habs hinbekommen-
Habe jemand aus dem unRAID Forum gefunden der sich mit mir 2 stunden mal hingehockt hat, seine Konfiguration gezeigt hat (und auch erklärt hat was was macht, welche Einstellung was bewirkt und ich konnte nebenbei live nachbauen, er hat mich mal machen lassen und dann "meeep" gesagt, wenn meine Denkweise oder rangehensweise falsch war und geschaut, ob ich selbst drauf komme, so hats dann auch "spaß" gemacht.
Gab dann auch nen kleines Trinkgeld von mir.
#Closed
Du willst ja nicht den Internetverkehr durchs VPN schicken, sondern den NPM erreichen. Also ist kein NAT nötig. Die Allowed IPs auf Client Seite beinhalten ja auch nur das Transportnetz (das ist richtig), also gibt es gar nichts, was genatted werden könnte.
Du brauchst keine Wireguard Anleitung, du brauchst Grundlagen IP Routing. Jede Wireguard Anleitung setzt das voraus.
genau das möchte ich mitlerweile, da ein teil meiner services nicht über http/https laufen wofür der npm kein nutzen hätte, der npm soll für meine http/s relevanten sachen dienen .
Ich möchte ein teil der Services - nehmen wir mal als Beispiel irgend einen Voice/Gameserver durch den VPS über wireguard leiten.
So dass ich aus meinem Home WAN keine Portforwardings o.Ä machen muss und extern nicht meine Home IP sondern die IP des VPS zu sehen ist.
Du brauchst keine Wireguard Anleitung, du brauchst Grundlagen IP Routing. Jede Wireguard Anleitung setzt das voraus.
Wie ich auch bereits erwähnte
Bräuchte fast schon ne Anleitung für 5 jährige zum nachbauen. vl auch mit kommentaren zum "lernen / verstehen"
Es ist noch kein Meister vom Himmel gefallen, ich möchte hier aber nicht mein Meister in dem Thema machen sondern mein Ziel erreichen und dabei auch das eine oder andere an Wissen / Erfahrung mitnehmen.
Auch wenn hier der ein oder andere Denkfehler besteht, so stand sicherlich jeder mal vor einer Barrikade die er versucht hat selbst zu lösen und dabei fehler gemacht hat, ich persönlich rechne es mir zumindest schon einmal hoch an, dass ich es zumindest selbst versuche/veruscht habe und auch nach Unterstützung frage.
Dabei muss es auch nichtmal ein 1:1 Guide zum stupiden nachbauen sein, sondern ein Hinweis, was an meiner Config falsch ist, da ich mich noch nie mit Wireguard groß beschäftigt habe und davon ausging / gedacht habe, dass die IP des VPS in das Wireguard Interface genatet wird.
Ich würde jetzt nicht eine 400Seiten Lektüre über Grundlagen von IP Routing durchforsten müssen um an mein Ziel zu kommen, wenn oberflächliches Verständnis und dann - ggfls durch einen Schubbs in die richtige Richtung , das AHA Erlebnis von selbst kommt, wie bereits erwähnt möchte ich hier kein Master machen sondern schlicht und ergreifend mein Ziel erleichtern, solltest du also empfehlenswerte Informationen für mich haben , Zitate, Links bin ich dem allerdings auch nicht abgeneigt.
Ansonsten würde ich gerne bei dem Ziel bleiben, dass sich mittlerweile etwas vom Topic unterscheidet.
Heimnetz services:
VM (192.168.0.XX) mit diversen services drauf (keine http/s services)
Diverse Docker - selbiges spiel, aber auf getrenntem Host
Ziel:
Opnsense Wireguard Client, welcher sich zum VPS im öffentlichen Netz verbindet.
Durch Regeln in der Firewall, gewisse Ports o.Ä an das Wireguard interface weiterzuleiten (da ich die Services/VM nicht direkt in das WG Netzwerk einbinden möchte, sondern das ganze über die Opnsense steuern möchte)
Der VPS soll alle eingehenden Pakete dann durch das WG Interface führen (daher der gedanke , das hier genatet wird..)
ip4/6 forward ist bereits aktiviert
In der Opnsense würde ich dann Anfragen die unter 80/443 durch den Wireguard gehen an meinen NPM leiten wollen, der sich da nn um die Web Applikationen kümmert.
Andere Anfragen/Ports, werden dann zB an VM gegeben oder je nach bedarf an service XYZ
Es habert aktuell lediglich noch daran, wie ich Wireguard konfiguriere, so dass die Opnsense eine Verbindung als Client aufbaut (Peers, Pub Keys, in welche config was wo rein muss usw.)
und ob ich auf dem VPS Wireguard als allowed 0.0.0.0/0 mache - da der ja alle Anfragen akzeptieren soll?
und im Home Wireguard nur das Netz des Wireguard Interfaces selbst + mein Heim LAN 192.xx -- wiegesagt, bin mit Wireguard, deren Funktionsweise (und auch in vielem anderen - ) noch ungeübt, dass ist aber der Grund wieso ich HIER Frage.
"Lern zuerst XYZ " Bevor du da dran gehst ist ja gut und schön, aber alles andere als "Freundlich", da eine Lösung weiterhin ausstehend ist, hier wäre zumindest hilfreich auch entsprechende Anlaufstellen zu Linken oder zu nennen, damit auch ein "Anfänger", Anhaltspunkte findet sein wissen zu erweitern.
Oder würde hier jemand erstmal 400Seiten Werkstattbücher durchlesen um die volle Funktionalität eines Autos zu verstehen, wenn er "nur" Öl wechseln möchte oder Scheibenwasser Aufüllen 
Wiegesagt, ich möchte Lernen aber möchte mir jetzt nicht unterstellen lassen zuerst in dem Thema X Y Z mich zu beschäftigen, wenn dann auch mit konkreten Beispielen wo / wie man am besten anfängt, da es für einen selbst vielleicht verständlich ist, für andere aber nicht.
Ich weis sicherlich in 100 anderen Dinge mehr als Sie/Du (bin ja immer fürs Du - aber nettikette möchte ich wahren ) und Sie/Du wissen sicherlich 1000 Dinge die ich nicht weiß.
Dafür ist ja auch ein Forum da, wissen Vermitteln, Wissen teilen, Meinungen hören, meinen Kundtun, sich austauschen.
"
Du brauchst keine Wireguard Anleitung, du brauchst Grundlagen IP Routing. Jede Wireguard Anleitung setzt das voraus
Verstehe ich daher schon, was damit ausgesagt werden will, kommt allerdings sehr "Passiv Aggresiv" an.
Also nicht falsch verstehen, ich streube mich nicht davor Wissen anzueignen, dann wäre ich allerdings über den "Schubbser" dankbar und - wie ein guter Lehrer es machen würde - vielleicht auch erwähnen, wo der Denkfehler/fehler liegt und wie man es besser machen kann .
Mir hat mein Arbeitgeber mal gesagt, "Grundvoraussetzung jedes "ITler"s muss die Fähigkeit sein, google zu bedienen 
"
Wenn ich etwas nicht weiß in zB einer Anleitung oder wissen möchte - wie es funktioniert oder was XYZ genau macht - frage ich nach oder schlage es selbst bei google nach 
Ich bin mir sicher, wenn die Verwirrung mit wie wo was in die wireguard config muss (muss ich auf beiden seiten ein peer anlegen (denke ja? ) und wo muss der pubkey von wem rein (gehe mal davon aus, dass im Heimnetz der PubKey vom WG VPS rein muss, der WG VPS prüft den dann mittels seinem priv key gegen und via versa) -- aber wie genau es jetzt aufgebaut wird, da haberts noch...
Brauche auch keine GUI dafür (der VPS läuft ohne schnickschnack, nackt + pubkey ssh
warum sind da NAT Regeln? Die machen doch gar keinen Sinn.
der VPS hat ja ne öffentliche IP und das WG interface auf dem VPS hat ja 10.8.x.x.x -- muss doch eth0 also das interface mit der wan ip zum wg interface genattet werden ? (so war meine denkweise, wiegesagt -> bin nicht fit mit wg..)^^
Bräuchte fast schon ne Anleitung für 5 jährige zum nachbauen. vl auch mit kommentaren zum "lernen / verstehen" .^^
wenn jemand vl meine fehler erkennt und mir sagen kann, wie ich vorgehen müsste -> der kommt ins nachtgebet haha
oder nen link zu einer detailierten Anleitung zum nachbauen, die mein Ziel Szenario abdecken
Manchmal sieht man vl den Wald vor lauter Bäuem nichtmehr, gehe mal davon aus , dass 60% des konstrukts schon stehen aber die kommunikation noch hängt - also das opnsense WG als Client fungiert und sich zum VPS verbindet
das sind mir alles zuviele einzelne sachen auf die ich dann angewiesen wäre *hust* von denen ich nie was gehört habe usw und eher nen fan von "eigenen lösungen" bin, ohne auf andere dienste oder so angewiesen zu sein
würde auf dem VPS ein geoblocking machen
brauche nur unterstützung jetzt wie ich vorgehen muss, da ich mit wireguard mich noch nie so wirklich beschäftigt habe.
ich mache mal kurz copy paste aus einem discord:
--------
hey leute, brauche mal dringrnd hilfe - kriegs nicht gebacken...
Ziel: möchte in Opnsense (bei mir zuhause) einrichten, dass es ein Wireguard interface gibt, was sich als CLIENT an einem wireguard auf einem VPS anmeldet.
ich raff den mist nicht mit diesen pub keys private keys peers usw usw.
ich habe auf dem vps wireguard installiert - folgende config:
[Interface]
Address = 10.8.0.1/24
SaveConfig = true
PostUp = ufw route allow in on wg0 out on eth0
PostUp = iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE
PostUp = ip6tables -t nat -I POSTROUTING -o eth0 -j MASQUERADE
PreDown = ufw route delete allow in on wg0 out on eth0
PreDown = iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
PreDown = ip6tables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
ListenPort = 51820
PrivateKey = PUBKEY VOM VPS INTERFACE
forward ipv4 usw ist bereits gesetzt.
habe in opnsense eine Wireguard Instance mittels plugin angelegt - proxywireguard (WG0) mit einem eigenen öffentlichen key + privaten key
Hörender port 51820
tunnel address 10.8.0.2/24
habe dann ein peer erstellt und diesem interface zugeordnet (hat eigener öffentlicher schlüssel)
zugelassene ips 10.8.0.0/24
endpoint address = öffentliche ip meines VPS
Endpoint port = 51820
aber wie um gottes willen krieg ich das jetzt hin, dass sich dieses wireguard mit dem VPS verbindet?
wo muss ich welche peer oder keys oder was auch immer eintragen
ziel = meine VM (läuft auf unraid) 192.168.0.XX sämtlichen Traffic durch opnsense an das w ireguard interface umleiten -> zum VPS und VPS --> meine vm
bin verzweifelt... 
hab mich nie wirklich mit WG beschäftigt xd
Möchte das WG auch nicht direkt in der VM laufen lassen, da ich mehrer services habe, manche in docker usw. die aktuell über NPM bedient werden, würde das ganze dann gerne mit entsprechenden rules der opnsense steuern
quasi port XYZ forward to wg interface usw usw.
Ich nutze dafür Tailscale, aber jeder anderer solcher Dienste sowie Wireguard würde es auch tun. Allerdings ohne Proxy zu Hause sondern nur als VPS und via Tailscale sind die lokalen Server verbunden.
Über ein Setup mit zweitem lokalen Proxy hatte ich auch schon nachgedacht, hatte aber da ähnliche Probleme und es aus zeitlichen Gründen erst mal auf Eis gelegt.
Ich meine, man müsste da im Konstrukt die Trusted Proxies konfigurieren, aber wenn da jemand die Lösung kennt, wäre ich auch interessiert
habe mich noch nicht damit beschäftigt sowas umzusetzen, kenne tailscale usw auch nicht bzw nur mal gehört
idee war alternative irgendwie in der opnsense nen wireguard zu dem vps einzurichten, der vps dient dann als wg server, dort gehen dann alle ports ins wg interface -> opnsense. dort dann iwie den traffic splitten das quasi 443/80 an den npm gehen und andere notwendige ports an die gaming VM
glaube würde auch gehen wenn ich in der VM den WG aufbaue, dann würde ich die opnsense umgehen , würde aber wenn dann auch andere services drüber laufen lassen wollen, dann steht meine wan ip nicht frei im netz - also port forwards.
aktuell helfe ich mir mit geoblock alles außer DE^^ (mache die services eh nur für freunde)
wenn jmd alternativ nen guten guide kennt wie ich das mit opnsense oder notgedrungen in der vm mit wireguard aufbaue hin zu einem VPS der dann als proxy dient , würde ich das übergangsweise auch mal probieren.
für mich war npm <--> npm in gedanken erstmal "easy going, sollte klappen zumindest für http/s aber zickt doch ein wenig rum.
++++++++++++++++++
übrigens, ans laufen gebracht habe ichs folgendermaßen, habe an dem VPS ein redirection host mit moved permanently gemacht. + ssl , wichtig etwaige header sind dort dann einzutragen in der advanced config
habe eine domain mittels A record auf den vps zeigen lassen - der auch dann für freunde usw verwendet werden soll und nen anderer A record wird mittels dns api / dyndns aktuallisiert der dann in mein wan zuhause zeigt.
dort läuft der npm privat, der dann auf diesen a record lauscht und dann an service xyz weiterleitet
aber joa, dreckige lösung glaube ich und musst ports forwarden in deiner firewall
die wireguard variante scheint da doch etwas professioneller zu sein
Hey Schwarmwissen,
folgender Ausgangspunkt:
- Opnsense
- Nginx Proxymanager im Docker (Port 80/443 zeigen auf den NPM)
- Diverse Services im LAN 192...:port
- Diverse Domains zb domain1.tld / domain2.tld
- Routbare Dynamische IP zuhause
Aktuell läuft mein NPM zuhause, der Anfragen z.B. panel.domain1.tld an meinen lokalen Service:port weiterleitet.
Das klappt auch wunderbar soweit.
Problem: meine Private IP ist sichtbar, das möchte ich nicht(mehr)
Gedankengang:
VPS -> dort auch einen NPM installieren.
subdomain panel.domain1.tld zeigt mittels A record auf den neuen VPS
Subdomain panel.domain2.tld zeigt mittels A record auf meine WAN ip zuhause (mittels API call direkte IP aktuallisierung bei netcup domains)
Ziel war, Anfragen an panel.domain1.tld werden vom VPS NPM aufgefangen (source) und als desination an panel.domain2.tld an meinen NPM Zuhause weitergeleitet (panel.domain2.tld zeigt auf meine WAN zuhause)
Der NPM zuhause lauscht auf panel.domain2.tld (aber auch schon panel.domain1.tld getestet) und soll dann die Anfrage an meinen Service geben
Ziel wäre dadurch rein logisch gedacht, dass mein Service extern - nicht mehr auf meine Private IP aufgelöst wird, sondern auf die IP des VPS
Egal wie ichs baue oder versuche, kriege aber entweder redirect errors (to many) - bad gateway ODER (erster erfolg) ich komme zuhause an und mein NPM zuhause ist so eingestellt, dass nicht klare Anfragen an google.de weitergeleitet werden. (nur beim NPM zuhause)
Bin schon soweit, dass ich quasi wenn ich jetzt panel.domain1.tld eingebe, bei google lande.
Ziel ist aber, dass ich auf meinem Service lande.
Ist bestimmt nur ein logikfehler ODER die header werden nicht weitergegeben, dh mein npm zuhause sieht offenbar nicht, dass es eigentlich panel.domain2.tld aufnehmen soll, da der als source angelegt ist mit destination zu 192.....:port (service)
WOOOOOOOOOO liegt mein gedankenfehler.
ich möchte kein cloudflare o.Ä verwenden
edit:
uA ist ein Grund, dass ich Cloudflare nicht als "monopol" unterstützen möchte und es irgendwie mit anderen mitteln hinbekommen möchte
Gruß
Weil man sie sonst nicht mit Namen in NPM adressieren kann. Alle Container, die über NPM geproxied werden sollen, sollten in einem Netzwerk mit diesem sein. Im gleichen Netzwerk sein, heißt nicht im gleichen Container oder auch nur in der gleichen docker-compose sein.
also ich expose aus bequemlichkeit oft die ports auf 127.0.0.1:port:port (-e 127.0.0.1:8080:80 zB) und mache im npm dann als ziel 127.0.0.1 PORT - klappt bisher auch gut
aber das mit der namensauflösung wusst ich nicht - ist bei größeren sachen wohl bequemer einfach nur den namen des containers einzugeben
Nach der Domainzuweisung kann es bis zu 24H dauern, vl kann letsencrypt die domain / pfad noch nicht richtig auflösen fürs SSL zertifikat
Wäre es da nicht angebrachter, den finalen Preis direkt zu nehmen statt? Potenzielle Neukunden kann das denke ich Mal abschrecken wenn sie nen Server erwerben und nach ein zwei Monaten direkt eine Preiserhöhung ins Haus flattert, oder zumindest groß beim Kauf darauf hinweisen daß der Preis nicht final ist - Just my words
mit was rechnen die? 30 domains und 200+ postfächer und 1000 mails / stunde ?
also kann zumindest sagen dass für nen "normalen / privaten gebrauch", die Ressourcennutzung sich in grenzen hält
| pterodactyl | 6.22 GiB | java -Xms2G -XX:MaxRAMPercentage=95.0 -Dterminal.jline=false -Dterminal.ansi=tru ... | |
| root | 2.41 GiB | ./worldserver | |
| clamav | 1.11 GiB | /usr/sbin/clamd --foreground=true | |
| lxd | 570.58 MiB | mysqld | |
| 8983 | 345.47 MiB | /usr/local/openjdk-11/bin/java -server -Xms1024m -Xmx1024m -XX:NewRatio=3 -XX:Su ... | |
| pterodactyl | 216.08 MiB | ./srcds_linux -game garrysmod -console -port 27015 +ip 0.0.0.0 +host_workshop_co ... | |
| root | 179.42 MiB | /usr/bin/ofelia daemon --docker | |
| lxd | 151.85 MiB | mysqld |
sind so meine top verbräuche, wovon ersteres minecraft ist, 2x nen kleiner wow privatserver dann gefolgt von clam sql usw.
für die faulen gerade mal copy paste
|
clamav |
1.18 GiB | /usr/sbin/clamd --foreground=true |
jap clam frisst auch was
:o bin bei knapp 1,1gb mit 3 voll eingerichteten domains 15 postfächer aktuell, meiste frisst rspamd
nichts im vergleich zu meinem ARK server mit 7gb / minecraft mit 5
Joplin ist eine open-source Notiz-App, die ich schon länger nutze. Für iOS, MacOS etc. gibts den Client zum Download, unter Linux hab ich ein Flathub-Paket laufen. Der Sync kann über verschiedene Wege erfolgen, der Server ist nach meiner Erfahrung am schnellsten und zuverlässigsten. Die Installation ist relativ einfach, es wird der Server und eine Postgres per Docker benötigt. Die Anleitung findest du hier. Eine Beispiel Docker-Compose-Datei hier.
habs mir grade mal in der spielwiese hochgezogen, also quasi ein notizblock welcher sich über verschiedene clients synct, für mich nicht so von nöten, arbeite gerne mit dem outlook notizblock der sich auch schön synct, aber das ist aufjedenfall eine "weniger wartungsintensive" sache - habs mir mal in den "nice to have" favoriten gespeichert, da sammle ich immer die guten ideen bzw anwendungen - danke dir dafür !=)
Ich hab noch einen Joplin-Server laufen - so sind alle Apps auf Mac, Linux und iOS immer synchron.
kannst du das näher beschreiben? gehts da um deb. Pakete etc?
hab im netz jetzt nur den github etc gefunden, aber da ist die beschreibung was es genau mach tbissel mau
geile immer noch an der Mailkuh rum - was nen geiler shit haha
Bei einem eigenen Mailserver mit eigener IP musst du dich natürlich dann auch selbst um die Reputation kümmern.
Schon eMails an t-online oder MS-Konten geschickt?
Sind sie angekommen?
habe mal an meine t-online email was geschickt, die kommt an :o auch an meine googlemail.com
wegen sicherstelluing der erreichbarkeit, kann ich theoretisch den MX eintrag mit niedrigere prio auf netcup lassen, dort bestehen die selben email konten, somit sollte sichergestellt sein, dass wenn der server mal ausfällt, die mails noch an den eigenen netcup server gehen oder ?
Ich betreibe noch folgende Container zu Hause:
- Bitwarden Passwortmanager
- Miniflux RSS Reader
- ADGuard Home für Blockierung von Tracking und Werbung
hab ich aufm raspberry auch (bis auf den miniflux) =)
mir gehts hier noch rein um sachen, welche ich aufm dem Rootserver betreiben könnte
was ist eigentlich dieses "FLUX" was hier so verflucht wird ?
Eigentlich ein kompletter Mailserver in ein Docker gepresst. Kann auch z.B. über Amazon SES verschicken wegen Zustellproblemen und so. Nette Kiste, einfach mal anschauen
habs grad mal installiert - was eing eiler shit - direkt vom netcup mailhosting umgestiegen, richtig geil ist ja das "active sync" mit der push benachrichtigung am iphone
geiler sch*** DANKE!
Postkuh?
jetzt hab ich alles gesehen hahaha
was ist das? - Mailserver SPAM filter?
Hey zusammen,
brauche mal bissel Ansporn was ich mit meinem RS RS Brezn noch so anstellen kann
(6 kerne, 16gb , ~600gb )
Aktuell läuft drauf:
2x Wordpress
1x Forum
diverse Container ala cards against Humanity für mich und meine kumpel
1x nextcloud
1x pterodactyl als hostingpanel für gaming Containers
1x Openvpn / Wireguard
1x WoW Privatserver (nicht öffentlich 
für freunde und mich) -- bin auch Retail Spieler
1x proxymanager
1x Portainer
(gameserver; minecraf, ts3, garrys mod, ark usw.)
Ich suche so typische spielerein, war am überlegen ob ich mir noch nen Paperless-NGX drauf pack um meine Akten mal zu digitalisieren, hab aber bedenken ob dass so gute idee wäre, würde ihn nur via VPN erreichbar machen wollen, also gebunden ans VPN netzwerk, damit zumindest ins Paperless nicht "direkt" jmd rein käme außer die mit VPN zugang)
Routineabsicherung ist natürlich gegeben, fail2ban, ssh keys usw. docker container sind an localhost iR gebunden, via proxymanager dann für den zugriff .
Installiert ist uA webmin (für die Faulen) - gebunden ans VPN interface (nur via VPN zugreifbar)
Was kennt Ihr denn noch so für "spielerein", würdet Ihr Paperless auf einem VPS betreiben? (zwecks RAID etc - hab zuhause "nur" nen PI 4, welcher aktuell als mini homeserver fungiert)
bin für alle möglichen Tipps / spielerein offen, was man noch so damit machen könnte, aktuell dümpelt er dank WoW Privat Server (mit BOTS) - bei ca 20-30% Auslastung rum
Hi,
no - KVM servers with no gpu support / all cpu accelered
you can game maybe DOS games / win95/98 games but all cpu accelerated
