[Pet@]

Gibt es eine (mehr oder weniger) sichere Möglichkeit den eigenen Windowsrechner per Remote Desktop über das Internet (aka von überall aus) erreichbar zu machen?

RDP port am Router freizugeben scheint ja ein absolutes no-go zu sein.

Hat es irgendwelche signifikanten Nachteile im Heimnetz, zB auf einem Raspberry, einen VPN Server einzurichten, auf den man von Außen connected und dann RDP nutzt?

Gibt es noch andere Möglichkeiten außer diesen?

[foobar]

Am besten Wireguard auf einem Raspi und dann da durch das RDP oder VNC fahren. Alternativ tut es eventuell auch ein SSH-Tunnel, wenn du wirklich nur das eine Protokoll brauchst und sonst nix. Allerdings will man dann evtl. noch mehr (z.B. mal auf die interne Nextcloud oder Dateifreigaben am NAS oder sowas in der Art). Mit anderen VPNs (z.B. IPsec oder OpenVPN) würde ich mich nicht mehr rumschlagen wollen.

Manche Router können Wireguard auch von sich aus, da entfällt dann der Raspi. Ich meine, einige Speedport-Modelle von der Terrorkom fielen darunter. AVM werkelt AFAIK auch gerade daran herum (die aktuelle Labor-Firmware kann es bereits). Im Zweifel ist der Raspi aber natürlich die flexiblere Lösung.

Besondere Nachteile sind damit nicht verbunden (wenn man’s richtig macht), außer halt den ca. 3 Watt Stromverbrauch durch den Raspi.

[Pet@]

Super, vielen dank!

Meine Fritzbox ist ein bisschen älter. Die hat zwar in den Einstellungen einen VPN Reiter, aber da ich wegen pihole sowieso einen Raspberry die ganze Zeit laufen habe werde ich es wohl mal mit Wireguard probieren. Hast du vielleicht eine gute Anleitung, wie man Wireguard am einfachsten einrichtet? (Kann natürlich googlen, aber du schinst Ahnung zu haben)

[foobar]

Hast du vielleicht eine gute Anleitung, wie man Wireguard am einfachsten einrichtet? (Kann natürlich googlen, aber du schinst Ahnung zu haben)

Ich habe mal die hier überflogen und sie scheint auf den ersten Blick ganz brauchbar.

Ein wenig musst du aufpassen, weil ältere Versionen von Raspbian aka PiOS noch kein Wireguard-Modul hatten und man das dann aufwendig selbst kompilieren oder aus Debian Sid Quellen nachziehen musste oder so. Aber das hat sich inzwischen erledigt, das aktuelle Raspbian sollte eigentlich alles für Wireguard dabei haben. Also tut es im Prinzip jede beliebe Anleitung, die neu genug ist, um diesem Umstand bereits Rücksicht zu tragen.

Und dann ist die Einrichtung nicht so wahnsinnig kompliziert, besonders verglichen mit OpenVPN oder gar IPSec. Angenehm einfach einzurichten.

Es gibt wohl auch eine Software namens PiVPN, die diese wenigen Handgriffe dann auch noch automatisieren will, aber mit der habe ich keine eigenen Erfahrungen.

[Pet@]

Funktioniert super, vielen Dank!

[Pet@]

Muss den Thread nochmal rauskramen, weil ich folgendes Problem habe:

Netzwerk sieht so aus:

Das lokale Hauptnetz ist 192.168.178.0/24, die Fritzbox hat darin 192.168.178.1
Raspberry hat 192.168.178.50. Darauf läuft wireguard mit 10.0.10.0/24, wobei der Raspberry darin 10.0.10.1 hat.

Wenn ich jetzt mit meinem Laptop (zB von mobilem Internet aus) mich mit dem Raspberry VPN verbinde, hat mein Laptop die Adresse 10.0.10.2 und ich kann alle Geräte innerhalb von 192.168.178.x anpingen und auch auf meinen Desktop per remote desktop connecten. Auch den Router (192.168.178.1) kann ich pingen. Aber ich kann weder a) die Benutzeroberfläche der Fritzbox erreichen, noch b) auf den Fritz NAS zugreifen.

Da ich die Fritzbox ja pingen kann, "sieht" der Laptop sie, d.h. es muss ein Berechtigungsproblem sein.

Welche Einstellungen in der Fritzbox muss ich ändern, damit das möglich ist?

[Lookbehind]

Hm, meine FritzBox hat das Problem nicht und ich hab auf die Schnelle keine Einstellung dazu gefunden. Aber es gab schon Fälle, in denen das ein Hostname-Problem war. Die FritzBox will unbedingt als "fritz.box" angesprochen werden und mag es nicht über die IP aufgerufen zu werden. Auf Ping reagiert sie aber unabhängig vom Hostnamen.

Wie gesagt, ist bei meiner FritzBox nicht so, und ich hab auch grad keine Einstellung dazu gefunden. Aber ich hab sowas schon gesehen (weiß nur nicht mehr wo).

Normalerweise ist das kein Problem, weil die FritzBox selbst den DNS-Server stellt und somit auch den Hostnamen auflösen kann. Allerdings wirst du wahrscheinlich durch den Wireguard-Tunnel hindurch, nicht den DNS-Server der FritzBox benutzen. Daher funktioniert die Namensauflösung nicht, und somit das Web-Interface.

Dem kann man jetzt auf mehreren Wegen begegnen. Zum einen könntest du die IP der FritzBox auf deinem Laptop als "fritz.box" in der /etc/hosts hinterlegen (unter Windows liegt die Datei woanders. Google weiß wo), Oder du könntest die IP der FritzBox als DNS-Server manuell in deinem Laptop eintragen. Oder das in dem Wireguard-Profil hinterlegen, damit der Eintrag beim Aufbauen der Verbindung automagisch gesetzt wird. Allerdings gehen dann auch alle deine DNS-Anfragen über die FritzBox und über den Wireguard-Tunnel, was normales Surfen ggf. deutlich langsamer macht.

Alternativ könnte es sein, dass die FritzBox Verbindungen zum Webinterface nur aus ihrem eigenen Netz zu lässt. Das hab ich aber a) so noch nicht gesehen, b) ist das bei meiner fritzBox abermals nicht so und c) habe ich auch dazu keine Einstellung gefunden. In dem Fall würde es helfen auf dem RasPi ein NAT ein zu richten.

[foobar]

Hmm... bin ich mir nicht sicher. Bei mir (getestet via Smartphone) geht es jedenfalls.

Gucke dir mal den DNS-Rebind-Schutz unter Heimnetz -> Netzwerk -> Netzwerkeinstellungen -> weitere Einstellungen an. Ich meine, ich musste da mal dran herum spielen, damit ich aus der Ferne (damals noch via SSH-Tunnel) zugreifen konnte. Habe die Einzelheiten nicht mehr im Kopf, aber aktuell steht da bei mir:

Code:

localhost
127.0.0.1
fritzbox.meinlan.meinetld

Wenn du IPv6 nutzt, eventuell auch noch jeweiligen Entsprechungen dafür mit rein.

[Lookbehind]

Hmm... bin ich mir nicht sicher. Bei mir (getestet via Smartphone) geht es jedenfalls.

Gucke dir mal den DNS-Rebind-Schutz unter Heimnetz -> Netzwerk -> Netzwerkeinstellungen -> weitere Einstellungen an. Ich meine, ich musste da mal dran herum spielen, damit ich aus der Ferne (damals noch via SSH-Tunnel) zugreifen konnte. Habe die Einzelheiten nicht mehr im Kopf, aber aktuell steht da bei mir:

Code:

localhost
127.0.0.1
fritzbox.meinlan.meinetld

Wenn du IPv6 nutzt, eventuell auch noch jeweiligen Entsprechungen dafür mit rein.

DNS-Rebind-Schutz is bei mir definitiv komplett leer. Und ich komme dauerhaft aus einem anderen Netz. (VLAN is n tolles Spielzeug )

Allerdings bin ich gerade auf ein interessantes Phänomen gestoßen:

Code:

$ nslookup fritz.box
Server:		192.168.142.254
Address:	192.168.142.254#53

** server can't find fritz.box: NXDOMAIN

$ nslookup fritz.box 192.168.142.1
Server:		192.168.142.1
Address:	192.168.142.1#53

** server can't find fritz.box: NXDOMAIN

$ nslookup fritz.box 192.168.142.6
Server:		192.168.142.6
Address:	192.168.142.6#53

** server can't find fritz.box: NXDOMAIN

Keiner meiner lokalen DNS-Server kann "fritz.box" auflösen. (Was bei genauerer Betrachtung auch nicht überraschen sollte.) Dennoch kann ich im Firefox einfach "fritz.box" in die Adresszeile eingeben und lande auf dem Webinterface meiner FritzBox. Der Firefox löst also scheinbar DNS irgendwie anders auf. Aber wie? Und wo konfiguriere ich das?

[foobar]

Also ich bin mir ziemlich sicher, dass es zumindest für den SSH-Tunnel bei meiner damaligen DNS-Konfiguration notwendig war. Sonst hätte ich das da nicht reingeschrieben.

Was den Namen angeht: Vermutlich verteilt die Fritzbox das via Zeroconf/Bonjour/Avahi. Ähnliches macht ja z.B. auch der Raspberry Pi mit Raspbian.

Wenn es das ist und du es nicht willst, kannst du unter /etc/nsswitch.conf das „mdns4_minimal” rauswerfen, dann sollte dein Nameswitch diese Annoncen eigentlich künftig ignorieren.

[Pet@]

Ich merke gerade, dass ich genau genommen beim VPN client auf keine einzige Website zugreifen kann. tcpdump im raspberry registriert den request und der router scheint auch zu antworten nur beim client kommt nichts an. Windows Firewall ist es auch nicht, habe sie testweise ausgemacht aber gleiches Problem

[foobar]

Machst du Masquerading auf dem Wireguard-Server? Ansonsten müsstest du auf jedem System die Routen anpassen und wenn du das nicht machst, kann es sein, dass die Antworten ins Leere gehen. Weil woher weiß z.B. die Fritzbox, dass sie Pakete für den Rechner 10.0.0.2 an den Host 10.0.0.1 (welcher sie dann weiterleitet) schicken muss, wenn ihr das keiner sagt?

Poste im Zweifel mal deine WG-Konfiguration und Paketfilter-Skripte.

[Lookbehind]

Machst du Masquerading auf dem Wireguard-Server? Ansonsten müsstest du auf jedem System die Routen anpassen und wenn du das nicht machst, kann es sein, dass die Antworten ins Leere gehen. Weil woher weiß z.B. die Fritzbox, dass sie Pakete für den Rechner 10.0.0.2 an den Host 10.0.0.1 (welcher sie dann weiterleitet) schicken muss, wenn ihr das keiner sagt?

Poste im Zweifel mal deine WG-Konfiguration und Paketfilter-Skripte.

Die Idee hatte ich auch. Aber a) könnte er das auch über eine statische Route in der FritzBox lösen und b) dürfte dann der Ping nicht funktionieren.

[foobar]

Aber a) könnte er das auch über eine statische Route in der FritzBox lösen

Wie von mir erwähnt.

und b) dürfte dann der Ping nicht funktionieren.

Das fiel mir im Nachgang auch ein, aber da lag ich schon im Bett. Eventuell ist es ein MTU-Problem durch die ineinander verschachelten Protokolle. Das kleine Ping passt durch, volle TCP-Pakete dann nicht mehr, wenn auch noch der Wireguard-Header dazu kommt. Bei meiner Client-Konfig für Wireguard habe ich die MTU auf 1350 gestellt.

[Pet@]

Also hier meine Einstellungen:

Code:

wg0.conf (Raspberry)

[Interface]
Address = 100.64.0.1/24
ListenPort = 51820
PrivateKey = ***
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
# Client1
[Peer]
PublicKey = ***
AllowedIPs = 100.64.0.2/32


client1.conf

[Interface]
PrivateKey = ***
Address = 100.64.0.2/32
DNS = 192.168.178.66 (Pihole)

[Peer]
PublicKey = ***
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = meine_public_ip:51820
PersistentKeepalive = 25

Auf dem Raspberry/Wireguard Server werden ips geforwarded, sowohl IP4 als auch IP6.

In der Fritzbox ist eine statische Route eingerichtet für 100.64.0.0 mit Subnetzmaske 255.255.255.0 → 192.168.178.66 (Raspberry/pihole)

Wie gesagt, ich kann vom client im VPN aus die Fritzbox pingen, kann mich auf meinen Desktop per remotedesktop einloggen, habe aber a) grundsätzlich kein Internet (aka kann keine websites erreichen) und b) kann ich die gui Oberflächen von zB der Fritzbox oder pihole nicht erreichen.

[Lookbehind]

Woher kommt denn die CIDR 100.64.0.1/24? Laut whois ist die derzeit nicht vergeben und gehört zur IANA.

Hast du mal versucht, ob du über die VPN-Verbindung überhaupt irgendwelche Domains auflösen kannst? Einfach mal in der Shell "nslookup google.de" oder "nslookup fritz.box" aufrufen und gucken ob ne (brauchbare) Antwort kommt. Evtl spielt da dein PiHole nicht ganz mit, welches du als DNS eingetragen hast.

Ich vermute hier ganz stark ein DNS Problem. (Die CIDR is trotzdem komisch!)

[Pet@]

Woher kommt denn die CIDR 100.64.0.1/24? Laut whois ist die derzeit nicht vergeben und gehört zur IANA.

Hast du mal versucht, ob du über die VPN-Verbindung überhaupt irgendwelche Domains auflösen kannst? Einfach mal in der Shell "nslookup google.de" oder "nslookup fritz.box" aufrufen und gucken ob ne (brauchbare) Antwort kommt. Evtl spielt da dein PiHole nicht ganz mit, welches du als DNS eingetragen hast.

Ich vermute hier ganz stark ein DNS Problem. (Die CIDR is trotzdem komisch!)

Das ist einfach das VPN Netzwerk das ich mit Wireguard erstelle. Das Subnetz für VPN ist 100.64.0.X, der Raspberry hat im VPN die Adresse 100.64.0.1 und der client 100.64.0.2.

Ich konnte das Problem jetzt mit Hilfe des tollen wireguard IRC chats (web.libera.chat/#wireguard) lösen (danke an user @Berge).
Anscheinend war es ein MTU Problem. Nachdem ich sowohl in die wg0.config als auch client1.config unter [interface] die Zeile MTU=1500 hinzugefügt habe funktioniert es jetzt.

Also hier die finale config, mit der es klappt:

Code:

wg0.conf (raspberry/server)

[Interface]
Address = 100.64.0.1/24
ListenPort = 51820
PrivateKey = ***
MTU=1500
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
# Client1
[Peer]
PublicKey = ***
AllowedIPs = 100.64.0.2/32

client1.conf

[Interface]
PrivateKey = ***
Address = 100.64.0.2/32
DNS = 192.168.178.66
MTU = 1500

[Peer]
PublicKey = ***
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = meine_public_ip:51820
PersistentKeepalive = 25

die statische route im Router hat es übrigens nicht gebraucht und die habe ich wieder entfernt

[foobar]

Das ist einfach das VPN Netzwerk das ich mit Wireguard erstelle. Das Subnetz für VPN ist 100.64.0.X, der Raspberry hat im VPN die Adresse 100.64.0.1 und der client 100.64.0.2.

Du schießt dir aber trotzdem über kurz oder lang selbst ins Knie, wenn du öffentliche IP-Adressen einfach für deine Zwecke missbrauchst. Genau für solche Sachen gibt es die privaten Bereiche nach RFC1918. Also 10.0.0.0/8, 192.168.0.0/16 und 172.16.0.0/12. Die werden im Internet nicht geroutet und jeder darf sie intern für seine Basteleien verwenden.

Anscheinend war es ein MTU Problem. Nachdem ich sowohl in die wg0.config als auch client1.config unter [interface] die Zeile MTU=1500 hinzugefügt habe funktioniert es jetzt.

Könnte schwören, ich hätte die Möglichkeit auch erwähnt:

Eventuell ist es ein MTU-Problem durch die ineinander verschachelten Protokolle. Das kleine Ping passt durch, volle TCP-Pakete dann nicht mehr, wenn auch noch der Wireguard-Header dazu kommt.

[Pet@]

Könnte schwören, ich hätte die Möglichkeit auch erwähnt:

Oh verdammt, das habe ich irgendwie überlesen. Natürlich vielen Dank auch an dich!

Du schießt dir aber trotzdem über kurz oder lang selbst ins Knie, wenn du öffentliche IP-Adressen einfach für deine Zwecke missbrauchst. Genau für solche Sachen gibt es die privaten Bereiche nach RFC1918. Also 10.0.0.0/8, 192.168.0.0/16 und 172.16.0.0/12. Die werden im Internet nicht geroutet und jeder darf sie intern für seine Basteleien verwenden.

Diese Einstellung habe ich aus dem Guide, den du in Post #4 genannt hast. Im Guide steht dazu

Die für den Tunnel verwendeten IP-Adressen, dürfen sich mit den lokal verwendeten, privaten IPv4-Blöcken (RFC 1918) nicht überschneiden. Beim Einsatz einer FRITZ!Box als Router wird lokal standardmäßig 192.168.178.0/24 verwendet, d.h. alle anderen Adressbereiche können ohne Probleme genutzt werden.

Eine elegante Alternative ist die Verwendung von IP-Adressen (100.64.0.0/10), die für Carrier-Grade-NAT (RFC 6598) reserviert sind. Damit ist sichergestellt, dass die Tunnel-IPs nie mit den privaten Adressbereichen kollidieren können.

[foobar]

Diese Einstellung habe ich aus dem Guide, den du in Post #4 genannt hast. Im Guide steht dazu

Ok, da liegt IMHO ein Missverständnis vor.

Grundsätzlich sind die RFC1918-Bereiche genau dafür vorgesehen. Aber natürlich darf man in einem lokalen Netz jeden Bereich nur einmal verwenden. Wenn die Fritzbox z.B. 192.168.178.0/24 benutzt, dann darf es da keine Überschneidungen geben. Man könnte aber durchaus 192.168.10.0/24 oder 192.168.200.0/24 nehmen. Das sind disjunkte Netze. Da die Netzmaske 24 ist (also die ersten drei Bytes), ist jede IP, deren erste drei Octets nicht alle gleich sind, in einem anderen Netz.

Anders ausgedrückt: Die Fritzbox nutzt Adressen zwischen 192.168.178.0 und 192.168.178.255. Der Bereich muss frei bleiben. Aber 192.168.33.44 beispielsweise liegt nicht in diesem Bereich. Die Adresse darf man also problemlos für Wireguard nutzen. Das meinst der Guide mit: „Beim Einsatz einer FRITZ!Box als Router wird lokal standardmäßig 192.168.178.0/24 verwendet, d.h. alle anderen Adressbereiche können ohne Probleme genutzt werden.”

Dito für 10.0.0.0/8 oder 172.16.0.0/12. Da gibt es auch keine Überschneidungen mit dem Standard-Fritzbox-Netz.

Im Gegensatz zum Autor der Anleitung bin ich der Auffassung, dass CGNAT-Bereiche zu verwenden, keine „elegante Alternative” ist. Denn wer macht CGNAT? Unter anderem die meisten Mobilfunkanbieter, vermutlich auch deiner. Und wenn du dann unterwegs mit dem Handy dein Wireguard anwirfst, kann es zu Überschneidungen kommen. Denn woher weißt du, dass dein Provider nicht zufällig gerade die 100.60.0.0/10 verwenden wird?