18
Server hinter Wireguard VPN zur Verfügung stellen
Ich habe mir vor ein paar Tagen einen vServer in der OCI geholt, um damit meinen Webserver im Internet verfügbar zu machen. Das betreiben des Webservers auf dem vServer ist technisch unmöglich, daher möchte ich dies über einen Wireguard Tunnel machen.
Mein Problem ist, dass ich über die Tunnel IP auf dem vServer den Webserver erreichen kann. Allerding weiß ich nicht, wie ich das Routing durchführen muss, damit ich von meiner sekundären Public IP des vServers meinen Webserver erreichen kann.
Bei der Grundsätzlichen Einrichtung habe ich mich an diesem Beitrag orientiert: Feste IPs zuhause in pfsense via WireGuard Tunnel. Dieser geht aber davon aus, dass der vServer die Public IP direkt am vNIC hat. Bei OCI hingegen ist der vServer durch NAT mit der Public IP erreichbar. Daraufhin habe ich im Tunnel script die Public IP zur NAT IP des vServers geändert, wodurch jetzt der Webserver über die Private IP des vServers erreichbar ist, aber leider nicht über die Öffentlich IP.
Was mache ich falsch? Habe ich einen Denkfehler?
Was ich eigentlich möchte ist, dass der Traffic von der Privaten IP (10.0.x.10) an die Tunnel IP (10.100.x.10) geroutet wird.
Dank im Voraus.
LG Leo.
Mein Problem ist, dass ich über die Tunnel IP auf dem vServer den Webserver erreichen kann. Allerding weiß ich nicht, wie ich das Routing durchführen muss, damit ich von meiner sekundären Public IP des vServers meinen Webserver erreichen kann.
Bei der Grundsätzlichen Einrichtung habe ich mich an diesem Beitrag orientiert: Feste IPs zuhause in pfsense via WireGuard Tunnel. Dieser geht aber davon aus, dass der vServer die Public IP direkt am vNIC hat. Bei OCI hingegen ist der vServer durch NAT mit der Public IP erreichbar. Daraufhin habe ich im Tunnel script die Public IP zur NAT IP des vServers geändert, wodurch jetzt der Webserver über die Private IP des vServers erreichbar ist, aber leider nicht über die Öffentlich IP.
Was mache ich falsch? Habe ich einen Denkfehler?
Was ich eigentlich möchte ist, dass der Traffic von der Privaten IP (10.0.x.10) an die Tunnel IP (10.100.x.10) geroutet wird.
Dank im Voraus.
LG Leo.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4456253435
Url: https://administrator.de/contentid/4456253435
Ausgedruckt am: 19.11.2024 um 03:11 Uhr
18 Kommentare
Neuester Kommentar
Ja
Du hast den falschen Anbieter gewählt. Kündige den vServer und such Dir einen, der ohne NAT arbeitet.
lks
Das ist relative simple, habe ich schon sehr oft gemacht. Du kannst damit deine eigenen Server z. B. Hosten wie Minecraft. Solltest du aber vorhaben ein Mailserver zu Hause zu Hosten kannst du das vergessen. Dafür brauchst du eine Static IP und dein Mail Server muss deine VPN als Gateway haben.
Du kannst dir einen Server bei Bero-Host holen, da habe ich meinen derzeit. Läuft auf Prepaid Basis.
Du kannst dir einen Server bei Bero-Host holen, da habe ich meinen derzeit. Läuft auf Prepaid Basis.
Hier steht wie es auch ohne vServer geht:
https://www.heise.de/select/ct/2022/20/2220814450921686554
https://www.heise.de/select/ct/2022/20/2220814450921686554
Zitat von @aqui:
Hier steht wie es auch ohne vServer geht:
https://www.heise.de/select/ct/2022/20/2220814450921686554
Hier steht wie es auch ohne vServer geht:
https://www.heise.de/select/ct/2022/20/2220814450921686554
Netter Vorschlag. Der Artikel ist bei mir bloß hinter einer Paywall versteckt.
Na ja...jeder kennt einen der einen kennt der die ct' liest!! Sonst bestell dir das Heft, das sind weise investierte 5 Euronen. Jedenfalls weiser als einen wenig hilfreichen vServer zu mieten... 
Einfach einen vServer zu mieten der kein NAT besitzt ist offensichtlich nicht die Lösung für dieses Problem, da ich sonst hier diese Frage gar nicht erst gestellt hätte. Ich bin mit den Servern von OCI und deren IaaS Angeboten überzeugt und würde gerne dort bleiben. Es wird doch wohl möglich sein das Problem mit iptable Routing o.ä. zu lösen anstatt das Problem mit Geld zu ersticken.
Zitat von @aqui:
Na ja...jeder kennt einen der einen kennt der die ct' liest!! Sonst bestell dir das Heft, das sind weise investierte 5 Euronen. Jedenfalls weiser als einen wenig hilfreichen vServer zu mieten...
Oder, wenn man solche Bekanntschaft(skett)en nicht pflegt, ist man so schlau und befragt den per Webseite zugänglichen OPAC der nächstgelegenen öffentlichen Bibliothek. Die c't gehört schließlich zum Standardrepertoire der aktuellen Fachzeitschriften.Na ja...jeder kennt einen der einen kennt der die ct' liest!! Sonst bestell dir das Heft, das sind weise investierte 5 Euronen. Jedenfalls weiser als einen wenig hilfreichen vServer zu mieten...
Viele Grüße
HansDampf06
@LOENS2, du kannst es auch über frp machen, wenn du in linux fit bist sollte es schnell erledigt sein.
Läuft bei mir sehr gut/stabil (einfacher/schneller Einzurichten als wireguard)
Läuft bei mir sehr gut/stabil (einfacher/schneller Einzurichten als wireguard)
Zitat von @micneu:
@LOENS2, du kannst es auch über frp machen, wenn du in linux fit bist sollte es schnell erledigt sein.
Läuft bei mir sehr gut/stabil (einfacher/schneller Einzurichten als wireguard)
@LOENS2, du kannst es auch über frp machen, wenn du in linux fit bist sollte es schnell erledigt sein.
Läuft bei mir sehr gut/stabil (einfacher/schneller Einzurichten als wireguard)
Das klingt gut. Ich denke mal dass du damit das hier meinst: https://github.com/fatedier/frp#p2p-mode
Ich bin zwar relativ fit in Linux, aber in Sachen wie Routing habe ich wenig Wissen und Erfahrung.
LG Leo
Ich habe mal nach "OCI" gesucht, leider nichts passendes gefunden, welcher Anbieter ist das denn?
Ich nutze frp auf einem NetCup vServer (@LOENS2, ja genau der, da musst du nichts routen, habe hier auch eine simple Anleitung geschrieben wie man es einrichtet, habe bei mir noch einen Nginx als Reverse Proxy laufen der das Zertifikats kram macht)
Ich nutze frp auf einem NetCup vServer (@LOENS2, ja genau der, da musst du nichts routen, habe hier auch eine simple Anleitung geschrieben wie man es einrichtet, habe bei mir noch einen Nginx als Reverse Proxy laufen der das Zertifikats kram macht)
Zitat von @micneu:
Ich habe mal nach "OCI" gesucht, leider nichts passendes gefunden, welcher Anbieter ist das denn?
Ich habe mal nach "OCI" gesucht, leider nichts passendes gefunden, welcher Anbieter ist das denn?
OCI steht für Oracle Cloud Infrastructure. Auch wenn Oracle bei den den Pay as you go Services einer der Teuersten ist, haben sie sehr gute "Always Free" vServer, die ich hier verwende.
Zitat von @LOENS2:
Ich bin zwar relativ fit in Linux, aber in Sachen wie Routing habe ich wenig Wissen und Erfahrung.
Ist doch hier eigentlich Schritt für Schritt ziemlich gut erklärt, damit sollte auch ein Routing-Neuling verstehen wie das mit den Paketen abläuft ...Ich bin zwar relativ fit in Linux, aber in Sachen wie Routing habe ich wenig Wissen und Erfahrung.
Wie Portforwarding über 2 miteinander verbundenen pfSense realisieren
Routing zwischen zwei PfSense - Nutzung von public IP
Erster Schritt ist das Verständnis, der kost halt am Anfang etwas mehr Zeit, aber dann ist der Rest nur noch RTFM den man dann runter tippt, und schon lüppt dat. Ist am Ende nachhaltiger als nur Tutorials blind abtippen ohne zu verstehen was im Background abläuft.
@4400667902
So weit ist mir das schon klar mit dem Routing. Mein Problem ist eher dass ich von Kommandozeilentools wie iptables oder route keine Ahnung habe und das Sinnlose kopieren von Befehlen auch nicht viel bewirkt. Vielleicht geht es nur mir so und es ist an sich ganz einfach. Nur komme ich auch nach Lesen von Kilometern nicht zu einem sinnvollen Schluss, da der tcpdump auf dem vServer eigentlich darauf hindeutet, dass das Problem nicht alleine aufgrund meiner Routingversuche fortbesteht. Bisher habe ich das alles mit "ip neigh add proxy (Interface IP) dev (Interface)" probiert. Dadurch ist die IP aber immer nur Intern erreichbar. Also reich bei mir RTFM nicht aus.
LG Leo
So weit ist mir das schon klar mit dem Routing. Mein Problem ist eher dass ich von Kommandozeilentools wie iptables oder route keine Ahnung habe und das Sinnlose kopieren von Befehlen auch nicht viel bewirkt. Vielleicht geht es nur mir so und es ist an sich ganz einfach. Nur komme ich auch nach Lesen von Kilometern nicht zu einem sinnvollen Schluss, da der tcpdump auf dem vServer eigentlich darauf hindeutet, dass das Problem nicht alleine aufgrund meiner Routingversuche fortbesteht. Bisher habe ich das alles mit "ip neigh add proxy (Interface IP) dev (Interface)" probiert. Dadurch ist die IP aber immer nur Intern erreichbar. Also reich bei mir RTFM nicht aus.
LG Leo
@LOENS2, wieso willst du einen dienst auf einen geNatteten vServer anbieten, das habe ich noch nicht verstanden (was ist das für ein dienst)?
Manchmal muss man Geld in die Hand nehmen (auch wenn es nicht viel ist), wenn du Admin bist sollte es dir klar sein.
Manchmal muss man Geld in die Hand nehmen (auch wenn es nicht viel ist), wenn du Admin bist sollte es dir klar sein.
Zitat von @micneu:
Manchmal muss man Geld in die Hand nehmen (auch wenn es nicht viel ist), wenn du Admin bist sollte es dir klar sein.
Manchmal muss man Geld in die Hand nehmen (auch wenn es nicht viel ist), wenn du Admin bist sollte es dir klar sein.
Tja, oder muss man auch nicht:
iptables -t nat -A PREROUTING -p tcp -i eth0 -j DNAT --to-destination OPNSENSE
iptables -t nat -A POSTROUTING -p tcp -o wg0 -d OPNSENSE -j SNAT --to-source CLOUDSERVERIP
hat da Problem gelöst. RTFM in Hinsicht auf iptables ist auch sonst gut.
Diese zwei Befehle mit Wireguard PostUp laufen lassen und der Traffic funktioniert.
Einfach aber Gut.
LG Leo
RTFM in Hinsicht auf iptables ist auch sonst gut.
Richtig, denn dann erkennt man auch das nftables deutlich besser ist weil die Tage von iptables bekanntlich gezählt sind. Siehe dazu auch HIER.
