Heim VPN-Server

alex5612

Vereinsmitglied
Radiomann

Registered: Oct 2000
Location: VR Brigittenau
Posts: 4854

15.03.2025 - 15:29

Hi,

das alex5612 spielt mit Netzwerk Drama geht weiter...
In der letzten Folge habe ich zusammen mit dem Forum mein Heim-Wlan soweit optimiert, dass man das Ergebnis als 'gut genug' abstempeln kann.
Ich bin zwar mit der Wlan-Abdeckung noch nicht ganz zufrieden, aber in Wahrheit ist zur Zeit der Leidensdruck nicht hoch genug um die Kreditkarte zu zücken.
Verwendet werden: ein TP-Link Archer C6 v2.0 und ein TP-Link Archer C20 v4 als zusätzlicher Accesspoint.

Nun bin ich auf die Idee gekommen, dass man am Router einen VPN-Server betreiben könnte. Das passt gar nicht so schlecht zur symmetrischen Leitung und statischer externer IP.
Damit könnte man ja direkt ein zukünftiges HeimNAS über "das Internet" erreichbar machen.

Eh alles super easy, man muss quasi nichts können oder verstehen um einen VPN Server zu betreiben.
Einige Stunden Gefrickel später funktioniert die Geschichte soweit ich es beurteilen kann. Ich kann via Laptop (per Handyhotspot) einen VPN Tunnel ins LAN aufbauen.
Ich schaffte es sogar per VPN eine Windows-Druckertestseite auszudrucken! - Ganz neue Trollmöglichkeiten tauchen da plötzlich auf.

Leider schaffe ich es nicht via VPN am zweiten Acccesspoint auf 10.0.0.102 zuzugreifen. Es kommt leider nur ein "403 - Forbidden" Fehler als Antwort - Ich gehe mal davon aus, dass der Accesspoint nichts mit dem 10.8.0.0 VPN-Subnet zu tun haben möchte und der Fehler nicht am VPN selbst liegt.

Preisfrage: Wie viel kann man vom integrierten VPN-Server erwarten, wenn man mit dem Gedanken spielt sich ein NAS zuzulegen?
Verschlüsselung ist AES-128-CBC. Von meinem Bauchgefühl her müsste das 'sicher genug' sein.
Oh und gibt es einen bequemen Trick um dem openVPN client beizubringen, dass kein Tunnel notwendig ist, wenn man bereits mit dem Laptop im passenden Lan ist?

TOM

Vereinsmitglied
Oldschool OC.at'ler

Registered: Nov 2000
Location: Vienna
Posts: 7454

15.03.2025 - 16:07

Der TP-Link Archer C6 hat meiner Recherche nach eine "single-core CPU running at 775 MHz. This processor is paired with 128 MB of RAM" - würd darauf keinen VPN Server betreiben

ich würde einen großen bogen um die VPN tunnel machen und tailscale verwenden... point to point, UDP/Wireguard - also viel bessere Performance & security und du erspart dir zusätzlich jegliches port forwarding/firewall freischalten (UDP hole punching)

irgendeinem device im netzwerk in dein tailnet und das als jump-server verwenden (oder direkt am NAS tailscale laufen lassen)

it's the future, VPN is the past

and it's free* (https://tailscale.com/)

Bearbeitet von TOM am 15.03.2025, 16:10

Extrafeinripp

Bloody Newbie

Registered: Sep 2022
Location: n
Posts: 35

16.03.2025 - 14:13

Liegt der zweite Accesspoint im selben Subnet wie alles andere auch? Wenn ja, dann sollte es eigentlich funktionieren. Wenn nein, dann hat der Router eine Firewallregel, die offenbar nur auf das eine Basissubnet den traffic freigibt und nicht auch auf andere.

Hast du den Accesspoint vielleicht falsch konfiguriert? Das ist im Grunde ein Router. Meine Vermutung ist, dass du den zweiten Router also als Router konfiguriert hast. Dieser NAT-et dann sich in ein eigenes Subnet, was er gar nicht sollte.

Das wäre die naheliegendste Lösung.

Bei der Performance muss man zustimmen. Als Alterntive kann man sich den FLINT2 anschauen. Der ist sehr intuitiv aufgebaut und hat eine potente Hardware. Außerdem kann man im Hintergrund aufs OpenWRT zugreifen und so ziemlich alles einstellen was man will. Wenn man es denn kann.

In dieser Preisspanne ist allerdings wahrscheinlich eines der neuen Ubiquiti Geräten die bessere Wahl für Einsteiger und solche, die motiviert sind etwas mehr rauszuholen ohne viel sich mit Netzwerken beschäftigen zu müssen.

alex5612

Vereinsmitglied
Radiomann

Registered: Oct 2000
Location: VR Brigittenau
Posts: 4854

16.03.2025 - 21:48

@Tom: Tailscale wirkt motiviert, aber puh - der vorhandene Router unterstützt es jedenfalls mal nicht.
Dass der Router nicht die Riesenleistung bietet, ist mir bewusst. Wird wahrscheinlich noch geändert.

Aktuelle Preisfrage für mich ist: Wie finde ich raus ob die vorhandene OpenVPN Implementierung noch sicher ist? Firmware ist von 2022... - Neuere gibt es ned.

NAS ist eh noch eine separate Baustelle. Da geht in Wahrheit eh "um nix" - Datengrab um bissi Zeug zu sichern, Handybackup und idealerweise zwei Rechner synchronisieren. - Ich muss mir da noch klar werden was genau ich eigentlich brauche, weil ein NAS mit 1x 3,5" Hdd tät eigentlich eh nur Taschengeldbeträge kosten und selbst welche mit 2x 3,5" zwecks Raid1 gibt es für wenig Geld. Das Hauptziel ist eigentlich nicht von Onedrive abhängig zu sein...

@Extrafeinrip: Ja, ist im selben Subnet. Ist auch als Accesspoint konfiguriert. Ping funktioniert. Browser liefert halt nen '403' Fehler wenn man auf die Konfigurationsseite zugreifen möchte. Siehe Billigplastikrouter: Eh alles toll, wenn der Usecase anstecken und vergessen ist.
Flint2 ist cool, aber ob es das für eine 50Mbit Leitung tatsächlich braucht..

Extrafeinripp

Bloody Newbie

Registered: Sep 2022
Location: n
Posts: 35

17.03.2025 - 01:27

Zitat aus einem Post von alex5612
Ist auch als Accesspoint konfiguriert. Ping funktioniert. Browser liefert halt nen '403' Fehler wenn man auf die Konfigurationsseite zugreifen möchte. Siehe Billigplastikrouter: Eh alles toll, wenn der Usecase anstecken und vergessen ist.

langsam. Ping vom VPN subnet aus funktioniert, oder vom nativen Zuhause Subnet?

Ich habe bis vor wenigen Monaten selbst einen TP Link Archer C6 jedoch mit OpenWRT betrieben. Ich habe OpenWRT hassen gelernt, aber es hat funktioniert. Und weil es historisch gewachsen ist, habe ich auch einen noch älteren Router mit noch heißgeliebter Tomato firmware als zweiten Accesspoint betrieben.

Technisch funktionieren muss es also denn ich hatte das gleiche Setup. Es ist die Frage die bleibt ob die TP Link firmware hier eine firewall Einschränkung hat, oder ob es nicht doch ein Konfigurationsfehler ist.

Hast du am Accesspoint sicher kein NAT aktiviert? Der Accesspoint sollte seine eigene Adresse via DHCP oder von mir aus statisch zugewiesen bekommen, aber auf keinen Fall einen eigenen DHCP Server haben.

Es stimmt schon, mit 50 MBit reicht eine übertaktete Kartoffel als router. Bei VPN kanns tatsächlich knapp werden, aber IPSec/openvpn sollte trotzdem mit 50 MBit gehen.

Ich habe meinen tomato based router seit 2010, davor einen WRT54. Dazwischen 5 Jahre einen EdgeRouter X und 7 Jahre den TP Archer C6. den tomato router für b/g WiFi wiederverwendet. Alles Geräte die nie mehr als 70€ gekostet haben und extrem lange gehalten haben. Jetzt hat es mir gereicht und ich habe mir was neues gegönnt, was ein wenig teurer ist. Und ich habe den Sprung von OpenWRT zu einem kundenfreundlichen Managementsystem (Unifi) echt nicht bereut.

alex5612

Vereinsmitglied
Radiomann

Registered: Oct 2000
Location: VR Brigittenau
Posts: 4854

17.03.2025 - 21:16

Zitat aus einem Post von Extrafeinripp
langsam. Ping vom VPN subnet aus funktioniert, oder vom nativen Zuhause Subnet?

Von Beiden funktioniert Ping. Interface ist aber nur vom nativen Zuhause Subnet nutzbar. Vom VPN Subnet aus zeigt es den '403 - Forbidden'
Fehler an.

Zitat aus einem Post von Extrafeinripp
Ich habe bis vor wenigen Monaten selbst einen TP Link Archer C6 jedoch mit OpenWRT betrieben. Ich habe OpenWRT hassen gelernt, aber es hat funktioniert. Und weil es historisch gewachsen ist, habe ich auch einen noch älteren Router mit noch heißgeliebter Tomato firmware als zweiten Accesspoint betrieben.

Hat das mit OpenWRT funktioniert? Auf der OpenWRT Webseite steht doch genau nix erbauliches dazu? Ich lese dort gerade beim C6 eher "freu dich, wenns überhaupt funktioniert".
Unifi wird hier öfter gelobt, aber bisher hat einfach der Leidensdruck gefehlt die Kreditkarte auszupacken...

PS.: Und nein, am zweiten AP läuft kein NAT. Der ist per LANport angeschlossen und als Accesspoint konfiguriert.

Extrafeinripp

Bloody Newbie

Registered: Sep 2022
Location: n
Posts: 35

17.03.2025 - 23:57

Zitat aus einem Post von alex5612
Interface ist aber nur vom nativen Zuhause Subnet nutzbar. Vom VPN Subnet aus zeigt es den '403 - Forbidden'

Da gehts aber immer nur um den zweiten Router der als AP konfiguriert ist, nicht wahr?
Dann fehlen mir leider die Ideen. Die Frage ist wie relevant das ist für die Praxis. Ich nehme an das war der Test für ein NAS. Hast du sonst keinen anderen Client zum Testen außer den AP?

Zitat
Hat das mit OpenWRT funktioniert? Auf der OpenWRT Webseite steht doch genau nix erbauliches dazu? Ich lese dort gerade beim C6 eher "freu dich, wenns überhaupt funktioniert".

OpenWRT hat funktioniert:
https://openwrt.org/toh/hwdata/tp-l...archer_c6_v2_eu
Ich habe mich damals für OpenWRT entschieden, weil ich eigentlich auf ein Gerät reduzieren wollte. Ursprünglich wollte ich den Archer nur als AP für schnelleres WLAN. Aber dann war es mir zu blöd und die Stockfirmware war zu starr. Dann habe ich im Endausbau also den Archer als Router gehabt und einen alten Tomato Router als zusätzlichen AP für legacy IoT devices.

Das hat mühelos geklappt, selbst mit VLAN Konfiguration.

Aber OpenWRT ist schon eine Frickelarbeit. Empfehlen würde ich es nicht, ich sag nur, die hardware als Basis braucht sich im Archer gar nicht verstecken. Die kann mit der richtigen Software so ziemlich alles was man braucht.

TOM

Vereinsmitglied
Oldschool OC.at'ler

Registered: Nov 2000
Location: Vienna
Posts: 7454

18.03.2025 - 07:52

Zitat aus einem Post von alex5612
der vorhandene Router unterstützt es jedenfalls mal nicht.

braucht der router nicht unterstützen

tailscale ist point-to-point, also jedes device mit dem agent drauf ist von aussen via wireguard tunnel erreichbar. alles keybased, statt potenziell schwachen passwörtern

Und wenn man will, kann man mit einem device auch das ganze subnet raus routen und/oder es als exit node verwenden und über die IP raus surfen

z.B. synology hat ein tailscale paket und falls Du einen raspberry rumkugeln hast, wäre das ein sparsamer jump-server um das ganze netz erreichbar zu machen, statt dem VPN frickeln

war meine letzte einschaltung dazu, ich kann's aus eigener erfahrung schwer empfehlen

b_d

Registered: Jul 2002
Location: 0x3FC
Posts: 10617

18.03.2025 - 19:19

Zitat aus einem Post von TOM
and it's free* (https://tailscale.com/)

if it's free you are the product gilt hier nicht mehr? das und die tatsache das auth ausschließlich über 3rd party provider geht haben mich bis jetzt von tailscale abgehalten :/ ich weiß, extrem (!!) aluhut und so, aber den einen wireguard port verkraftet ein router, wenn er exposed ist.

e, nachsatz: mit "use * for free, indefinitely!!!1111" bin ich in meinem IT leben schon mehr als einmal eingefahren, leider

mags wirklich nicht schlecht reden, tailscale ist geil, aber ich genieße sowas nur noch mit vorsicht…

e2: +1 für einen einfach (eigenen) wireguard server, einfacher gehts nicht.

Bearbeitet von b_d am 18.03.2025, 19:24

alex5612

Vereinsmitglied
Radiomann

Registered: Oct 2000
Location: VR Brigittenau
Posts: 4854

18.03.2025 - 19:35

Zitat aus einem Post von Extrafeinripp
Da gehts aber immer nur um den zweiten Router der als AP konfiguriert ist, nicht wahr?
Dann fehlen mir leider die Ideen. Die Frage ist wie relevant das ist für die Praxis. Ich nehme an das war der Test für ein NAS. Hast du sonst keinen anderen Client zum Testen außer den AP?

Genau das. Praktisch ists eh blunzn.

Zitat aus einem Post von Extrafeinripp
OpenWRT hat funktioniert:
https://openwrt.org/toh/hwdata/tp-l...archer_c6_v2_eu
Ich habe mich damals für OpenWRT entschieden, weil ich eigentlich auf ein Gerät reduzieren wollte. Ursprünglich wollte ich den Archer nur als AP für schnelleres WLAN. Aber dann war es mir zu blöd und die Stockfirmware war zu starr. Dann habe ich im Endausbau also den Archer als Router gehabt und einen alten Tomato Router als zusätzlichen AP für legacy IoT devices.

Mich hat der Kommentar hier bisher abgeschreckt irgendwas damit zu machen.

Zitat
WLAN Comments: 5GHz WLAN has greatly reduced speed, range and stability as of openwrt 19.07.

Was ich aber irgendwie erfolgreich verdrängt habe, ist, dass jetzt eigentlich 24.10 aktuell ist... :rolleyes:

Vielleicht hole ich mir irgendwo einen gebrauchten als OpenWRT Frickelbasis, dann tuts auch nicht weiter weh, wenn ich das Ding kaputt bastle. Mit aktueller Software sinkt obendrein auch die Chance, dass die VPN Implementierung irgendwie ernsthaft undicht ist.

/edit
Andererseits ist die 24.10 scheinbar auch 'fun and games'

Zitat
5GHz WiFi is non-functional on certain devices with ath10k chipsets. Affected models include the TP-Link Archer C60 v1, TP-Link Archer C6 v2, and possibly others. For details, see issue #14541.

https://github.com/openwrt/openwrt/issues/14541

Bearbeitet von alex5612 am 18.03.2025, 19:42

alex5612

Vereinsmitglied
Radiomann

Registered: Oct 2000
Location: VR Brigittenau
Posts: 4854

18.03.2025 - 19:38

Zitat aus einem Post von TOM
z.B. synology hat ein tailscale paket und falls Du einen raspberry rumkugeln hast, wäre das ein sparsamer jump-server um das ganze netz erreichbar zu machen, statt dem VPN frickeln

war meine letzte einschaltung dazu, ich kann's aus eigener erfahrung schwer empfehlen

Habe irgendwie keinen Raspberry zur Hand, aber man könnte ja mal...
Andererseits kann ein VPN Server oder das Tailscale Wunderding im Zweifelsfall eben auch auf einem Raspberry oder gar am NAS selbst laufen.

Viper780

Elder
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 50616

18.03.2025 - 20:10

Tailscale ist auch nur wireguard aber stülpt eine Verwaltungsschicht drüber.
Durch diese kann Tailscale deinen gesamten traffic überwachen.

Mit Headscale kann man so ein Netzwerk selbst hosten

Ich hab noch ein paar Thinclients hier. Preis und Stromverbrauch ähnlich eines RasPi, Performance deutlich flotter. Aber nur dafür laufen lassen ist Overkill

Extrafeinripp

Bloody Newbie

Registered: Sep 2022
Location: n
Posts: 35

18.03.2025 - 21:27

Zitat aus einem Post von alex5612
Mich hat der Kommentar hier bisher abgeschreckt irgendwas damit zu machen.

reduced speed and range kann ich zu 100% bestätigen. Für mich hatte es aber gereicht.
Würde openwrt ohne Stützräder nicht empfehlen. Deshalb habe ich den FLINT2 vorgeschlagen. openwrt mit Stützrädern und das auf Hardware die dafür geeignet ist.

alex5612 Vereinsmitglied Radiomann Registered: Oct 2000 Location: VR Brigittenau Posts: 4854	15.03.2025 - 15:29 Hi, das alex5612 spielt mit Netzwerk Drama geht weiter... In der letzten Folge habe ich zusammen mit dem Forum mein Heim-Wlan soweit optimiert, dass man das Ergebnis als 'gut genug' abstempeln kann. Ich bin zwar mit der Wlan-Abdeckung noch nicht ganz zufrieden, aber in Wahrheit ist zur Zeit der Leidensdruck nicht hoch genug um die Kreditkarte zu zücken. Verwendet werden: ein TP-Link Archer C6 v2.0 und ein TP-Link Archer C20 v4 als zusätzlicher Accesspoint. Nun bin ich auf die Idee gekommen, dass man am Router einen VPN-Server betreiben könnte. Das passt gar nicht so schlecht zur symmetrischen Leitung und statischer externer IP. Damit könnte man ja direkt ein zukünftiges HeimNAS über "das Internet" erreichbar machen. Eh alles super easy, man muss quasi nichts können oder verstehen um einen VPN Server zu betreiben. Einige Stunden Gefrickel später funktioniert die Geschichte soweit ich es beurteilen kann. Ich kann via Laptop (per Handyhotspot) einen VPN Tunnel ins LAN aufbauen. Ich schaffte es sogar per VPN eine Windows-Druckertestseite auszudrucken! - Ganz neue Trollmöglichkeiten tauchen da plötzlich auf. Leider schaffe ich es nicht via VPN am zweiten Acccesspoint auf 10.0.0.102 zuzugreifen. Es kommt leider nur ein "403 - Forbidden" Fehler als Antwort - Ich gehe mal davon aus, dass der Accesspoint nichts mit dem 10.8.0.0 VPN-Subnet zu tun haben möchte und der Fehler nicht am VPN selbst liegt. Preisfrage: Wie viel kann man vom integrierten VPN-Server erwarten, wenn man mit dem Gedanken spielt sich ein NAS zuzulegen? Verschlüsselung ist AES-128-CBC. Von meinem Bauchgefühl her müsste das 'sicher genug' sein. Oh und gibt es einen bequemen Trick um dem openVPN client beizubringen, dass kein Tunnel notwendig ist, wenn man bereits mit dem Laptop im passenden Lan ist?
TOM Vereinsmitglied Oldschool OC.at'ler Registered: Nov 2000 Location: Vienna Posts: 7454	15.03.2025 - 16:07 Der TP-Link Archer C6 hat meiner Recherche nach eine "single-core CPU running at 775 MHz. This processor is paired with 128 MB of RAM" - würd darauf keinen VPN Server betreiben ich würde einen großen bogen um die VPN tunnel machen und tailscale verwenden... point to point, UDP/Wireguard - also viel bessere Performance & security und du erspart dir zusätzlich jegliches port forwarding/firewall freischalten (UDP hole punching) irgendeinem device im netzwerk in dein tailnet und das als jump-server verwenden (oder direkt am NAS tailscale laufen lassen) it's the future, VPN is the past and it's free* (https://tailscale.com/) Bearbeitet von TOM am 15.03.2025, 16:10
Extrafeinripp Bloody Newbie Registered: Sep 2022 Location: n Posts: 35	16.03.2025 - 14:13 Liegt der zweite Accesspoint im selben Subnet wie alles andere auch? Wenn ja, dann sollte es eigentlich funktionieren. Wenn nein, dann hat der Router eine Firewallregel, die offenbar nur auf das eine Basissubnet den traffic freigibt und nicht auch auf andere. Hast du den Accesspoint vielleicht falsch konfiguriert? Das ist im Grunde ein Router. Meine Vermutung ist, dass du den zweiten Router also als Router konfiguriert hast. Dieser NAT-et dann sich in ein eigenes Subnet, was er gar nicht sollte. Das wäre die naheliegendste Lösung. Bei der Performance muss man zustimmen. Als Alterntive kann man sich den FLINT2 anschauen. Der ist sehr intuitiv aufgebaut und hat eine potente Hardware. Außerdem kann man im Hintergrund aufs OpenWRT zugreifen und so ziemlich alles einstellen was man will. Wenn man es denn kann. In dieser Preisspanne ist allerdings wahrscheinlich eines der neuen Ubiquiti Geräten die bessere Wahl für Einsteiger und solche, die motiviert sind etwas mehr rauszuholen ohne viel sich mit Netzwerken beschäftigen zu müssen.
alex5612 Vereinsmitglied Radiomann Registered: Oct 2000 Location: VR Brigittenau Posts: 4854	16.03.2025 - 21:48 @Tom: Tailscale wirkt motiviert, aber puh - der vorhandene Router unterstützt es jedenfalls mal nicht. Dass der Router nicht die Riesenleistung bietet, ist mir bewusst. Wird wahrscheinlich noch geändert. Aktuelle Preisfrage für mich ist: Wie finde ich raus ob die vorhandene OpenVPN Implementierung noch sicher ist? Firmware ist von 2022... - Neuere gibt es ned. NAS ist eh noch eine separate Baustelle. Da geht in Wahrheit eh "um nix" - Datengrab um bissi Zeug zu sichern, Handybackup und idealerweise zwei Rechner synchronisieren. - Ich muss mir da noch klar werden was genau ich eigentlich brauche, weil ein NAS mit 1x 3,5" Hdd tät eigentlich eh nur Taschengeldbeträge kosten und selbst welche mit 2x 3,5" zwecks Raid1 gibt es für wenig Geld. Das Hauptziel ist eigentlich nicht von Onedrive abhängig zu sein... @Extrafeinrip: Ja, ist im selben Subnet. Ist auch als Accesspoint konfiguriert. Ping funktioniert. Browser liefert halt nen '403' Fehler wenn man auf die Konfigurationsseite zugreifen möchte. Siehe Billigplastikrouter: Eh alles toll, wenn der Usecase anstecken und vergessen ist. Flint2 ist cool, aber ob es das für eine 50Mbit Leitung tatsächlich braucht..
Extrafeinripp Bloody Newbie Registered: Sep 2022 Location: n Posts: 35	17.03.2025 - 01:27 Zitat aus einem Post von alex5612 Ist auch als Accesspoint konfiguriert. Ping funktioniert. Browser liefert halt nen '403' Fehler wenn man auf die Konfigurationsseite zugreifen möchte. Siehe Billigplastikrouter: Eh alles toll, wenn der Usecase anstecken und vergessen ist. langsam. Ping vom VPN subnet aus funktioniert, oder vom nativen Zuhause Subnet? Ich habe bis vor wenigen Monaten selbst einen TP Link Archer C6 jedoch mit OpenWRT betrieben. Ich habe OpenWRT hassen gelernt, aber es hat funktioniert. Und weil es historisch gewachsen ist, habe ich auch einen noch älteren Router mit noch heißgeliebter Tomato firmware als zweiten Accesspoint betrieben. Technisch funktionieren muss es also denn ich hatte das gleiche Setup. Es ist die Frage die bleibt ob die TP Link firmware hier eine firewall Einschränkung hat, oder ob es nicht doch ein Konfigurationsfehler ist. Hast du am Accesspoint sicher kein NAT aktiviert? Der Accesspoint sollte seine eigene Adresse via DHCP oder von mir aus statisch zugewiesen bekommen, aber auf keinen Fall einen eigenen DHCP Server haben. Es stimmt schon, mit 50 MBit reicht eine übertaktete Kartoffel als router. Bei VPN kanns tatsächlich knapp werden, aber IPSec/openvpn sollte trotzdem mit 50 MBit gehen. Ich habe meinen tomato based router seit 2010, davor einen WRT54. Dazwischen 5 Jahre einen EdgeRouter X und 7 Jahre den TP Archer C6. den tomato router für b/g WiFi wiederverwendet. Alles Geräte die nie mehr als 70€ gekostet haben und extrem lange gehalten haben. Jetzt hat es mir gereicht und ich habe mir was neues gegönnt, was ein wenig teurer ist. Und ich habe den Sprung von OpenWRT zu einem kundenfreundlichen Managementsystem (Unifi) echt nicht bereut.
alex5612 Vereinsmitglied Radiomann Registered: Oct 2000 Location: VR Brigittenau Posts: 4854	17.03.2025 - 21:16 Zitat aus einem Post von Extrafeinripp langsam. Ping vom VPN subnet aus funktioniert, oder vom nativen Zuhause Subnet? Von Beiden funktioniert Ping. Interface ist aber nur vom nativen Zuhause Subnet nutzbar. Vom VPN Subnet aus zeigt es den '403 - Forbidden' Fehler an. Zitat aus einem Post von Extrafeinripp Ich habe bis vor wenigen Monaten selbst einen TP Link Archer C6 jedoch mit OpenWRT betrieben. Ich habe OpenWRT hassen gelernt, aber es hat funktioniert. Und weil es historisch gewachsen ist, habe ich auch einen noch älteren Router mit noch heißgeliebter Tomato firmware als zweiten Accesspoint betrieben. Hat das mit OpenWRT funktioniert? Auf der OpenWRT Webseite steht doch genau nix erbauliches dazu? Ich lese dort gerade beim C6 eher "freu dich, wenns überhaupt funktioniert". Unifi wird hier öfter gelobt, aber bisher hat einfach der Leidensdruck gefehlt die Kreditkarte auszupacken... PS.: Und nein, am zweiten AP läuft kein NAT. Der ist per LANport angeschlossen und als Accesspoint konfiguriert.
Extrafeinripp Bloody Newbie Registered: Sep 2022 Location: n Posts: 35	17.03.2025 - 23:57 Zitat aus einem Post von alex5612 Interface ist aber nur vom nativen Zuhause Subnet nutzbar. Vom VPN Subnet aus zeigt es den '403 - Forbidden' Da gehts aber immer nur um den zweiten Router der als AP konfiguriert ist, nicht wahr? Dann fehlen mir leider die Ideen. Die Frage ist wie relevant das ist für die Praxis. Ich nehme an das war der Test für ein NAS. Hast du sonst keinen anderen Client zum Testen außer den AP? Zitat Hat das mit OpenWRT funktioniert? Auf der OpenWRT Webseite steht doch genau nix erbauliches dazu? Ich lese dort gerade beim C6 eher "freu dich, wenns überhaupt funktioniert". OpenWRT hat funktioniert: https://openwrt.org/toh/hwdata/tp-l...archer_c6_v2_eu Ich habe mich damals für OpenWRT entschieden, weil ich eigentlich auf ein Gerät reduzieren wollte. Ursprünglich wollte ich den Archer nur als AP für schnelleres WLAN. Aber dann war es mir zu blöd und die Stockfirmware war zu starr. Dann habe ich im Endausbau also den Archer als Router gehabt und einen alten Tomato Router als zusätzlichen AP für legacy IoT devices. Das hat mühelos geklappt, selbst mit VLAN Konfiguration. Aber OpenWRT ist schon eine Frickelarbeit. Empfehlen würde ich es nicht, ich sag nur, die hardware als Basis braucht sich im Archer gar nicht verstecken. Die kann mit der richtigen Software so ziemlich alles was man braucht.
TOM Vereinsmitglied Oldschool OC.at'ler Registered: Nov 2000 Location: Vienna Posts: 7454	18.03.2025 - 07:52 Zitat aus einem Post von alex5612 der vorhandene Router unterstützt es jedenfalls mal nicht. braucht der router nicht unterstützen tailscale ist point-to-point, also jedes device mit dem agent drauf ist von aussen via wireguard tunnel erreichbar. alles keybased, statt potenziell schwachen passwörtern Und wenn man will, kann man mit einem device auch das ganze subnet raus routen und/oder es als exit node verwenden und über die IP raus surfen z.B. synology hat ein tailscale paket und falls Du einen raspberry rumkugeln hast, wäre das ein sparsamer jump-server um das ganze netz erreichbar zu machen, statt dem VPN frickeln war meine letzte einschaltung dazu, ich kann's aus eigener erfahrung schwer empfehlen
b_d © Natural Ignorance (NI) Registered: Jul 2002 Location: 0x3FC Posts: 10617	18.03.2025 - 19:19 Zitat aus einem Post von TOM and it's free* (https://tailscale.com/) if it's free you are the product gilt hier nicht mehr? das und die tatsache das auth ausschließlich über 3rd party provider geht haben mich bis jetzt von tailscale abgehalten :/ ich weiß, extrem (!!) aluhut und so, aber den einen wireguard port verkraftet ein router, wenn er exposed ist. e, nachsatz: mit "use * for free, indefinitely!!!1111" bin ich in meinem IT leben schon mehr als einmal eingefahren, leider mags wirklich nicht schlecht reden, tailscale ist geil, aber ich genieße sowas nur noch mit vorsicht… e2: +1 für einen einfach (eigenen) wireguard server, einfacher gehts nicht. Bearbeitet von b_d am 18.03.2025, 19:24
alex5612 Vereinsmitglied Radiomann Registered: Oct 2000 Location: VR Brigittenau Posts: 4854	18.03.2025 - 19:35 Zitat aus einem Post von Extrafeinripp Da gehts aber immer nur um den zweiten Router der als AP konfiguriert ist, nicht wahr? Dann fehlen mir leider die Ideen. Die Frage ist wie relevant das ist für die Praxis. Ich nehme an das war der Test für ein NAS. Hast du sonst keinen anderen Client zum Testen außer den AP? Genau das. Praktisch ists eh blunzn. Zitat aus einem Post von Extrafeinripp OpenWRT hat funktioniert: https://openwrt.org/toh/hwdata/tp-l...archer_c6_v2_eu Ich habe mich damals für OpenWRT entschieden, weil ich eigentlich auf ein Gerät reduzieren wollte. Ursprünglich wollte ich den Archer nur als AP für schnelleres WLAN. Aber dann war es mir zu blöd und die Stockfirmware war zu starr. Dann habe ich im Endausbau also den Archer als Router gehabt und einen alten Tomato Router als zusätzlichen AP für legacy IoT devices. Mich hat der Kommentar hier bisher abgeschreckt irgendwas damit zu machen. Zitat WLAN Comments: 5GHz WLAN has greatly reduced speed, range and stability as of openwrt 19.07. Was ich aber irgendwie erfolgreich verdrängt habe, ist, dass jetzt eigentlich 24.10 aktuell ist... Vielleicht hole ich mir irgendwo einen gebrauchten als OpenWRT Frickelbasis, dann tuts auch nicht weiter weh, wenn ich das Ding kaputt bastle. Mit aktueller Software sinkt obendrein auch die Chance, dass die VPN Implementierung irgendwie ernsthaft undicht ist. /edit Andererseits ist die 24.10 scheinbar auch 'fun and games' Zitat 5GHz WiFi is non-functional on certain devices with ath10k chipsets. Affected models include the TP-Link Archer C60 v1, TP-Link Archer C6 v2, and possibly others. For details, see issue #14541. https://github.com/openwrt/openwrt/issues/14541 Bearbeitet von alex5612 am 18.03.2025, 19:42
alex5612 Vereinsmitglied Radiomann Registered: Oct 2000 Location: VR Brigittenau Posts: 4854	18.03.2025 - 19:38 Zitat aus einem Post von TOM z.B. synology hat ein tailscale paket und falls Du einen raspberry rumkugeln hast, wäre das ein sparsamer jump-server um das ganze netz erreichbar zu machen, statt dem VPN frickeln war meine letzte einschaltung dazu, ich kann's aus eigener erfahrung schwer empfehlen Habe irgendwie keinen Raspberry zur Hand, aber man könnte ja mal... Andererseits kann ein VPN Server oder das Tailscale Wunderding im Zweifelsfall eben auch auf einem Raspberry oder gar am NAS selbst laufen.
Viper780 Elder Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 50616	18.03.2025 - 20:10 Tailscale ist auch nur wireguard aber stülpt eine Verwaltungsschicht drüber. Durch diese kann Tailscale deinen gesamten traffic überwachen. Mit Headscale kann man so ein Netzwerk selbst hosten Ich hab noch ein paar Thinclients hier. Preis und Stromverbrauch ähnlich eines RasPi, Performance deutlich flotter. Aber nur dafür laufen lassen ist Overkill
Extrafeinripp Bloody Newbie Registered: Sep 2022 Location: n Posts: 35	18.03.2025 - 21:27 Zitat aus einem Post von alex5612 Mich hat der Kommentar hier bisher abgeschreckt irgendwas damit zu machen. reduced speed and range kann ich zu 100% bestätigen. Für mich hatte es aber gereicht. Würde openwrt ohne Stützräder nicht empfehlen. Deshalb habe ich den FLINT2 vorgeschlagen. openwrt mit Stützrädern und das auf Hardware die dafür geeignet ist.

Heim VPN-Server

Forum Index > Hardware > Peripherie > Netzwerktechnik

alex5612

TOM

Extrafeinripp

alex5612

Extrafeinripp

alex5612

Extrafeinripp

TOM

b_d

alex5612

alex5612

Viper780

Extrafeinripp