VPN als DynDNS-Ersatz?

[mcmille]

Hey Folks!

Mal wieder eine Frage von einem Menschen mit gefählichen Halbwissen :

Habe eine DS411j, ne 50-MBit Internet-Leitung mit dynamischer IP und´n VServer bei 1&1.
Kann man mit einem VPN zwischen der DS und dem VServer sich sozusagen seinen eigenen DynDNS Service verbinden?
Also Ziel ist es, keinen ext. DynDNS zu Hause zu nutzen sondern von dem VServer (feste IP) ein VPN zu seiner DS zu bekommen?

Gruß & Danke

Mike

 

[fpo4711]

Hallo und Willkommen,

wenn Du deinen eigenen DDNS betreiben willst dann wird das etrwas aufwendiger, da Du ja einen kompletten DNS betreiben müsstest den Du auch verändern kannst. Du könntest aber alternativ über beispielsweise ein Script dafür sorgen das sich deine DS bei deinem VServer zyklisch meldet und Du beispielsweise dann bei einem HTTP-Request die Client-IP zwischenspeicherst. Somit hätte dann dein VServer die IP von deiner DS und könnte wenn sich diese verändert hat dann eine neue VPN-Verbindung nach Hause aufbauen.

Aber warum so ein Aufwand, wenn Du doch auch DDNS-Dienste kostenlos ohne großen Aufwand nutzen kannst?

Gruß Frank

 

[fpo4711]

Mich hat dein Post noch ein bischen beschäftigt, weshalb ich hier noch eine Frage nachschiessen muß. Wenn es dein Ziel ist von deinem VServer zu deiner DS Zuhause ein VPN auzubauen ohne einen DDNS. Warum baust Du das nicht von Zuhause auf? Also DS ist VPN-Client und dein VServer mit der festen IP der VPN-Server. Kein DDNS nötig.

Gruß Frank

 

[mcmille]

Tach Guru ;-)

gut nachgedacht ;-)
Genau das war die Idee. Aber eins nach dem anderen:
Warum? Datenschutz! Z.b. munkelt man, das die NSA DynDNS überwacht. Ich möchte mein (dynamisches) Zuhause ohne fremde Hilfe erreichen - ok, mit Außnahme von 1&1, da liegt numa der Server.

Jo, soweit war ich gedanklich schon: Die DS spielt den VPNClient, mein 1&1Server den VPNServer. Ist´n Rootserver, hab volle Kontrolle über MX, A-Record, TTL, Subdomains und was da noch so alles nötig sein könnte.
Irgendwie ist mir das Routing nicht klar. Wie erreiche ich dann die DS - über ne Subdomain oder´n seperaten Port, irgendwie überfordert mich das Geistig ;-)

Seine Gehirnzelle schruppte sich ein Wolf.....

Gruß & Danke

Mike

 

[fpo4711]

Ich denke mal das geht so wie Du dir das vorstellst nach hinten los. Ein VPN ist eine verschlüsselte Verbindung zwischen zwei Endpunkten. Also VServer <-> DS. Wenn Du jetzt also mobil auf deine DS zugreifen möchtest dann sollte das auch direkt mit der DS funktionieren. Mobil <-> DS. Und wenn jetzt die NSA selbst den DDNS Dienst betreiben würde, wüßten die nur das Du die IP um die und die Zeit per DDNS abgefragt hast. Aber niemals den Inhalt der dann evt. über deine verschlüsselte VPN Verbindung ging und schon gar nicht würde man wissen ob Du überhaupt eine Verbindung aufgebaut hast. Also mit dieser Information kann man meiner Meinung nach recht wenig anfangen.

So wie Du das vor hast müßtest Du zusätzlich ja nochmals eine Verschlüsselte Verbindung zu deinem VServer aufbauen. Also Mobil <-> VServer <-> DS

Das hätte nur zur Folge das an einer Stelle, nämlich bei 1und1 die Sachen wieder belauscht werden könnten.

Gruß Frank

 

[mcmille]

Ok, was die NSA kann oder nicht, sollte uns nicht interessieren.
Dann möchte ich eben, das nur mein 1&1 Server (und die Telekom) meine dynamische IP kennt - und kein anderer Dienst.
Also wie von dir zuletzt beschrieben: Mobil (oder mein zweiter PC in Timbuktu) - 1&1Server - DS.
Das VPN von der DS nach dem 1&1 Server sollte ja kein Problem sein.
Aber dann?

 

[fpo4711]

Aber dann?

Das gleich nochmal aus Timbuktu. Und entsprechende Routen auf dem VServer setzen.

Gruß Frank

 

[mcmille]

???
technisch fachlich sachlich?
ist doch egal ob "mobil" oder timbuktu. ja, du hast ja recht, aber ist doch egal ob der einwahlpunkt vodafone oder timbuktu ist. das ist nicht die frage.....
mir ist nicht klar ob das geht - und wie.
also nochmal: das vpn von ds nach 1&1server ist doch kein problem oder?
aber wie sieht es dann aus, wie spreche ich den 1&1server an, um auf die ds zu gelangen?

gruß & danke

mike

 

[fpo4711]

Sorry, aber Du administrierst einen Server ohne die entsprechenden Kenntnisse und machst Dir Gedanken über Sicherheitsaspekte bei DDNS-Anfragen. Und nebenbei gesagt, brauchst Du nur eine eMail-Adresse um einen DDNS Eintrag anzulegen, das impliziert ja nicht unbedingt deine Identität. Tut mir Leid aber ich bin hier raus. Für so einen (und verzeih mir die ehrlichen Worte) in meinen Augen Blödsinn ist mir die Zeit zu schade. Sicherlich gibt es noch diverse andere User hier im Forum die Dir helfen können.

Viel Glück
Frank

 

[mcmille]

Nun, und du erlaubst dir eine Meinung, mit der du Menschen persönlich angreifst ohne fachlich das Thema zu beantworten.

Ich bin Kryptoexperte und war in den 90er Netzwerktechniker. Ist halt schon was her und ich sehe mich durchaus in der Lage einen sicheren Unix-Server zu betreiben.
Hätte ich doch blos nicht das Wort "Datenschutz" erwähnt. Von mir aus seh es als Spielerei eines Technikfreaks, aber das mit dem persönlichen Beurteilen solltest du lassen.
Wenn die Amis am CIX ein Port spiegeln, kannste dir jede 1024bit Verschlüsselung in die Haare schmieren und natürlich ist es dann auch total egal, ob ich direkt über ein DynDNSAnbieter gehe oder wie auch immer.
Anscheinend bist du dir nicht im klaren darüber, was da abgeht. Oder besser: Ob oder wie man meine technische Spielerer lösen könnte.

Ich wollte nur nicht wieder meine Routing und Netzwerkkenntnisse gänzlich auf einen aktuellen Stand bringen und nur ein wenig gedankliche Hilfe haben.
Und wenn das technisch möglich ist und gleichzeit totaler Schwachsinn ist, das sind das zwei Paar Schuhe. Und die kann man beide korrekt beschreiben und fachlich und sachlich argumentieren.

Gruß & Danke

Mike

 

[mediamemphis]

also nochmal: das vpn von ds nach 1&1server ist doch kein problem oder?

nein, schließlich hat die ds einen vpn-client integriert (PP2P und OpenVPN in der Beta 4.3 sogar L2TP/IPSec)

aber wie sieht es dann aus, wie spreche ich den 1&1server an, um auf die ds zu gelangen?

Die nas müsste doch nach der einwahl eine ip erhalten vom vpn-server (10.0.0.1)?
kann man die ds nicht darüber einfach ansprechen? ggf. muss man doch irgendwas mit Routing anstellen? add route blafasel usw?

 

[Matthieu]

Zum Thema Abhörsicherheit und DDNS:
Es ist vollkommen egal, ob DDNS-Anbieter überwacht werden. Es bringt der NSA kaum zusätzlichen Nutzen. Der (D)DNS-Anbieter ist ja in keinster Weise am restlichen Datenverkehr beteiligt. Dieser gibt ja lediglich Auskunft über die IP. Und da IPv4-Adressen ja ohnehin knapp werden, ist die NSA schneller die Adressen zu scannen, anstatt auf so mühsame Art und Weise Daten einzufordern.

Technisch:
Auf dem vServer läuft ein VPN-Server. Die DS wählt sich dort ein, bekommt eine IP vom VPN-Server. Selbiges gilt für alle Clients. Über die VPN-IP der DS (nicht die LAN-IP) kommst du dann auf die DS. Möchtest du weitere Zugriffe aufs Heimnetz wird Routing notwendig. Solange das nicht der Fall ist, dürfte Routing auch keine Rolle spielen. Aber um das genau zu beantworten hab ich mich noch zu wenig mit einer OpenVPN-Server Installation befasst. Theoretisch befindest du dich in einem Subnetz, daher kein Routing. Die man-Pages sollten aber genug Auskunft geben können.

Zur Aussage von fpo4711: Er hat sehr deutlich gemacht, dass es seine Meinung ist. Und fachlich hat er damit auch nicht unbedingt Unrecht, denn im Grunde enthalten seine Posts alles was man braucht. Du solltest ggf. deine Erwartungshaltung überdenken.

MfG Matthieu

 

[mcmille]

Vergessen wir doch einfach das Thema Datensicherheit, bitte, bitte.

Das VPN zwischen DS (Client) und dem 1+1Server steht. Kann beidseitig mounten, Samba geht auch. Soweit ja alles kein Problem und gut.
Mir fehlt nun immer noch die Fantasie (oder Kompetenz), wie ich von einem PC (nicht von zuhause) über 1+1 auf die DS komme.
Konkret möchte ich z.b. den DS-Webman oder DS-Audio nutzen, ganz normal halt ;-)
Der 1+1 Server hat ja nach aussen die feste IP (z.b.87.106.12.25) und innen das VPN (Server z.b. 10.49.100.1 und DS 10.49.100.2).
Wäre es z.b möglich, einen Port der festen IP auf Port 5000 des VPN zur DS zu routen? DNS? Erweitertes Routing und Bridgen war schon damals nicht meine Stärke...

Gruß + Danke

Mike

 

[Matthieu]

Verbinde mal den PC mit dem VPN des vServers. Wenn du dann im Browser die VPN-IP der DS (in deinem obigen Beispiel 10.49.100.2) eingibst, müsstest du die DS erreichen.

MfG Matthieu

 

[mcmille]

das wird garantiert klappen, nur hat man nicht an jedem pc die möglickeit ein vpn zu installieren.
diese erste strecke von "timbuktu" zum 1+1server soll konventionell laufen.

 

[mediamemphis]

das wird garantiert klappen, nur hat man nicht an jedem pc die möglickeit ein vpn zu installieren.
diese erste strecke von "timbuktu" zum 1+1server soll konventionell laufen.

Wenn du soetwas willst, dann solltest du einen router und keine diskstation einsetzen

 

[Matthieu]

In dem Fall musst du Routing und NAT auf dem vServer einrichten. Mit dem Routing leitest du bestimmte Ports auf das VPN durch und mit NAT setzt du dabei die IP-Adressen um. Das dürfte aber ein gutes Stück Arbeit werden.

MfG Matthieu

 

[mcmille]

Vielen dank, Matthieu! Das hat dem alten Mann geholfen! Aber wieso viel arbeit? Hört sich nach´n 6-Zeiler mit iptables an oder?

 

[Matthieu]

Da ich es selbst noch nicht probiert habe, kann ich nicht sagen wie viele Zeilen da schlussendlich bei rausspringen. Auch glaube ich nicht, dass iptables derart komplexes Routing selbst fahren kann. Ich denke da eher an "ip route".

MfG Matthieu

 

[jahlives]

Wenn die Amis am CIX ein Port spiegeln, kannste dir jede 1024bit Verschlüsselung in die Haare schmieren und natürlich ist es dann auch total egal, ob ich direkt über ein DynDNSAnbieter gehe oder wie auch immer.

das musst du mir jetzt aber erklären. Genau dafür ist eine End2End-Verschlüsselung gemacht: damit sie auf dem Transportweg keinesfalls umgangen werden kann. Bei einer https Verbindung kannst du Ports spiegeln wie du lustig bist, du bekommst keinen Klartext der durchgehenden Verbindungen