OpenVPN eben auf demselben Raspberry laufen soll wie NGINX/Apache.

Und genau da hänge ich.

Wenn ich über die Telekom mobil surfe erhalte ich eine IPv6 und da würde alles über IPv6 laufen. Allerdings sind in den Hotels in China und Co nur IPv4 "Netze" verbreitet. Daher brauchte ich irgendwie ne Duallösung. Von mir aus auch mit zwei VPN zugängen.

herrmannj · 07 Februar 2019, 14:51:37

ZitatHatte auf diversen Anleitungen gelesen, dass ein Reverse Proxy den direkten Zugang aus dem Internet verschleiert und die dahinter nutzbaren Geräte schützt.

Die Aussage höre ich leider immer wieder. "Ich bin sicher - ich habe einen reverse proxy. ... " .. ?!

Ein reverse proxy _kann_ in bestimmten Situationen durchaus nützlich und sinnvoll sein. Seine Existenz alleine sagt nichts - absolut nichts! - darüber aus ob er einen Beitrag zur "Sicherheit" (definiere das mal

) hat. Im Zweifel ist in unkundiger Hand das Gegenteil der Fall.

Das nur mal so als Anregung ...

Wernieman · 07 Februar 2019, 16:39:38

Ich würde Dir jetzt abraten.

Nur mal als Hinweis:
Ein Proxy wird für ein Protokoll aufgebaut.
FTP ist eines
HTTP/HTTPS ist eines
VPN/OpenVPN ist eines

also ... dafür würdest Du 3! Proxys brauchen. nginx kann als http/https-Proxy arbeiten.

Für eine gute Installation sollte man verstehen, was im Hintergrund läuft, sonst holt man sich garantiert ein Sicherheitsproblem rein.

Das ist jetzt nicht Dir gegenüber "böse" gemeint, aber ich würde Dir davon abraten es selber aufzusetzen.

Frini · 08 Februar 2019, 10:03:20

Ok. Danke für die Anregungen. Ich verstehe was gemeint ist

Ich hab da echt einiges zusammen geschmissen. Mit FTP meinte ich, dass ich meiner Frau Zugriff auf das Filesystem der Discstation geben möchte.
Dies kann aber auch über den Browser und per HTTPS erfolgen. Ich möchte halt für meine Frau eine Möglichkeit schaffen einfach auf die Discstation zuzugreifen.

Der ReverseProxy bietet mir doch die Möglichkeit verschlüsselt an die dahinter liegenden Adressen.
Mit GEOIP kann ich doch schon direkt einen großen IP-Bereich von vorneherein bannen.
Und mit Fail2ban kann ich mich doch vor brute-force-Attacken schützen.

Wie gesagt ich muss mich erstmal OpenVPn zum laufen bekommen, da brennt gerade der Schuh. Dann habe ich den Ist-Zustand wieder hergestellt, allerdings ohne Fritzbox VPN.
Ist vielleicht auch die sichere Variante. Blöd wäre nur, wenn dies ein Bottlenack wird, falls ich mal größere Dateien von der Station ziehen müsste. --> zweite Baustelle.