Wechsel von CCU2 auf Raspberrymatic

[Xel66]

Hmmm... ich muss zugeben, damit habe ich mich noch nicht auseinandergesetzt und kenne die grundsätzliche Arbeitsweise des Verbindungsaufbaus nicht. Klassische VPN (OpenVPN, IPSec etc.) sind mir durchaus vertraut, weil ich sie für Fernzugriffe und Datenübertragungen (Backups) benutze. Wenn es aber keine festen Adressen (oder eben dann DynDNS-Namen) gibt, dann muss es im Umkehrschluss eine zentrale Vermittlungsinstanz geben, die zumindest Kenntnis der beteiligten Komponenten und ihren Adressen sowie den Verbindungsaufbau hat. Ich bin nicht paranoid, aber ich weiß nicht, ob ich das gut finden muss (auch wenn allein dadurch noch kein Zugriff auf die getunnelten Daten möglich ist). Ich sehe per se kein Sicherheitsrisiko, aber ich muss mir mal ein, zwei Gedanken machen und mich mit beschäftigen.

Gruß Xel66

[jmaus]

Hmmm... ich muss zugeben, damit habe ich mich noch nicht auseinandergesetzt und kenne die grundsätzliche Arbeitsweise des Verbindungsaufbaus nicht.

Dann solltest du dir definitiv mal Tailscale anschauen bzw die technische Zusammenhänge davon anschauen und du wirst schnell verstehen das die klassischen VPNs die du kennst inzwischen im Grunde obsolet sind für diese Anwendung

Klassische VPN (OpenVPN, IPSec etc.) sind mir durchaus vertraut, weil ich sie für Fernzugriffe und Datenübertragungen (Backups) benutze.

Intern bzw als Backend nitzt Tailscale im Grunde nur wireguard als native VPN Lösung direkt im Linux Kernel. Das wirst du sicherlich dann kennen. Und das was Tailscale da ontop dann nich macht ist quasi einfach ein smartes wireguard basiertes VPN zwischen den einzelnen Teilnehmern aufzubauen. Das kann man auch alles von Hand machen wenn man weiss wie. Aber Tailscale nimmt einem da eben dieses ganze manuelle Setup durch entsprechende Clients ab. Mehr ist das nicht.

Wenn es aber keine festen Adressen (oder eben dann DynDNS-Namen) gibt, dann muss es im Umkehrschluss eine zentrale Vermittlungsinstanz geben, die zumindest Kenntnis der beteiligten Komponenten und ihren Adressen sowie den Verbindungsaufbau hat. Ich bin nicht paranoid, aber ich weiß nicht, ob ich das gut finden muss

Ich habe das anfangs auch ähnlich gesehen wie du, aber dann die technische Dokumentation von Tailscale studiert sowie verschiedene andere Quellen und Ressourcen. Und danach bin ich aber recht schnell zu dem Schluss gekommen, das Tailscale nicht nur eine sehr smarte Art des Managements einer komplexen VPN Struktur selbst bis hin zu Smartphone-Clients ist, sondern darüber hinaus auch noch absolut sicher! Die Tailscale-Server die es gibt spielen lediglich auf ganz banaler Ebene den Vermittler damit sich alle Clients auch zusammenfinden. Der gesamte Traffic und die Keys bleiben vollkommen lokal ohne das selbst bei Einbruch in die Server es irgendeine Möglichkeit gäbe hier auf diese VPN Teilnehmer zu kommen. Meine eigene anfängliche Skepsis dagegen war zwar verständlich aber im Nachhinein vollkommen unbegründet! Deshalb schau es dir mal vom technischen Auge her selbst an und vmtl wirst du wie ich recht überrascht sein wie genial einfach und gleichzeitig sicher Tailscale ist. Und darüberhinaus setzt es eben auch auf Wireguard als native VPN Lösung im Linux Kernel und ist damit sogar performanter als alle mir bisher bekannten VPN Lösungen!

[Giotto]

Hallo zusammen,

Tailscale klingt sehr interessant. Werde ich sicher noch einsetzen, aber lieber noch nicht als erstes bei der Homematic meiner Schwiegermutter.
Das probiere ich lieber erst bei meinem System in Ruhe aus, um Erfahrungen damit zu sammeln.

Danke für eure Infos und Anregungen!

ciao, Jörg

[Xel66]

Die Tailscale-Server die es gibt spielen lediglich auf ganz banaler Ebene den Vermittler damit sich alle Clients auch zusammenfinden. Der gesamte Traffic und die Keys bleiben vollkommen lokal ohne das selbst bei Einbruch in die Server es irgendeine Möglichkeit gäbe hier auf diese VPN Teilnehmer zu kommen.

Ich bemängele auch nicht die Sicherheit des Systems. Das habe ich auch wegen des darunterliegenden Wireguards nicht infrage gestellt. Aber der Anbieter stellt mir in seinem Webinterface auch viele Metadaten zu den bestehenden Verbindungen zur Verfügung. Heißt im Umkehrschluss, er kennt diese Daten auch (wer mit wem und wann wie lange uswusf.). Anfangen kann er im Grunde nicht viel damit und trotzdem habe ich persönlich damit ein kleines (höchstwahrscheinlich nur gefühltes) Problem. Ist ähnlich wie bei den Messengern. Ende zu Ende verschlüsselt, aber die Metadaten scheinen trotzdem Begehrlichkeiten zu wecken. Oder Beispiel Telefonie. Der Inhalt ist zumeist (rechtlich) geschützt, aber auch die Metadaten sind für bestimmte Dienste interessant.

Die einfache Einrichtung eines VPN ist für mich als technikaffinen Menschen nicht wirklich das Problem. Ist nur eine Sache des Aufwandes. Ich betreibe Site to Site, Client to Client und Roadwarrier-Scenarios -je nach Aufgabe. Ich verstehe es daher als Nichtbetroffener von NAT und CG-NAT auch nicht als Lösung eines vorhandenen Problems. Denn ich habe an den relevanten Stellen öffentliche IPv4-Adressen bzw. DynDNS. Mich stört wie oben schon beschrieben, dass jemand anderes da im Boote hängt und dass die Registrierung über Mailadressen bei den größten Datenkraken des Internets erfolgt. Und mögen diese Dienste nur als Vermittler der Verbindung eingebunden sein. Ich versuche meinen Datenfußabdruck auf das Nötige zu beschränken. Nicht dass ich illegales oder nur im Ansatz rechtlich fragwürdiges betreibe oder betreiben will. Ich bin vermutlich für entsprechende Interessentengruppen einer der uninteressantesten und langweiligsten Menschen dieser Welt. Aber wie sagte Gisela bei Horst Schlämmer wiederholt? "Isch möschte das nischt!" Wer es benötigt (NAT-betroffen oder einfache Einrichtung notwendig), kann es gern einsetzen. Sicherheitstechnisch habe ich nach derzeitiger Datenlage keine Bedenken.

Gruß Xel66