wie einzelne ports weiterleiten zu vpn server?

ich habe jetzt auf einem vserver einen wireguard server in docker aufgesetzt der auch so funktioniert wie er soll, jetzt habe ich noch einen zweiten server dessen ports nicht öffentlich sein sollen, sondern nur bestimmte ports über den wireguard server erreichbar sein sollen, wie erreiche ich das am besten?

1 Antwort

tide1109

29.07.2023, 22:31

Ein Schritt zum Erfolg ist das Docker Netzwerk.

Mit der Standardkonfiguration von Container hat jeder Container bzw. Compose Projekt sein eigenes Docker Netzwerk.

Ports von diesem Netzwerk kannst du leicht freigeben. Dann können externe Dienste einen Port innerhalb des Docker Netzwerkes erreichen. Zum Verbinden wirst du es schon umgesetzt haben.

Lokale Dienste auf dem Server kannst du aus diesem Docker Netzwerk nicht erreichen.

Wenn dein Dienst, den du freigeben möchtest, auch in Docker läuft, kannst du diesen Container im gleichen Docker Netzwerk benutzen. Falls du Docker Compose mit einem Projekt benutzt, sind alle Container bereits in einem Netzwerk.

Falls du Docker Compose benutzt kannst du den anderen Container mit dem Service Namen ansprechen. Ein entsprechender DNS Eintrag wird von Docker gesetzt. Ob es auch über den VPN Server gesetzt wird, musst du ausprobieren.

Falls dein anderer Dienst nicht in Docker läuft, kannst du dein VPN Container im "host" Netzwerk von Docker nutzen. Dann läuft Wireguard auf der Netzwerk Seite so, als wenn es direkt auf dem Server läuft. Du hast dann Zugang zu allen laufenden Services.

Falls du Spaß haben möchtest, kannst du es bestimmt auch mit iptables/nftables das Lösen. Docker nutzt diese Tools für Umsetzung der Netzwerke. Ob es so gut ist, die automatisch angelegten Regeln von Docker zu modifzieren oder zu ergänzen, würde ich bezweifeln.

Wenn ich im unterwegs bin, baue ich über meinen Reise-Router eine Wireguard-Verbindung zu meinem Heimnetz auf.

Wenn ich nun ein Laptop zu dem Reiserouter verbinde, ist der Laptop ergo in meinem Heimnetz.

Was aber passiert, wenn ich nun von meinem Laptop aus eine Wireguard-Verbindung zu z. B. Nord-VPN aufbaue?
Ist dann meine Exitpoint ins Internet mein Heimnetz oder der Nord-VPN-Server.

Nach meinem Verständnis müsste es der Nord-VPN Server sein. Liege ich da richtig?

...zur Frage

IPs über wireguard nicht erreichbar?

Mein wireguard-server (wg-easy) hat in meinem Heimnetz die IP 192.168.178.11. Die conf-Dateien:

# Server
[Interface]
PrivateKey = <key>
Address = 10.8.0.1/24
ListenPort = 51820
PreUp = 
PostUp =  iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE; iptables -A INPUT -p udp -m udp --dport 51820 -j ACCEPT; iptables -A FORWARD -i wg0 -j ACCEPT; iptables -A FORWARD -o wg0 -j ACCEPT; 
PreDown = 
PostDown = 


# Client: iphone
[Peer]
PublicKey = <key>
PresharedKey = <key>
AllowedIPs = 10.8.0.2/32

Auf meinem iPhone, über Mobilfunk (sowohl Telekom als auch Vodafone Netz) kann ich eine Verbindung aufbauen und erreiche alle IPs. Auch, wenn ich mein iPad mit dem Hotspot verbunden habe und darauf den VPN aktiviert habe, konnte ich alle Geräte erreichen.

Wenn ich in einem anderen WLAN bin (auch 192.168.178.X), kann ich weiterhin eine Verbindung aufbauen und komme auch ins Internet. Allerdings erreiche ich die IPs nicht mehr. 192.168.178.11 (der wireguard-host) ist im Gastnetz z.B. nicht vergeben, kann aber trotzdem nicht gepingt werden.

...zur Frage

Nginx reverse Proxy?

Heyho,

Keine Ahnung ob ich hier wen finde der mir helfen kann aber gut.
Es geht um meinen reverse Proxy, ich bin relativ neu in der Netzwerk Technick und versuche gerade einen reverse Proxy vor meinen eigentlichen Server zu stellen.

Und zwar habe ich Nginx auf einem anderen debian 11 Server installiert und wollte von dort aus dann meine Dienste öffentlich machen um die eigentliche IP meines Hauptservers zu verstecken. Dazu wollte ich dann bei Nginx einen Stream machen der dann so funktioniert:

%IP VOM REVERSE%:4444 -> %IP VOM HAUPT%:25565

Funktioniert leider nicht, nichtmal mit dem Port 9090 (Auf meinem Hauptserver läuft cockpit port 9090). Habe die Ports auch in die Docker config geschrieben ...

...zur Frage

VPN auf Host Adapter?

Hallo,

ich benutze eine VPN um mich auf meinen Nextcloud Server zu verbinden, der WireGuard Client läuft direkt auf dem Server.

Die VPN geht automatisch an, wenn ich mich nicht mehr in meinem Heim WLAN befinde, also Mobilfunk oder fremdes WLAN.

Daheim verbinde ich mich lokal auf die 192.168.1.200. Die IP vom Server.

Die IP vom VPN Netzwerk Adapter hat aber die 10.9.0.2.

Das Problem ist, dass ich mit der VPN Tunnel IP nicht auf die 192.168.1.200 zugreifen kann, da diese einen anderen IP Bereich hat. Und ich kann ja nicht immer die IP je nach Verbindung immer erneut anpassen.

Kann man den Traffic vom VPN Adapter irgendwie auf den lokalen Adapter routen? Bzw. wie kann ich die 192.168.1.200 (PC) von der 10.9.0.2 aus erreichen?

Zur Info: Der NextCloud Server also wo auch der VPN Client läuft ist ein Ubuntu 22.04.

Der WG Server läuft auf einem VPS bei Hetzner mit Debian 10.

Danke schon mal für alle Antworten!

VG Paul

...zur Frage

Docker Wireguard VPN?

Ich habe bei mir zuhause einen NUC mit Debian und Docker am laufen.

Auf dem Docker läuft ein Wireguard Server (weejewel/wg-easy). Zusätzlich habe ich einen Virtuellen Server bei 1blue. aktuell ist es so das sich der virtuelle Server als Wireguard Client fungiert und sich zu mir nach Hause verbindet. Wie bekomme ich es hin, dass ich von zuhause auf den virtuellen Server komme, ohne ein extra VPN.
Ich kann von dem virtuellen Server alles zuhause per Ping erreichen nur nicht von zuhause zum virtuellen Server. Habe schon eine Router in der Fritzbox gesetzt. Problem ist denke mal, das der Docker Host selber nicht das Netz kennt und deshalb nicht routen kann.

...zur Frage

WireGuard kann keinen Verbindung zum DNS Server aufbauen?

Wollte bei einem Freund auf dem Laptop zu meinem Heimnetzwerk mit WireGuard einen VPN-Tunnel aufbauen, bekam von WireGuard die Fehlermeldung das es nicht ging(gab keinen Fehlercode) im Protokoll stand das WireGuard sich nicht mit einem oder mehreren DNS Servern verbinden kann. Die Konfigdatei ist in Ordnung, hab sie bei einem anderen Freund getestet.

...zur Frage

Auf den Homeserver zugreifen bei einem DS-Lite Anschluss?

Hallo Leute,

ich möchte vom öffentlichen Netz auf mein privates Netz zugreifen können, jedoch habe ich einen DS-Lite Anschluss :(

Bei langer Recherche fand ich zwei Möglichkeiten, um von extern auf intern zuzugreifen.

vServer + Domain + Wireguard (End-to-Site VPN)

Kosten (ionos.de) 18,97 Euro pro Jahr

vServer + Domain + 6tunnel (Portmapper IPv4 <==> IPv6)

Kosten (ionos.de) 18,97 Euro pro Jahr

Nun frage ich mich was ist am besten und welche Möglichkeiten gibt es, die nicht aufgelistet sind?

PS:

Als Anbieter habe ich ionos gewählt, da die einen vServer für 1 Euro bzw. 2 Euro/Monat anbieten. Eine Domain kostet dort 0.08 Euro/Monat

...zur Frage

Multicast Reflection über VPN mit iPhone als Client?

Hallo!

Ich möchte die Apple Services, die über mDNS (Bonjour, Multicast, ...) laufen, auf meinem Handy unterwegs nutzen.
Ich hatte die Hoffnung, dass der Wireguard Server der Fritz!Box das kann, allerdings kann ich keine Verbindung zu meiner selbst aufgesetzten HomeKit Bridge herstellen.

Gibt es eine Möglichkeit, Bonjour unterwegs über eine VPN zu verwenden?

...zur Frage

Ubuntu Traffic auf IPv6 leiten?

Hallo,

ich habe einen virtuellen Server bei Strato mit Ubuntu 20.04 LTS und möchte wohl das der ganze Traffic der auf die IP-Adressen der VPS auf meine öffentliche IPv6-Adresse meiner FritzBox geleitet werden. Die Firewall der FritzBox sollte den Verkehr auf ungebetenen Ports ja blockieren. Ich habe Zuhause keine öffentliche IPv4 und wollte über die eben beschriebene Methode abhilfe schaffen um meine WireGuard verbindung zu nutzen. Da WireGuard aber zufällige Eingangsport wählt, kann ich die nicht alle manuell hinzufügen. Ich habe in der Vergangenheit 6tunnel verwendet z.B für SSH verbindungen etc. Gibt es eine möglichkeit alle Ports bis auf Port 22 auf meine FritzBox umzuleiten?

...zur Frage

Bei Hosting von vServer/Rootserver automatisch alle Ports freigegeben?

Wenn ich mir einen vServer oder einen Rootserver miete, sind dann automatisch alle Ports freigegeben? Also für Minecraft Server, MYSQL Datenbanken, Webhosting etc. ?

...zur Frage

Wie kann ich am besten die offenen Ports in meinem Netz sichern?

Ich habe angefangen zu Hause meinen eigenen Server zu betreiben und habe deswegen Ports in meinem Router geöffnet. Nun möchte ich sie absichern, damit sie zwar ihre Funktion nicht verlieren, aber kein Risiko in meinem Netz sind. Leider weiß ich nicht viel von Security und bräuchte deswegen vielleicht 1–2 Tipps wie ich eine Firewall daran packen kann. Der Server läuft auf Proxmox und die einzelnen Server sind kleine Linux Container. In meinem Router sind die Ports nur für die einzelnen Container und nicht für den gesamten Server. Im Container läuft bis auf das FTP alles per Docker. Kann ich per Docker eine Paketfirewall dran bauen, welche z.B. meinen Minecraft oder Teamspeak Server nicht beeinträchtigen, aber die Ports so absichern, dass nicht jeder in mein Netz kommen kann und tun und lassen kann, was er will?

...zur Frage

Wireguard/OpenVPN Port Weiterleitung für Hosting?

Hi,

Ich habe mich durch das ganze Internet gefühlt gelesen und keine Lösung gefunden.

Ich besitze zu Hause einen kleinen Home Server, mein Internet Anschluss hat leider nur eine DS-Lite IPv4 und sie verkaufen auch keine Öffentlichen Ipv4 Adressen.

Nun habe ich mir gedacht ich Miete mir einen vServer der hat ja eine öffentliche Ipv4 Adresse und Verbinde meinen Home Server via VPN damit und nutze die öffentliche Ipv4 Adresse mit. Mein Problem ist ich bekomme es nicht hin das der Port Weitergeleitet wird. Habe es mit OpenVPN und Wireguard probiert.

Die VPN Verbindung selber funktioniert einwandfrei kann darüber nur nicht auf meinem Homeserver zu greifen.

Währe echt super wenn jemand weiß wie ich bei Wireguard oder OpenVPN eine Port Weiterleitung einrichten. Danke schon mal im voraus.

...zur Frage

Minecraft Server Extern erreichen über NAS/Docker?

Hey, und zwar habe ich einen Minecraft Server erstellt der 24/7 auf meinem NAS Läuft. Intern als Localhost ist er erreichbar. Was muss ich tun um ihn extern erreichbar zu machen, sprich das freunde joinen können ?
Danke an jeden der Hilft !

...zur Frage

Welche ports muss ich in der Fritzbox freigeben?

Ich habe 2 server eimal einen mit open mediavault und einen docker server auf dem caddy drauf läuft weis jemand was für ports ich da in der Fritzbox freigeben muss und wie das geht also ob HTTP oder HTTPS benutzen muss und was es da halt noch zur auswahl gibt

...zur Frage

Was möchtest Du wissen?

Deine Frage stellen