Remote zum Raspberry Pi?
Hallo,
wie kann ich mich zuverlässig per SSH zum Raspberry Pi verbinden, auch, wenn der Pi sich in einem anderen Netzwerk befindet (und dieses auch manchmal wechselt), ist das möglich? Über Hilfe wäre ich sehr dankbar
2 Antworten
Meine Geräte, inklusive denen hinter NAT gateways und firewalls, und mit wechselnden Verbindungen zu Internet, sind alle wireguard peers, und können sich somit auch untereinander erreichen. Inklusive per ssh - so kann ich auch nach beliebigen Mobilgeräten ssh'en, solange die nur "irgendwie" Internetverbindung haben.
Auch die Raspi-ähnlichen SBCs sind so alle erreichbar.
Raspbian, oder Raspberry OS bringt wireguard schon mit. Eventuell willst du noch wireguard-tools installieren. Außerdem benötigst du eine Art Gegenstation, bevorzugt eine Maschine, die gut erreichbar ist. Ideal wäre ein Server im Internet, aber auch ein WLAN Router eignet sich dafür, insbesondere wenn reflashed, z.B. mit OpenWRT (welches ebenfalls wireguard-unterstützung hat).
Dann ist's im Wesentlichen Zugangsschlüssel erzeugen, die Konfiguration per peer, und dann für sorgen, dass die peers beim Booten automatisch verbinden.
Ganz vereinfacht ausgedrückt, ja. Auf dem Server muss man noch ip forwsrding aktivieren, will vermutlich noch firewallregeln bauen und in den Netzen müssen noch entsprechende Routen für die VPN Netze gesetzt werden.
Davon ausgehend, dass sowieso nur authentifizierte Geräte ins VPN kommen, sollten zusätzliche Firewall rules unnötig sein - ebenso ip forwarding, wenn du den Router nicht über VPN als Gateway ins Internet verwenden möchtest - was in diesem Fall auch nicht beabsichtigt ist. VPN peer nach VPN peer innerhalb des selben Netzwerks, und damit über dasselbe VPN Interface, reicht.
Wenn man zwischen den Netzen nichts filtern will, braucht man dafür keine Regeln, aber so einen Server sollte maximal abgesichert werden. Wenn da jemand rein kommt, hat er unbeschränkten Zugriff auf alle netze.
kurz, mein Punkt ist, dass so ein Setup nicht so einfach ist, vor allem nicht für Laien, da gibt es noch mehr zu bedenken als nur den wireguard Part
Verstehe ich richtig, dass du zunächst unnötigerweise ip forwarden möchtest, um dann die möglichen Konsequenzen mit zusätzlichen Firewall regeln aufzufangen?
Andere würden das hier unnötige forwarden zwischen Interfaces einfach nicht einschalten - und ersparen sich dann auch die daraus resultierenden unnötigen Firewall Regeln.
Was möchtest du dann als Folge des Einrichtens eines VPNs extra absichern, also über das hinaus, was auch ohne VPN schon abgesichert sein soll?
Das hört sich sehr gut an, aber bei dem Thema bin leider Laie, könntest du mir das eventuell leicht erklären? Ich gebe natürlich auch nen Sternchen, wenn es klappt :)