Dann bitte auch erwähnen, das sich LANcom jede Menge Features extra bezahlen lässt, wie z.B. pro VPN Client um die 100 Euro. Wenn man im Business Umfeld dann auch die Anwendung dafür hat, mag das gerechtfertigt sein, fürs HomeLab wird das keiner Ausgeben wollen.
Ich habe heute mal testweise
VPN via WireGuard auf dem LANCOM-Router eingerichtet, weil ich zufälligerweise mal wieder den Plex-Docker angeworfen hatte und leidlich feststellte, dass die einen (neuerdings?) zur Kasse bitten wollen, wenn man seine eigenen Daten vom eigenen Server abspielen möchte, aber nicht im heimischen (W)LAN hockt bzw. das Ganze gar vom Smartphone versucht. Kurzerhand bot es sich halt an und - oh Wunder - es kostet nichts und funktioniert.
Also soll sich bspw. jemand vom Laptop von einem externen Netz (bspw. vom Hotel-WLAN aus) ins heimische Netz "einwählen" und dort den Plex-Docker (der auf dem Server läuft) mit einer "lokalen IP" aufrufen können. Der VPN-Tunnel soll die IP
10.0.250.10 bekommen. Der Router die zusätzliche IP
10.0.250.1 als VPN-Gateway. Das simuliert im Grunde ein VPN-Netzwerk
10.0.250.x - tatsächlich ist das aber kein wirkliches Netzwerk, weswegen wir das mit der "250" optisch deutlich von den restlichen lokalen Netzwerken/VLANs trennen. Der Server hat die lokale IP
10.0.5.10 und Plex ist im LAN über
10.0.5.10:32400 erreichbar.
Man kann das ganze in LANCOM nun wie folgt einstellen. Erstmal den VPN-Tunnel erzeugen:
- VPN -> WireGuard
- "WireGuard aktiviert" aktivieren (wer hätte dies gedacht)
- Verbindungs-Liste -> Hinzufügen
- Verbindung: VPN-BERND (halt was sprechendes)
- Verbindung aktiv: Ei ja
- Immer aktiv: nein
- Lokaler Port: 51.820
- Remote Gateway: leer lassen
- Remote Port: 51.820
- Routing Tag: 0
- Local Private Key: auf Schlüssel erzeugen klicken
- Peer Private Key: auf Schlüssel erzeugen klicken
- Preshared Key: auf Schlüssel erzeugen klicken
- IPv6-Profil: DEFAULT oder INTERNET oder was man halt so nutzt
- Persistent Keepalive: 25
- Kommentar: die Kalorien der letzten Mahlzeit
- via "Peer Konfig erzeugen" kann man sich direkt die Importdaten für den WireGuard-Client erzeugen lassen
- Adress: 10.0.250.10/32 (die eigene VPN-IP)
- DNS: 10.0.250.1 (der VPN-Gateway)
- Allowed IPs: 10.0.5.10/32 (da wollen wir hin), 10.0.250.1/32 (der VPN-Gateway, optional ginge auch 10.0.250.0/24 - man hätte den Gateway gleich mit dabei und könnte andere VPNs im selben IP-Bereich "netzwerkartig" anpingen oder dergleichen, muss das Ganze dann aber auch durchrouten)
- Endpoint: <deineÖffentlichZuErreichendeIP>:51820 (bspw. via DuckDNS einrichten und hier dann eben "mytollesubdomain.duckdns.org:51820" setzen)
- Persistent Keepalive: 25
Wenn man das alles eingegeben hat, sollte oben der Text auftauchen (kann man in einer .conf-Datei ablegen und im WireGuard-Client auf dem Laptop dann einfach importieren/laden - oder am Smartphone den QR-Code scannen).
Damit hätten wir die Verbindung (und theoretisch auch den Client fertig), aber da fehlt noch bissl was. Wir brauchen einen VPN-Gateway. Dafür erzeugen wir eine weitere Adresse für den Router selbst
- IPv4 -> Allgemein -> Loopback-Adressen -> Hinzufügen
- Name: VPN-GATEWAY
- IP-Adresse: 10.0.250.1 (das ist die weitere Adresse, die der Router nun selbst hat)
- Routing-Tag: 0
Diese Adresse vom Router müssen wir dem VPN-Tunnel nun noch mitteilen.
- Kommunikation -> Protokolle -> IP-Parameter -> Hinzufügen
- Gegenstelle: VPN-BERND (identisch zur WireGuard-Verbindung, kann man auch auswählen)
- IP-Adresse: 10.0.250.1
- Netzmaske: 255.255.255.255
- Rest: auf 0.0.0.0 belassen
Dann müssen wir noch die (Rück-)Route festlegen, damit der Router weiß, wo er die (Antwort-)Pakete für den VPN-Tunnel hinschicken soll. Ohne diesen Eintrag landen sie im Nirvana.
- IP-Router -> Routing -> IPv4-Routing-Tabelle -> Hinzufügen
- IP-Adresse: 10.0.250.10 (die von VPN-BERND)
- Netzmaske: 255.255.255.255 (das beschränkt die Route auf diese eine IP)
- Routing-Tag: 0 (wie üblich, wir keepen es simple und trennen hier keine Netze auf)
- Schaltzustand: aktiviert
- Router: VPN-BERND (genau hier in diesen VPN-Tunnel sollen die Pakete für 10.0.250.10 ja hin)
- RIP-Distanz: 0
- IP-Maskierung: abgeschaltet (damit bleibt der Netzverkehr transparent)
- Administrative Distanz: 0
- Kommentar: "Schokobons sind eine vollwertige Mahlzeit"
Schließlich müssen wir den VPN-Tunnel noch in der Firewall berücksichtigen.
- Firewall/QoS -> IPv4-Regeln -> Hinzufügen
- Regel 1: Erlaube VPN-BERND-IP zu ROUTER-VPN-IP: DNS (= 10.0.250.10 zu 10.0.250.1:53)
- Regel 2: Erlaube VPN-BERND-IP zu SERVER-IP:PLEX (= 10.0.250.10 zu 10.0.5.10:32400)
- optional Regel 3: Verbiete VPN-BERND-IP zu allem und logge das (grenzt das Logging von der BLOCK-ALL-Regel ab)
