Hmmm... ich muss zugeben, damit habe ich mich noch nicht auseinandergesetzt und kenne die grundsätzliche Arbeitsweise des Verbindungsaufbaus nicht. Klassische VPN (OpenVPN, IPSec etc.) sind mir durchaus vertraut, weil ich sie für Fernzugriffe und Datenübertragungen (Backups) benutze. Wenn es aber keine festen Adressen (oder eben dann DynDNS-Namen) gibt, dann muss es im Umkehrschluss eine zentrale Vermittlungsinstanz geben, die zumindest Kenntnis der beteiligten Komponenten und ihren Adressen sowie den Verbindungsaufbau hat. Ich bin nicht paranoid, aber ich weiß nicht, ob ich das gut finden muss (auch wenn allein dadurch noch kein Zugriff auf die getunnelten Daten möglich ist). Ich sehe per se kein Sicherheitsrisiko, aber ich muss mir mal ein, zwei Gedanken machen und mich mit beschäftigen.
Gruß Xel66
Wechsel von CCU2 auf Raspberrymatic
Moderatoren: jmaus, Co-Administratoren
-
- Beiträge: 14169
- Registriert: 08.05.2013, 23:33
- System: Alternative CCU (auf Basis OCCU)
- Wohnort: Nordwürttemberg
- Hat sich bedankt: 586 Mal
- Danksagung erhalten: 1501 Mal
Re: Wechsel von CCU2 auf Raspberrymatic
-------------------------------------------------------------------------------------------
524 Kanäle in 146 Geräten und 267 CUxD-Kanäle in 34 CUxD-Geräten:
343 Programme, 334 Systemvariablen und 183 Direktverknüpfungen,
RaspberryMatic Version: 3.65.11.20221005 + Testsystem: CCU2 2.61.7
-------------------------------------------------------------------------------------------
Einsteigerthread, Programmlogik-Thread, WebUI-Handbuch
524 Kanäle in 146 Geräten und 267 CUxD-Kanäle in 34 CUxD-Geräten:
343 Programme, 334 Systemvariablen und 183 Direktverknüpfungen,
RaspberryMatic Version: 3.65.11.20221005 + Testsystem: CCU2 2.61.7
-------------------------------------------------------------------------------------------
Einsteigerthread, Programmlogik-Thread, WebUI-Handbuch
- jmaus
- Beiträge: 9865
- Registriert: 17.02.2015, 14:45
- System: Alternative CCU (auf Basis OCCU)
- Wohnort: Dresden
- Hat sich bedankt: 464 Mal
- Danksagung erhalten: 1883 Mal
- Kontaktdaten:
Re: Wechsel von CCU2 auf Raspberrymatic
Dann solltest du dir definitiv mal Tailscale anschauen bzw die technische Zusammenhänge davon anschauen und du wirst schnell verstehen das die klassischen VPNs die du kennst inzwischen im Grunde obsolet sind für diese Anwendung
Intern bzw als Backend nitzt Tailscale im Grunde nur wireguard als native VPN Lösung direkt im Linux Kernel. Das wirst du sicherlich dann kennen. Und das was Tailscale da ontop dann nich macht ist quasi einfach ein smartes wireguard basiertes VPN zwischen den einzelnen Teilnehmern aufzubauen. Das kann man auch alles von Hand machen wenn man weiss wie. Aber Tailscale nimmt einem da eben dieses ganze manuelle Setup durch entsprechende Clients ab. Mehr ist das nicht.Klassische VPN (OpenVPN, IPSec etc.) sind mir durchaus vertraut, weil ich sie für Fernzugriffe und Datenübertragungen (Backups) benutze.
Ich habe das anfangs auch ähnlich gesehen wie du, aber dann die technische Dokumentation von Tailscale studiert sowie verschiedene andere Quellen und Ressourcen. Und danach bin ich aber recht schnell zu dem Schluss gekommen, das Tailscale nicht nur eine sehr smarte Art des Managements einer komplexen VPN Struktur selbst bis hin zu Smartphone-Clients ist, sondern darüber hinaus auch noch absolut sicher! Die Tailscale-Server die es gibt spielen lediglich auf ganz banaler Ebene den Vermittler damit sich alle Clients auch zusammenfinden. Der gesamte Traffic und die Keys bleiben vollkommen lokal ohne das selbst bei Einbruch in die Server es irgendeine Möglichkeit gäbe hier auf diese VPN Teilnehmer zu kommen. Meine eigene anfängliche Skepsis dagegen war zwar verständlich aber im Nachhinein vollkommen unbegründet! Deshalb schau es dir mal vom technischen Auge her selbst an und vmtl wirst du wie ich recht überrascht sein wie genial einfach und gleichzeitig sicher Tailscale ist. Und darüberhinaus setzt es eben auch auf Wireguard als native VPN Lösung im Linux Kernel und ist damit sogar performanter als alle mir bisher bekannten VPN Lösungen!Wenn es aber keine festen Adressen (oder eben dann DynDNS-Namen) gibt, dann muss es im Umkehrschluss eine zentrale Vermittlungsinstanz geben, die zumindest Kenntnis der beteiligten Komponenten und ihren Adressen sowie den Verbindungsaufbau hat. Ich bin nicht paranoid, aber ich weiß nicht, ob ich das gut finden muss
RaspberryMatic 3.75.7.20240420 @ ProxmoxVE – ~200 Hm-RF/HmIP-RF/HmIPW Geräte + ioBroker + HomeAssistant – GitHub / Sponsors / PayPal /
Re: Wechsel von CCU2 auf Raspberrymatic
Hallo zusammen,
Tailscale klingt sehr interessant. Werde ich sicher noch einsetzen, aber lieber noch nicht als erstes bei der Homematic meiner Schwiegermutter.
Das probiere ich lieber erst bei meinem System in Ruhe aus, um Erfahrungen damit zu sammeln.
Danke für eure Infos und Anregungen!
ciao, Jörg
Tailscale klingt sehr interessant. Werde ich sicher noch einsetzen, aber lieber noch nicht als erstes bei der Homematic meiner Schwiegermutter.
Das probiere ich lieber erst bei meinem System in Ruhe aus, um Erfahrungen damit zu sammeln.
Danke für eure Infos und Anregungen!
ciao, Jörg
-
- Beiträge: 14169
- Registriert: 08.05.2013, 23:33
- System: Alternative CCU (auf Basis OCCU)
- Wohnort: Nordwürttemberg
- Hat sich bedankt: 586 Mal
- Danksagung erhalten: 1501 Mal
Re: Wechsel von CCU2 auf Raspberrymatic
Ich bemängele auch nicht die Sicherheit des Systems. Das habe ich auch wegen des darunterliegenden Wireguards nicht infrage gestellt. Aber der Anbieter stellt mir in seinem Webinterface auch viele Metadaten zu den bestehenden Verbindungen zur Verfügung. Heißt im Umkehrschluss, er kennt diese Daten auch (wer mit wem und wann wie lange uswusf.). Anfangen kann er im Grunde nicht viel damit und trotzdem habe ich persönlich damit ein kleines (höchstwahrscheinlich nur gefühltes) Problem. Ist ähnlich wie bei den Messengern. Ende zu Ende verschlüsselt, aber die Metadaten scheinen trotzdem Begehrlichkeiten zu wecken. Oder Beispiel Telefonie. Der Inhalt ist zumeist (rechtlich) geschützt, aber auch die Metadaten sind für bestimmte Dienste interessant.jmaus hat geschrieben: ↑09.01.2022, 10:02Die Tailscale-Server die es gibt spielen lediglich auf ganz banaler Ebene den Vermittler damit sich alle Clients auch zusammenfinden. Der gesamte Traffic und die Keys bleiben vollkommen lokal ohne das selbst bei Einbruch in die Server es irgendeine Möglichkeit gäbe hier auf diese VPN Teilnehmer zu kommen.
Die einfache Einrichtung eines VPN ist für mich als technikaffinen Menschen nicht wirklich das Problem. Ist nur eine Sache des Aufwandes. Ich betreibe Site to Site, Client to Client und Roadwarrier-Scenarios -je nach Aufgabe. Ich verstehe es daher als Nichtbetroffener von NAT und CG-NAT auch nicht als Lösung eines vorhandenen Problems. Denn ich habe an den relevanten Stellen öffentliche IPv4-Adressen bzw. DynDNS. Mich stört wie oben schon beschrieben, dass jemand anderes da im Boote hängt und dass die Registrierung über Mailadressen bei den größten Datenkraken des Internets erfolgt. Und mögen diese Dienste nur als Vermittler der Verbindung eingebunden sein. Ich versuche meinen Datenfußabdruck auf das Nötige zu beschränken. Nicht dass ich illegales oder nur im Ansatz rechtlich fragwürdiges betreibe oder betreiben will. Ich bin vermutlich für entsprechende Interessentengruppen einer der uninteressantesten und langweiligsten Menschen dieser Welt. Aber wie sagte Gisela bei Horst Schlämmer wiederholt? "Isch möschte das nischt!" Wer es benötigt (NAT-betroffen oder einfache Einrichtung notwendig), kann es gern einsetzen. Sicherheitstechnisch habe ich nach derzeitiger Datenlage keine Bedenken.
Gruß Xel66
-------------------------------------------------------------------------------------------
524 Kanäle in 146 Geräten und 267 CUxD-Kanäle in 34 CUxD-Geräten:
343 Programme, 334 Systemvariablen und 183 Direktverknüpfungen,
RaspberryMatic Version: 3.65.11.20221005 + Testsystem: CCU2 2.61.7
-------------------------------------------------------------------------------------------
Einsteigerthread, Programmlogik-Thread, WebUI-Handbuch
524 Kanäle in 146 Geräten und 267 CUxD-Kanäle in 34 CUxD-Geräten:
343 Programme, 334 Systemvariablen und 183 Direktverknüpfungen,
RaspberryMatic Version: 3.65.11.20221005 + Testsystem: CCU2 2.61.7
-------------------------------------------------------------------------------------------
Einsteigerthread, Programmlogik-Thread, WebUI-Handbuch