Der Internetzugang meines Heimnetzwerks basiert auf OPNSense und bietet Zugang über Glasfaserkanäle. Vor Kurzem habe ich einen auf OpenWRT basierenden 4G-Zugangspunkt hinzugefügt, der auf einem Raspberry Pi läuft und Teil einer Gateway-Gruppe ist. Bei einem Ausfall des Glasfasernetzes wird die Umschaltung von OPNSense durchgeführt. Funktioniert bisher ganz gut. Ich denke darüber nach, den Zugang zu meinem Heimnetzwerk (eingehende VPN-Verbindung) bei einem Ausfall des kabelgebundenen Netzwerks zu sichern. Ich habe mir vorgestellt, den 4G-Zugangspunkt zu verwenden, um im Fehlerfall eine VPN-Verbindung zu einer extern gehosteten Serverinstanz zu ermöglichen (jeder in der Cloud gehostete VPS könnte den Job erledigen). Dadurch könnte ich auf mein Netzwerk zugreifen, falls mein Backup-Link aktiv ist. Nun ist die Frage, wie das geht?
Glaubt ihr, es wäre möglich, mit Wireguard eine VPN-Verbindung zu der extern gehosteten Serverinstanz herzustellen, mich bei dieser Instanz anzumelden und auf mein LAN zuzugreifen? Ich bin mir nicht sicher, ob das funktionieren würde, da sich der Wireguard-Client in meiner Heimumgebung befinden würde, während sich die Serverseite beispielsweise auf dem VPS befinden würde ...
Teilen Sie mir bitte Ihre Meinung mit. Ich denke gerade darüber nach, wie ich das schaffen könnte ...
Antwort1
Ja, das klingt nach einer gewöhnlichen „Site-to-Site“-VPN-Konfiguration. Generell macht es kaum einen Unterschied, ob Server oder Client, denn sobald die Verbindung hergestellt ist, können Pakete standardmäßig in beide Richtungen durchgehen.
(Obwohl es ein wenig hilft, dass WireGuard eher ein „VPN-Baustein“ ist – einTunnel– als ein vollwertiges „Client“-VPN-Produkt, das also sowohl hinsichtlich des zugrunde liegenden Protokolls, das überhaupt nicht zwischen „Clients“ und „Servern“ unterscheidet, als auch hinsichtlich der Konfiguration, die keine vordefinierten Rollen vorgibt, vollständig symmetrisch ist. Ein weiteres Beispiel: IPsec/IKEv2 verwendet die Begriffe „Initiator“ und „Responder“, um unnötige Implikationen zu vermeiden.
Aber eswürdeEs wäre immer noch möglich, dasselbe z. B. mit OpenVPN zu tun, indem man „iroute“ verwendet, nur nicht so schön; wenn ich OpenVPN für einen Site-to-Site-Tunnel verwenden müsste, würde ich den „Tap“-Modus verwenden, der von Natur aus flexibler ist, während der Standardmodus „tun“ stark clientorientiert ist.)
Hinweis: Wenn der WireGuard-Heimendpunkt nicht gefunden wirdAndas Haupt-Gateway (z. B. wenn Sie sich entscheiden, es auf dem OpenWRT-Gerät und nicht auf OpnSense zu konfigurieren), dann vergessen Sie nicht, das Haupt-OpenSense-Gateway so zu konfigurieren, dass es einRoutezum VPN-Subnetz über OpenWRT, sonst wissen Ihre LAN-Geräte nicht, wie sie Pakete an den VPS zurücksenden können. Dies ist jedoch nichts VPN-spezifisches.