Dateifreigabe über VPN

even.de

Ram-Mogul
Thread Starter
Mitglied seit
15.01.2005
Beiträge
23.301
Ort
Hannover
Moin,

ich dachte ich frage einfach mal direkt, da es hier sicherlich einige Experten gibt, die sowas schon mal gemacht haben.
Mein Vorhaben habe ich mal grafisch dargestellt

Unbenannt.png


Ich möchte quasi von 2-3 Geräten, die sich im Netzwerk der FritzBox 7590 befinden auf die Dateien von dem Home Server zugreifen, die sich an der UDM Pro befindet.
Beide Standorte sind per Glasfaser angebunden - beim selben Anbieter. Haben einen Ping von <1ms zueinander und jeweils eine öffentliche IPv4 (keine feste). Gleicher Ort. Upload und Download sind ausreichend vorhanden (jeweils 500/250). DynDNS ist auch an beiden Anschlüssen eingerichtet und vorhanden.

Ich hatte früher zwischen den beiden Netzen noch ein IPSec Site to Site VPN laufen, wobei es da noch jeweils eine FritzBox war. Also Fritzbox zu Fritzbox. Datendurchsatz war aber eher mau. Lag so bei maximal 10-20 Mbit/s, nicht wirklich brauchbar.

Ich habe schon versucht die beiden Netze per WIreguard zu verbinden. Das klappt auch soweit, aber die UDM Pro unterstützt leider kein Site to Site per Wireguard. Ich kann also von dem Fritzbox-Netz zwar auf meine UDM Pro zugreifen, aber nicht auf die im lokalen LAN der UDM Pro befindlichen Geräte. Andersrum kann ich auch nicht von meiner UDM Pro auf die Fritzbox zugreifen.

Wie bekomme ich das o.g. Vorhaben nun am elegantesten und schnellsten hin? Datendurchsatz sollte schon so mind. 50 Mbit/s sein. Besser natürlich noch mehr.

Bin erstmal für alle Vorschläge offen. Habe hier noch im Netz der UDM Pro einen Raspberry Pi 4B zur Verfügung.

Falls es noch wichtig sein sollte: Ich möchte einfach von dem Standort A (FritzBox Netz) auf die Dateien vom Home-Server (Standort B, UDM Pro-Netz) zugreifen, weil ich ab und an beim Standort A bin. Außerdem hatte ich angedacht, dass ich von dem DVB-C Receiver an Standort A auf die lokalen TV-Aufnahmen von Standort B zugreifen kann.
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Habe hier noch im Netz der UDM Pro einen Raspberry Pi 4B zur Verfügung.
Da könnte man theoretisch relativ einfach ansetzen. Wireguard-Endpunkt auf dem RPi4 und du hättest S2S-VPN. Ich meine mich aber zu erinnern, dass man per SSH auch in der Config in der UDM-Pro rumpfuschen konnte. Wenn du eine bestehende Wireguard-Verbindung hast, müsstest du die fehlenden Netze händisch in der Config eintragen können per SSH.
 
Da könnte man theoretisch relativ einfach ansetzen. Wireguard-Endpunkt auf dem RPi4 und du hättest S2S-VPN. Ich meine mich aber zu erinnern, dass man per SSH auch in der Config in der UDM-Pro rumpfuschen konnte. Wenn du eine bestehende Wireguard-Verbindung hast, müsstest du die fehlenden Netze händisch in der Config eintragen können per SSH.
Ja, wobei das per SSH bei der UDM immer nur so lange läuft, bis die neugestartet wird. Dann werden die Einträge mit dem überschrieben was im Interface eingegeben wurde. Von daher fällt das für mich raus, weil das eine "Frickellösung" ist. Möchte schon was stabiles und zuverlässiges haben.

Da ich zwar die Netzwerk-Basics drauf habe, aber kein Experte bin bräuchte ich schon etwas Input dazu:
Wireguard-Endpunkt auf dem RPi4 und du hättest S2S-VPN
Da bräuchte es ja dann auch noch statische Routen etc., womit ich auch Probleme habe die selbst zu konfigurieren.
 
statische Routen etc.
Ist das tatsächlich so, wenn RPi4 und der Receiver im selben Netz hängen? Kommt sehr auf die lokalen Gegebenheiten an, aber ich meine, das funktioniert sehr unkompliziert. Ich bilde mir ein, dass ich nur eine Portweiterleitung von der OPNsense auf den Raspberry gemacht habe, als OPNsense noch kein Wireguard nativ beherrschte. Und auf dem Pi lief auch nur ein Debian ohne GUI, was eine statische IP hatte und den Rest hatte ich in der Wireguard-Config, welche aber auch nicht wirklich kompliziert war.

Da du ja keine Berühsrungsängste mit SSH und Co zu haben scheinst, sollte das machbar sein. Eventuell hilft dir das: https://www.bachmann-lan.de/raspberry-pi-mit-wireguard-und-wgdashboard-webinterface/
 
Ich habe schon versucht die beiden Netze per WIreguard zu verbinden. Das klappt auch soweit, aber die UDM Pro unterstützt leider kein Site to Site per Wireguard. Ich kann also von dem Fritzbox-Netz zwar auf meine UDM Pro zugreifen, aber nicht auf die im lokalen LAN der UDM Pro befindlichen Geräte. Andersrum kann ich auch nicht von meiner UDM Pro auf die Fritzbox zugreifen.
Wenn man sowas mit OpenWRT abbildet, ist das meistens ein Fehler von falsche konfiguriertem Maquerading / Zone nicht oder falsch gesetzt.

Aus technischer Sicht müsste die UDM Pro als WG Server laufen, mit Zugriff auf die erlaubten Geräte, d.h. wenn Du einen PC als Client konfigurierst mit dem Standard WG Installer, sollest Du von dem (Windows) PC alle Zielgeräte erreichen können. Dieses Szenario *muss* auf jeden Fall funktionieren und lässt sich auch mti dr UDM abbilden.

Auf der Fritzbox Seite müsste man dann die FB als WG Client konfigurieren können.
Wenn das nicht geht: kauf die einen preiswerten GL.Inet Router (z.B. Flint), konfigurier den als WG Client, schliesse den im internen LAN an, und setz die richtigen Routen, das der Traffic für das UDM Netz über den GLinet läuft.
 
Tailscale, Zerotier, etc. wären auch eine Möglichkeit, vor allem da ja mehrere Geräte miteinander kommunizieren sollen.
 
Habe es jetzt insoweit hinbekommen, dass ich mit dem WireGuard VPN Client (Windows Installer) auf alle Geräte im Fremd-Netzwerk kommunizieren konnte. Funktioniert auch 1A. ALlerdings geht nun der gesamte Datenverkehr über das VPN, was es ja nicht soll. Muss mal gucken ob ich das mit der Fritzbox noch anders hinbekomme.
 
Ja, wobei das per SSH bei der UDM immer nur so lange läuft, bis die neugestartet wird. Dann werden die Einträge mit dem überschrieben was im Interface eingegeben wurde. Von daher fällt das für mich raus, weil das eine "Frickellösung" ist. Möchte schon was stabiles und zuverlässiges haben.

Da ich zwar die Netzwerk-Basics drauf habe, aber kein Experte bin bräuchte ich schon etwas Input dazu:

Da bräuchte es ja dann auch noch statische Routen etc., womit ich auch Probleme habe die selbst zu konfigurieren.
Die statische Route für das Netz hinter der Fritte brauchst du nur in der UDM eintragen. Der Rest hat dafür ja ne Defaultroute.
 
So, bin jetzt ein Stück weiter...

Habe nochmal auf der UDM Pro den VPN WireGuard Server aufgesetzt. Alles wie gehabt.
Allerdings habe ich bei der Fritte nun mal testweise den Haken gesetzt bei Gesamten Datenverkehr über den Tunnel leiten (IPv4). Nun funktioniert es wie gewollt, allerdings nutzt nun der andere Anschluss meine öffentliche IPv4. Der Gesamte Datenverkehr geht nun quasi über mein Netz. Das möchte ich natürlich auch nicht... Bin weiterhin ratlos...

vielleicht noch mal konkrete, aber fiktive Daten:

UDM Pro Netz = Wireguard Server = 192.168.0.1
HOme-Server, von dem die Daten gelesen werden sollen: 192.168.0.2
Fritzbox = WireGuard Client = 192.168.178.1

Das VPN VLAN: 192.168.2.0/24


So sieht meine Config-Datei aus. Fällt jemandem was schwerwiegendes auf?
[Interface]
PrivateKey = XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Address = 192.168.2.3/32
DNS = 192.168.0.1

[Peer]
PublicKey = YYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYY
AllowedIPs = 192.168.2.1/32,192.168.2.3/32,0.0.0.0/0
Endpoint = meine.dyndns.xyz:Port
 
Zuletzt bearbeitet:
Also die 0.0.0.0 ist ja die Default Route für den gesamten traffic. Möchtest du nur auf einzelne IPs aus dem jeweiligen Netz zugreifen oder auf alle IPs? Wenn letzteres, dann würde ich bei AllowedIPs nur 192.168.2.0/24 eintragen. Dann geht der Traffic für's Inet schonmal nicht darüber. Und ich MEINE, es müsste nicht nur das VPN-Netz dort rein, sondern auch das 192.168.0.0/24. Da müsste ich aber selber nochmal nachschauen. Vielleicht hat jemand anders noch eine Eingebung.
 
Habs nun hinbekommen...

Der Schlüssel waren tatsächlich die Allowed IPs in der .conf Datei. Nun habe ich von der Fritte aus Zugriff auf 2 von mir ausgewählte IP Adressen.
Bei Allowed IPs habe ich nun die lokalen IPs eingetragen mit /32 dahinter, die auch im VPN freigegeben sein sollen. Also quasi so:
[Interface]
PrivateKey = XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Address = 192.168.2.3/32
DNS = 192.168.0.1

[Peer]
PublicKey = YYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYY
AllowedIPs = 192.168.0.2/32,192.168.0.1/32
Endpoint = meine.dyndns.xyz:Port

Musste auf dem Server noch in der Firewall für die Datei- und Druckerfreigabe die IP des VPN Gegenparts eingeben und es läuft. Perfekt.

Bekomme übrigens volle 250 Mbit/s (max Upload) durch den Wireguard VPN. 4K HDR Aufnahme mit 90 Mbit/s Bitrate streamt problemlos. Bin happy. Manchmal muss man einfach drüber sprechen... :d
Datei im Explorer kopiert mit 25-33 MB/s, also 200-250 Mbit/s. Ping <1ms. Hammer!

Der hohe Durchsatz liegt denke ich mal daran, dass ich auch lediglich 3 Hops zum Ziel brauche, oder? Habe sonst noch nirgends so einen hohen Druchsatz beim VPN gesehen.

Screenshot 2023-04-04 190037.png


Das ist die traceroute von mir zu Hause bis zur Ziel Fritzbox (Elternhaus) :banana:

Die Config-Datei, die die UDM Pro hier ausgegeben bzw. generiert hat, war wirklich mist. Da muss UniFi echt noch nachbessern.
 
Zuletzt bearbeitet:
Manchmal muss man einfach drüber sprechen... :d
👍🏻👍🏻
Der hohe Durchsatz liegt denke ich mal daran, dass ich auch lediglich 3 Hops zum Ziel brauche, oder?
Ich denke, das spielt da mit rein, ja. Aber Wireguard an sich tut sein übriges. Das "Protokoll" ist ein Geschenk des Himmels. Hatte aber eben auch den Vorteil, man muss nicht den ganzen Legacy-Kram unterstützen und konnte sich auf die wirklich wichtigen Dinge konzentrieren.
Das ist die traceroute von mir zu Hause bis zur Ziel Fritzbox (Elternhaus) :banana:
Ich halte HTP noch immer für einen Provider, bei dem Techniker das Sagen haben und keine Erbsenzähler. Bisher nur gutes gehört.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh