Internet - Austausch unter Experten

[housecat]

Bei dem "Open" bin ich ganz bei Dir. Ich habe mich auch an OpenVPN gewöhnt, so dass wenn es flott gehen soll ich wieder OpenVPN einsetze. Wireguard ist aber ein Linux-Kernelmodul (GPLv2). Der Userspace Klimbim ist MIT, BSD, Apache 2.0.

Als Kernel-Modul muss Wireguard nicht wie OpenVPN alle Pakete vom Kernelspace in den Userspace und vice versa schaufeln. Auf Plasteroutern ein erheblicher Performanzvorteil. Wireguard ist bei OpenWrt bereits enthalten und wird mindestens dort OpenVPN ziemlich sicher auf Dauer ablösen.

Gruß // Housecat

[powder8]

Wireguard nutze ich sehr erfolgreich. Bei mir zumindest hat es "VPN on Demand" wenn man auf das "spanische" Netz zugreifen möchte ( iPhone) .

Warum die Angst vor dem Proxy. Es ist doch egal wo die Daten unverschlüsselt in Netz gehen. Ob nun über den Proxy oder nicht? Es bleibt unverschlüsselt!

[dksoft]

...komisch aus welchen Ecken so VPN Technikanbieter noch kriechen. Zerotier, nie gehört. VPN auf kleinen Plasteroutern macht man heute mit Wireguard.

WireGuard und ZeroTier sind beide open source, modern auf UDP/Chacha basierend und schließen sich gegenseitig nicht aus.
WireGuard ist Punkt zu Punkt, ZeroTier ein software defined network um mehrere Geräte in einem Netz zu verbinden.

Die Performance ist nahezu gleich, weitaus besser als OpenVPN. Mit L2TP/IPSEC wie es auch bei der FRITZ!Box benutzt wird, möchte ich so garnichts mehr machen. Die benutzen Protokolle und Probleme wenn eine Seite hinter NAT ist oder dynamische IP-Adresse hat, sind sehr aufwendig.

Für ein ZeroTier Netzwerk benötigt man nur die Netzwerk-ID, der Rest wird automatisch konfiguriert. Jeder Klient sucht sich den besten Weg um direkt mit dem anderen zu kommunizieren. Achso: ZeorTier kann auch L2, so das alle Klienten in der gleich broadcast domain sind.

[Nadia]

Danke für den Vergleich!

Bedeutet, wenn ich mit irgendeinem Anschluss hinter NAT hänge (ohne öffentliche IP), dann wird das Leben mit ZeroTier viel einfacher und ich kann physikalisch völlig unterschiedliche Netze mit einer Netzwerk-ID so zusammenbringen als wäre es ein und dasselbe. Ich muss bloß in jedem der Netze einen ZeroTier Dienst am Laufen haben. Richtig?

Wie funktioniert dann der Zugriff auf die Geräte in den Netzwerken - konfiguriert sich das alles automatisch? Die Clients, die miteinander über die Netzwerk-ID kommunizieren, sind ja wahrscheinlich nur die Geräte, auf denen selbst der ZeroTier Dienst läuft... Aber was ist mit allen anderen Geräten in den Netzen?

[Florecilla]

Unsere Internet-Profis :

Nadia, powder8, housecat, und dksoft...

Ich verstehe bei euren Fachgesprächen immer nur

Und ich dachte schon, ich wäre die einzige hier mit geballter Ahnungslosigkeit

[powder8]

Danke für den Vergleich!

Beachte: Der Spaß kostet bei >50 <500 Teilnehmer 50 $ im Monat.

Die Idee hinter ZeroTier gefällt mir. Ich habe im Haus in Spanien, wenn ich NICHT vor Ort bin ca. 80 Netzwerk Teilnehmer. Nur in Spanien, ohne das Haus in Deutschland += ca. 200 Teilnehmer in 6 Netzen.

BTW:
Wenn das Thema schon aufgekommen ist: HomeAssistant

Wie smart ist euer Ferienhaus?

Bei mir sind es 4 Mobotix und ein paar Reolink Kameras
Ring
8 AP's
Für das Smart Home Loxone (Da ich die VISU mag) i.V.m. Loxberry und ioBroker.
Sonst 2 HUE Bridges mit ca. 80 Leuchtmitteln
Ein Nuc mit Proxmox
Ein ConbeeII für die Umweltsensoren
2 elektronische Kugelhahnventile
2 Wasseruhren mit Impulsgeber
10 x Sonos
viele ESP mit Magnetschaltern für die Pooltüre (zur Überwachung des Poolpflegers) Garage usw.
und
Shelly in großen Mengen für fast alles : Gartenbewässerung usw.

Was fehlt sind Smarte Thermostate für die Radiatoren. Da habe ich noch nichts gefunden, was "bezahlbar" ist. Ich benötige 20 Stück. Tado usw. ist zu teuer.

Gruß

[dksoft]

Bedeutet, wenn ich mit irgendeinem Anschluss hinter NAT hänge (ohne öffentliche IP), dann wird das Leben mit ZeroTier viel einfacher und ich kann physikalisch völlig unterschiedliche Netze mit einer Netzwerk-ID so zusammenbringen als wäre es ein und dasselbe. Ich muss bloß in jedem der Netze einen ZeroTier Dienst am Laufen haben. Richtig?

Exakt! Es können sogar beide Geräte hinter einem NAT ohne öffentliche IP-Adresse sein. Dann wird der Verkehr über den ZeroTier Server geleitet. So wie es z.B. Skype oder Teamviewer auch machen. Der Verkehr ist zwar verschlüsselt, wenn du aber trotzdem Bedenken hast, kannst du den Server auch selber hosten. Der Quellkode liegt offen vor. ZeroTier bietet den Dienst der Einfachheit halber an.

Wie funktioniert dann der Zugriff auf die Geräte in den Netzwerken - konfiguriert sich das alles automatisch? Die Clients, die miteinander über die Netzwerk-ID kommunizieren, sind ja wahrscheinlich nur die Geräte, auf denen selbst der ZeroTier Dienst läuft... Aber was ist mit allen anderen Geräten in den Netzen?

Du kannst noch, ähnlich wie bei OpenVPN, die Netzwerkkonfiguration, DNS und Routen auf den Klient pushen. Dazu gibt es eine Skriptsprache um das sehr fein zu bestimmen. Gerade bei Geräten, die keine manuellen Routen wie z.B. bei iOS erlauben, ist das sehr hilfreich.
Entweder du installierst auf jedem Gerät den ZeroTier client oder auf einem Router im Netz, der das ZeroTier Netz dann per masquerade an die anderen Geräte im Netz durchreicht. Mein Mikrotik Router kann das z.B.

[dksoft]

Beachte: Der Spaß kostet bei >50 <500 Teilnehmer 50 $ im Monat.

ZeroTier ist open source und kostenlos. ZeroTier One Inc bietet den Dienst für bis zu 50 Klienten kostenlos an. Das beinhaltet den Verbindungsaufbau und die Weiterleitung des Verkehrs, wenn sich beide Klienten nicht direkt verbinden können.
Darüber hinaus kostet es Geld. Es besteht aber auch die Möglichkeit, den Dienst selber zu hosten. Die Quellen und Anleitung liegt auf github.

Die Idee hinter ZeroTier gefällt mir. Ich habe im Haus in Spanien, wenn ich NICHT vor Ort bin ca. 80 Netzwerk Teilnehmer. Nur in Spanien, ohne das Haus in Deutschland += ca. 200 Teilnehmer in 6 Netzen.

Es reicht ein ZeroTier Klient, der den Traffic dann in dein Netz weiterreicht. Die obigen Teilnehmer beziehen sich auf die ZeroTier Klienten, nicht die tatsächlich im Netz vorhandenen Klienten. Du kannst z.B. ein komplettes Subnetz auf einen ZeroTier Klient routen, der dass dann in deinem Netz routet.

Wenn das Thema schon aufgekommen ist: HomeAssistant
Wie smart ist euer Ferienhaus?

Finde ich super. Wollen wir einen eigenen Thread aufmachen?

[dksoft]

Ich nochmal.

Was ich zu euren obigen Fragen noch anmerken wollte ist, dass ZeroTier entgegen WireGuard auch Layer2 kann.
D.h. ihr könnte alle Protokolle, Multicast, Broadcast und VLAN durchleiten. Auch hat es eine MTU von 1500, also wie Ethernet.
Das kann gerade bei WireGuard sehr knapp werden, wenn man PPPoE und IPv6 im Einsatz hat ist man locker unter 1400 und muss sich mit TCP clamping beschäftigen.

@powder8
Das könnte bei deinen komplexen Netzen hilfreich sein.

[powder8]

Es reicht ein ZeroTier Klient, der den Traffic dann in dein Netz weiterreicht. Die obigen Teilnehmer beziehen sich auf die ZeroTier Klienten, nicht die tatsächlich im Netz vorhandenen Klienten. Du kannst z.B. ein komplettes Subnetz auf einen ZeroTier Klient routen, der dass dann in deinem Netz routet.

Ah, und wo liegt der Vorteil zu z.B. Wireguard?
Ich nutze WG auf einem Zentralen Server. Pro Netzt gibt es einen Client die sich mit dem Server verbinden. Wenn ich mit meinen iPhone auf einen Client im ES.Netz zugreifen möchte, macht das der WG Server automatisch, nur mit einer Verbindung. Ich kann also Clients im Büro oder Spanien oder Zuhause mit dem iPhone / iPad erreichen, nur mit einer VPN Verbindung.

Finde ich super. Wollen wir einen eigenen Thread aufmachen?

Da gibt es hier bestimmt nicht genug Teilnehmer.
Wichtig finde ich das Thema Wasserverbrauch und Lecks. Das Thema findet sich sehr häufig, bedingt durch die ganzen Plastikverbindungen in Spanien.

Aber auch smarte Bewässerung.

Oder Poolpumpe. Laufzeit und Strompreise. Ich nutze einen EneryMeter. Wenn die Poolpumpe zum Tagstromtarif läuft bekommt der Poolpfleger ein Telegram.

Pro Stunde kann da 1 cbm durchlaufen. Das kann sehr ins Geld gehen.