Server vom Heimnetz per VPN erreichbar machen

  • Hallo,


    Ich möchte einen vServer aus meinem Heimnetz erreichbar machen. Dem Heimnetz wird eine dynamische IP zugeordnet.


    Da man anscheinend ufw Regeln nicht mit aufgelösten DynDNS Namen verbinden kann, kann ich die IP in der Firewall nicht freigeben.


    Hintergrund: im Heimnetzwerk läuft Portainer auf einem Raspi. Um nicht auf jedem Server außerhalb des Heimnetzes auch Portainer installieren zu müssen, wollte ich auf den externen Servern den Portainer Agent installieren und alles über den Raspi verwalten.

    Heimnetz Fritzbox verfügt über Wireguard, vServer läuft auch ein Wireguard Server als Docker Container.


    Also entweder gibt es die Möglichkeit nur meine dynamische IP auf dem Server für den Portainer Agent Port zuzulassen, oder eine Wireguard Verbindung von der Fritzbox dauerhaft zum Server aufbauen, bei der aber nicht mein ganzer Heimnetz Internet Traffic über den Wireguard Server laufen soll.


    Geht eines von beiden?

    Danke

  • Go to Best Answer
  • Wenn ausschließlich der Raspi auf den Server zugreifen soll, würde ich den Wireguard Tunnel direkt vom Raspi zum VPS aufbauen.


    Das Fritzbox-Wireguard verwende ich (wenn überhaupt) nur für eingehenden Verkehr.

    Und wenn ich das richtig in Erinnerung habe, kann man eine Site2Site Konfig auf der FB nicht granular konfigurieren... oder geht das inzwischen mit den neuen Versionen?

  • Das ist simpel.


    auf deinem Pi

    Code
    Endpoint = 
    PersistentKeepalive = 25

    Dadurch hält dein Pi die Verbindung zum vServer offen

    (Startdelay = max. Keepalive-Time)


    Und unter AllowedIPs nur das jeweilige andere System aufnehmen.

    z.B.:

    Code
    AllowedIPs = 192.168.1.2/32

    Dadurch wird nur diese IP durch den Tunnel geroutet.

  • Ich empfehle gängige Anleitungen aus dem Internet. Lese sie, verstehe sie und passe sie an deine Bedürfnisse an. Das geht schneller, als wenn wir hier alles abtippen. Am Ende steht doch das gleiche drin, wie in vorhandenen Anleitungen.

  • Das ist das Problem an den Foren in letzter Zeit. Unverständliche, unvorstellbare Broken hinwerfen.

    Nervt nur und kostet alle Zeit, bringt aber nix. Dann einfach bleiben lassen. Hat den gleichen Effekt. Trotzdem Danke.

  • Das ist das Problem an den Foren in letzter Zeit. Unverständliche, unvorstellbare Broken hinwerfen.

    Nervt nur und kostet alle Zeit, bringt aber nix. Dann einfach bleiben lassen. Hat den gleichen Effekt. Trotzdem Danke.

    Das sind keine unverständlichen Brocken , sondern nur Strichpunkte, mit welchen du mit Hilfe von Suchmaschinen problemlos etliche Anleitungen finden kannst. Ein bissl Eigeninitiative ist dabei immer hilfreich :)

  • An dieser Stelle sei daran erinnert, dass wir uns in einem Online Forum bewegen in dem Menschen freiwillig ihre Zeit verbringen um anderen ihrem Verständnis nach zu helfen. So auch hier der Fall. Es ist sehr unwahrscheinlich, dass jemand aus böser Absicht "nicht hilfreich" ist. Deshalb bitte davon absehen, Frust in Form von Verallgemeinerungen Luft zu verschaffen. Stattdessen bitte versuchen, die Fragestellung in anderen Worten zu formulieren um anderen die Chance zu geben zu erkennen, wo das Missverständnis liegt und wo konkret Unterstützung benötigt wird. Danke!

    • Best Answer

    https://tailscale.com/ oder https://www.zerotier.com/ . Beide Rechner ins gleiche Netz, schon können sich beide sicher mit fixen IPs (bei Tailscale auch MagicDNS Name) und ohne jede Firewall Freigabe unterhalten. Default Gateways werden nicht benötigt. Alles kostenfrei und deutlich angenehmer als reines Wireguard, bei dem zudem Portfreigaben nötig sind.

    RS Ostern L OST22 (~RS "3000" G9.5) (8C,24GB,960GB) | RS Cyber Quack (1C,2GB,40GB)

    Edited 2 times, last by TBT ().

  • Das ist das Problem an den Foren in letzter Zeit. Unverständliche, unvorstellbare Broken hinwerfen.

    Sie sind nur so lange unverständlich, wie man sich nicht damit befasst.


    Bei tailscale und zerotier muss man sich darüber klar sein, dass wertvolle Metadaten auf jeden Fall und ggf. auch Nutzdaten für den Betreiber sichtbar sind. Das muss kein Problem sein, aber man sollte es auf dem Schirm haben. Dann doch lieber eine Portfreigabe und alles selber unter Kontrolle.

  • Bei tailscale und zerotier muss man sich darüber klar sein, dass wertvolle Metadaten auf jeden Fall und ggf. auch Nutzdaten für den Betreiber sichtbar sind. Das muss kein Problem sein, aber man sollte es auf dem Schirm haben. Dann doch lieber eine Portfreigabe und alles selber unter Kontrolle.

    Metadaten ja, Nutzdaten nicht. (zu Tailscale https://tailscale.com/security )


    Bei beiden können - mit Abstrichen an Komfort und Features - Controller auch selbst gehostet werden:

    Für Tailscale heißt das dann Headscale: https://github.com/juanfont/headscale mit https://github.com/ifargle/headscale-webui

    Für Zerotier: z.B. https://github.com/dec0dOS/zero-ui
    Dann hat man alles selbst unter Kontrolle.


    Mir ist das bisher bei beiden den Aufwand nicht wert.

    RS Ostern L OST22 (~RS "3000" G9.5) (8C,24GB,960GB) | RS Cyber Quack (1C,2GB,40GB)

  • Ich hab mich damit befasst, aber zb Post# 3 sind einfach nur lustlos hingeworfene Brocken. Braucht man nicht. Z.B. warum nicht über die Fritzbox, wie gewünscht?

    Ich richte mir Zerotier mal als Controller ein. Damit gehen auch keine Metadaten an externe

  • Ich richte mir Zerotier mals als Contoler ein. Damit gehen auch kein3 Metadaten an fremde...

    Neben ZeroUI gibt es auch noch https://github.com/key-networks/ztncui oder wohl mittlerweile für Docker https://github.com/key-networks/ztncui-aio (ein bisschen neuer). Kannst Du Dir mal beide ansehen, ich vermute, dass ZeroUI aktueller ist.


    Nebenbei: Zerotier hat "Rootserver" (bei Zerotier selbst), bei denen alle Netzwerke bekannt sind. So kannst Du Dich auch mit den offiziellen ZT Apps bei Netzwerken anmelden, die Du selbst auf dem eigenen Controller angelegt hast. Eine sehr praktische Angelegenheit, heißt aber auch das man nicht "komplett" ohne ZT auskommt. Allerdings gehts da nicht um Metadaten, sondern schlicht um die Existenz eines Netzwerks. Theoretisch kann man auch ZT Root Server selbst hosten, aber das ist imho noch weniger nötig wie ein eigener Controller.

    Ein eigener Controller macht übrigens v.a. dafür Sinn um die 25 Node Begrenzungen des my.zerotier.com Controllers zu umgehen. Man hat damit dann nämlich keine Limitationen.

    RS Ostern L OST22 (~RS "3000" G9.5) (8C,24GB,960GB) | RS Cyber Quack (1C,2GB,40GB)

    Edited once, last by TBT ().