Zerotier-Netzwerk / Einen bestimmten lokal gehosteten Server öffentlich erreichbar machen?

Ich hab jetzt leider keine Ahnung welche implekation das CG-Nat mit sich bringt.

Zumindest löse ich solche Probleme dadurch das ich von einem DSL Anschluss einen Wireguard Tunnel in Richtung VM aufbaue und dann einfach auf der VM einen Caddy laufen habe der per reverse_proxy directive einfach auf die interne IP verweist.

Wie gesagt ich weiß nicht wie sich das mit CG-Nat verhält, ich hatte nur einmal das Glück das ich per Telekom 5G Router paar Tage online musste. Da hab ich nach paar Stunden einfach aufgegeben und den ipv4 public APN benutzt.

Zitat von KrisAusEU

Jetzt muss ich doch eigentlich "nur" dem Netcup-Server beibringen, dass er Anfragen an 37.120.x.y:portxy an ip-zerotier-intern:portxy durchreicht ?!

Geht das? Wenn ja, wo bzw. wie?

Ja, genau so geht das.

iptables -A FORWARD -i eth0 -p tcp --dport portxy -d ip-zerotier-intern -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -d 37.120.x.y -p tcp --dport portxy -j DNAT --to-destination ip-zerotier-intern:portxy

Ich hab für Ports und Adressen mal deine Beispiele von oben übernommen. Generell IP-Forwarding einschalten nicht vergessen.

Zitat von frank_m

iptables -A FORWARD -i eth0 -p tcp --dport portxy -d 37.120.x.y -j ACCEPT

hm, das forward geht doch dann auf die interne ip, weil das prerouting ja vorher modifiziert.

Stimmt, sorry, da war ein Fehler, Ich habs korrigiert.

iptables -A FORWARD -i eth0 -p tcp --dport portxy -d ip-zerotier-intern -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -d 37.120.x.y -p tcp --dport portxy -j DNAT --to-destination ip-zerotier-intern:portxy

fehlt da nicht evtl. diese Regel:

/sbin/iptables -t nat -I POSTROUTING -o eth0 -s zerotier-subnet -j SNAT --to-source 37.120.x.y

Geht es um eine Website, die zu Hause liegt und von überall (im Internet) erreichbar sein soll, oder einen anderen Dienst? Für eine Website könnte auch noch ein https://nginxproxymanager.com/ Docker Container in Frage kommen (den Du evtl da eh schon hast?), der Dir auf dem RS die Weiterleitung erledigt. Hierbei kannst Du auch noch die SSL Absicherung mit erledigen.

(HTTPS) subdomain.domain.tld -> ZTIPAdresse:12345

Aber Achtung: damit ist die Seite auf dem Raspi zu Hause halt auch von überall zu erreichen, d.h. es braucht eine Benutzerverwaltung und gute Passwörter, sowie regelmäßige (Sicherheits)Updates der Anwendung.

Alternativ kannst Du Dich auch damit begnügen, dass Du die Anwendung nur im ZT Netz verwenden kannst.

Ja, ich habe Dir damals ZT empfohlen. Ist auch immer noch klasse. Mittlerweile verwende ich auch teils https://www.netmaker.io/ , das ist "ähnlich aber anders" und läuft über Wireguard. Hier ist es auch sehr einfach möglich, In- und Egressgateways (in Dein lokales Netz) und Relays via WebGUI zu konfigurieren. Allerdings empfiehlt sich hierfür ein eigener Server (ich habe mir dafür nen VPS200 geholt) sowie eine eigene Domain (7€ bei meinem Domainprovider pro Jahr), da man für die vernünftige Verwendung einen * A Record benötigt.