Hallo, ich habe auf einem gemieteten Root Server einen Wireguard Server laufen. Zu diesem verbinde ich mich Mobil mit Handy und Notebook. Außerdem verbindet sich mein Server zuhause dorthin und ich habe so Zugriff von überall auf mein lokales Netzwerk. Soweit funktioniert alles wunderbar. Nun würde ich gerne meinen Traffic von unterwegs komplett durch den Tunnel leiten und Zuhause dann durch meinen Router maskieren lassen. Ein Setup mit NAT durch den RootServer habe ich hinbekommen, aber ich möchte lieber den DialIn von zuhause mit wechselnden IP Adressen zum surfen nutzen und nicht die feste IP des Root Servers. Kann mir jemand sagen, wie ich dies am geschicktesten unter Linux zum laufen bekomme? Notebook -> Wireguard Server -> Server Zuhause -> Internet Vielen Dank!
Du bist sicher, dass die IP-Adresse zu Hause täglich wechselt? Ist heute nicht mehr selbstverständlich, ebensowenig wie die Zwangstrennung.
:
Bearbeitet durch User
(prx) A. K. schrieb: > Du bist sicher, dass die IP-Adresse zu Hause täglich wechselt? Ist > heute > nicht mehr selbstverständlich, ebensowenig wie die Zwangstrennung. Zuhause habe ich seit Glasfaser nur noch CGN und bin IPv4 mässig eh nicht erreichbar. Und wenn nötig kann ich ja manuell trennen. Der Root Server behält definitiv seine Adresse und ist im Zweifelsfall auch ein viel interessanteres Angriffsziel als mein Plastikrouter zuhause.
Phil schrieb: > Zuhause habe ich seit Glasfaser nur noch CGN und bin IPv4 mässig eh > nicht erreichbar. Und wenn nötig kann ich ja manuell trennen. Die für andere sichtbare IPv4 ist also die vom CGNAT, und die ändert sich nicht unbedingt alle naselang von selbst. Der IPv6 Prefix dürfte mehr oder weniger feststehen und die privacy extensions sind bei Privathaushalten für die Katz. Es geht also um IPv4 mit Tarnung hinter dem auch von vielen anderen Haushalten genutzten CGNAT unter Ausschluss von IPv6. Phil schrieb: > ich habe so Zugriff von überall auf mein lokales Netzwerk Für Web-Traffic reicht ein simpler Web-Proxy zu Hause dann völlig aus, so lange es sich um Web-Zugriff handelt. Für andere Protokolle könnte SOCKS dienlich sein, oder reine TCP Forwarder für definierte Verbindungen.
:
Bearbeitet durch User
(prx) A. K. schrieb: > Für Web-Traffic reicht ein simpler Web-Proxy zu Hause dann völlig aus, > so lange es sich um Web-Zugriff handelt. Für andere Protokolle könnte > SOCKS dienlich sein. So richtig gefällt mir das aber nicht. Ich hätte gerne das einfach der ganze Traffic ins Internet zuhause erst rausgeht. Ich habe im Urlaub usw. immer noch einen WLAN Stick zusätzlich am Notebook. Das macht dann ein mobiles zuhause WLAN auf. Die Handys, ohne VPN drauf, sind dann auch im Heimnetz und können ihre Fotos usw synchronisieren. Ein FireTV Stick fühlt sich dann auch wie zuhause und kann den TV Server nutzen usw. Da würde ich ungerne an den Clients jedes mal was umkonfigurieren.
Phil schrieb: > Der Root > Server behält definitiv seine Adresse und ist im Zweifelsfall auch ein > viel interessanteres Angriffsziel als mein Plastikrouter zuhause. Oder umgekehrt, wenn ich mir ansehe, was täglich in die Firmen-Firewall einläuft. Derzeit wird massiv versucht, bekannte Löcher diverser "Plasterouter" auszunutzen. Was bei deinem Root-Server offen ist, wie schnell das gepatcht wird, das hast du möglicherweise besser im Griff als beim Router zu Hause. Alles dicht was nicht offen sein muss, Firewall im Server, Firewall vom Provider., potentielle IP-Ranges deiner Mobilgeräte, ...
Phil schrieb: > Ich hätte gerne das einfach der > ganze Traffic ins Internet zuhause erst rausgeht. Wenn du den VPN-Tunnel auf IPv6 aufsetzt, dann kannst du den Endpunkt zu Hause platzieren statt auf dem Server. Denn für IPv6 bist du zu Hause auch mit Dual Stack lite erreichbar. Dann gehts nur noch darum, den Traffic komplett durch diesen Tunnel zu routen. Das sollte nicht mehr als ein Eintrag in der Routing Table sein. Allerdings habe ich mit Wireguard keine Erfahrung. Weiss nicht, ob/wie sich damit IPv4 durch einen IPv6 Tunnel schicken lässt.
(prx) A. K. schrieb: > Wenn du den VPN-Tunnel auf IPv6 aufsetzt, Dann komme ich von vielen Stellen da nicht mehr ran. In vielen Handynetzen geht IPv6 nicht wirklich und in etlichen Hotels und sonstigen WLANs ist auch sehr oft kein IPv6. Ist es nicht möglich den Traffic der vom wireguard interface kommt zu mir nach Hause zu schicken?
Phil schrieb: > Ist es nicht möglich den Traffic der vom wireguard interface kommt zu > mir nach Hause zu schicken? Bei Wireguard bin ich draussen, sorry.
Trotzdem vielen Dank für die Anregungen! Speziell was die Sicherheit des Plastikrouters angeht sollte ich das vielleicht noch mal überschlafen.
Dies hier brachte die Lösung: https://www.reddit.com/r/WireGuard/comments/odg2tf/choose_exit_node_which_is_not_the_server/
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.