Sie sind nicht angemeldet.

Per Fritz Fernzugang als VPN in die Praxis

BurkhardStr

Beiträge: 3 809

Wohnort: .

Über mich: meine Vorlagen , und meine MO Tipps

  • Nachricht senden

41

Sonntag, 6. Februar 2022, 09:55

offline scheint auch zu funktionieren.
- aber der rote-syncho punkt ist noch irritierend. der abgleich erfolgt (Server hat die Änderungen übernommen und die Synchro-Meldung ist aktuell) - aber der Punkt leuchtet trotzdem


nächste Frage: kann man über den Konnektor aus der Ferne Pin eingeben? (szenario - ich bin nicht in der Praxis und führe eine Aktion aus, die eine Pin-Eingabe erfordert)
meine Übersicht - Tipps

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »BurkhardStr« (6. Februar 2022, 10:36)

pquick

  • »pquick« ist der Autor dieses Themas

Beiträge: 4 011

Wohnort: Plauen

  • Nachricht senden

42

Sonntag, 6. Februar 2022, 17:39

Nein, das geht definitiv nicht. sie müssen schon die PIN manuell am Kartenlesegerät eingeben.

BurkhardStr

Beiträge: 3 809

Wohnort: .

Über mich: meine Vorlagen , und meine MO Tipps

  • Nachricht senden

43

Samstag, 24. Juni 2023, 19:39

wenn die hosts datei bei jedem systemstart neu überschrieben wird (# vor den IP adressen) - dann macht das wahrscheinlich das antivirenprogramm (bei mir Bitdefender)
wenn man die hosts datei verändert hat, einfach schreibschützen (rechtsklick, eigenschaften)
meine Übersicht - Tipps

Privacy

Beiträge: 829

Wohnort: DD

  • Nachricht senden

44

Dienstag, 8. August 2023, 11:36

"
In der Praxis habe ich DSL 100, also Upload 40 Mbit. Zu Hause habe ich Glasfaser mit ebenfalls 100 MBit.

Das sollte eigentlich für den Datenabgleich reichen. Um diesen geht es mir eigentlich. Ich möchte, im Moment eigentlich gar nicht produktiv sondern nur zu Testzwecken für eventuelle spätere Nutzung, das Mobil Modul zu Hause nutzen und es soll über den Replikationsdienst die Daten abgleichen."

Für den Datenabgleich schon, allerdings wenn die Klopse von mostat kommen ... dann scheint der Rechner zu hängen ;-( - es wäre gut, wenn dies nur im lokalen Netz passierte


"Warum kein RDP? Das ist mir irgendwie noch etwas zu suspekt und zu theoretisch gefährlich. Ich möchte definitiv keine offene Schnittstelle in meinem Praxisnetz. Windows ist mir per Konzeption zu unsicher. Daher möchte ich ein VPN, das ist erpropte und sichere Technik."

RDP läuft doch auch über VPN?? oder auf welchem sonst mystischen Weg?

Übrigens nutzen wir Linux Clients für die reinen VPN-Zugänge. Xubuntu mit Remmina. Die Zugangsdaten für den Tunnel sind in einem VeraCrypt_Ordner eingeschlossen.

"Schon klar, dass der Fritz Fern Zugang überholt und technisch nicht besonders gut ist. Vielleicht gibt es auch einen VPN Client für Windows, der besser ist. "

Es gibt noch WireGuard, wird auch von der FritzBox unterstützt. Allerdings muss man ziemlich basterln, damit der Zugang für nicht-Admin-User funktioniert.

Privacy

Beiträge: 829

Wohnort: DD

  • Nachricht senden

45

Dienstag, 8. August 2023, 11:38

Zitat von »pquick«

Nein, das geht definitiv nicht. sie müssen schon die PIN manuell am Kartenlesegerät eingeben.


Aber man könnte sich sogar ein Lesegerät zu Hause installieren ... - Anbindung via Tunnel müsste möglich sein

MarcAllef

unregistriert

46

Donnerstag, 10. August 2023, 01:06

Zitat von »Privacy«

"
In der Praxis habe ich DSL 100, also Upload 40 Mbit. Zu Hause habe ich Glasfaser mit ebenfalls 100 MBit.

Das sollte eigentlich für den Datenabgleich reichen. Um diesen geht es mir eigentlich. Ich möchte, im Moment eigentlich gar nicht produktiv sondern nur zu Testzwecken für eventuelle spätere Nutzung, das Mobil Modul zu Hause nutzen und es soll über den Replikationsdienst die Daten abgleichen."

Für den Datenabgleich schon, allerdings wenn die Klopse von mostat kommen ... dann scheint der Rechner zu hängen ;-( - es wäre gut, wenn dies nur im lokalen Netz passierte


"Warum kein RDP? Das ist mir irgendwie noch etwas zu suspekt und zu theoretisch gefährlich. Ich möchte definitiv keine offene Schnittstelle in meinem Praxisnetz. Windows ist mir per Konzeption zu unsicher. Daher möchte ich ein VPN, das ist erpropte und sichere Technik."

RDP läuft doch auch über VPN?? oder auf welchem sonst mystischen Weg?

Übrigens nutzen wir Linux Clients für die reinen VPN-Zugänge. Xubuntu mit Remmina. Die Zugangsdaten für den Tunnel sind in einem VeraCrypt_Ordner eingeschlossen.

"Schon klar, dass der Fritz Fern Zugang überholt und technisch nicht besonders gut ist. Vielleicht gibt es auch einen VPN Client für Windows, der besser ist. "

Es gibt noch WireGuard, wird auch von der FritzBox unterstützt. Allerdings muss man ziemlich basterln, damit der Zugang für nicht-Admin-User funktioniert.


... mit 2 Raspis ist Wireguard aber wesentlich schneller. Eine Netz-Netz-Verbindung per Fritzbox ist leider bei weitem nicht so leistungsfähig wie eine Wireguard-Verbindung mit Raspis hinter den FritzBoxen. Offenbar sind die FritzBox-CPUs eher schwach. Ja, ist Bastelarbeit. Aber geht habwegs.

RDP:
* Die IPV4-Adresse des Zielcomputers kann einfach durchgescannt, damit erraten werden.
* Der Port 3389 für RDP ist leider Standard, den kann und aus meiner Sicht muss man ändern. Auf irgendwas Hohes unter 65353.

* Dann schützt einen noch das Windows-Kennwort: Das ist in einer Praxis leider trivial, insbesondere ein Begriff aus dem Wörterbuch.
* Fehler von RDP: Es passiert eben NICHT, dass nach 3 (5) Passwort-Versuchen ein weiterer Versuch erst nach einer Wartezeit möglich ist. Damit sind Wörterbuch-Angriffe oft erfolgreich.
Aber die Funktion von RDP ist auch von z. B. Teamviewer unerreicht.

pquick

  • »pquick« ist der Autor dieses Themas

Beiträge: 4 011

Wohnort: Plauen

  • Nachricht senden

47

Donnerstag, 10. August 2023, 11:35

Mit WireGuard und den Raspi haben Sie völlig Recht, genau meine Erfahrungen. Wobei es mit dem neuen FritzOS und einer neuen FritzBox 7590ax etwa ähnlich schnell sein soll laut cˋt.


Aber zum WireGuard auf dem Raspi gibt es unter YouTube sehr gute Anleitungen, die die Bastelzeit deutlich verkürzen sollten. Und zum WireGuard sind bisher noch keine Hacks bekannt geworden, die Einbrüche ermöglicht haben.

Eine bessere Sicherheit kann ich mir aktuell ohne erheblichen finanziellen Aufwand nicht vorstellen, gerade für kleine Praxen

BurkhardStr

Beiträge: 3 809

Wohnort: .

Über mich: meine Vorlagen , und meine MO Tipps

  • Nachricht senden

48

Donnerstag, 10. August 2023, 13:35

ich habe den raspi mit WG in benutzung, aber so komfortabel wie mit dem WG-Dashboard konnte ich bisher die Schlüssel nciht nochmal auf meinen anderen Raspis einstellen - aber WG-Dashboard geht nicht mehr mit dem neuen OS für den RAspi.

sprich - wo ist denn ein Video von WG für Raspi den Einstellungen davon?

(- ich überlege die ganze zeit, ob ich vom RAspi meine SD Karte als abbild online hochlade, mit geänderten schlüsseln, sodass sich jeder einfach das auf seine SD kopieren muss (zb mit Macrium) ) - das wäre mit abstand das allerschnellste für neulinge.
meine Übersicht - Tipps

pquick

  • »pquick« ist der Autor dieses Themas

Beiträge: 4 011

Wohnort: Plauen

  • Nachricht senden

49

Donnerstag, 10. August 2023, 19:07

Das würde ich nicht empfehlen. Dann stimmen ja die ganzen Einstellungen bezüglich des Netzes nicht mehr. Wenn ich nur Wireguard möchte, dann geht das doch mit etwas YouTube recht schnell…

Das WireGuard Dashboard habe ich nie versucht. Man kann aber mit einfachen Kommandos neue WireGuard-Nutzer erzeugen…

Hier noch mal für alle Neulinge eine gute Anleitung, WireGuard zu installieren

https://www.monsterli.ch/blog/hardware/r…-mit-wireguard/

Und hier eine Übersicht über die verschiedenen Kommandobefehle

https://docs.pivpn.io/wireguard/

Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von »pquick« (10. August 2023, 19:18)

BurkhardStr

Beiträge: 3 809

Wohnort: .

Über mich: meine Vorlagen , und meine MO Tipps

  • Nachricht senden

50

Donnerstag, 10. August 2023, 20:45

danke!
in der Fritzbox ist das sehr komfortabel geworden, und die Geschwindigkeit empfinde ich als ähnlich zu meinem Raspi.

(monsterli.ch sieht gut erklärt aus als konsolen-variante!)
meine Übersicht - Tipps

MarcAllef

unregistriert

51

Donnerstag, 10. August 2023, 22:04

Dazu kommt noch die Erkenntnis, dass per RDP überraschend wenig Bandbreite gebraucht wird. Ein Wireuard-VPN zwischen 2 Fritzboxen holt damit vermutlich nicht das Maximum aus dem Internetanschluß heraus, ist aber schlicht für RDP schnell genug um flüssig zu arbeiten. Und ehrlich gesagt ist der alles, was darüber hinausgeht, eher Kür als Pflicht.

Es ist aber andererseits schlicht turbocool, wenn die 60GB-MO-Datenbank nach einer Stunde nach Hause kopiert ist...

l.kruse

Beiträge: 1 106

  • Nachricht senden

52

Donnerstag, 10. August 2023, 22:21

Mit Raspis bin ich für Wireguard nie wirklich warm geworden, nach meinen Versuchen damit arbeiten die jetzt als Pihole-Werbefilter.

Was sich bei mir fürs VPN besser bewährt hat sind zwei Friztzboxen 4040, die ich auf OpenWRT umgeflasht habe. Das ging erheblich problemloser als es klingt und ist absolut keine Bastellösung mehr. Habe das allerdings zugegeben noch nicht mit MO, sondern nur privat genutzt.

Das neue native Fritzbox-Wireguard habe ich noch nicht ausprobiert. Könnte sein, dass das noch besser und einfacher geht, wenn ich das hier so lese.

pquick

  • »pquick« ist der Autor dieses Themas

Beiträge: 4 011

Wohnort: Plauen

  • Nachricht senden

53

Donnerstag, 10. August 2023, 23:39

Die von mir genannte Webseite erklärt, wie man PiHole und Wireguard direkt nacheinander installiert. Klappt sehr gut, Werbeblocker und VPN-Client auf einer Maschine.
Ja, es wirkt wie eine Bastellösung, läuft aber extrem zuverlässig

Backups auf den QNAP zu Hause hochladen, kein Problem

Aber wie immer, jeder macht das, was er kann und will

BurkhardStr

Beiträge: 3 809

Wohnort: .

Über mich: meine Vorlagen , und meine MO Tipps

  • Nachricht senden

54

Montag, 25. Dezember 2023, 09:01

hat jemand eine Idee, warum ich per vpn nicht ins Safenet komme?

die Route setzten klappt gut. funktioniert in der PRaxis. alle lokalen PCs lassen sich gut erreichen.

ich leite meinen Internetverkehr über ein pihole, damit ich nicht auf schädlichen Seiten aus der PRaxis heraus lande.
Wireguard ist vpn.

aber kvtop kann ich nicht erreichen.
meine Übersicht - Tipps

pquick

  • »pquick« ist der Autor dieses Themas

Beiträge: 4 011

Wohnort: Plauen

  • Nachricht senden

55

Dienstag, 26. Dezember 2023, 08:07

Haben Sie mal mit tracert geschaut, wo die Route hängenbleibt? Mir fallen mehrere Stellen ein, wo es hängen könnte….

BurkhardStr

Beiträge: 3 809

Wohnort: .

Über mich: meine Vorlagen , und meine MO Tipps

  • Nachricht senden

56

Dienstag, 26. Dezember 2023, 11:15

Danke für die Hilfe. klappt noch nicht

tracert https://kvtop.kvt.kv-safenet.de/
Der Zielname https://kvtop.kvt.kv-safenet.de/ konnte nicht aufgelöst werden.

C:\Users\burkh>tracert 188.144.0.0

Routenverfolgung zu 188.144.0.0 über maximal 30 Hops

1 64 ms 64 ms 52 ms 188.144.0.0
2 85 ms 66 ms 53 ms 188.144.0.0
3 * * * Zeitüberschreitung der Anforderung.

noch ideen?

das pihole habe ich deaktivert. daran lag es auch nicht.
vermutlich irgendwas im Wireguard. witzigerweise ging es


ich habe über vpn nochmal die route gesetzt
cmd admin
route ADD 188.144.0.0 mask 255.254.0.0 192.(....) -p
OK!

aber zugriff weiterhin nicht.
ideen wie ich noch testen kann?

kann es sein, dass anfragen über den Konnektor direkt dahin gesendet werden müssen in den vpn Eisntellungen? (was früher nicht so war)
meine Übersicht - Tipps

pquick

  • »pquick« ist der Autor dieses Themas

Beiträge: 4 011

Wohnort: Plauen

  • Nachricht senden

57

Dienstag, 26. Dezember 2023, 15:03

3 Fragen

  1. Welchen DNS haben Sie eingestellt?
  2. Leiten Sie den gesamten Datenverkehr über das VPN oder nur einen Teil davon?
  3. Haben Sie im Wireguard die Routen-Konfiguration richtig?

BurkhardStr

Beiträge: 3 809

Wohnort: .

Über mich: meine Vorlagen , und meine MO Tipps

  • Nachricht senden

58

Samstag, 30. Dezember 2023, 10:02

1. alles läuft über das Pihole (also von der Fritzbox auf die IP des Raspberry pi) - der ist der DNS. auch ohne Pihole in der Fritzbox (standardeinstellungen) war kvtop nicht erreichbar über vpn.
2. der gesamte Datenverkehr über über VPN geleitet. in wireguard eingestellt als: AllowedIPs = 0.0.0.0/0
fraglich ist das richtig: DNS = 192.168.178.1, fritz.box - aber auch mit der IP des Raspi geht es nicht.
3. das ist schwierig für mich zu beantworten - ich glaube ja, da internet und praxisinterne Seiten gehen (konnektor zb).
route ADD 188.144.0.0 mask 255.254.0.0 192.168.178.1 -p
vllt passt diese cmd eingabe nicht zu meinem VPN zugriff.

mir kommt es so vor, als müsste ich die route auch irgndwie über vpn definieren.

falls es was gibt, was ich ausprobieren kann, mache ich das gerne. ansonsten lebe ich damit, dass das Netz nicht über vpn Wireguard erreichbar ist.
meine Übersicht - Tipps

pquick

  • »pquick« ist der Autor dieses Themas

Beiträge: 4 011

Wohnort: Plauen

  • Nachricht senden

59

Sonntag, 31. Dezember 2023, 16:37

Ich habe mal als zweiten DNS die Adresse der SecuNet Box eingetragen. Außerdem muss man dort auch einstellen, dass IPS außerhalb des eigenen Netzes weitergeroutet werden dürfen.

BurkhardStr

Beiträge: 3 809

Wohnort: .

Über mich: meine Vorlagen , und meine MO Tipps

  • Nachricht senden

60

Montag, 1. Januar 2024, 12:40

in den wireguard client einstellungen habe ich damit keinen Erfolg. ich probiere das nochmal in der Fritzbox aus als 2. DNS.

irgendwie bin ich wenig zuversichtlich. Danke nochmals für all die Anregungen!
meine Übersicht - Tipps

Ähnliche Themen