Eigenes VPN im Freifunk-Netz

Hallo Zusammen,

Ich habe aktuell ein neues Projekt, was ich gerne realisieren würde und bin dafür über etwas Input und Tipps dankbar.
Ich würde gerne einen RasPi, welcher sich in einem von mir aufgestellten AP im Freifunk-Wlan befindet gerne von außerhalb erreichbar/steuerbar machen. Das ist ja allgemein per VPN möglich.
Nun meine Frage: Ist es also möglich durch das Freifunk-Netz/VPN einen weiteren Tunnel zum RasPi einzurichten? Wenn ja, wie gehe ich dabei am besten vor? Etwas vergleichabes habe ich bisher bei der Internet-Recherche noch nicht entdeckt. Habt ihr da Tipps oder etwas Input für mich?
Zugegebener Maßen ist das Thema VPN auch etwas, womit ich mich noch genauer einarbeiten muss. Aber bevor ich das tue, wollte ich fragen, ob mein Vorhaben aus eurer Experten-Sicht überhaupt möglich ist

Ich bin gespannt auf eure Rückmeldungen.
Grüße Marvin

Hallo Marvin,

Meines Wissen sollte dein Vorhaben mit dem zweiten VPN Tunnel klappen.
Es hängt aber von den Gegebenheiten deiner Internetverbindung ab.
Du müsstest auf einem Gerät z.b bei dir Zuhause einen VPN Server z.B (OpenVPN , Wireguard) einrichten und dann den Raspi als Client dahin verbinden. Hier müsstest du schauen ob dein Internetanschluss eine Richtige ipv4 hat die sich ggf. nicht ändert. Das ganze ließe sich auch mit einer Dynamischen IPv4 mit dyndns und dem oben angesprochenen Server regeln. Ansonsten halt mittels ipv6 :slight_smile:
Eventuell kennt aber hier @TomH noch ein paar andere Lösungswege
Ansonsten erreichst du wie schon selbst erwähnt den Raspi auch von dir zuhause wenn du dort selbst einen Freifunk Router betreibst.

Gruß
Sebastian

Jedes Gerät im Freifunk Netz bekommt eine öffentliche IPv6. Diese ist weltweit erreichbar und halbwegs stabil. Wenn wir also das Prefix ändern landet das hier vorab im Forum. Aktuell verwenden wir das Prefix 2a01:4f8:171:fcff::/64 (hier findet man das).

Wenn du also einen Raspberry Pi in das Client Netz hängst bekommt dieser eine öffentliche IPv6 und ist auf allen Ports die geöffnet sind (und wo es die Firewall erlaubt) erreichbar.

Wo du schaun musst es gibt die sogennanten Privacy Extensions. Diese sind natürlich nicht stabil. Dein PI hat vermutlich eine solche dynamischere IPv6 und eine stabile welche sich aus der MAC Adresse ergibt.

Eventuell reicht das für dich ja schon aus?

Ansonsten kannst du aber auch was mit einem VPN basteln. Hier würde ich heutzutage den von @Megaherox gennanten Kandidaten Wireguard empfehlen. Damit ist es wirklich sehr einfach Verbindungen aufzubauen. Du brauchst aber an einem Ende der Verbindung eine stabile IP. Oder aber ein Skript welches um diese Beschränkung herumarbeitet.

Wo man bei VPNs über das Freifunk Netz aufpassen muss ist die MTU. Wir anouncen 1280 als solche. Das ist gerade groß genug für IPv6. Wenn du also IPv6 in IPv6 packen willst muss da einer fragmentieren. Das sollte Wireguard aber eigentlich für dich erledigen. Es wird halt nur ein klein wenig auf die Performance schlagen.
Das ist aber vermutlich etwas worüber du dir nicht gleich Gedanken machen musst.

Danke erstmal für die Tipps. Und noch ein paar weiter Ergänzungen, um paar Sachen klarer darzustellen:

  • Den Freifunk AP habe ich zwar eingerichtet. Aber er befidnet sich nicht bei mir zuhause (habe aber zugriff drauf)
  • Der RasPi soll von verschiedenen anderen Rechnern in anderen Netzen erreichbar sein. Um z.B. Datein hochzuladen. Geschwindigkeit/Perfomance ist dabei weniger wichtig.

Was ist wenn ich den RasPi als VPN Server einrichte und die anderen Rechner als Clients? Oder ist das in dieser Konstellation im FreifunkNetz nicht möglich.

Den VPN Server im Freifunk Netz zu betreiben ist möglich. Du musst das aber über IPv6 machen. Es müssen dementsprechend auch alle Clients IPv6 haben.

Du musst dir aber überlegen ob das wirklich Sinn macht. Wenn du wirklich an allen Stellen IPv6 hast kannst du für die Transportverschlüsselung zum Beispiel einfach HTTPS oder aber SSH nehmen. In einem „VPN“ sehe ich da nur bedingt Vorteile und einige Nachteile. Und auch innerhalb eines VPNs würde ich immer auf HTTPS oder SSH für den Zugriff setzten.

Ich möchte noch drauf hinweisen, dass - egal ob als VPN-Server oder SSH-/Webserver - dein Raspberry Pi öffentlich erreichbare Ports haben wird, d.h. ggf. werden Portscans, Brute-Force-Angriffe und Schwachstellenscanner etc. bei dir vorbeikommen.

Du musst dich auf jeden Fall auch damit auseinandersetzen, wie du das Gerät sicher betreibst (Härtung, immer aktueller Patchstand,…).

1 Like