Raspberry pi als Netzwerk-Administration

L I V E Stammtisch ab 20:30 Uhr im Chat
  • Hallo liebe Community,

    ich habe schon ein paar Dinge mit dem Raspi erfolgreich umgesetzt (iobroker, Ambilight). Jetzt würde ich gerne das nächste Projekt angehen: mein gesamtes Netzwerk übergeordnet überwachen. Viele Suchergebnisse habe ich mir schon durchgelesen und da sind schon einige interessante Dinge dabei (NEMS, Webmin, Wireguard). Welche Features dieser Programme haben, ist nicht leicht zu vergleichen. Vielleicht muss ich auch zwei Anwendungen auf meinem Pi laufen lassen.

    Seid bitte Nachsichtig mit mir, aber das Thema Netzwerk-/Serversoftware ist für mich völliges Neuland. Bis auf die Fritz!Box WEB-UI :)


    Könnt ihr mir Tips geben welche Software meinen Bedürfnissen am ehesten entspricht?

    Welche Programme benutzt ihr und wie sind eure Erfahrungen?

    Folgende Punkte wären wünschenswert:

    • VPN (nach Umstellung auf Glasfaser habe ich keine öffentliche IPV4 Adresse mehr)
    • DHCP-Server
    • Werbefilter / Kindersicherung
    • Überwachung der Internetverbindung
    • Überwachung von einzelnen Geräten im Netzwerk (unreachable)
    • Benachrichtigung mittels Pushover
    • übersichtliche WEB-GUI (eine iPhone App wäre natürlich noch besser)

    Vielen Dank

    Grüße

    Heiko

  • VPN, DHPC-Server und Werbefilter und Überwachung samt übersichtlicher GUI: pihole mit piVPN

    Spoiler anzeigen

    Pi4 V1.1, 4 GB, USB3-Hub, 250 GB SSD, Bullseye 64, Mate-Desktop, SD-Card Extender (ruht)
    Pi3b Pihole (Buster)
    Pi3b, 128-GB-SSD, Buster, mit 10,1" Monitor als MM (ohne Spiegel ;) )
    orangepi zero, ohne Beschäftigung
    Pi 5 4 GB im GeekPi-Gehäuse mit externer SSD (Bookworm)


    Warnung: Raspi und Co. machen süchtig! :)

  • VPN, DHPC-Server und Werbefilter und Überwachung samt übersichtlicher GUI: pihole mit piVPN

    VPN nicht ohne weiteres bzw. nur per IPv6, denn

    (nach Umstellung auf Glasfaser habe ich keine öffentliche IPV4 Adresse mehr)

    Einfacher V-Server mit öffentlicher IPv4 als VPN-Gateway (Wireguard) wäre eine alternative Möglichkeit.

    Wenn du nichts zu sagen hast, sag einfach nichts.

    • VPN (nach Umstellung auf Glasfaser habe ich keine öffentliche IPV4 Adresse mehr)

    Hast Du evtl. natives IPv6 überall dort, von wo Du Zugang zu deinem GF-Anschluss haben willst?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Hast Du evtl. natives IPv6 überall dort, von wo Du Zugang zu deinem GF-Anschluss haben willst?

    eigentlich möchte ich nur mit meinem iPhone von unterwegs aus auf mein Netzwerk zugreifen.

    VPN, DHPC-Server und Werbefilter und Überwachung samt übersichtlicher GUI: pihole mit piVPN

    Pi-hole klingt schonmal sehr interessant. Wenn ich das richtig verstanden habe, ist das eigentlich nur ein DNS-Server mit vielen Optionen.

    Die DHCP und Netzwerküberwachung gelingt damit aber nicht oder?

  • URI3L:

    hier nur zum Thema IPv6 und VPN:

    Wireguard ist es so ziemlich egal, ob IPv4 oder IPv6 genutzt wird. Und das sowohl innerhalb des VPN-Tunnels als auch was den "Trägerkanal" betrifft.

    Wenn ich mir die VPN-Logs meiner 8 in drei Ländern verteilten WG-Server betrachte, da wird fast immer und überall der/die Server via IPv6 angesprochen und der Tunnel aufgebaut. Damit betrachte ich einen "echten" Dual Stack für das VPN (zumindest für reinen Server-Server-Betrieb) nicht mehr als unbedingt erforderlich!

    Es gibt, was die o.g. Aussage betrifft eine noch bestehende Ausnahme: Wenn der Client in einem Mobilnetz eingebucht ist, und der Provider immer noch nur IPv4-only anbietet. Das soll es wohl leider immer noch geben. Aber selbst eingebucht im Freifunk-Netz erhält jeder Client mindestens eine IPv6 und erreicht seinen Server auch bei DS-lite.

    Es kommt also darauf an, was mit dem VPN bezweckt ist: einen LAN2LAN-Betrieb oder einen Client2LAN-Betrieb durchzuführen und hier, ob du "den richtigen Provider" hast.

  • Ich weiß natürlich, dass man einen Beitrag im Bedarfsfall editieren sollte, habe mich aber bewusst für einen weiteren ergänzenden Beitrag entschieden.

    1. Ich biete URI3L an, zum Testen mal für kurze Zeit einen Gastzugang auf meinem abgeschotteten Testserver bereitzustellen. Das hat für dich den Vorteil, wirklich zu prüfen, ob mit deinem I-Dingens (und der dir zugewiesenen IP) eine Verbindung über Wireguard aufgebaut wird. Du musst dazu lediglich eine Wireguard-App installieren und mir hier Bescheid geben. Ich schicke dir dann zeitnah per PN die Zugangsdaten. Für mich ist das völlig problemlos, denn es handelt sich wirklich um einen Zweig meines Netzes ohne "Ausgang" nach innen.
    Ich werde dann auch für diese Zeit bewusst den IPv4-Zugang deaktivieren.

    2. Der pi.hole ist für mich ein wichtiger Bestandteil der digitalen Sebstverteidigung (aber keinesfalls der einzige ...). Da ich auch außerhäusig von den Vorteilen eines "gereinigten" Netzes leben will, ist der pi-hole nicht nur als DNS im Router eingetragen, sondern er wird auch über das VPN als DNS verteilt. Test: ein ping auf adscale.de (einem bekannten Adserver) wird mit "localhost" aufgelöst :) . Bei mir trifft das natürlich auch für bestimmte Datenkraken (fazzebuch) zu.

    3. Und JA, es ist möglich, auf einem Pi einen ganzen Sack voller Dienste einzurichten. Aber mit der Erfahrung meiner ehemaligen langjährigen beruflichen Tätigkeit in einem sehr speziellen Gebiet der IT ist es für mich ein absolutes Unding, auf einem Kryptogateway (und ein WG-Server ist ja grundsätzlich nichts anderes als ein solches!) noch andere Dienste laufen zu lassen. Gewisse Grundsätze gelten für mich eben auch als Pensionär lebenslang.

    4. Als Ergänzung der von dir geplanten "eierlegenden Wollmichsau" empfehle ich, das kleine Programm "iperf3" auf diesem Pi zu installieren und dauerhaft als Dienst laufen zu lassen. Eine bessere Methode für (zeitlich) umfangreiche lokale Speedtests aber auch Speedtests über das VPN gibt es nicht.

  • eigentlich möchte ich nur mit meinem iPhone von unterwegs aus auf mein Netzwerk zugreifen.

    Ja,aber es geht erstmal nur darum, zu klären ob Du es mit IPv4 oder mit IPv6 oder wenn auf beiden Seiten verschieden, mit z. B. Tailscale (oder gleichwertig) machen kannst bzw. machst.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Vielen dank schonmal für eure Anteilnahme ???

    Da ich im Vodafone Mobilfunknetz bin, gehe ich davon aus, dass ich hierüber bereits mit ipv6 angebunden bin. Habe vorher noch keinerlei Berührungspunkte in Bezug auf ipv6 gehabt und werde mich die nächsten Tage einlesen. Das Thema wird gefühlt aber ein bisschen off-topic.

    Ziel ist es auch von unterwegs auf mein NAS und mein Smarthome iobroker zuzugreifen.

    Hatte es früher (ipv4) mit Dyn-DNS und Portweiterleitung gemacht.


    Ich biete URI3L an, zum Testen mal für kurze Zeit einen Gastzugang auf meinem abgeschotteten Testserver bereitzustellen.

    Auf dieses Angebot würde ich sehr gerne eingehen. Ich schaue mich mal nach einer Wireguard App um. Wenn es dann funktioniert, ersparst du mir damit jede Menge Zeit. Vielen Dank schonmal dafür??

    Den Tip mit iperf3 werde ich im Laufe des Tages noch verinnerlichen ?

  • Hatte es früher (ipv4) mit Dyn-DNS und Portweiterleitung gemacht.

    Mit IPv6 kannst Du auf deinem PI (als border device bzw. als Endpoint für WireGuard), den v6-fähigen ddclient benutzen. In deinem Router musst statt der Portweiterleitung, eine Portfreigabe (... weil mit IPv6 kein NAT erforderlich ist) in der v6-Firewall machen.

    Code
    apt-cache show ddclient

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!