Spezialfall - VPN ins Fahrzeug

Es gibt 23 Antworten in diesem Thema, welches 2.706 mal aufgerufen wurde. Der letzte Beitrag () ist von Georgius.

    Hallo,


    ich bin ehrenamtliches Mitglied einer Hilfsorganisation, die ein "rollendes Büro" betreibt - um im Großschadensfall von dort aus arbeiten zu können.

    Wir haben in dem Fahrzeug größtenteils Ubiquiti Hardware verbaut. Um zwischen WLAN, SIM-Karte und LAN failovern zu können, haben wir dem Netzwerk einen Teltonika RUT951 vorgeschaltet, welcher sich um die Verbindung ins Internet kümmert.


    Wir möchten uns von zuhause auf das Fahrzeug schalten können. Entweder per RDP auf einen der Laptops/Server, oder aber direkt ins Netzwerk per S2S VPN. In den meisten Fällen sind wir mit einer Telekom SIM-Karte im Internet, künftig ändert sich das vrstl. zu Starlink. Wenn das Fahrzeug in der Garage steht, sind wir per WLAN im Internet.


    Was ist denn der beste Weg, um ein solches VPN zu realisieren? Vor allem im Hinblick auf die verschiedenen WAN-Netzwerke?


    Bin für jede Hilfe dankbar.


    LG

    S2S von Zuhause auf das Fahrzeug?!? okay... komischer Fall.


    Ihr müsstet euch Gedanken machen von wo nach wo der Tunnel initialisiert wird. Dieser Standort benötigt eine öffentliche IPv4 Adresse, am besten statisch.


    Ohne öffentliche IP ist der Anschluss nicht aus dem Internet erreichbar. Gerade bei SIM Karten so eine Sache.


    Nicht statische IPs führen dann gerne mal dazu das durch IP Wechsel der Tunnel nicht wieder in die Gänge kommt (DDNS Hosts werden meist nur beim Start des Tunnels aufgelöst und die IP bis zum Sankt Nimmerleinstag versucht zu benutzen).


    Passen die Voraussetzungen nicht, dann könnt ihr nur über Umwege die VPN Struktur ans laufen bekommen. Dann könnte euch das folgende Video helfen.

    [Externes Medium: https://www.youtube.com/watch?v=0WFnTDoWo6o]

    Zitat von phino

    Bei der Telekom bekommt man eine öffentliche IPV4 Adresse im Mobilfunknetz, wenn man den passenden APN einträgt. Wir hatten für ähnlichen Fall diesen APN genutzt: internet.t-d1.de

    Du brauchst aber den passenden Business-Tarif dafür, sonst ist das eher ein Glücksspiel, ob es funktioniert oder nicht.

    Zudem musst man sich um die Sicherheit des Netzes dahinter selber kümmern, die Telekom übernimmt das in dem Fall nicht mehr, da wird ausdrücklich drauf hingeweisen.


    Normale Verbindung vom Internet zu einem Mobilfunkanschluss sind ansonsten im Normalfall nicht möglich, das unterbindet, der Netzbetreiber aus Sciherheitsgründen.


    Bei Starlink sehe ich schwarz, die vergeben keine öffentlichen IP-Adressen an die Clients, somit ist eine Einwahl zu dem Client nicht möglich.


    Alternative:

    - Cloud-Server bei Hetzner mit einem Wireguard-Server drauf

    - Einwahl vom Fahrzeug aus auf den VPN-Server

    - Einwahl von zuhause aus auf den VPN-Server

    - entsprechendes Routing einrichten und man hat eine Verbindung.

    ( gibt Youtube-Videos dazu, wie man das einfach aufbaut )


    Entsprechende Cloud-Server gibt es für paar Euro im Monat inkl. eine Wireguard-WebGUI mitlerweile.

    Zitat von Tomcat

    Du brauchst aber den passenden Business-Tarif dafür, sonst ist das eher ein Glücksspiel, ob es funktioniert oder nicht.

    Die Hilfsorganisationen haben nach meinem Wissen Rahmenverträge über den Bund oder Land. Die sind Business. so jedenfalls Rotes Kreuz, THW oder die freiwillige Feuerwehr. Jedenfalls haben wir diese genutzt, vor 2 Jahren 5G Daten-Flate für 70 €.

    Beim IR


    Mir klappt es unter Android mit folgenden Einstellungen.

    Einmal editiert, zuletzt von phino ()

    Zitat von phino

    Die Hilfsorganisationen haben nach meinem Wissen Rahmenverträge über den Bund oder Land. Die sind Business. so jedenfalls Rotes Kreuz, THW oder die freiwillige Feuerwehr. Jedenfalls haben wir diese genutzt, vor 2 Jahren 5G Daten-Flate für 70 €.

    Müssen die selber klären - Business-Vertrag ist nicht Business-Vertrag

    Am Businessvertrag scheitert es nicht, wir haben mobil eine öffentliche IP Adresse. Das hatten wir extra hinzugebucht.



    Das klingt nach genau dem, was ich gesucht hatte. Dann brauchen wir auch keine öffentlich routbare IP mehr, da die fixe IP die des Hetzner-Servers ist.

    Kannst Du ein gutes Video empfehlen? Nach was genau muss ich suchen?

    Das Video hatte ich leider nicht gesehen.

    Nun habe ich den Wireguard-Server wie im Video beschrieben aufgesetzt - danke für den Link.


    Sowohl mein lokaler PC, als auch der Teltonika RUT951 (Fahrzeug) sind nun als Peer eingerichtet und sind erfolgreich verbunden. Ich kann von beiden Seiten den jeweils anderen pingen.

    Aber ich kann (trotz Eintragung in AllowedIPs) das lokale Netzwerk im Fahrzeug nicht erreichen, geschweige denn aus dem Fahrzeug-Netzwerk in mein Lokales. Fehlen da Routen?


    Entferntes Netzwerk ist die 192.168.132.0/24

    Einmal editiert, zuletzt von legend8139 ()

    Zitat von Tomcat

    genau das würde ich auch empfehlen, gab glaube ich noch nen zweiten Teil dazu

    Es wurde zumindest im Video vom Dennis ein zweiter Teil angekündigt. Ich gaube da wollte er noch in Sachen IPv6 in die Tiefe gehen.


    Zitat von legend8139

    Aber ich kann (trotz Eintragung in AllowedIPs) das lokale Netzwerk im Fahrzeug nicht erreichen, geschweige denn aus dem Fahrzeug-Netzwerk in mein Lokales. Fehlen da Routen?

    Was benutzt Du als VPN Clients? UniFi Gateways? Da hat der Client leider die Angewohnheit zu NATen. Da muss in die Firewall noch eine Regel in INTERNET_IN war das glaube ich. Hat Dennis auch ein Video zu. Die Firewallregel ist glaube ich bei etwa Minute 3


    [Externes Medium: https://www.youtube.com/watch?v=Vs7NzwG2mFg]

    Ich nutze auf der "Zuhause"-Seite aktuell meinen Windows-PC - eventuell ändere ich das künftig noch auf ein USG.

    Auf der Fahrzeug-Seite ist das Setup so:


    Teltonika RUT951 --> USG --> PC


    Dementsprechend habe ich den VPN Client am RUT951 eingerichtet, wobei mir das USG lieber wäre - das unterstützt meines Wissens nach in meinem Fall aber noch kein Wireguard.


    Danke für Eure Hilfe bisher!

    Ach das ja noch ne USG ... Ja dann hängst Du im besten Fall im Netz des Teltonikas fest bisher.


    Offiziell haben die USGs wohl keinen wireguard Support ... kann man aber hinbasteln:

    EdgeOS and Unifi Gateway · WireGuard/wireguard-vyatta-ubnt Wiki
    WireGuard for Ubiquiti Devices. Contribute to WireGuard/wireguard-vyatta-ubnt development by creating an account on GitHub.
    github.com


    Alternativ: Bei der USG müsste das NAT mit der json.gateway.conf abschaltbar sein. Wenn Teltonika statische Routen zulässt, dann das NAT in der USG aus und im Teltonika die statischen Routen für das Netz der USG mit dem Gateway: WAN IP der USG eintragen.


    Dann auf dem Wireguard Bridgeserver schauen das dort auch alle Routen drin sind die fürs USG Netz fehlt ja evtl. dort noch.

    Hi, ich habe das bei mehreren Kunden mit INSYS Mobilfunkroutern und deren Portalsoftware gelöst. Da kannst du eine Schnöde Mobilfunk SIM nehmen und hast keinen Stress. Ich hab diese Lösungen schon seit Jahren störungsfrei in Betrieb.


    LG

    Ff.mobil

    Selbst mit diversen Anleitungen im Internet bekomme ich das Ausschalten von NAT über EdgeOS nicht hin.

    Sorry für den Doppelpost - wir haben uns nun ein Cloud Gateway Ultra angeschafft, was mit Bordmitteln WireGuard als Client anbietet.

    Dort habe ich den VPN Client eingerichtet - leider kann der VPN Server nicht erreicht werden.


    Muss ich noch Routen/FW einrichten?


    Ist das son hetzner VPS mit diesem wireguard image und GUI Bereitstellung?


    Mit dem Teil konnte ich die Config runterladen und in die udm importieren und hatte sofort connected als Status.


    Sieht so aus als wenn der hostname oder Port nicht stimmt. Vielleicht zeigt der hostname nicht auf die korrekte IP. Oder vielleicht auch ein Firewallproblem auf dem Server?

    Zitat von DoPe

    Ist das son hetzner VPS mit diesem wireguard image und GUI Bereitstellung?


    Mit dem Teil konnte ich die Config runterladen und in die udm importieren und hatte sofort connected als Status.


    Sieht so aus als wenn der hostname oder Port nicht stimmt. Vielleicht zeigt der hostname nicht auf die korrekte IP. Oder vielleicht auch ein Firewallproblem auf dem Server?

    Richtig, das ist ein Hetzner Cloudserver mit der Wireguard App.


    Bei mir hängt aber noch ein Teltonika-Router davor - deswegen vermute ich, dass es zwischen Teltonika und Unifi liegt.


    Hostname, Port, IP passt alles.

    Die UDm kann den hostnamen auch korrekt auf die richtige IP auflösen wenn Du per SSH drauf bist?


    Die UDM macht ja nix weiter als das auflösen und dann zu connecten. Ist im Teutonenrouter :winking_face: noch irgendwelches Firewalling aktiv?

    Zitat von DoPe

    Die UDm kann den hostnamen auch korrekt auf die richtige IP auflösen wenn Du per SSH drauf bist?


    Die UDM macht ja nix weiter als das auflösen und dann zu connecten. Ist im Teutonenrouter :winking_face: noch irgendwelches Firewalling aktiv?

    Ja, Namensauflösung funktioniert auch direkt auf der Maschine per SSH.


    Firewall des Teltonika-Routers ist auf Defaulteinstellungen.