VPN til 4G router åpning av porter.

[Lucky70]

Hei.

Jeg forsøker å sette opp en VPN til routeren min på hytta, 
Det ser ut som 4g leverandøren har en egen brannmur som blokkerer meg fra å få dette til.

 

Finnes det noen omvei for å få dette til?

 

MVH

 

PK

[NilsOF]

4g modemene har som oftest NAT mot mobilnettet. I tillegg mener jeg å ha observert enda ett NAT-lag hos mobiloperatøren..

Det sikreste er å starte VPN -tunellen fra innsiden av 4g -modemet, eller fra 4g-modemet om det finnes støtte.

 

[Lucky70]

Jeg bruker WireGuard VPN i Home Assistant. 
For å kunne logge meg inn på HA remote har jeg brukt WG på hjemmesystemet mitt nå en stund. 

4G modemet mitt har NAT, og det er nok ett NAT lag til. Når jeg sjekker IP adressen min så er den en annen enn den som kommer opp i routeren.

Finnes det noen løsning for å få dette til?

 

 

[Moskus]

Man må vel typisk endre APN for modemet. Telenor skal vel settes til "telenor.public" hvis jeg husker riktig.

[NilsOF]

6 timer siden, Moskus skrev:

Man må vel typisk endre APN for modemet. Telenor skal vel settes til "telenor.public" hvis jeg husker riktig.

Ja, det gir mening.

 

For å få VPN-tunellen "inn" så må man sette opp port-forwarding igjennom NAT-funksjonen(e).

Man trenger ikke forwarding når VPN-tunellen starter opp og går "ut".

Derfor taes VPN-tuneller "inn" på de steder man har egnet utstyr og oversikt.

Etter det jeg har skummet igjennom om Wireguard så skal ovenstående gå fint.

[Lucky70]

Ja utfordringen er NAT laget hos Telenor. Det har man ikke kontroll over med et normalt bredbånds SIM kort. 
Ser de har M2M sim. Spørs om jeg må prøve et slikt. Ulempen er da at jeg må ha to routere, en til automasjon og IOT og en til surfing.

 

 

[NilsOF]

På meg virker det som om IOT er noe som operatørene skal tjene penger på.

Jeg har tilgode å få hull på de hvordan det tekniske er satt opp på løsningene deres.

I praksis virker det som en hindring for at VPN skal få noen utbredelse.

Det er jo mye bedre (for operatørene) at kundene er låst fast. 😕

 

Hm, hvor mye koster det å leie plass for en virituel Linux-server og bruke den som VPN-senter mon tro?

Med en moderne Linux-kjærne så har man både Wireguard og nftables tilgjengelig.

Ikke mye man treger av plass for OS med andre ord.

 

Endret 28. desember 2020 av NilsOF

[NilsOF]

På 27.12.2020 den 9.43, Lucky70 skrev:

For å kunne logge meg inn på HA remote har jeg brukt WG på hjemmesystemet mitt nå en stund. 

Men da har du allerede VPN på plass i heimen og er halvt i mål 🙂

Om du starter Wireguard fra innsiden av 4g-modemet så spiller NATinga hos Telenor ingen rolle (i det minste i teorien, jeg har tilgode å prøve)

Endret 28. desember 2020 av NilsOF

[Offpiste]

På 26.12.2020 den 17.05, Lucky70 skrev:

Finnes det noen omvei for å få dette til?

Med Zerotier One trenger man ikke å åpne porter. Finnes Add-on i Home Assistant også.

[NilsOF]

1 time siden, Offpiste skrev:

Med Zerotier One trenger man ikke å åpne porter

Jeg kan garantere at den trenger en port å kjøre på den også 😉

Og den kan garantert ikke gå inn igjennom en NAT uten hjelp den heller.

 

Men ut igjennom NAT kan den muligens gå akkurat som Wireguard.

Når tunellen er opprettet, får man bidiraksjonalitet.

Saken med Wireguard er at den er inkludert i Linux-kjærna, har liten overhead samtidig som den er kryssplatform. Den svinger seg derfor opp en slags "standard".

Skal foresten ikke forundre meg om Zerotier faktisk er bygget over Wireguard heller 🙂

Endret 28. desember 2020 av NilsOF

[Lucky70]

Da er problemet løst. 
Fikk et tips her oppe å endre APN til telenor.public. 
Det virket ikke, men internet.public gjorde susen. 

 

Takk for tips og hint alle sammen.

 

 

[Offpiste]

18 timer siden, NilsOF skrev:

Jeg kan garantere at den trenger en port å kjøre på den også 😉

Og den kan garantert ikke gå inn igjennom en NAT uten hjelp den heller.

Ok, for meg virker den bra mellom forskjellige nettverk og på mobilen uten å åpne noen porter.

 

 

 

[Moskus]

På 29.12.2020 den 8.28, Lucky70 skrev:

Det virket ikke, men internet.public gjorde susen. 

Takk!  

[slippern]

Bare husk at du med internet.public ikke lengre er bak brannmurene til Telenor, så da treffer all slags mulig dritt trafikk din router.. Som igjen går ut over datapakken.. Så kan være smart og følge litt med forbruket 🙂

Endret 9. februar 2021 av slippern

[Moskus]

9 timer siden, slippern skrev:

Bare husk at du med internet.public ikke lengre er bak brannmurene til Telenor, så da treffer all slags mulig dritt trafikk din router.. Som igjen går ut over datapakken..

Har brukt "internet.public" i mange år, men har aldri opplevd dette som et problem. Det blir ikke trafikk gjennom routeren (som jo er vel det som teller) hvis brannmuren gjør jobben sin sånn noen lunde.  

[Lucky70]

Har kjørt med "internet.public" nå i noen måneder. Det fungerer fint. Skulle gjerne hatt beskyttelsen fra Telenors brannmur, men den får du ikke åpnet noen porter på sånn uten videre.

Det er bare HA som har datatrafikk på den routeren min.

[slippern]

På 10.2.2021 den 9.03, Moskus skrev:

Har brukt "internet.public" i mange år, men har aldri opplevd dette som et problem. Det blir ikke trafikk gjennom routeren (som jo er vel det som teller) hvis brannmuren gjør jobben sin sånn noen lunde.  

Så lenge trafikken treffer din router/brannmur så teller det som datamenge hos telenor.. Hva brannmuren din gjør med trafikken (deny/drop/accept) driter telenor en lang marsj i 🙂

Er ikke et problem normalt sett, men om noen kinesere skulle ha det vell artig, så blir det et problem.

[OMR]

Denne hjalp meg i dag igjen, etter så mange år!
Kjøpte en billig tp-link MR200 4G til å ha foran en netgate pfsense+ SG-1100 og kunne ikke skjønne hvorfor DMZ ikke funka.
Når jeg fikk satt APN til internet.public funket det som en drøm. (På talkmore=teleno)

Endret 7. juni av OMR

[slippern]

Kan også sette den til telenor.fwa om du ønsker IPv4 og IPv6.