ich spiele mit dem Gedanken, mittels VPN von unterwegs über den heimischen Router zu surfen. Dadurch verspreche ich mir ein ruhigeres Gewissen beim Nutzen fremder WLANs und nebenbei könnte noch die gerätespezifische Konfiguration von DNS-Servern mit Filterlisten entfallen.
Der Anleitung von AVM entnehmen ich, dass man dafür entweder eine IPv6-Adresse oder eine öffentliche IPv4-Adresse benötigt. Wie prüfe ich, ob mein Internetzugang das anbietet? Der Anbieter schreibt dazu:
[Bei] den Internet Produkten für Privatkunden [gibt es] eine interne IPv4 Adresse sowie ein öffentliches /64 IPv6 Netz. Die Internetverbindung läuft über IPoE. (Klassisch IP Protokoll über Ethernet, IP Adressverwaltung über DHCP)
Gehe ich recht in der Annahme, dass damit die benötigte IPv6-Adresse zur Verfügung steht?
Und benötigt man wirklich zwingend ein MyFRITZ!-Konto? Falls ja, gibt es diesbezüglich irgendwelche Bedenken?
Zu IPv6 kann ich nicht viel sagen, da ich selber nur einen reinen IPv4-Anschluss habe. Es könnte aber problematisch werden, wenn man einen DS-Lite Anschluss hat. Ob es dafür eine technische Lösung gibt, weiß ich nicht, weil ich mich damit bisher nicht befassen musste.
Nein, nicht unbedingt. Es gibt verschiedene Möglichkeiten. Einige sind für Laien eher einfach/schnell umzusetzen und für andere muss man sich mit dem Thema etwas ausführlicher beschäftigen - ist dann aber nicht von irgendwelchen DynDNS-Anbietern abhängig. Die FRITZ!Box wird demnächst WireGuard unterstützen, aktuell nur IPSec IKEv1 wenn ich mich recht erinnere. Die meisten (modernen) Endgeräte unterstützen jedoch nur IKEv2.
Möglich wäre so was in etwa:
VPN-Server in deinem Netzwerk (z.B. OpenVPN oder Wireguard) aufsetzen.
eine Domain (z.B. culpeo.de) dessen DNS-Einstellungen man über eine API ändern kann + Webspace (z.B. hetzner, netcup, strato, …) besorgen.
Auf dem Webspace ein Skript (z.B. ownDynDNS) hinterlegen, dass bei Änderung der IP die DNS-Einträge beim Domainhoster ändert.
Einstellungen in der FRITZ!Box anpassen, damit dieses Skript auf dem Webspace aufgerufen wird.
Sollte sich die IP-Adresse deiner FRITZ!Box ändern, würde die FRITZ!Box selbst das Skript aufrufen, welches dann die DNS-Einträge ändert. Nach Ablauf der TTL (ggf. anpassen und auf z.B. 5 Minuten setzen), ist dann dein VPN-Server wieder unter der Domain culpeo.de erreichbar.
Es ginge auch der Weg von innen heraus, also dann ein Endgerät innerhalb deines Netzwerkes regelmäßig die aktuelle externe IP prüft und dann die DNS-Einträge ändert, aber dieser regelmäßige Task/Traffic hat mich persönlich etwas gestört. Der oben skizzierte Weg ist etwas zuverlässiger, weil die FRITZ!Box als erstes Gerät weiß, dass die Internetverbindung getrennt wurde und auch nur dann das Skript aufruft.
Bezüglich Datenschutz sind die einzigen Informationen, die ich auf die schnelle zu MyFRITZ finden konnte die kurzen Nutzungsbedingungen und dieser Absatz in der Anleitung:
Ihre persönlichen Daten bleiben dabei immer und ausschließlich auf Ihrer FRITZ!Box gespeichert und werden weder an den MyFRITZ!-Dienst von AVM noch an andere Dienste oder Anbieter übertragen.
In Sachen „Sicherheit“ sollte man defintiv die Option „Zugang auch aus dem Internet erlaubt“ und ggf. weitere deaktivieren, denn sonst wäre die Benutzeroberfläche der FRITZ!Box aus dem Internet erreichbar.
Ich hatte auch die VPN Funktion von AVM über Myfritz genutzt, allerdings war die Geschwindigkeit viel zu langsam.
Ab Version 7.50 bietet AVM die Möglichkeit mit der Fritzbox Wireguard zu nutzen. Was mit Sicherheit gut funktionieren wird (ob meine alte 7490 das Update noch bekommt weiß ich nicht, daher konnte ich es auch nicht testen).
Damit aber dein z.b. Smartphone weiß wohin es sich verbinden soll, muss die IP Adresse von deinem Router bekannt sein. Diese kann sich theoretisch alle 24 Stunden ändern. Daher brauchst du das MyFritz Konto oder nutzt einen kostenlosen DynDNS Dienst, z.B. ipv64.net. Dahin wird dann automatisch deine IP Adresse übermittelt, IPv4 oder IPv6 oder auch beides und du kannst über eine Domain z.b. vpn123.ipv64.net dich mit dem VPN Dienst verbinden.
Bei mir läuft Wireguard auf einem Raspberry Pi. Läuft super und die Geschwindigkeit ist sehr gut.
Die Formulierung des Internetanbieters deutet auf DSL lite. Laut Text keine öffentliche IPv4, weder statisch noch dynamisch. Über die Zuweisung einer IPv6 sagt der Text nichts. Habe mir sagen lassen, dass auch die teilweise geteilt werden.
Bei DS lite ist kein VPN einfach umzusetzen. Laut meinen Recherchen geht dies nur über Portmapper. Da dann aber über diese Dienste meine Daten laufen habe ich die Realisation eines VPN aufgegeben.
Danke @nobody für diesen Link. Kannte ich noch nicht.
Das Skript scheint mir nur für Szenarien sinnvoll zu sein, in denen auch IPv6 verwendet wird (entweder exklusiv oder zusammen mit IPv4). Bringt es auch zusätzliche Vorteile ggü. den FRITZ!Box Anmeldedaten für den DynDNS-Anbieter in einem „nur IPv4“ Szenario?
Ich müsste später mal schauen was bei mir genau läuft. Möglich, dass das was eigenes ist. Das verlinkte Skript könnte man etwas abändern und z.B. sowas entfernen.
AVM hat mittlerweile eine Laborversion für die 7490 in der Pipeline, die sowohl Wireguard als auch ein verbessertes IPSEC anbietet Dabei "verbessert FritzOS 7.51 den IPsec-Durchsatz der 7490 um rund 70 Prozent.
Kannte ich noch nicht.