loens2
Goto Top

Server hinter Wireguard VPN zur Verfügung stellen

Ich habe mir vor ein paar Tagen einen vServer in der OCI geholt, um damit meinen Webserver im Internet verfügbar zu machen. Das betreiben des Webservers auf dem vServer ist technisch unmöglich, daher möchte ich dies über einen Wireguard Tunnel machen.

Mein Problem ist, dass ich über die Tunnel IP auf dem vServer den Webserver erreichen kann. Allerding weiß ich nicht, wie ich das Routing durchführen muss, damit ich von meiner sekundären Public IP des vServers meinen Webserver erreichen kann.

Bei der Grundsätzlichen Einrichtung habe ich mich an diesem Beitrag orientiert: Feste IPs zuhause in pfsense via WireGuard Tunnel. Dieser geht aber davon aus, dass der vServer die Public IP direkt am vNIC hat. Bei OCI hingegen ist der vServer durch NAT mit der Public IP erreichbar. Daraufhin habe ich im Tunnel script die Public IP zur NAT IP des vServers geändert, wodurch jetzt der Webserver über die Private IP des vServers erreichbar ist, aber leider nicht über die Öffentlich IP.

Was mache ich falsch? Habe ich einen Denkfehler?

Was ich eigentlich möchte ist, dass der Traffic von der Privaten IP (10.0.x.10) an die Tunnel IP (10.100.x.10) geroutet wird.

Dank im Voraus.

LG Leo.

Content-ID: 4456253435

Url: https://administrator.de/forum/server-hinter-wireguard-vpn-zur-verfuegung-stellen-4456253435.html

Ausgedruckt am: 23.12.2024 um 04:12 Uhr

Lochkartenstanzer
Lochkartenstanzer 30.10.2022 um 11:34:24 Uhr
Goto Top
Zitat von @LOENS2:

Was mache ich falsch? Habe ich einen Denkfehler?

Ja

Du hast den falschen Anbieter gewählt. Kündige den vServer und such Dir einen, der ohne NAT arbeitet.

lks
NETLeon
NETLeon 30.10.2022 um 11:37:39 Uhr
Goto Top
Das ist relative simple, habe ich schon sehr oft gemacht. Du kannst damit deine eigenen Server z. B. Hosten wie Minecraft. Solltest du aber vorhaben ein Mailserver zu Hause zu Hosten kannst du das vergessen. Dafür brauchst du eine Static IP und dein Mail Server muss deine VPN als Gateway haben.

Du kannst dir einen Server bei Bero-Host holen, da habe ich meinen derzeit. Läuft auf Prepaid Basis.
aqui
aqui 30.10.2022 um 12:04:05 Uhr
Goto Top
Hier steht wie es auch ohne vServer geht:
https://www.heise.de/select/ct/2022/20/2220814450921686554
LOENS2
LOENS2 30.10.2022 um 12:11:01 Uhr
Goto Top
Zitat von @aqui:

Hier steht wie es auch ohne vServer geht:
https://www.heise.de/select/ct/2022/20/2220814450921686554

Netter Vorschlag. Der Artikel ist bei mir bloß hinter einer Paywall versteckt.
aqui
aqui 30.10.2022 aktualisiert um 12:14:07 Uhr
Goto Top
Na ja...jeder kennt einen der einen kennt der die ct' liest!! Sonst bestell dir das Heft, das sind weise investierte 5 Euronen. Jedenfalls weiser als einen wenig hilfreichen vServer zu mieten... face-wink
LOENS2
LOENS2 30.10.2022 um 12:24:01 Uhr
Goto Top
Einfach einen vServer zu mieten der kein NAT besitzt ist offensichtlich nicht die Lösung für dieses Problem, da ich sonst hier diese Frage gar nicht erst gestellt hätte. Ich bin mit den Servern von OCI und deren IaaS Angeboten überzeugt und würde gerne dort bleiben. Es wird doch wohl möglich sein das Problem mit iptable Routing o.ä. zu lösen anstatt das Problem mit Geld zu ersticken.
4400667902
4400667902 30.10.2022 aktualisiert um 14:09:28 Uhr
Goto Top
HansDampf06
HansDampf06 30.10.2022 um 19:04:25 Uhr
Goto Top
Zitat von @aqui:
Na ja...jeder kennt einen der einen kennt der die ct' liest!! Sonst bestell dir das Heft, das sind weise investierte 5 Euronen. Jedenfalls weiser als einen wenig hilfreichen vServer zu mieten... face-wink
Oder, wenn man solche Bekanntschaft(skett)en nicht pflegt, ist man so schlau und befragt den per Webseite zugänglichen OPAC der nächstgelegenen öffentlichen Bibliothek. Die c't gehört schließlich zum Standardrepertoire der aktuellen Fachzeitschriften.

Viele Grüße
HansDampf06
micneu
micneu 31.10.2022 um 15:26:32 Uhr
Goto Top
@LOENS2, du kannst es auch über frp machen, wenn du in linux fit bist sollte es schnell erledigt sein.
Läuft bei mir sehr gut/stabil (einfacher/schneller Einzurichten als wireguard)
LOENS2
LOENS2 31.10.2022 um 15:33:17 Uhr
Goto Top
Zitat von @micneu:

@LOENS2, du kannst es auch über frp machen, wenn du in linux fit bist sollte es schnell erledigt sein.
Läuft bei mir sehr gut/stabil (einfacher/schneller Einzurichten als wireguard)

Das klingt gut. Ich denke mal dass du damit das hier meinst: https://github.com/fatedier/frp#p2p-mode

Ich bin zwar relativ fit in Linux, aber in Sachen wie Routing habe ich wenig Wissen und Erfahrung.

LG Leo
micneu
micneu 31.10.2022 um 15:55:37 Uhr
Goto Top
Ich habe mal nach "OCI" gesucht, leider nichts passendes gefunden, welcher Anbieter ist das denn?
Ich nutze frp auf einem NetCup vServer (@LOENS2, ja genau der, da musst du nichts routen, habe hier auch eine simple Anleitung geschrieben wie man es einrichtet, habe bei mir noch einen Nginx als Reverse Proxy laufen der das Zertifikats kram macht)
LOENS2
LOENS2 31.10.2022 um 16:05:03 Uhr
Goto Top
Zitat von @micneu:

Ich habe mal nach "OCI" gesucht, leider nichts passendes gefunden, welcher Anbieter ist das denn?


OCI steht für Oracle Cloud Infrastructure. Auch wenn Oracle bei den den Pay as you go Services einer der Teuersten ist, haben sie sehr gute "Always Free" vServer, die ich hier verwende.
4400667902
4400667902 31.10.2022 aktualisiert um 16:25:44 Uhr
Goto Top
Zitat von @LOENS2:
Ich bin zwar relativ fit in Linux, aber in Sachen wie Routing habe ich wenig Wissen und Erfahrung.
Ist doch hier eigentlich Schritt für Schritt ziemlich gut erklärt, damit sollte auch ein Routing-Neuling verstehen wie das mit den Paketen abläuft ...
Wie Portforwarding über 2 miteinander verbundenen pfSense realisieren
Routing zwischen zwei PfSense - Nutzung von public IP

Erster Schritt ist das Verständnis, der kost halt am Anfang etwas mehr Zeit, aber dann ist der Rest nur noch RTFM den man dann runter tippt, und schon lüppt dat. Ist am Ende nachhaltiger als nur Tutorials blind abtippen ohne zu verstehen was im Background abläuft.
LOENS2
LOENS2 31.10.2022 um 16:33:24 Uhr
Goto Top
@4400667902

So weit ist mir das schon klar mit dem Routing. Mein Problem ist eher dass ich von Kommandozeilentools wie iptables oder route keine Ahnung habe und das Sinnlose kopieren von Befehlen auch nicht viel bewirkt. Vielleicht geht es nur mir so und es ist an sich ganz einfach. Nur komme ich auch nach Lesen von Kilometern nicht zu einem sinnvollen Schluss, da der tcpdump auf dem vServer eigentlich darauf hindeutet, dass das Problem nicht alleine aufgrund meiner Routingversuche fortbesteht. Bisher habe ich das alles mit "ip neigh add proxy (Interface IP) dev (Interface)" probiert. Dadurch ist die IP aber immer nur Intern erreichbar. Also reich bei mir RTFM nicht aus.

LG Leo
micneu
micneu 31.10.2022 um 17:05:18 Uhr
Goto Top
@LOENS2, wieso willst du einen dienst auf einen geNatteten vServer anbieten, das habe ich noch nicht verstanden (was ist das für ein dienst)?
Manchmal muss man Geld in die Hand nehmen (auch wenn es nicht viel ist), wenn du Admin bist sollte es dir klar sein.
LOENS2
Lösung LOENS2 12.03.2023 um 19:58:04 Uhr
Goto Top
Zitat von @micneu:

Manchmal muss man Geld in die Hand nehmen (auch wenn es nicht viel ist), wenn du Admin bist sollte es dir klar sein.

Tja, oder muss man auch nicht:

iptables -t nat -A PREROUTING -p tcp -i eth0 -j DNAT --to-destination OPNSENSE
iptables -t nat -A POSTROUTING -p tcp -o wg0 -d OPNSENSE -j SNAT --to-source CLOUDSERVERIP

hat da Problem gelöst. RTFM in Hinsicht auf iptables ist auch sonst gut.
Diese zwei Befehle mit Wireguard PostUp laufen lassen und der Traffic funktioniert.

Einfach aber Gut.

LG Leo
aqui
aqui 13.03.2023 um 09:36:21 Uhr
Goto Top
RTFM in Hinsicht auf iptables ist auch sonst gut.
Richtig, denn dann erkennt man auch das nftables deutlich besser ist weil die Tage von iptables bekanntlich gezählt sind. Siehe dazu auch HIER.
LOENS2
LOENS2 13.03.2023 um 13:07:24 Uhr
Goto Top
Zitat von @aqui:

Richtig, denn dann erkennt man auch das nftables deutlich besser ist weil die Tage von iptables bekanntlich gezählt sind. Siehe dazu auch HIER.

Da hab ich doch glatt wieder was gelernt. Nächstes Mal weiß ich es besser!

LG Leo