Support FritzBox 7490, Raspberry Pi, VPN, Zugriff von aussen

[kally1004]

Hallo zusammen,
ich würde gerne Folgendes bewerkstelligen hoffe, dass ihr mir helfen könnt.
Aktuell sieht es so aus:

Ich habe einen RPi mit Nextcloud, einen anderen RPi mit Pi-Hole, Wireguard (OpenVPN) und noch ein paar zusätzliche Spielereien.
Ausserdem habe ich eine Synology DS.

Mein Android Smartphone ist ständig mit dem Heimnetz per Wireguard verbunden um eine verschlüsselte Verbindung zu meinem Heimnetz zu haben.
Nun würde ich aber auch gerne mehr Privatsphäre einbringen und einen VPN Anbieter nutzen (NordVPN etc.).

Nun habe ich folgende Möglichkeiten dafür gefunden:

1. Freetz auf die Fritzbox flashen und den VPN dort eintragen. Hiermit würde sich an der Wireguard Konfiguration mit dem RPi nichts ändern und ich hätte das was ich will, oder?
2. ich verwende den RPi als VPN Client (PiVPN/OpenVPN) von z.B. NordVPN. Dieser wird im Router als DNS eingetragen und ab dann gehen alle Geräte im Heimnetz über den VPN Zugang ins Internet, oder?

zu 2. habe ich noch Fragen:

• Geht dann Pi-Hole noch?
• Wie stelle ich dann eine verschlüsselte Verbindung zu meinem Heimnetz her, wenn nicht mein eigener Wireguard-VPN auf dem RPi läuft?
• Komme ich dann noch verschlüsselt von aussen auf meinen Nextcloud-Pi und meine Synology (ohne Quickconnect)?
• Ich habe gelesen, dass man in manchen Fällen einen VPN Anbieter mit Portforwarding benötigt. Wäre das so ein Fall?

Gibt es mit meiner aktuellen Hardware einen anderen/besseren Weg? Welche Lösung schlagt ihr vor?

Vielen Dank euch im Voraus!
Gruss

 

[elogugu]

Die Frage ist warum willst du von außen auf dein Heimnetzwerk zugreifen ? Kontrollieren ob alles io ist oder mal was abändern ? musst du überhaupt dauerhaft mit Heimnetzwerk kommunizieren ?
Wenn nicht dann einfach raspberry - openvpn als Client - pihole etc und alles ist schick zuhause hast du VPN als Gateway und alles klappt wie gewünscht.
Willst dennoch auf dein Heimnetzwerk zugreifen dann mach es doch über Fritz VPN da NordVPN kein port Weiterleitung hast wird das mit NordVPN nicht funktionieren. Ich habe selbe Konstellation raspberry pi - openvpn - pinhole - Samba - IPC etc will ich ausnahmsweise auf mein Heimnetzwerk mache ich das über Fritz VPN ehrlich gesagt mache ich das kaum wozu den auch .....



Tipps und Tricks - Simple how-to raspberry pi - openvpn - gateway - pihole - iptables NAT

 

[Matlock]

Wenn du eine Fritzbox hast, kannst du gleich mit VPN arbeiten, brauchst kein freetz. Für VPN mit der Fritzbox kannst du bei avm nach lesen.

Hast du VPN, bist du auch im Heimnetz und kannst wie ganz normal von zu Hause arbeiten und dementsprechende WIF aufrufen.

 

[kally1004]

Danke für eure Antworten!
Der Grund wieso ich verschlüsselt auf mein Heimnetz zugreifen möchte ist meine Nextcloud-Pi Installation. Darauf möchte ich zugreifen können, da dort meine Kontakte und Kalendereinträge mit meinem Android synchronisiert werden.
Alle anderen Sachen würden auch ohne diesen Zugriff funktionieren.

Ich habe vorhin mal FritzVPN getestet. Speed ist ja gut, nur hatte ich auf einmal wieder Werbung auf dem Android. Wahrscheinlich macht die Fritzbox dann keinen Umweg mehr über Pi-Hole?
Naja, wie gesagt wenn ich verschlüsselt auf meinen Nextcloud-Pi zugreifen könnte, bräuchte ich den VPN nach Hause eigentlich nicht.
Gibt es da eine Möglichkeit?

Somit könnte ich den RPi dann wirklich als VPN Client für z.B. NordVPN verwenden für die Geräte daheim und unterwegs eben die mobilen Apps und wäre ein wenig anonymer unterwegs oder?

@Matlock was meinst du mit WIF?
@elogugu was meinst du mit IPC?

Edit:
Mir ist ein weiterer Grund für den VPN nach Hause eingefallen:
Ich möchte von meinem Arbeits-PC auf meinen Heim-PC zugreifen und möchte nicht Teamviewer oder ähnliche nutzen, da ich nicht weiss was die mit meinen Daten machen.

Wie kann man das alles am besten unter einen Hut bringen?

 

[elogugu]

Auf welches System willst du zugreifen Windows , Linux , macOS ?
Auf Windows kannst du das mit RDP Server realisieren aber ich glaube erst ab Pro, Enterprise Version mit Home wird das wohl nicht....
was spricht gegen TeamViewer ?? Willst du bitcoin und Millionenbereich bewegen oder einfach nur paar arbeiten und surfen von Arbeitsplatz erledigen ? dein Einsatzbereich ist der Faktor Vertrauen / Security ...
# IPC ist ein Oscam Server.
Willst du einfach daheim auf desktop zugreifen dann verschiebe deine Arbeit die du machen willst einfach auf RASPI und NAS aber portforwarding ist der Schlüssel oder fritzVPN ! Letzteres ist schmerzfrei

 

[Matlock]

Mit IPC, ist ja schon beantwortet, kann man Smartcard einrichten und das kann man im (WIF) Webinterface.
Das ist eine Seite, die man im Browser aufruft.
Wenn du ausserhalb wärest und VPN aktiviert hast, könntest du es im Smartphone aufrufen als wäre man zu Hause am Computer.

 

[kally1004]

Ich möchte von Windows 10 auf Linux Mint zugreifen. Das möchte ich machen, da ich in der Mittagspause Programme und Seiten aufrufen möchte, welche entweder gesperrt sind oder von denen ich nicht möchte, dass mein Arbeitgeber sie kennt.
Ich habe es bereits mit einem Reverse SSH Tunnel über RDP und xorg geschafft eine Verbindung aufzubauen, nur war die Performance echt mies.

Bzgl. TeamViewer: Ich will einfach hin zu open source Alternativen und eben die Datenungewissheit.

Gibt es nun eine Methode das alles zu bewerkstelligen?

 

[elogugu]

Du konntest mit TightVNC versuchen aber die Zwischenstation ist da der VNC Server der soll über Port 80 laufen und du kannst auf dein System connecten über Browser aber von Arbeitgeber Rechner mit Windows kommst wohl nicht so easy weg da eigentlich der Admin ( Unternehmen )das unterbindet. Besser ist besorge dir zweiten raspberry pi und bewerkstellige das über dein Open source - Linux clienten Dann bist du auf der sicheren Seite. Da schleppst du nur eine Zigaretten Schachtel mit.

open source ist nur xrdp ! Win - Linux

 

[kally1004]

stimmt, hatte xrdp verwendet
ich habe zwar Admin Rechte auf dem Firmen-PC, einen RPi würde ich aber ungern ins Firmennetz hängen.

Ich verstehe noch immer nicht, wie ich das alles unter einen Hut bringen kann.
Ich brauche:

• Einen Adblocker zu Hause für alle Geräte (z.B. Pi Hole).
• VPN (wie NordVPN, Cyberghost etc.) für zwei Androids unterwegs und von zu Hause für PCs, die Androids, ein iPad. Evtl. noch für andere Geräte, bin mir aber unsicher ob es auf nem AppleTV Sinn machen würde.
• Eine verschlüsselte Verbindung zu meinem NextCloudPi zu Hause von meinen beiden Androiden (CalDAV/CardDAV Sync).
• Einen Adblocker für beide Androiden unterwegs. Wenn ich z.B. den Mobil Client von NordVPN nutze, wie mache ich das dann mit dem Adblocker? Vor Pi Hole habe ich das über Blokada oder Adguard gemacht. Wenn ich den Mobil Client von NordVPN nutze, kann ich ja nicht einen zweiten VPN für Adguard auf dem Android aufmachen.

Wenn man nun die oberen drei Punkte als Ziel hat, wie wäre die richtige Konfiguration?

Wenn ich nun noch zusätzlich eine verschlüsselte open source Verbindung von meinem Arbeits-PC (Win10) auf meinen Heim-PC (Linux Mint) haben möchte, ist das mit dem oberen Setup vereinbar? Falls alles bis auf diesen Punkt klappen würde, dann würde ich evtl. auf Anydesk oder so umsteigen und diesen Kompromiss eingehen.

SSH, Portforwarding, VPN etc. sind mir alles bekannte Begriffe, also könnt ihr ruhig ans Eingemachte mit den Tipps gehen

Vielen Dank im Voraus!

 

[elogugu]

Ok ich halte mich kurz sonst ist der rahmen gesprengt hier:
mein setup wie schon beschrieben
Raspberry Pi 4 (raspbian aarch) - openvpn client NordVPN - Pihole + IP tables NAT ! läuft alles sauber im Heimnetzwerk ohne Probleme. (SSD Folgt) - how-to habe ich dir schon gepostet.
Mein raspberry ist nicht offen nach draussen!
Mobil NordVPN - Vorteil man kann in der App Vertrauenswürdige Wlans definieren daher kaum zuhause geht NordVPN schlafen und Gateway wird aktiv super Sache.
zu dein Vorhaben:
Wie ich schon geschrieben habe Win > Linux XRDP oder auch Teamviewer oder Anydesk Vorteil Port muss man nicht unbedingt öffnen.
NextcloudPI habe ich nicht von daher kannst du zugreifen wenn du Port 80 und 443 von fritz zu raspberry öffnest wird wohl nicht gehen da NordVPN läuft ohne Portforwarding!
CalDAV und CardDAV wohl auch eher nicht aber wozu deine Einträge werden sync wenn du daheim bist und alles was du Mobil einträgst wird daheim sync.
Mobil auf Pihole > dazu muss dein raspberry offen (Netzwerk Kenntnisse Vorausgesetzt) sein aber du willst keine Werbung etc. nutze dann bei NordVPN cybersec das sind server mit Blocker etc.
ist Adguard VPN? so wie ich verstehe stellen sie dir nur DNS zu verfügung die Vorkonfiguriert sind. entfällt in dem fall weil cybersec !
AppleTV braucht kein Gateway immerhin nutz du Netflix , Disney etc ist kontraproduktiv und funktioniert nicht immer (spaß bremse)

- auf Nextcloud kannst du zugreifen wenn du vorher Mobil einfach dein FritzVPN aktivierst evt musst du die NAT für den Durchlass anpassen (habe noch nicht probiert)

Nutzt du VPN mit PW kannst du das realisieren Perfect Privacy, nVpn usw

Konfiguration ist in den how-to raspberry - openvpn von mir für VPN Gatewey, pihiole usw hast du ja schon installiert
Mobil: Adguard entfällt weil cybersec, Nextcloud > FritzVPN

ich hoffe es reicht dir mein tipp setzte erstmal OVPN auf dein raspi auf mit IP tables - NAT da weiter schauen oder teste Perfect Privacy für einen Monat und schau ob Portforwarding so klappt wie du möchtest.

 

[kally1004]

Wow @elogugu, vielen Dank für die doch sehr ausführliche Antwort!

Werde das so testen! Hab aktuell zwar nur nen RPI3 aber das sollte zum Testen ausreichen. Für den Live Einsatz wäre ein RPi4 wegen dem LAN Durchsatz besser nehme ich an? Der RAM würde mit 2GB sicher ausreichen oder? Ich habe für die 4GB Variante aber auch gerade ein gutes Angebot gefunden.

Was ich nicht ganz verstehe ist die VPN PW Thematik. Was würde diese bringen? Dass ich, obwohl ich mobil per VPN mit z.B. PerfectPrivacy verbunden bin, über Portfreigaben zu Hause rein komme? Das geht mit NordVPN nicht?

Vielen Dank im Voraus!

Edit:
ich frage mich gerade Folgendes:
Was ist der Vorteil NordVPN auf dem RPi laufen zu lassen, wenn ich die beiden PCs, die beiden Androids, das iPad etc. direkt mit NordVPN verbinden kann und unter den 6 Geräten bleibe?

Ich habe folgende weitere Geräte zu Hause, welche mit dem Internet kommunizieren:
Smart TV
PS4
Smart LED Stripe Controller
Google Home Mini
AppleTV
Audio Video Verstärker

Macht es für die Privatsphäre Sinn diese auch über NordVPN über den RPi laufen zu lassen?
Zumindest der Google Home Mini (soll sowieso wegkommen), sollte nicht darüber laufen, oder sehe ich da etwas nicht klar?
Wie kann man diese separat einstellen?

Du meintest auch, dass man in der NordVPN App für Android sichere Netze einstellen kann. Das habe ich für mein Heimnetz gemacht. Trotzdem bleibt er mit dem VPN verbunden.
Ich habe automatisches Verbinden eingeschalten. Muss man da etwas anpassen?

Edit2:
Habe es inzwischen mit NordVPN und meinem RPi3 getestet. Leider zeigt es mir noch immer meine vom ISP vergebene IP an.
Ich habe zwei Vermutungen:

1. Du hast in deiner Anleitung geschrieben:
nutzen wir pihole als DNS Server bitte am Ende das noch hinzufügen
push "dhcp-option DNS 192.168.178.ip_vpm_Pi"

Wo kommt dieser Teil hin? Ich habe es ganz an das Ende der Datei geschrieben. Stimmt das?

2. Du schreibst auch Folgendes:
Jetzt dürft ihr euren Geräten im eigenen Netzwerk nur die IP von

Sie müssen registriert sein, um Links zu sehen.

zuweisen als Gateway und ihr seid im OpenVPN Netzwerk von NordVPN viel spaß!

Wo meinst du das genau?
Wenn ich den Rpi bei den IPv4 Adressen eintrage und im DNS-Rebind-Schutz, bekomme ich meine normale IP angezeigt.
Wenn ich den RPi zusätzlich bei "Internet - Zugangsdaten - DNS Sever - Bevorzugt und Alternativ" eintrage, dann komme ich nicht mehr ins Internet.
Trägt man den RPi als bevorzugt und alternativ ein?

Vielen Dank dir im Voraus! Warst jetzt schon eine riesen Hilfe!

 

[kally1004]

Hab noch bisschen rumgespielt.
Z.B. habe ich wie in einem anderen Thread (Fritzbox 7490: Wie kann man eine VPN in diese Box installieren) udp statt tcp eingegeben.
Jetzt komme ich mit meinem PC nur noch ins Internet wenn ich mich über das Terminal mit NordVPN verbinde. Über den Pi geht nichts mehr. Interessanterweise läuft mein Android noch übers Wlan.
Liegt das evtl. an Pi-Hole?
Wie kann ich das ganze nun erstmal rückgängig machen, damit ich wieder von vorne anfangen kann?
OpenVPN löschen? Iptables zurücksetzen? Wie geht das? :astonished:

 

[elogugu]

Wo läuft jetzt openvpn (NordVPN) ?
Wieso NordVPN connect per Console ? Mach das so wie das how-to und alles ist gut!
An pihole liegt das nicht warum auch es ist nur ein DNS.
Wie sind deine iptables ?
Wer macht DHCP ?
Wie ist die Ausgabe von
sudo iptables -L

Du kommst nicht von raspi ins Internet weil die NAT nicht stimmt meine Vermutung.

1. Du hast in deiner Anleitung geschrieben:
nutzen wir pihole als DNS Server bitte am Ende das noch hinzufügen
push "dhcp-option DNS 192.168.178.ip_vpm_Pi"

Ja kommt am Ende der Datei also vor Zertifikat unter den letzten Zeile !

2. Du schreibst auch Folgendes:
Jetzt dürft ihr euren Geräten im eigenen Netzwerk nur die IP von

Sie müssen registriert sein, um Links zu sehen.

zuweisen als Gateway und ihr seid im OpenVPN Netzwerk von NordVPN viel spaß!

Wenn du mit allem fertig bist dann in deine Geräte unter Gateway die IP von raspberry eintragen damit du auch per VPN ins netzt gehst die Geräte die es nicht sollen dann die IP von fritzbox belassen sollte klar sein .

Wo meinst du das genau?
Wenn ich den Rpi bei den IPv4 Adressen eintrage und im DNS-Rebind-Schutz, bekomme ich meine normale IP angezeigt.

Da nur die IP von pihole (raspi ) damit intern alles über pihole läuft

Wenn ich den RPi zusätzlich bei "Internet - Zugangsdaten - DNS Sever - Bevorzugt und Alternativ" eintrage, dann komme ich nicht mehr ins Internet.
Trägt man den RPi als bevorzugt und alternativ ein?

Hier dann alternativ DNS also z.b 1.1.1.1 1.0.0.1
du kannst natürlich auch die raspi IP eintragen dann lässt du den Schritt davor aus !

Bei pihole nur custom #1. IP von fritzbox.

 

[kally1004]

Vielen Dank für deine Antwort!

Wo läuft jetzt openvpn (NordVPN) ?

Ja, NordVPN.

Wieso NordVPN connect per Console ? Mach das so wie das how-to und alles ist gut!

Ich meine auf meinem Linux-PC komme ich nur noch ins Internet wenn ich mit NordVPN verbunden bin.

Wer macht DHCP ?

Pi

Wie ist die Ausgabe von
sudo iptables -L

Du musst Regestriert sein, um das angehängte Bild zusehen.

Ja kommt am Ende der Datei also vor Zertifikat unter den letzten Zeile !

also vor:
<ca>
-----BEGIN CERTIFICATE-----
?

Wenn du mit allem fertig bist dann in deine Geräte unter Gateway die IP von raspberry eintragen damit du auch per VPN ins netzt gehst die Geräte die es nicht sollen dann die IP von fritzbox belassen sollte klar sein .

Wie mache ich das auf Android 9?
Wie mache ich das auf Linux Mint?
Der will dann noch meherer Angaben haben.

Du musst Regestriert sein, um das angehängte Bild zusehen.

Da nur die IP von pihole (raspi ) damit intern alles über pihole läuft

Also nichts bei DNS-Rebind-Schutz?

Hier dann alternativ DNS also z.b 1.1.1.1 1.0.0.1
du kannst natürlich auch die raspi IP eintragen dann lässt du den Schritt davor aus !

Werde ich testen. Denke aber das davor noch einiges eingestellt werden muss

 

[kally1004]

Noch eine Frage:
Wenn ich mir einen Pi 4B 4GB besorge und diesen als NordVPN Gateway für definierte Clients verwende, dann bekomme ich auf diesen Clients eine theoretische max. Geschwindigkeit von 125MB/s? Beim Pi 3 wären es 37,5MB/s? Da ich vom ISP "nur" 150Mbit/s also 18,75MB/s habe, ist dann ein Pi 4B überhaupt notwendig?

Und welchen Vorteil bringt mir der Pi Gateway wenn ich folgende Geräte habe:
2x Android
2x PC
iPad
Smart TV
PS4
Smart LED Stripe Controller
Google Home Mini
AppleTV
Audio Video Verstärker

Die beiden Androids, PCs und das iPad kann ich ja ständig mit dem VPN verbunden lassen, auch im WLAN zu Hause. Gibt es hier einen Nachteil?
Macht der VPN bei den anderen Geräten Sinn?