WireGuard via FB 7590 an OPNSense => Regel?
- Ersteller 4445Z
- Erstellt am
the other
Well-known member
Moinsen,
hmmm.
Also in der pdf zur Leistungsbeschreibung findet sich unter 5.2 der Eintrag, der sich arg nach DSlite anhört.
Link zur Leistungsbeschreibung der Glasfasertarife deines Anbieters hier:
https://www.deutsche-glasfaser.de/tarife/dg-classic-400/
Die pdf mit dem Text dann unter der Liste "Details zu DGclassic"
Von daher...
Ich denke mal mit der Umstellung bist du von mindestens IPv4 auf DS lite gerutscht. Damit ist der Zugriff von außen nicht mehr so möglich. Du brauchst entweder einen Umweg via Portmapper Dienst oder musst auch von außen kommend IPv6 nutzen. Geht leider vielen Kunden mit DSlite so.
Alternativ bei der DG anrufen und freundlich um eine echte IPv4 bitten...
hmmm.
Also in der pdf zur Leistungsbeschreibung findet sich unter 5.2 der Eintrag, der sich arg nach DSlite anhört.
Link zur Leistungsbeschreibung der Glasfasertarife deines Anbieters hier:
https://www.deutsche-glasfaser.de/tarife/dg-classic-400/
Die pdf mit dem Text dann unter der Liste "Details zu DGclassic"
Von daher...
Ich denke mal mit der Umstellung bist du von mindestens IPv4 auf DS lite gerutscht. Damit ist der Zugriff von außen nicht mehr so möglich. Du brauchst entweder einen Umweg via Portmapper Dienst oder musst auch von außen kommend IPv6 nutzen. Geht leider vielen Kunden mit DSlite so.
Alternativ bei der DG anrufen und freundlich um eine echte IPv4 bitten...
the other
Well-known member
Moinsen,
nun, wenn du von außen IPv4 nutzt und versuchst dich via IPv4 mit deinem Heimnetz-VPN zu verbinden, dann geht das nicht.
Bei DSlite ist die IPv4 beim ISP (Stichwort für google: CGN, Carrier-Grade NAT). Alle IPv4 Anfragen gehen also bei dem ein, du selber hast KEIN ECHTE IPv4 Adresse!
Deswegen geht das seit Wechsel nicht mehr.
Du könntest nun entweder alles via IPv6 laufen lassen oder musst besagten Umweg gehen, z.B. diesen:
https://www.feste-ip.net/dslite-ipv6-portmapper/allgemeine-informationen/
nun, wenn du von außen IPv4 nutzt und versuchst dich via IPv4 mit deinem Heimnetz-VPN zu verbinden, dann geht das nicht.
Bei DSlite ist die IPv4 beim ISP (Stichwort für google: CGN, Carrier-Grade NAT). Alle IPv4 Anfragen gehen also bei dem ein, du selber hast KEIN ECHTE IPv4 Adresse!
Deswegen geht das seit Wechsel nicht mehr.
Du könntest nun entweder alles via IPv6 laufen lassen oder musst besagten Umweg gehen, z.B. diesen:
https://www.feste-ip.net/dslite-ipv6-portmapper/allgemeine-informationen/
the other
Well-known member
Moinsen,
na dann...
Damit sollte dann dein DynDNS auf die Fritte zeigen. Auf dieser richtest du eine (für openVPN auf der opensense) Portweiterleitung ein für den von openVPN benötigten Port (default ist 1194 UDP).
WENN die Aussage so stimmt mit echtem IPv4 (entgegen der Aussage auf deren Website...), dann gibst du bei der Konfiguration des openVPN Servers die dynDNS an (in der Regel auf der Client-App). Damit wählt sich dein Client also auf die fritzbox, fragt dort an Port 1194 UDP an, die Fritzbox leitet weiter zur opensense (wo der VPN Server sitzt) und diese beantwortet die Anfrage (wenn alles korrekt eingerichtet ist) und der VPN Tunnel wird aufgebaut.
Bei der pfsense gibt es einen VPN wizard, der erheblich bei der Einrichtung hilft...keine Ahnung wie es da bei opensense mit ist.
na dann...
Damit sollte dann dein DynDNS auf die Fritte zeigen. Auf dieser richtest du eine (für openVPN auf der opensense) Portweiterleitung ein für den von openVPN benötigten Port (default ist 1194 UDP).
WENN die Aussage so stimmt mit echtem IPv4 (entgegen der Aussage auf deren Website...), dann gibst du bei der Konfiguration des openVPN Servers die dynDNS an (in der Regel auf der Client-App). Damit wählt sich dein Client also auf die fritzbox, fragt dort an Port 1194 UDP an, die Fritzbox leitet weiter zur opensense (wo der VPN Server sitzt) und diese beantwortet die Anfrage (wenn alles korrekt eingerichtet ist) und der VPN Tunnel wird aufgebaut.
Bei der pfsense gibt es einen VPN wizard, der erheblich bei der Einrichtung hilft...keine Ahnung wie es da bei opensense mit ist.
Klingt nach nem Plan .... aber auch echt aufwändig, oder?
Alternativ packe ich die Kameras vielleicht doch hinter die Fritte und vor die FireWall ... oder sollte ich es dann lieber per Portweiterleitung einrichten? Bin grad etwas unschlüssig. Der sicherste Weg ist vermutlich der über die FireWall. Wie beurteilst du die FireWall-Qualität der Fritzbox als alternative Idee?
Alternativ packe ich die Kameras vielleicht doch hinter die Fritte und vor die FireWall ... oder sollte ich es dann lieber per Portweiterleitung einrichten? Bin grad etwas unschlüssig. Der sicherste Weg ist vermutlich der über die FireWall. Wie beurteilst du die FireWall-Qualität der Fritzbox als alternative Idee?
the other
Well-known member
Moinsen,
wenn du dich auf die Fritzbox per VPN einwählst um auf die Kameras im Fritz LAN zuzugreifen, sollte das so passen. Kameras packt man auch oft HINTER die Firewall, damit die (günstigeren) Geräte nicht immer "nach Hause" telefonieren und sonstwas für Infos an die Hersteller schicken.
Wenn du keine Portweiterleitungen sonst auf der Fritzbox hast, dann schützt dich das NAT schon ganz ok...
Langfristig: die Arbeit ist erstmal gleich, denn so oder so muss die Fritzbox aus dem Internet erreichbar sein (eben via IPv4 und -weil sich immer wieder ändernde Adresse- eben DynDNS).
Da dann entweder selber den VPN aufsetzen, dann aber mit Kameras im Fritzbox LAN
oder
Da dann eine Portweiterleitung für 1194 UDP auf die opensense setzen für IPv4, den openVPN dann auf der opensense einrichten, Kameras verbleiben HINTER der opensense im opensense-LAN.
Ist beides etwa gleich viel Aufwand. Mit openVPN brauchst du noch ne extra App für Smartphone und Tablet (Androids), mit dem Fritzbox VPN geht es mit Hausmitteln...
Hat alles Vor und Nachteile, wie immer im Leben...
wenn du dich auf die Fritzbox per VPN einwählst um auf die Kameras im Fritz LAN zuzugreifen, sollte das so passen. Kameras packt man auch oft HINTER die Firewall, damit die (günstigeren) Geräte nicht immer "nach Hause" telefonieren und sonstwas für Infos an die Hersteller schicken.
Wenn du keine Portweiterleitungen sonst auf der Fritzbox hast, dann schützt dich das NAT schon ganz ok...
Langfristig: die Arbeit ist erstmal gleich, denn so oder so muss die Fritzbox aus dem Internet erreichbar sein (eben via IPv4 und -weil sich immer wieder ändernde Adresse- eben DynDNS).
Da dann entweder selber den VPN aufsetzen, dann aber mit Kameras im Fritzbox LAN
oder
Da dann eine Portweiterleitung für 1194 UDP auf die opensense setzen für IPv4, den openVPN dann auf der opensense einrichten, Kameras verbleiben HINTER der opensense im opensense-LAN.
Ist beides etwa gleich viel Aufwand. Mit openVPN brauchst du noch ne extra App für Smartphone und Tablet (Androids), mit dem Fritzbox VPN geht es mit Hausmitteln...
Hat alles Vor und Nachteile, wie immer im Leben...
Okay. Da die WireGuard-VPN-Verbindung bereits funktioniert und ich auch keine anderen Infos von außen benötige (also bspw. Zugriff auf NAS o.ä.) gehe ich wohl den Weg die Kameras hinter die Fritte zu basteln. Es sind Mittelklasse-Geräte und somit habe ich jetzt keine so großen Bauchschmerzen mit "nach-Hause-telefonieren" ... ;-) ... Ich DANKE dir bzw. euch ganz herzlich für´s mit-überlegen und für die Infos. Es kann ja gut sein, dass sich die Sache in der Zukunft ändert, aber dann kann man ja sehen, wie es dann läuft.
Erst einmal schönes WE und nochmals DANKE!
Erst einmal schönes WE und nochmals DANKE!
