Spezialfall - VPN ins Fahrzeug

Es gibt 14 Antworten in diesem Thema, welches 697 mal aufgerufen wurde. Der letzte Beitrag () ist von legend8139.

    Hallo,


    ich bin ehrenamtliches Mitglied einer Hilfsorganisation, die ein "rollendes Büro" betreibt - um im Großschadensfall von dort aus arbeiten zu können.

    Wir haben in dem Fahrzeug größtenteils Ubiquiti Hardware verbaut. Um zwischen WLAN, SIM-Karte und LAN failovern zu können, haben wir dem Netzwerk einen Teltonika RUT951 vorgeschaltet, welcher sich um die Verbindung ins Internet kümmert.


    Wir möchten uns von zuhause auf das Fahrzeug schalten können. Entweder per RDP auf einen der Laptops/Server, oder aber direkt ins Netzwerk per S2S VPN. In den meisten Fällen sind wir mit einer Telekom SIM-Karte im Internet, künftig ändert sich das vrstl. zu Starlink. Wenn das Fahrzeug in der Garage steht, sind wir per WLAN im Internet.


    Was ist denn der beste Weg, um ein solches VPN zu realisieren? Vor allem im Hinblick auf die verschiedenen WAN-Netzwerke?


    Bin für jede Hilfe dankbar.


    LG

    S2S von Zuhause auf das Fahrzeug?!? okay... komischer Fall.


    Ihr müsstet euch Gedanken machen von wo nach wo der Tunnel initialisiert wird. Dieser Standort benötigt eine öffentliche IPv4 Adresse, am besten statisch.


    Ohne öffentliche IP ist der Anschluss nicht aus dem Internet erreichbar. Gerade bei SIM Karten so eine Sache.


    Nicht statische IPs führen dann gerne mal dazu das durch IP Wechsel der Tunnel nicht wieder in die Gänge kommt (DDNS Hosts werden meist nur beim Start des Tunnels aufgelöst und die IP bis zum Sankt Nimmerleinstag versucht zu benutzen).


    Passen die Voraussetzungen nicht, dann könnt ihr nur über Umwege die VPN Struktur ans laufen bekommen. Dann könnte euch das folgende Video helfen.

    [Externes Medium: https://www.youtube.com/watch?v=0WFnTDoWo6o]

    Zitat von phino

    Bei der Telekom bekommt man eine öffentliche IPV4 Adresse im Mobilfunknetz, wenn man den passenden APN einträgt. Wir hatten für ähnlichen Fall diesen APN genutzt: internet.t-d1.de

    Du brauchst aber den passenden Business-Tarif dafür, sonst ist das eher ein Glücksspiel, ob es funktioniert oder nicht.

    Zudem musst man sich um die Sicherheit des Netzes dahinter selber kümmern, die Telekom übernimmt das in dem Fall nicht mehr, da wird ausdrücklich drauf hingeweisen.


    Normale Verbindung vom Internet zu einem Mobilfunkanschluss sind ansonsten im Normalfall nicht möglich, das unterbindet, der Netzbetreiber aus Sciherheitsgründen.


    Bei Starlink sehe ich schwarz, die vergeben keine öffentlichen IP-Adressen an die Clients, somit ist eine Einwahl zu dem Client nicht möglich.


    Alternative:

    - Cloud-Server bei Hetzner mit einem Wireguard-Server drauf

    - Einwahl vom Fahrzeug aus auf den VPN-Server

    - Einwahl von zuhause aus auf den VPN-Server

    - entsprechendes Routing einrichten und man hat eine Verbindung.

    ( gibt Youtube-Videos dazu, wie man das einfach aufbaut )


    Entsprechende Cloud-Server gibt es für paar Euro im Monat inkl. eine Wireguard-WebGUI mitlerweile.

    Zitat von Tomcat

    Du brauchst aber den passenden Business-Tarif dafür, sonst ist das eher ein Glücksspiel, ob es funktioniert oder nicht.

    Die Hilfsorganisationen haben nach meinem Wissen Rahmenverträge über den Bund oder Land. Die sind Business. so jedenfalls Rotes Kreuz, THW oder die freiwillige Feuerwehr. Jedenfalls haben wir diese genutzt, vor 2 Jahren 5G Daten-Flate für 70 €.

    Beim IR


    Mir klappt es unter Android mit folgenden Einstellungen.

    Einmal editiert, zuletzt von phino ()

    Zitat von phino

    Die Hilfsorganisationen haben nach meinem Wissen Rahmenverträge über den Bund oder Land. Die sind Business. so jedenfalls Rotes Kreuz, THW oder die freiwillige Feuerwehr. Jedenfalls haben wir diese genutzt, vor 2 Jahren 5G Daten-Flate für 70 €.

    Müssen die selber klären - Business-Vertrag ist nicht Business-Vertrag

    Am Businessvertrag scheitert es nicht, wir haben mobil eine öffentliche IP Adresse. Das hatten wir extra hinzugebucht.



    Das klingt nach genau dem, was ich gesucht hatte. Dann brauchen wir auch keine öffentlich routbare IP mehr, da die fixe IP die des Hetzner-Servers ist.

    Kannst Du ein gutes Video empfehlen? Nach was genau muss ich suchen?

    Das Video hatte ich leider nicht gesehen.

    Nun habe ich den Wireguard-Server wie im Video beschrieben aufgesetzt - danke für den Link.


    Sowohl mein lokaler PC, als auch der Teltonika RUT951 (Fahrzeug) sind nun als Peer eingerichtet und sind erfolgreich verbunden. Ich kann von beiden Seiten den jeweils anderen pingen.

    Aber ich kann (trotz Eintragung in AllowedIPs) das lokale Netzwerk im Fahrzeug nicht erreichen, geschweige denn aus dem Fahrzeug-Netzwerk in mein Lokales. Fehlen da Routen?


    Entferntes Netzwerk ist die 192.168.132.0/24

    Einmal editiert, zuletzt von legend8139 ()

    Zitat von Tomcat

    genau das würde ich auch empfehlen, gab glaube ich noch nen zweiten Teil dazu

    Es wurde zumindest im Video vom Dennis ein zweiter Teil angekündigt. Ich gaube da wollte er noch in Sachen IPv6 in die Tiefe gehen.


    Zitat von legend8139

    Aber ich kann (trotz Eintragung in AllowedIPs) das lokale Netzwerk im Fahrzeug nicht erreichen, geschweige denn aus dem Fahrzeug-Netzwerk in mein Lokales. Fehlen da Routen?

    Was benutzt Du als VPN Clients? UniFi Gateways? Da hat der Client leider die Angewohnheit zu NATen. Da muss in die Firewall noch eine Regel in INTERNET_IN war das glaube ich. Hat Dennis auch ein Video zu. Die Firewallregel ist glaube ich bei etwa Minute 3


    [Externes Medium: https://www.youtube.com/watch?v=Vs7NzwG2mFg]

    Ich nutze auf der "Zuhause"-Seite aktuell meinen Windows-PC - eventuell ändere ich das künftig noch auf ein USG.

    Auf der Fahrzeug-Seite ist das Setup so:


    Teltonika RUT951 --> USG --> PC


    Dementsprechend habe ich den VPN Client am RUT951 eingerichtet, wobei mir das USG lieber wäre - das unterstützt meines Wissens nach in meinem Fall aber noch kein Wireguard.


    Danke für Eure Hilfe bisher!

    Ach das ja noch ne USG ... Ja dann hängst Du im besten Fall im Netz des Teltonikas fest bisher.


    Offiziell haben die USGs wohl keinen wireguard Support ... kann man aber hinbasteln:

    EdgeOS and Unifi Gateway · WireGuard/wireguard-vyatta-ubnt Wiki
    WireGuard for Ubiquiti Devices. Contribute to WireGuard/wireguard-vyatta-ubnt development by creating an account on GitHub.
    github.com


    Alternativ: Bei der USG müsste das NAT mit der json.gateway.conf abschaltbar sein. Wenn Teltonika statische Routen zulässt, dann das NAT in der USG aus und im Teltonika die statischen Routen für das Netz der USG mit dem Gateway: WAN IP der USG eintragen.


    Dann auf dem Wireguard Bridgeserver schauen das dort auch alle Routen drin sind die fürs USG Netz fehlt ja evtl. dort noch.

    • Neu

    Hi, ich habe das bei mehreren Kunden mit INSYS Mobilfunkroutern und deren Portalsoftware gelöst. Da kannst du eine Schnöde Mobilfunk SIM nehmen und hast keinen Stress. Ich hab diese Lösungen schon seit Jahren störungsfrei in Betrieb.


    LG

    Ff.mobil

    • Neu

    Selbst mit diversen Anleitungen im Internet bekomme ich das Ausschalten von NAT über EdgeOS nicht hin.