Hallo Leute, ich hab seit kurzer Zeit das Problem, dass ich über Wireguard keine Verbindung mit der UGreen App zur DXP bekomme.
Der Tunnel steht und funktioniert auch, denn auf den HomeAssistant der und der DXP läuft kann ich zugreifen.
Wenn ich am PC einen Wiregurad Tunnel starte, dann klappt's aber und ich kann mich über die Web Oberfläche an der DXP anmelden, in der App geht's aber nicht und da sind unterschiedliche Telefone und Android Versionen betroffen.
Das AEG-System (also Ausschalten/Einschalten/Geht wieder) bring leider auch nichts.
Ich steh total am Schlauch! Vielleicht hat ja von euch jemand eine Idee woran das Problem liegen könnte.
Vielen Dank schon mal!
DXP-2800 nicht mehr über Wireguard Tunnel erreichbar
-
FotoFritz -
August 19, 2025 at 10:16 AM -
Thread is Resolved
-
Hallo,
Willst du uns teilhaben lassen, wie du es umgesetzt hast, für was du es brauchst und wie es funktioniert.
Ist es wirklich sicher?
Ich habe WireGuard auch Freigeschaltet. Mal funktioniert es mal funktioniert nicht. Das hab ich noch nicht rausgefundenen wo das Problem liegt. Melde mich einfach mit IP an, sehr komfortabel. Schöner wäre es wie beim iPhone und synology ein Drive zu haben ;- )
-
Tipp: Wireguard weglassen und stattdessen tailscale nutzen.
Tailscale im Docker auf dem NAS laufen lassen. via NAS firewall nur noch zugriffe aus dem local subnet zulassen.
Wireguard als klassisches VPN routet gleich deinen ganzen traffik nach hause und dort übers locale netz.
Tailscale hingegen routet nur das übers VPN was du auch wirklich im VPN haben willst. -
Dafür ist Wireguard lokal und bei Tailscale bist du auf den Anbieter gebunden.
Wireguard als klassisches VPN routet gleich deinen ganzen traffik nach hause und dort übers locale netz.
Das ist eine Einstellungssache. Du kannst auch nur das lokale Netz über Wireguard laufen lassen.
-
Tailscale im Docker auf dem NAS laufen lassen
Tailscale, Cloudflare usw. sind aber sicher auch Geschmacksache...
Im Wesentlichen bohrt damit direkt ein Loch durch seine Sicherheits-Infrastruktur (Firewall) und hebelt damit die eigentlichen Sicherheitsmechanismen aus.
So ein Tunnel ist zwar super bequem, ist aber natürlich auch nur so sicher wie die Software des Anbieters/Betreibers.
Außerdem könnte der Betreiber u.U. im verschlüsselten Tunnel wohl auch mitlesen. Ich persönlich sehe das etwas skeptisch.
VG Willi -
Ich bin auch kein Fan davon. Da muss man ja wirklich viel Vertrauen in die Firmen haben.
-
Tipp: Wireguard weglassen und stattdessen tailscale nutzen.
Außerdem könnte der Betreiber u.U. im verschlüsselten Tunnel wohl auch mitlesen. Ich persönlich sehe das etwas skeptisch.
VG WilliIch sehe das Wort für Wort genau so wie Willi im Post #7 geschrieben hat, der VPN Zugang gehört aus Sicherheitsgründen auf den Router.
Mag es Ausnahmen geben wenn es wirklich nicht anders geht, aber auf keinen Fall grundsätzlich TailScale verwenden.
-
äääähm, ich habe wireguard auf dem Router und kann somit auf alle Geräte im heimischen Netzwerk zugreifen, gerade so, als ob ich zuhause wäre. Praktisch und (hoffentlich auch) sicher.
-
als ob ich zuhause wäre
Genau so soll es sein. Und dazu auch noch sicher.
-
Außerdem könnte der Betreiber u.U. im verschlüsselten Tunnel wohl auch mitlesen.
Was sie sehen ist verschlüsselter Wireguarddatenstrom, so wie alle anderen auf der Übertragungsstrecke auch. Tailscale ist die Vermittlungsschicht, Wireguard die Übertragungsschicht.
-
Sry aber das macht gar keinen sinn und ihr habt das zerothrust prinzip nicht verstanden.
Tailscale stellt genauso einen verschlüsselte Übertragung her, wie es ein VPN tut.
Nur eben skalierbar nach zerothrust prinzip mit zusätzlicher Vermittlungsschicht!
(übrigens sau praktisch. Ich erreiche 100 Hosts in deren eigenen subnetzen ohne das auch nur einer davon offen im netz steht.)
und es ist eben nicht gleich alles in einem einzigen VPN offen.
Auf dem Router einen VPN Tunnel zu betreiben, der das gesamte Netzt einhängt und das als sicher zu bezeichenen ist hirnrissig und viel zu kurz gedacht.Angriffszenario:
Nutzer betreibt wireguard auf seiner ach so tollen Fritzbox und nutzt sein z.b. Android Smartphone mit der wireguard app um zugang zum VPN herzustellen. Die Wire guard app legt die tunnel config im klartext im filesystem von android ab. Das Phone wird befallen, die Daten werden exfiltriert: Das gesamte Heimnetz ist offen und der angreifer hat nen VPN Tunnel auf ALLE maschinen im Heimnetz. TOLL Gemacht! Gleich erst mal nen Tunnel auf irgend einem billig SmartHome device installieren (die sind ja übers VPN jetzt auch erreichbar), damit der eigene Zugriff ins anzugreifende netz gesichert ist und schon hat der Angreifer alle Zeit der Welt einzelne systeme im netz abzuarbeiten.. Muttis CandyCrush Wifi tablet, dem Sohnemann sein "gaming gerät" Jede zweite Wifi Steckdose hat nen ESP o.Ä. drin. einfach da ne tür zu finden...Gegendarstellung mit Tailscale:
Jeder Host, Container, VM etc. hat einen tailscale node, ist ansonsten nach außen und innen komplett dicht.
Tailscale lässt nur verbindungen zu, die auch wirklich sinn machen bzw konfiguriert wurden. ZeroThrust!
Backupsysteme sind z.b. nicht von außen oder von Endnutzern erreichbar, Endnutzer haben keinen telnet,ssh,ftp etc zugang. SSH wird via Tailscale verwaltet und bekommt dadurch eine zusätzliche authentifikationsebene.
Nutzergruppen kommen nur auf ihnen zugeteilte Ports einzelner Systeme.
Jetzt wird das candyCrush und tiktok verseuchte smartphone vom Jüngling gekapert und ein angreifer bekommt zugriff auf ihren tailscale node. Nur hat der angreifer jetzt keinen Zugang zu allem im Netz (Backup, Vaults etc) sondern nur zu jenen, welche dem Jüngling bereitgestellt wurden. Der eigene Backup ist weiterhin sicher, denn auf den dürfen nur admins und die hosts die drauf sichern auf deren eigener route.
WireGuard/VPN: Fritzbox stellt extern feste myfritz adresse und hält offene Ports für eingehende Verbindungen vor.
Tailscale: FritzBox ist nach außen dicht, keine feste adressen. Nodes im internen Netz stellen verschlüsselten Tunnel zu nodes außen her. lediglich die vermittlung ala DNS läuft über tailscale server. Da kann also keiner mitlesen!
Auch nicht Tailscale selbst...
Ergo. Erst verstehen. Dann urteilen.
Einzige Abhängingkeit die besteht, ist die von den Tailscale DNS servern. Kann man aber auch selbst hosten.
Achja und wer immernoch schwurbelt: Hier liegt der Code offen: https://github.com/tailscale/tailscale
Wer genau hinschaut, wird erkennen, das tailscale nichts anderes wie wireguard ist. nur ebene besser
-
Mir ging es nur darum, dass wenn Tailscale Probleme hat, dann kommst du nicht mehr an dein Netzwerk ran. Und ich will halt nicht von anderen abhängig sein, dass deren Infrastruktur läuft.
Und wegen selber hosten. Dann schreibt man doch eigentlich auch nicht Tailscale sondern Headscale.
-
Erst verstehen. Dann urteilen.
Na zum Glück gibt es hier nur ********** und **********. Zumindest kann man das aus Deinen Zeilen so entnehmen.
-
Wer sich dazu eine Gutenacht-Lektüre gönnen möchte...
VG Willi -
Das gesamte Heimnetz ist offen
Über die FB. Mit einer vernünftigen Firewall kann man vorgeben, welche Ziele der VPN-Client mit welchen Diensten erreicht.
Participate now!
Join our community with over 10,000 members!
Register yourself now for free to get full access to all content, graphics, downloads and other exclusive features!