VPN und Starlink

[hd578]

Hallo zusammen.

Da ich auf dem Land wohne, naja im Wald, habe ich nur die Möglichkeit über Starlink ins Internet zu kommen.
LTE oder gar 5G ist laut Karte verfügbar, aber ich komme nicht über 1Mbit, auch der "Festnetz Anschluss" bringt nicht einmal 1Mbit.

Aber eigentlich auch egal, da Starlink super läuft.

Nun kommt aber das ABER

Ich möchte gerne per VPN auf mein Heimnetzwerk zugreifen.
Leider macht Starlink CGNAT.

Welche Möglichkeiten hätte ich da, um dass doch umgestzt zu bekommen?

Danke!

 

[Stationary]

Würde es in so einem Fall funktionieren, einen OpenVPN Server auf dem Gerät zu installieren, daß sich außer Haus befindet? Dann einen OpenVPN client im Heimnetzwerk, der zu diesem Server außerhalb verbindet, und von dem Server zurückrouten auf den client?

Ansonsten IPv6?

Oder schau Dir mal Tailscale an. https://tailscale.com/
https://tailscale.com/kb/1131/synology/

 

[hd578]

Danke für die Antwort.

Mit tailscale läuft es.


Kann ich den Befehl:

sudo tailscale up --advertise-routes=192.168.81.0/24 --reset

Auch automatisch ausführen lassen?

Und / Oder kann man auch ein Icon auf dem Desktop des NAS legen und damit den Befehl ausführen?

Vielen Dank.

 

[Stationary]

Ich habe selbst noch nicht mit tailscale gearbeitet, ich habe das nur auf dem Radar gehabt, weil ich im August eventuell so ein System auf einer DS220+ in der Pampa und mit CGNAT einrichten muß.
Geht der Befehl, den Du absetzen willst um das NAS als Subnet Router zu verwenden nicht vom Task Scheduler aus, dort dann als user-defined script? Da kannst Du ja Befehle als user „root“ laufen lassen und vor allem auch automatisch ausführen lassen.

 

[hd578]

Ja über Aufgaben funktioniert es.

Kann man die Aufgaben auf dem Desktop legen?
Kann man die Aufgaben beim Start des NAS ausführen?

 

[Stationary]

Zur zweiten Frage: ja, da geht, einfach einen sogenannten „triggered task“ anlegen und den mit „Boot-up“ verknüpfen:

Zur ersten Frage hingegen: soweit ich weiß, nicht.

 

[hd578]

Zur zweiten Frage

Sorry, da ich auch drauf kommen können. Danke!

 

[Stationary]

Dafür sind wir ja hier, für die kleinen Denkanstöße. Wenn es alles immer so einfach wäre…

 

[hd578]

Dann die nächste Frage.

Wenn ich unter "Externer Zugriff" / "DDNS" / "Hinzufügen" gehe, wird dort mir eine falsche externe IP angezeigt.
Naja falsch ist etvl. relativ. Wenn ich ein Speedtest mache, wird mir dort die selbe IP angezeigt.
Ist aber nicht die gleiche IP wie in der Fritz.Box. Die in der Fritz.Box ist auch die richtig, die mir von Starlink zugewiesen wird.

 

[Stationary]

Klingt mir nach einer auf CG-NAT beruhenden Diskrepanz. In dem einen Fall siehst Du beispielsweise eine 100.x.y.z IP, die Dir Starlink zugewiesen hat (so wie vielen anderen Kunden welche mit x=x1-xn, y=y1-yn oder z=z1-zn), im anderen Fall die „echte“ IP des Starlink-Verteilers, der die 100er IPs an die dahinterliegenden lokalen Router verteilt. Nur daß Du die „echte“ IP nicht nutzen kannst, weil Du nicht durch den Verteilerknoten auf Deine lokale 100er IP kommst.
https://www.hostifi.com/blog/cgnat-on-starlink-explained

 

[hd578]

Ja genau so ist es.
Habe Starlink.

Aber warum zeigt mir die Fritz.Box die "richtig" IP an und der NAS die "falsche" Adresse?
Oder anderes, wie bekomme ich es hin, das der NAS die richtig findet.

 

[KGBist2000]

Mach dir das Leben doch einfach. Hol die einen vServer für 1 EUR im Monat, hau da WireGuard drauf. Dann hast du eine feste IPv4 und IPv6 Adresse.

Verbinde dich vom Client über Starlink per Site2Site über WireGuard auf den vServer.

Mit deinen Clients unterwegs verbindest du dich auch per WireGuard auf den vServer.

Somit hast du alle deine Probleme gelöst.

PS: jetzt kannst du sogar noch einen Webserver oder was auch immer betreiben, der sogar per fester IP erreichbar gemacht werden kann.

Und das nur für 1 EUR im Monat.

 

[hd578]

OK.

Kannst Du mir das erklären. Sorry steige da nicht durch.

Wo bekomme ich einen Server für 1Euro?
Welchen kannst Du empfehlen?

 

[hd578]

OK.
Habe gerade mal vServer von IONOS genommen. Da ich dort schon bin.
Dann habe ich Docker installiert und dann dann WireGuard.
Zum testen habe ich dann mein Handy verbunden.

Das scheint soweit geklappt zu haben.

Aber wie bekomme ich jetzt mein Netzwerk daran?

>Verbinde dich vom Client über Starlink per Site2Site über WireGuard auf den vServer.
Das verstehe ich gerade nicht.

 

[KGBist2000]

Hi,
docker brauchst du nicht unbedingt, kannst mit Debian 11 oder ubuntu 22.04 direkt WireGuard installieren auf dem vServer.

Ich hatte dazu gerne IONOS genommen. Da kostet der vServer 1 EUR/Monat.jetzt mittlerweile schon 2 EUR. VPS S reicht schon, der hat dafür genug power.

Zuhause brauchst du noch einen WireGuard-Gateway(WireGuard als Docker auf der Synology, Raspi4, oder Proxmox) der permanent eine site2site Verbindung per WireGuard zum vServer aufrecht erhält. Wenn du eine FRITZ!Box hast mit FritzOS 7.39 oder 7.51 ist wireguard schon integriert und du brauchst kein zusätzliches Gateway.

Der vServer ist der WireGuard-Server und zuhause das WireGuard-Gateway der Client.

Auf dem vServer muss in der wg-config unter allowed ip zusätzlich zum tunnelnetzwerk: 10.10.10.0/24 dein Heimnetzwerk 192.168.1.0/24 eingetragen werden. Dann setz WireGuard automatisch die Routen zu deinem Heimnetzwerk.

Als weitere Client/Peers legst du zusätzlich auf dem vServer in der selben wg-config weitere peers an für deine Endgeräte (Handy, Laptop, etc. )

Hier ist eine ganz gute Anleitung. Bei YouTube gibt es auch Videos genug dazu.

https://emersonveenstra.net/blog/access-local-network-with-wireguard/#connecting-the-other-clients

Wenn du noch in deinem Internet-Router eine statische Router einfügst zum Tunnelnetzwerk, dann kannst du von zuhause (allen Geräte ) direkt auf den vServer zugreifen über wireguard. Deshalb heißt es site2site. Auch dazu gibt es gute Videos auf dem Kanal von Apfelcast.de auf YouTube.

 

[hd578]

OK Danke.
Werde dann Wireguard direkt installieren und schauen das es erst einmal zu wieder läuft.

FritzBox habe ich. Damit habe ich jetzt auch ein Verbindung.
Werde das morgen testen wenn ich von zu Hause weg bin, ob die läuft.
Habe hier kein Handynetz

 

[hd578]

https://github.com/WeeJeWel/wg-easy?ref=blackvoid

Schön ist es, dass es hier ne Oberfläche gibt.
Ist das auch bei der direkten Installation unter Debain11 so?

 

[EDvonSchleck]

Leider werde ich aus deinen anderen Beiträgen nicht schlau. Kann sein, dass beim Editieren vom Moderator einige Details abhandengekommen sind.
Was liegt denn genau bei dir jetzt an? Scheinbar hast du keine von außen erreichbare IPv4 wie beim DS-Lite oder Glasfaser? Warum nutzt du kein IPv6?

Es ist ja nicht so, dass man davor Angst haben sollte. Es ist nur ein bisschen anders.

 

[hd578]

@KGBist2000

Also irgendwie ist mir nicht ganz klar, was mir das mit dem Wiregaurd bringt.
Ich habe dann die Möglichkeit per VPN auf meine Geräte zu kommen.
Habe aber immer nicht nicht eine DDNS.
Das Ganze habe ich ja schon mit tailscale am laufen.

@EDvonSchleck

>Scheinbar hast du keine von außen erreichbare IPv4 wie beim DS-Lite oder Glasfaser? Warum nutzt du kein IPv6?
Ja genau, das ist das Problem.
Angst nicht wirklich
Kannst Du mir das einmal genauer erklären?
Aktuell habe NOIP mit der Fritzbox am laufen.
Komme so auch auf mein NAS mit Portweiterleitung.

Aber ich bekomme die IP nicht in mein NAS.

 

[EDvonSchleck]

Problematisch ist das nicht wirklich. Das Updaten der IP würde ich die Fritzbox machen lassen und die DS als Record beim DynDNS- oder Domain-Anbieter (muss dies unterstützen) eintragen. Danach würde ich für die unterschiedlichen Dienste eine Subdomain anlegen und so eine Verbindung aufbauen. Das ist wirklich nicht schwer. Alternativ kannst du auch mit 6tunnel einen Portmapper aufsetzen und somit eine IPv4 bekommen, natürlich mit Extrakosten für den VPS.

Ich nutzte zwar auch IPv4, hätte aber auch kein Problem auf IPv6 zu wechseln, wenn es nicht andern möglich ist. IPv6 hat Vor- und Nachteile, macht die Sache aber trotzdem ein bisschen sicherer.