Mobiler VPN mit DynDNS von DDNSS.de

Quote from pinoob04

Also auf Deutsch, ich stecke den Pi an irgendein LAN Kabel in irgendeinem Netzwerk und kann mich per VPN über mein MacBook verbinden.

An für sich kein Problem, mit FreeBSD als OS, WireGuard bzw. ddclient (und ein für ddclient geeigneter dyndns-Provider) auf deinem PI3.

Wo bzw. an welchem Internetanschluss befindet sich dein MacBook? ... und was für einen Internetanschluss hat das (irgendeine) Netzwerk (mit deinem PI3)? Nur natives IPv4 oder DS oder DS-lite oder CGN (IPv4) oder natives IPv6 + CGN (für IPv4)?

Quote from pinoob04

... möchte den Pi einfach in jedes Netzwerk stecken können ...

OK, mit IPv4 und IPv6 ist das kein Problem (d. h. der dyndns-Provider muss IPv6-fähig sein), aber mit CGN als Internetanschluss, brauchst Du ein im Internet (per IPv4 oder per IPv6) erreichbarer VPN-Server und der PI muss dann als VPN-Client konfiguriert sein und als gateway für das zu erreichende Subnetz konfiguriert sein.

Die Aufgabenstellung ist bei mir noch nicht ganz durchgesickert...

Was soll ein mobiler VPN Server bezwecken? Wohin willst Du Dich verbinden?

Das das MacBook sich mit dem Pi verbindet, dazu braucht man doch kein VPN? Da reicht WLAN!?

Wenn Du den Pi in "irgendein" Netzwerk steckst, dann muss der Pi sich dort erst mal eine IP holen dürfen, wenn dort kein DHCP läuft also ungewiss.

Dann braucht er auch die Erlaubnis ins Internet gehen zu können, ausgehende Verbindungen sind meist möglich, eingehende bei Firmen eher nicht, da hängen Firewalls und Proxies dazwischen. Daher wird VPN vermutlich in vielen Fällen nicht gehen.

Wenn die auch noch Mac-Filterung benutzen (sollen manche immer noch machen) geht gleich gar nichts.

Um DDNS zu nutzen müsstest Du außerdem die jeweilige WAN IP herausfinden, unter der das Netzwerk erreichbar ist, nicht unmöglich, aber u.U. aufwändig.

Eine eierlegende Wollmilchsau mit Plug'n Play ist m.E. so nicht machbar.

Gruss

Quote from FSC830

Daher wird VPN vermutlich in vielen Fällen nicht gehen.

VPN geht immer. Und Firmen werden sich keine Hilfe hier im Forum holen bzw. suchen müssen. Ein einfacher User der Hilfe braucht, wird das DHCP an seinem Router nicht deaktiviert haben und einen MAC-Filter wird er auch nicht aktiviert haben.

Ich erreiche (von jedem Internetanschluss) die Geräte (mit einem WG-Client) meiner Freunde, weltweit an jedem Internetanschluss, via meine WG-Server in DE.

EDIT:

OK, ... nach China bzw. von China könnte es mit dem WG-VPN Probleme geben. Aber China interessiert mich nicht.

https://lists.zx2c4.com/piperm…ard/2022-June/007638.html

Quote from rpi444

ch erreiche (von jedem Internetanschluss) die Geräte (mit einem WG-Client) meiner Freunde, weltweit an jedem Internetanschluss, via meine WG-Server in DE.

Jupp. Ich auch. Nur habe ich ein Problem wenn mein Entypoint dasselbe Netz nutzt wie ich @home Aber ansonsten ist es wirklich egal von wo ueber wo ich nach Hause connecte.

Quote from framp

Nur habe ich ein Problem wenn mein Entypoint dasselbe Netz nutzt wie ich @home

ja, das stimmt, aber das Problem hat man nur dann, wenn der WG-VPN-Client auch als gateway für "dasselbe" (ferne) Netz wie @home, fungieren soll. Das kann man umgehen/vermeiden, in dem man auf jedem Gerät das man erreichen will, einen WG-VPN-Client installiert/konfiguriert. Es gibt ja fast keine Geräte/OSs mehr, auf denen WireGuard nicht benutzt werden kann.

Interessante Loesung. Ich nutze plain OpenVPN. Wenn in der naechsten Version von AVM auch WG drin ist werde ich mich mal intensiver mit WG beschaeftigen. Ist aber trotzdem noch umstaendlich wenn man auf jedem Ziel ein WGclient installieren muss. Bessser ware ja schon wenn die Fritte mit WG da irgendwie handelt. Ist aber gut zu wissen denn dann muss ich nur auf einem Server @home den WGClient installieren und kann dann von dem aus per ssh auf jeden anderen Server @home zugreifen :+1:

Quote from framp

Ich nutze plain OpenVPN.

Ja, mit OpenVPN ist das komplizierter. Als es WG noch nicht gab, habe ich vtun mit tap benutzt, ... weil das einfacher war/ist als OpenVPN mit tap.

rpi444 : Da hast Du mich etwas missverstanden (bzw. ich mich missverständlich ausgedrückt):

Ich meinte nicht, das Firmen hier um Hilfe fragen, sondern das der TE seinen Pi in jede LAN Buchse stecken möchte, also auch wenn er irgendwo als Dienstleister tätig ist. Bei uns würde das nicht gehen. Fremdgeräte kriegen evtl. noch eine IP, aber dann wird es schon schwierig, überhaupt ins Internet zu kommen.

Von daher wird auch VPN nicht gehen. Bliebe LTE/5G als Alternative.

Gruss

Quote from FSC830

...., ... wenn er irgendwo als Dienstleister tätig ist.

OK, aber wenn er einen so konfigurierten PI, als Dienstleister einsetzen will, wird er m. E. seine Kunden auch richtig einschätzen können bzw. wissen, wie deren Router (border device) in etwa konfiguriert sind.

Quote from FSC830

Bei uns würde das nicht gehen. Fremdgeräte kriegen evtl. noch eine IP, aber dann wird es schon schwierig, überhaupt ins Internet zu kommen.

Ja. Das geht bei meiner FritzBox (consumer Router für Privathaushalte) auch nicht, weil ich das Profil für _neu_ angeschlossene Geräte so konfiguriert habe, dass der Internetzugang erstmal gesperrt ist und manuell im Web-IF der FritzBox entsperrt werden muss. Aber das ist bei keinem der consumer Router, die default Einstellung/Konfiguration.

Quote from pinoob04

Um das ganze hier einmal kurz aufzuschlüsseln. Ich betreue Hauptsächlich Privat Haushalte und der Pi soll dazu dienen mich aus der Ferne in das Netzwerk zu verbinden um z.B. Einstellungen im Router, Drucker o.ä. vorzunehmen. Der Pi soll in den Haushalten nur Temporär stehen, falls ich gerade ein Netzwerk neu aufbaue und noch ein paar Einstellungen von Zuhause/aus dem Office vornehmen will, um nicht die ganze Zeit in irgendwelchen Wohnungen zu stehen. Da mir das sonst zu aufwendig wird bin ich eher weniger Motiviert mir immer einen VPN im Router zu Konfigurieren. Deshalb würde ich gerne einfach meinen Pi Plug and Play dort anschließen können ohne irgendwo was einstellen zu müssen.

Weißt du, wie sich das für mich anhört?

Du möchtest die Unwissenheit von Privatleuten ausnutzen, um (u.U. sogar ungefragt) einen "Spionage"-Pi in deren Haushalt zu installieren, mit dem du Jederzeit Zugriff auf das gesamte private Netzwerk hast?

Was ich mit dir in dem Fall machen würde, sage ich hier besser nicht.

Die rechtliche Seite lasse ich mal außen vor.

Quote from pinoob04

Der Pi soll in den Haushalten nur Temporär stehen, falls ich gerade ein Netzwerk neu aufbaue und noch ein paar Einstellungen von Zuhause/aus dem Office vornehmen will, um nicht die ganze Zeit in irgendwelchen Wohnungen zu stehen. Da mir das sonst zu aufwendig wird bin ich eher weniger Motiviert mir immer einen VPN im Router zu Konfigurieren. Deshalb würde ich gerne einfach meinen Pi Plug and Play dort anschließen können ohne irgendwo was einstellen zu müssen.

Dann solltest Du bei dir Zuhause oder im Office einen WG-VPN-Server installieren bzw. betreiben. Auf dem PI, den die zu betreuenden Haushalte temporär bekommen, einen WG-Client installieren/konfigurieren, der sich immer mit deinem WG-VPN-Server verbindet, sobald der PI beim Kunden Internetzugang hat.

Quote from pinoob04

... vielleicht irgendwelche Lösungsansätze vorschlagen

Zum einlesen:

https://wiki.ubuntuusers.de/Wi…lient-Server_Architektur/

https://wiki.ubuntuusers.de/WireGuard/

https://www.wireguard.com/#cryptokey-routing

https://www.wireguard.com/install/

Moin.

Ich hab so etwas ähnliches, als "Service-TAPs", bei Freunden.

Da liegt ein PI und wenn die Hilfe benötigen wird der angestöpselt.

Der PI baut dann eine Wireguard Verbindung zu meinem VPN Server zu Hause auf.
Über den PI kann ich dann die notwendigen Einstellungen im Netz der Freunde erledigen.

Das passiert dann per RDP auf die WG-IP des PI und von dort aus hab ich Zugriff auf das lokale Netz.
Ohne Routing oder sonstige Freigaben auf der entfernten Fritzbox.
Andererseits fungiert der PI bei einigen auch als "Server" und ermöglicht den Freunden den Zugriff auf das Heimnetz per VPN.

Fast alle haben das Ding permanant am Netz, andere nur bei Bedarf.
Liegt halt im Vertrauen der Freunde.

Also der Weg ist genau anders herum wie du dir das vorstellst. Der PI ist kein "VPN Server" sondern der "Client".