Hallo zusammen

Ich möchte gerne von unterwegs auf mein Heimnetzwerk zugreifen. Daten hab ich alle über icloud Synchronisiert. Es geht also vorallem um Zugriff auf zb. WebInterface vom 3D Drucker, Webinterface von meinem DMS, Aber evtl auch VNC Bildschirmfreigabe.

Nun, stell ich mir die Frage wie ich das am besten umsetze. Mein Router von Asus hat die Möglichkeit einen VPN Zugriff zu ermöglichen. Zudem läuft bei mir ein alter MacMini Server Zuhause.
Für meine Bedürfnisse die evtl auch mal eine Bildschirmfreigabe, sonst aber meist nur WebInterface im HomeNetzwerk aufrufen beinhaltet, reicht es einfach die VPN Funktion meines Routers zu aktivieren? Oder was würdet ihr mir empfehlen?

Du kannst die VPN-Funktion vom Router nutzen. Wie der Name schon sagt, bist Du dann virtuell mit dem privaten Netzwerk verbunden und kann es entsprechend nutzen. Wie gut das funktioniert hängt vom Router ab, gibt es eine schnelle Verbindung per Wireguard?

Zweite Möglichkeit wäre, einen Reverse Proxy auf dem Mac mini zu installieren. Die Domain example.com zeigt auf den Mac (per Portmapping von 443 oder direkt per IPv6). Der Reverse Proxy sorgt dann dafür, dass https://drucker.example.com:443 auf die interne IP und den Port vom Drucker zeigt.

Dritte Möglichkeit: Du installierst Tailscale, was auf Wireguard-VPN basiert, auf deinen Rechnern. Du verbindest dich unterwegs mit Tailscale wie mit einem VPN. Deine Geräte erreichst Du über 100.x.x.x-IPs. Dann muss der Mac mini noch als Subrouter eingerichtet werden, weil dein Drucker kein Tailscale kann

Ich bevorzuge Varianten 2 und 3.

Falls dein Router nicht in der Lage ist dazu, kann ich dir folgendes setup empfehlen, welches ich seit Jahren einsetze, um von außen auf mein komplettes LAN zugreifen zu können.

Dazu benötigst du 3 Komponenten.

1 ein raspberry pi (wenn möglich pi 4) kostet wenig und ist sparsam im 24/7 Betrieb
2 die Open Source Software PiVPN inkl. WireGuard. Kostet nichts
3. Einen Dyno.com Account für die Umwandlung von Deiner Dynamic public IP in eine feste addresse. Kostet auch nichts.

Und ca 2 Stunden Zeit für die Konfiguration.


Auf dem Pi wird PiVPN eingerichtet samt WireGuard. Dieser Pi dient als VPN Server innerhalb deines LANs. Auf deinem Router musst du nur eine WireGuard Adresse forwarden. Auf deinem iPhone oder Mac ( oder jedem anderen beliebigen device) kannst du dir einen WireGuard Client einrichten und dich sicher von extern mit deinem LAN verbinden.

Hier eine leicht verständliche Anleitung.


Läuft super zuverlässig und ist bombensicher.

Es ist unklar, ob das heißen soll, dass Du die frühere App "macOS Server" darauf laufen lässt. Die enthält je nach Version einen VPN-Server.

Ansonsten ist die VPN-Funktion im Router üblicherweise die sicherste, denn sie kann am einfachsten geschützt werden und benötigt kein Port-Forwarding im eigenen Netz. Der Router kann die VPN-Funktionen als einziger sozusagen "noch außerhalb" verwalten, bevor die eingehenden Datenpakete bereits in Deinem Hausnetz sind.

Welches Modell von Asus ist es denn? Wenn es Wireguard unterstützt, dann aktiviere das VPN auf dem Router und nimm Wireguard. Damit verhält sich dein Gerät so, als wäre es direkt im heimischen Netzwerk.
Achtung !!! VPN untertützt kein WOL, du kannst also aus der Ferne kein Gerät einschalten!
Zum Thema 3D Drucker, den würde ich nie unbeaufsichtig laufen lassen, nur wenn jemand direkt vor Ort ist. Thermal Runaway sollte bei neuen Modellen zwar kein Thema sein, aber es besteht immer noch die Gefahr das etwas schiefgehen kann.

Wer vergibt denn hier dauernd den Daumen runter?
(OK, rhetorisch, ich schau da eh nicht drauf)

Ich habe letztens meine Hausautomatisierung von Sonoff auf Tasmota umgestellt und mir für IOBroker einen Raspi zugelegt. Noch nicht gekommen bin ich zu einer Erreichbarkeit von Außerhalb über VPN.
Der Hinweis von FlyingSloth kam für mich also sehr gelegen.

Ob das bei mir funktioniert und ob ich das hinbekomme, weiß ich noch nicht, aber gut finde ich den Hinweis durchaus!
Ja, es mag einfacher gehen (vor allem, wenn man direkt den Router nutzen kann), aber soweit ich das bisher verstanden habe, muss man dem VPN-Anbinder dann immer vertrauen.
Da bin ich dann immer skeptisch. Vor allem, wenn es nichts kostet.

Ich schau mir die Anleitung auf jeden Fall demnächst mal an!
Danke.

Eine Frage am Rande: Kann ich den Raspi dann für beides nutzen?
Der Raspi ist ja genau genommen nur ein kleiner Rechner mit Linux. Der sollte doch mehr als ein Programm laufen lassen können.
Ja, da muss ich mich auch noch einarbeiten

Keine der obigen Lösungsangebote von mir oder den anderen hat etwas mit "VPN-Anbietern" zu tun. Diese Anbieter erstellen keinen Zugang zum privaten Netzwerk, sondern verkaufen einen Anonymisierungsdienst über ihre eigenen Server. Das ist ganz was anderes.

da ich ein VPN bevorzuge welches von macOS und Windows aus dem stand unterstuetzt wird, ist das protokoll meiner wahl L2TP over IPsec. kann man mit zB den UBIQUITI EdgeRoutern implementieren. ein ER-X reicht da meistens (gibt's fuer 50 taler). habe das so dutzendfach im einsatz und laeuft einwandfrei. so hat man dann auf alles im remote-netzwerk zugriff als wie wenn man vor ort waere.

L2TP ist leider aber auch das langsamste unter den möglichen VPN Verbindungen. Warum nimmst du nicht WireGuard auf diesen Routern?Natürlich kann man mehrere Dinge gleichzeitig auf dem Raspi laufen lassen, kommt halt auch immer darauf an, was man für eine Raspi Hardware im Einsatz hat. Ein Raspi 4 mit 8GB RAM ist natürlich bei vielen Anwendungen einem Modell mit 1GB weit überlegen, denn hier kann es durchaus zu Speichermangel kommen.
Bei einem nachgelagerten VPN hinter dem Router muss natürlich aufgepasst werden, das nur die passenden Ports entsprechend geöffnet werden und nicht plötzlich der ganze Raspi ungesichert im WWW zu finden ist.
Zum Erreichen der anderen Geräte und Router mit Wireguard auf dem Raspi muss das Routing dementsprechend auch angepasst werden, sonst funktioniert das nicht. Mit Wireguard direkt auf dem Router erübrigt sich die Konfiguration, an der leider viele bei der Erstinstallation scheitern.
Daher lieber das VPN am Router aktivieren und auf dem Raspberry für interne Zwecke zusätzlich zu ioBroker noch Pi-hole installieren.Wenn du auf deiner eigenen Hardware VPN aktivierst, benötigst du keinen externen Anbieter, ergibt auch keinen Sinn, externe Anbieter nutzt du dann, wenn du deine heimischen Geräte in ein anderes Segment (Land) bringen willst um die Ländersperren zu umgehen. Solange du mit dem VPN nur von extern auf deine eigene Hardware zugreifen möchtest, brauchst du nur die entsprechende Konfiguration vornehmen.

Ich komme nochmal auf Tailscale zurück. Das ist kein VPN-Anbieter wie von rmayergfx beschrieben.
Tailscale stellt ein VPN zum eigenen Netzwerk her, dabei wird ein Releay-Dienst genutzt, so dass kein Port vom Router geöffnet werden muss. Bei Konfigurationsfehlern hat man also das eigene Netz nicht Scheunentor-weit für Angreifer geöffnet. Gesetzlich vorgeschriebenes Protokollieren von Verbindungen lässt sich bei einem Relay-Dienst natürlich nicht vermeiden.
Was mir besonders gefällt, ist, dass ich die Tailscale-Verbindung 24/7 laufen lassen kann, egal, ob ich gerade Zuhause bin oder unterwegs. Die Verbindung besteht dauerhaft. Für private Nutzung ist das kostenlos; Geld wird mit Unternehmenslösungen verdient.

@marm
Tailscale basiert ja auf WireGuard, steht ja so auch auf der Homepage. Tailscale möchte es dem Anwender so einfach wie möglich machen, ein VPN zu nutzen. Schwachstelle in diesem Construct bleibt halt wie immer der Anbieter. Läuft bei tailscale ein Angriff oder werden Daten abgezogen, ist der Anwender halt gleich direkt wieder mit betroffen, d.h. man hat keinen Zugriff mehr auf sein eigenes VPN oder worst case, alle anderen haben es.
Lieber selbst in die Materie einarbeiten und genau prüfen, was man da macht. Bei den FRITZ!Boxen und auch anderen Herstellern gitb es inzwischen sehr gute Anleitungen dazu.
Was man natürlich noch benötigt, ist ein stabil funktionierender DynDNS Anbieter oder eigene Homepage/Webserver um darauf das DynDNS via PHP laufen zu lassen. Gibt natürlich auch noch andere Möglichkeiten. Möchte man jedoch unabhängig sein und seine Daten nicht unbedingt an Dritte geben so meidet man Dienste wie MyFRITZ! oder synology.me.

@rmayergfx
Das ist im Prinzip natürlich alles korrekt, was du schreibst. Ein normales VPN lässt einen im Alltag aber hin- und wieder im Regen stehen, wenn zum Beispiel das TomTom-Navi auf dem iPhone nicht funktioniert, weil die Authentifizierung vom TomTom-Abo bei Apple nicht klappt 🙄
Tailscale hat noch die Option Tailscale Lock, um die Risiken bei Kompromittierung des Anbieters zu vermeiden . Das sollte ich bei Gelegenheit aktivieren ...

eben: weil ich keine VPN software auf Windows oder macOS installieren mag.

Aha, die verkaufen einen Anonymisierungsdienst auf ihren Servern.
Dann kennen die doch meine wahre IP-Adresse. Dann bin ich für die doch nicht anonym.
Verstehe ich hier etwas falsch?

Ich habe nicht deine Aussage, dass man "dem VPN-Anbinder (Anbieter) dann immer vertrauen" müsse, kritisiert. Ein VPN-Anbieter protokolliert deine IP und deine Verbindungen - da hast Du schon Recht.

Es gibt die kommerziellen VPN-Anbieter, die eine Verbindung zu einem ausländischen Server herstellen und Du kannst dann mit der IP von diesem Server surfen. Das bezeichnete ich als Anonymisierungsdienst (Nord VPN und alle anderen). Von diesen VPN-Anbietern reden wir hier nicht. Die Bezeichnung VPN finde ich für diese Dienste irreführend, weil keine Verbindung zu einem virtuellen, privaten Netzwerk hergestellt wird. Meistens sind diese Dienste überflüssig und kosten nur viel Geld.

Eine VPN-Verbindung, wie wir es hier meinen, ist eine Verbindung deines Gerätes von außerhalb zum eigenen Netzwerk über ein gesichertes Protokoll wie Wireguard oder L2TP over IPsec. Dafür ist kein VPN-Anbieter erforderlich. Das ist alles Open Source und kann frei installiert bzw. auf dem eigenen Router aktiviert werden.

Ich hatte aus deinem Bezug zu "VPN-Anbietern" angenommen, dass Du beides durcheinanderwürfelst. Kann sein, dass ich Dich da mißverstanden habe.

was hast du den erwartet, was die,achten und wie das abläuft. Ingwer kennt immer deine Adresse wenn du was von ihm willst

Danke für Euren Input.

Hab aktuell noch einen ASUS TUF RX5400 im Einsatz da hab ich die Möglichkeit aus PPTP, OpenVPN, IPSec VPN, und WIreGuard VPN auszuwählen.

Bezüglich 3d Drucker und unbeaufsichtigt, gebe ich natürlich Recht. Ich hab den 3d Drucker allerdings an einer smarten Steckdose, in der Nähe einen Rauchmelder der bei Rauchentwicklung sofort die Steckdose schaltet. Sowie eine Kamera und im normalfall meine Frau zuhause. Es ging da mehr drum nicht immer meine Frau hin und her schicken zu müssen um mal parameter zu verstellen. =)

Ich schließe mich den Empfehlungen bzgl WireGuard an. Ich habe verschiedenes ausprobiert, insbesondere auf mobilen Geräten (iOS, iPadOS) war es das einzige was genau wie erwartet ohne Aufwand oder gebastel funktioniert hat. Verbindung ist extrem zuverlässig und lässt sich leicht anpassen (zb bestimmte Netzwerke ausschließen).
Ich wüsste keine Argumente, die gegen die Installation einer ca 3Mb großen, etablierten Opensource Applikation sprechen.

.. und nimmst dafür lieber in kauf das ein Windows Update dafür sorgt das es nicht mehr richtig funktioniert:
Das kann immer wieder mal passieren. Das gepaart mit der fehlenden Geschwindigkeit war mehr als genug für mich die Entscheidungen zu treffen WireGuard zu benutzen.

Das ist immer wieder ein Thema. Aber ich möchte nicht extra… Das zitierte Beispiel ist ein Musterexemplar. Herrgott, der gemeinsame VPN Nenner Mac und Win ist möpp. VPN im Router oder im nachgelagerten Gateway. Mööppt der Wireguard Client, hab ich in 2 Tagen eine Lösung. Mööppt die Win/Mac Basis, stehe ich uU Wochen im Dunklen.

Ich hab zwei Fritzboxen per VPN verbunden, um ein Backup (ca. 1 TB) einer Synology auf eine andere zu machen.
Ein einfacher täglicher Abgleich ohne Änderungen dauerte via IPsec 20 Minuten, mit Wireguard sind es 4 Minuten.
Und genauso fühlt sich auch die Reaktion von Diensten auf der anderen Seite an.
Ich habe kein Argument für IPsec.

Neben dem erwähnten Tailscale gibt es mit "Netbird" auch eine weitere Alternative im Umfeld dieser Overlay Networks. Ebenfalls als Freemium Geschäftsmodell vermarktet und ebenfalls auf Wireguard aufbauend, kann aber zudem auch aufgrund seines Open Source Charakters selbst gehosted werden .
Die Firma ist ferner in Deutschland (Berlin) beheimatet (sollte jemand dem eine wie auch immer geartete Bedeutung zuordnen).

Kleiner Über-/Einblick von Lawrence Systems zu einer Reihe (mutmasslich die bekanntesten?) von Overlay Network Produkten: