VPN zwischen IB2 und LTE-Router

    • Hallo zusammen! Ihr seid meine letzte Hoffnung!

    Ich habe einen abgesetzten Standort, der mit einem LTE-Router (Teltonika RUT956) internetmässig erschlossen ist.

    Meine Idee ist nun, dass ich eine Verbindung von meiner IB2 zuhause zu diesem Router bewerkstelligen könnte, z.B. mittels eines VPN.

    Meine IB2 bekommt eine öffentliche IP-Adresse und ist mit DynDNS versehen. Der LTE-Router hat wegen CGNAT keine öffentliche IP.

    Ich habe folgendes versucht:

    • Auf IB2 einen L2TP Server aufgesetzt
    • Auf dem LTE-Router einen L2TP Client aufgesetzt mit den entsprechenden Zugangsdaten
    • -> Funktioniert aber nicht!

    Wenn ich den VPN Client auf einem Windows-PC hinter dem LTE-Router aufsetze funktioniert es.

    Auf dem LTE-Router habe ich aber viel mehr Einstellmöglichleiten für den VPN Service. Irgendwie funkt ja vermutlich noch IPsec rein. Da ich kein Experte bin auf diesem Gebiet, bin ich etwas ratlos, wie diese verschiedenen Parameter allenfalls einzustellen wären.

    Meine Fragen an Euch:

    • Kann so eine Verbindung überhaupt funktionieren?
    • -> Falls nein, warum nicht und was gäbe es für alternative Lösungen?
    • -> Falls ja, wie müssten die verschiedenen Stellschrauben gesetzt werden?

    Freue mich auf Eure Kommentare!

    Dieser Beitrag ist in Deutsch
    • DomiP gefällt das.

    • @Frafeffeu86 interessante Idee; mit der IB2 hatte ich damals auch extreme Probleme überhaupt auf die Box per VPN zu kommen. Aber verstehe ich Dich korrekt, dass Du vom Netz der IB2 (also von “zu Hause”) auf den Router draussen zugreifen möchtest?

      Da würde ich Dir folgendes Empfehlen (hier eine Anleitung dazu: https://circuitdigest.com/microcontroller-projects/turn-your-raspberry-pi-zero-in-to-a-vpn-server-using-openvpn).

      Mit einem Raspberry PI kannst zu Protokolle wie Wireguard nutzen, was auch relativ einfach einzurichten ist im Vergleich zu L2TP. Meines Wissens wird L2TP auch beispielsweise von Android nicht mehr unterstützt (ggf. läuft die LTE-Box auf Android).

      Aber irgendwie frage ich mich gerade trotzdem über den logischen Zusammenhang;

      Wenn zu von der IB2 zur LTE-Box willst, dann benötigst Du auf der LTE-Box bzw. im LTE-Netz dort einen VPN und eben eine offene bzw. public IP!

      Wenn du von der LTE-Box auf das IB2-Netz willst, dann müsstest Du im Heimnetz eine entsprechende VPN-Anlage haben, welche du auf der LTE-Box verbindest.

      Versucht habe ich es zwar noch nicht, aber eventuell könnte auch https://tailscale.com/ etwas sein, was Dir weiterhelfen könnte. Diese haben ein eigenes System und ist zwar OpenSource und dennoch Proprietär…

    @Frafeffeu86 interessante Idee; mit der IB2 hatte ich damals auch extreme Probleme überhaupt auf die Box per VPN zu kommen. Aber verstehe ich Dich korrekt, dass Du vom Netz der IB2 (also von “zu Hause”) auf den Router draussen zugreifen möchtest?

    Da würde ich Dir folgendes Empfehlen (hier eine Anleitung dazu: https://circuitdigest.com/microcontroller-projects/turn-your-raspberry-pi-zero-in-to-a-vpn-server-using-openvpn).

    Mit einem Raspberry PI kannst zu Protokolle wie Wireguard nutzen, was auch relativ einfach einzurichten ist im Vergleich zu L2TP. Meines Wissens wird L2TP auch beispielsweise von Android nicht mehr unterstützt (ggf. läuft die LTE-Box auf Android).

    Aber irgendwie frage ich mich gerade trotzdem über den logischen Zusammenhang;

    Wenn zu von der IB2 zur LTE-Box willst, dann benötigst Du auf der LTE-Box bzw. im LTE-Netz dort einen VPN und eben eine offene bzw. public IP!

    Wenn du von der LTE-Box auf das IB2-Netz willst, dann müsstest Du im Heimnetz eine entsprechende VPN-Anlage haben, welche du auf der LTE-Box verbindest.

    Versucht habe ich es zwar noch nicht, aber eventuell könnte auch https://tailscale.com/ etwas sein, was Dir weiterhelfen könnte. Diese haben ein eigenes System und ist zwar OpenSource und dennoch Proprietär…

    Dieser Beitrag ist in Deutsch

    Kærar kveðjur - herzliche Grüsse
    Dominik

    Hallo @Frafeffeu86

    Du musst denn umgekehrten Weg machen.

    Habe auch so ein LtE Router zuhause Teltonika.

    Auf diesem habe ich Wireguard als Client eingerichtet. Und zuhause läuft der Wireguard Server.

    Aber der kann noch andere VPN Protokolle.

    Somit kann ich dann von zuhause auf den Router zugreifen.

    Gruss Lorenz

    Dieser Beitrag ist in Deutsch

    @Frafeffeu86

    Für eine klassische VPN-Verbindung zum Remote-Standort mit dem LTE-Router brauchst Du eine öffentliche IPv4 auf dem Mobilnetz für den LTE-Router und einen VPN-Server am Remote-Standort.

    Die Stichworte für eine öffentliche IPv4 auf dem Mobilnetz sind:

    - die CAA-Option bei Swisscom

    - die Remote-APN bei Sunrise

    Was bei welchem Mobilfunkanbieter aktuell gerade erhältlich ist in diesem Thema weiss ich nicht, aber hier die Hintergründe dazu aus einer früheren Diskussion:

    https://community.swisscom.ch/t5/Mobile/Mobile-Abo-mit-CAA-Option/td-p/567872

    Dieser Beitrag ist in Deutsch

    Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom

    Hi @Frafeffeu86

    Was sagen denn die Logs auf dem LTE-Router?

    Da die Internetbox ja leider keine Logs anbietet, könnte das Troubleshooting schwierig werden. Ich schliesse mich @DomiP an und empfehle dir für diesen simplen Tunnel:

    - WireGuard oder OpenVPN mit Server bei dir im Heimnetz, wenn du den Tunnel ohne Cloud managen möchtest.

    - ZeroTier als Tailscale Alternative, weil dein Router dies direkt unterstützt.

    @Lori-77 Soweit ich verstehe, baut @Frafeffeu86 den Tunnel bereits aus dem Mobilfunknetz auf (Also Client im Mobilfunknetz, was ja die richtige Richtung wäre)

    Bedenke bei allen Lösungen, dass die Verbindung zwingend vom LTE Router aus initiiert werden muss. Also keepalives nicht vergessen 😉.

    Wenn du den Tunnel in beide Richtungen initiieren können möchtest, folge dem Rat von @Werner.

    LG

    r00t

    Dieser Beitrag ist in Deutsch

    4b 65 69 6e 65 20 4d 61 63 68 74 20 64 65 72 20 6c 65 67 61 63 79 20 49 50 21

    Vielen Dank für deine Antwort!

    Meine Grundidee war, eine Verbindung herzustellen zwischen dem LTE-Router und der IB2, ohne dass ich noch weitere Büchsen 7/24 laufen lassen muss. Da der LTE-Router keine öffentliche IP hat muss dieser als Client die Verbindung zur IB2 aufbauen, auf der der L2TP Server läuft. Wäre vermutlich zu schön um wahr zu sein, wenn das einfach so funktionieren würde……

    Einen Raspy hätte ich noch irgendwo rumliegen, habe diese Option aber bis jetzt nicht in Betracht gezogen, weil dies eben eine von diesen 7/24-Büchsen ist, die ich eigentlich vermeiden möchte…..

    Dieser Beitrag ist in Deutsch

    @Lori-77

    Habe (noch) keinen separaten VPN-Server zuhause. Ich war eben so naiv zu glauben, dass die IB2 diesen Job übernehmen könnte….

    Dieser Beitrag ist in Deutsch

    @Werner

    Laut Swisscom ist der APN für öffentliche IPs nur noch für Businesskunden verfügbar. Da kann ich nicht mithalten.

    Dieser Beitrag ist in Deutsch

    @r00t

    In den Logs des LTE-Routers finden sich keinerlei Einträge, die auf irgendwelche VPN-Aktivitäten hinweisen würden. Daher vermute ich ein Grundsätzliches Problem.

    Wenn ich den Datenverkehr durch den VPN monitore, sehe ich, dass alle 30 Sekunden etwas rausgeht (vermutlich ein Hilferuf zum Server), aber es kommt nichts zurück.

    Ich werde noch ein bisschen weiterexperimentieren und werde euch wissen lassen, wenn ich etwas bahnbrechendes herausfinde.

    Dieser Beitrag ist in Deutsch

    @Frafeffeu86 schrieb:

    Einen Raspy hätte ich noch irgendwo rumliegen, habe diese Option aber bis jetzt nicht in Betracht gezogen, weil dies eben eine von diesen 7/24-Büchsen ist, die ich eigentlich vermeiden möchte…..

    Wenn Du mit Büchsen die Power-Outlets meinst, dann könntest Du ihn evtl. auch via USB vom Router betreiben;-).

    Habe ich bei uns auch so eingerichtet.

    Zudem ist ja der Stromverbrauch beim Raspi praktisch nichts. Also meist so zwischen 10 bis 15 Franken pro Jahr für einen performanten und laufenden VPN. (Nicht das ich den Anschein erwecke, dass 10.- nichts seien 😉 )

    Dieser Beitrag ist in Deutsch

    Kærar kveðjur - herzliche Grüsse
    Dominik

    Hallo @DomiP, @Werner

    Vielen Dank für eure Hinweise!

    Den Gedanken, einen brauchbaren Tunnel zwischen der IB2 und dem LTE-Router hinzubekommen werde ich wohl begraben müssen. 😕

    Ich werde vermutlich doch einen Anlauf nehmen mit einem Raspy. Ob es dann eine VPN-Lösung gibt oder vielleicht gar etwas mit AnyDesk (soll angeblich funktionieren), wird sich zeigen.

    Ich muss mich allerdings wieder etwas schlau machen bezüglich Himbeerkuchen - ist doch schon einige Jahre her seit ich damit zu tun hatte.

    Dieser Beitrag ist in Deutsch

    @Frafeffeu86 der Pi macht wirklich Spass!

    Schau’ Dir doch sonst mal dietpi.com an! Ist ein einfaches Betriebssystem, wo Du mit wenigen Klicks ein VPN oder andere Apps installieren und einrichten kannst.

    Dieser Beitrag ist in Deutsch

    Kærar kveðjur - herzliche Grüsse
    Dominik

    ein Monat später

    @DomiP

    Vielen Dank für den Tipp mit DietPi!

    Nach längerem Geknorze (nicht wegen dem PiVPN, sondern wegen meinem LTE-Router) habe ich es nun geschafft, einen OpenVPN-Tunnel zu bohren und der läuft soweit stabil.

    Eine Frage habe ich aber noch, und da kannst du mir vielleicht weiterhelfen.

    Von der Client Seite aus sehe ich, wie erwartet, das ganze Subnetz auf der Serverseite.

    Was muss ich beim Raspy einstellen, dass dies auch umgekehrt funktioniert, das heisst, ich möchte von der Server Seite Zugriff auf das Client Subnetz.

    Meine Konfiguration:

    • OpenVPN Server auf dem Raspy im Heimnetzwerk mit der Netzwerkadresse 192.168.1.0

    • OpenVPN Client auf den LTE-Router (RUT956 von Teltonika) mit Netzwerkadresse 192.168.2.0

    Vielen Dank für deine Unterstützung!

    Dieser Beitrag ist in Deutsch

    Hoi @Frafeffeu86, toll, hat es geklappt!

    Um das ganze von der anderen Seite her zu nutzen, müsstest Du auf deinem aktuellen Client einen Server haben, was jedoch via LTE ein grosser Knorz sein könnte bzw. aufgrund der fehlenden Möglichkeit des Port-Forwardings ggf. nicht klappt.

    Da könntest Du Dir eventuell auch noch Tailscale anschauen, da spielen Ports und Co. keine Rolle, die Verwaltung ist jedoch über einen proprietären Dienst aus den USA möglich…

    Dieser Beitrag ist in Deutsch

    Kærar kveðjur - herzliche Grüsse
    Dominik

    @DomiP

    Vielen Dank für die rasche Rückmeldung!

    Leider ist das nicht ganz das was ich zu hören hoffte….. 😑

    Wie du vielleicht gemerkt hast, bin ich nicht so der Experte auf diesem Gebiet und daher habe ich einfach mal vermutet, dass man dieses Ziel mit einer statischen Route oder so was ähnlichem erreichen könnte.

    Unter Anderem hat mir dieser Post Mut gemacht:

    https://community.openvpn.net/openvpn/wiki/RoutedLans

    Vielleicht kannst du die Aussagen in diesem Post einordnen und mir etwas Trost spenden?

    Beste Grüsse

    Fritz

    Dieser Beitrag ist in Deutsch

    Hi @DomiP

    Ich denke @Frafeffeu86 meint er möchte von seinem Servernetz (Netz in dem der Raspi ist) auf den Router zugreifen - und nicht die Verbindung in die andere Richtung herstellen.

    @Frafeffeu86 Wenn du z.B. von deinem PC im LAN (192.168.1.0/24) durch den Tunnel auf den Router zugreifen willst musst du auf deinem Raspi IP-Forwarding aktivieren. (Sonst routet dein Raspi nicht)

    Anschliessend kannst du auf deiner Internetbox/deinem PC eine Route hinzufügen: 192.168.2.0/24 next hop <192.168.1.ip-von-raspi>

    Hast du dies getan, musst du auf dem LTE Router ebenfalls eine Route hinzufügen - bzw sicherstellen, dass der Traffic zu 192.168.1.0/24 via VPN zurückgeroutet wird.

    Hast du das alles erledigt, sollte der Kommunikation zwischen beiden Netzen nichts mehr im Wege stehen! 🙂

    LG

    r00t

    Dieser Beitrag ist in Deutsch

    4b 65 69 6e 65 20 4d 61 63 68 74 20 64 65 72 20 6c 65 67 61 63 79 20 49 50 21

    @Frafeffeu86 schrieb:

    Von der Client Seite aus sehe ich, wie erwartet, das ganze Subnetz auf der Serverseite.

    Was muss ich beim Raspy einstellen, dass dies auch umgekehrt funktioniert, das heisst, ich möchte von der Server Seite Zugriff auf das Client Subnetz.

    @r00t das habe ich wohl dann hier etwas falsch verstanden 🤔

    Dieser Beitrag ist in Deutsch

    Kærar kveðjur - herzliche Grüsse
    Dominik

    @r00t @DomiP

    Hmmmm, das was @r00t schreibt, macht für mich aber durchaus Sinn….

    Ich möchte von beiden Seiten Zugriff auf das jeweils andere Subnetz und der von mir erwähnte Post hat bei mir den Eindruck hinterlassen, dass dies grundsätzlich möglich sein sollte.

    Ich werde noch etwas weiterpröbeln.

    Dieser Beitrag ist in Deutsch

    Nennt sich übrigens “site to site” VPN 😉

    Dieser Beitrag ist in Deutsch

    ….keep on rockin' 🤘🏼🤘🏼🤘🏼

    @POGO 1104 schrieb:

    Nennt sich übrigens “site to site” VPN 😉

    … Wovon man sich aber nicht beirren lassen sollte 😅

    Dieser Beitrag ist in Deutsch

    4b 65 69 6e 65 20 4d 61 63 68 74 20 64 65 72 20 6c 65 67 61 63 79 20 49 50 21