Wie von außen ins Heimnetz mit VPN?
Hallo,
ich möchte gerne über VPN in mein Heimnetzwerk um auf ein NAS zugreifen.
Einen akkunt bei dyndns habe ich bereits. Damit komme ich z.B. mit Portforwarding auch schon drauf. Dies wollte ich aber vermeiden und direkt ein VPN-Netzwerk aufsetzen.
Mein jetziger Router kann kein VPN.
Jetzt weiß ich nicht genau was ich alles benötige, bzw. wie es aufgebaut werden muss.
Reicht ein VPN-Router alleine schon aus (z.B. TP-Link ER605)
Telefondose -> VPN-Router -> PC/NAS usw
Bzw.
Telefondose -> VPN-Router -> FritzBox (Damit zu Hause auch WiFi habe) -> PC/NAS usw.
Welchen VPN-Router könnt ihr empfehlen?
Oder eine FritzBox 7590? Diese kann ja auch direkt VPN, kostet aber halt mal fast das 4-fache wie das von TP-Link
Letztenlich soll nur auf das NAS zugegriffen werden und die HUE Lampen gesteuert werden.
7 Antworten
Telefondose -> VPN-Router -> PC/NAS usw
Das würde gehen.
Telefondose -> VPN-Router -> FritzBox (Damit zu Hause auch WiFi habe) -> PC/NAS usw.
Statt Fritzbox würde ein Accesspoint reichen. Wenn Du das NAS hinter der Fritzbox stehen hast, sollte dieser nur als Switch und Accesspoint arbeiten, nicht aber als Router. Alles andere macht die Sache unnötig kompliziert. Allerdings hättest Du mit einem Router ggf. die Möglichkeit, eine "richtige DMZ" aufzubauen.
Welchen VPN-Router könnt ihr empfehlen?
Da kann ich nicht weiterhelfen. Ich habe als VPN-Gateway einen Raspberry Pi hinter der Fritzbox liegen. Auf der Fritzbox habe ich eine Portweiterleitung auf den VPN-Server.
Je nach nas-Modell können diese oft selbst einen VPN-Server bereit stellen.
Auf meinem Synology gibt es von Hersteller einen OpenVPN-Server und Wireguard als Docker-Image.
Da reicht es dann einen Port am Router zum NAS hin freizugeben. Dann muss man nicht den Router tauschen.
Und auch die Fritzboxen können als VPN-Server dienen, aber die Performance ist nur so mittelmäßig.
Wireguard ist da gerade in der Beta für die Fritzboxen. Das soll performanter laufen.
Ich bin kein Freund von TP-Link, aber das ist nur meine Meinung.
Welchen Router würdest du denn empfehlen? mein erähnter wurde mir halt immer angezeigt. Daher habe ich diesen als Beispiel genommen.
Wäre mein Aufbau denn richtig?
Falscher Ansatz ;)
Die nötige Hardware für den VPN Server hast du schon: dein NAS.
Da ist meist schon ein openVPN Server vor-installiert. Dann fehlen da nur ich paar Daten wie Domain usw. DynDNS brauchst du auch noch - oder eher gesagt ein client, der die aktualisiert, Domain hast du ja schon.
Wenn der Nas die Option für den OpenVPN nicht hat, dann schau doch ob sie virtualisieren kann. Einfach eine kleine Ubuntu server VM erstellen. Dort wireguard und ddclient drauf.
Wenn du da Interesse dran hast, kann ich dir gerne dabei helfen.
Nimm dir einen Raspberry Pi und installiere Wireguard drauf. Anleitungen dafür gibt es im Internet genug.
Dafür musst du am Ende eine Portfreigabe im Router einrichten, welcher die entsprechenden Pakete zum angegebenen Port des angegebenen Geräts durchlässt.
Damit du jederzeit das Gerät erreichen kannst, musst du auch die (öffentliche) IP regelmäßig aktualisieren. Hierfür bieten sich dann DynDNS-Dienste an, ich hab z.B. gute Erfahrungen mit selfhost.de gemacht.
Ein weiteres Ding, dass du beachten solltest: Hast du denn eine eigene, öffentliche IPv4 oder bist du hinter DSLite / GCNAT? Wenn du keine eigene IPv4 hast, bleibt dir nur der Direktzugriff per IPv6
Einen Raspberry Pi wollte ich vermeiden,
da ich zu einem kein Netzwerkexperte bin (und somit nicht garantieren kann, dass alles richtig ist)
Verständlich, aber wenn man sich an ein paar grundlegende Sicherheitskonzepte hält, ist da zwar immer noch ein Risiko, aber es verkleinert sich.
Wireguard und OpenVPN sind beides Software, die viel getestet wurde und wenig Attackiermöglichkeiten bietet
und zum anderen läuft dies ja dann über Portfreigabe, was ich vermeiden wollte.
Um eine Portfreigabe kommst du nicht wirklich rum.
Auch wenn dein Router so ein Feature bringt, macht er intern nichts anderes.
Wireguard und OpenVPN sind beides Software, die viel getestet wurde und wenig Attackiermöglichkeiten bietet
Ja, das wurde Log4j auch ;)
Um eine Portfreigabe kommst du nicht wirklich rum.
Auch wenn dein Router so ein Feature bringt, macht er intern nichts anderes.
Achso? Das war mir nicht bewusst. Bin davon ausgegangen, dass das alles vorm router schon passiert.
Telefondose -> VPN-Router -> FritzBox (Damit zu Hause auch WiFi habe) -> PC/NAS
Wenn dein NAS keine Direkt-Zugriffsfunktion hat, und du dort auch nichts entsprechendes einrichten kannst, so reicht dann eine FritzBox aus ja.
Ob du da nun das aktuelle Top-Modell die 7590 (AX) brauchst, oder ob vielleicht auch die 7530 (AX) reicht, hängt von deinen Ansprüchen und deinem Geldbeutel ab.
kostet aber halt mal fast das 4-fache wie das von TP-Link
Hat aber eben auch im Gegensatz zu dem TP-Link bereits den Router und auch WLAN integriert.
Hat aber eben auch im Gegensatz zu dem TP-Link bereits den Router und auch WLAN integriert.
der TP-Link hat doch auch schon einen Router integriert, oder nicht? Wifi nicht, daher ja evtl. noch meine jetzige Fritzbox hinterhängen.
Mein Aufbau dacht ich
Telefondose -> VPN-Router (TP-Link) -> PC/NAS
oder evtl noch die FritzBox hinter dem VPN-Router
Nein, der TP-Link hat kein Modem integriert.
Welche FritzBox und welchen NAS hast du denn aktuell?
Einen Raspberry Pi wollte ich vermeiden,
da ich zu einem kein Netzwerkexperte bin (und somit nicht garantieren kann, dass alles richtig ist)
und zum anderen läuft dies ja dann über Portfreigabe, was ich vermeiden wollte.
Einen DnyDNS dienst habe ich schon.