Wireguard Server hinter SSH Tunnel
Hallo zusammen,
ich habe folgendes Tutorial nachgestellt.
Dabei habe ich wie im Video, hinter cgnat, einen Debian Server mit Apache2 aufgesetzt und den SSH Tunnel auf einen VPS Server bei einem Provider, getunnelt.
Jetzt kann ich die Seite per Domain oder public IP erreichen.
SSH Tunnel CGNAT
Meine Frage ist, ob ich auch einen Wireguard Server hinter CGNAT aufsetzen kann und dann den Port 51820 Tunnel kann.
Geht das so einfach wie bei dem Apache2 Tunnel oder müssen da zusätzlich Routen und ähnliches konfiguriert werden.
Danke und Grüße
Lehrling
ich habe folgendes Tutorial nachgestellt.
Dabei habe ich wie im Video, hinter cgnat, einen Debian Server mit Apache2 aufgesetzt und den SSH Tunnel auf einen VPS Server bei einem Provider, getunnelt.
Jetzt kann ich die Seite per Domain oder public IP erreichen.
SSH Tunnel CGNAT
Meine Frage ist, ob ich auch einen Wireguard Server hinter CGNAT aufsetzen kann und dann den Port 51820 Tunnel kann.
Geht das so einfach wie bei dem Apache2 Tunnel oder müssen da zusätzlich Routen und ähnliches konfiguriert werden.
Danke und Grüße
Lehrling
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 42713439592
Url: https://administrator.de/contentid/42713439592
Ausgedruckt am: 05.11.2024 um 13:11 Uhr
4 Kommentare
Neuester Kommentar
ob ich auch einen Wireguard Server hinter CGNAT aufsetzen kann
Wenn du mit "hinter" dein lokales Netz an einem CG-NAT (DS-Lite) Anschluss meinst und auch von IPv4 redest lautet die Antwort: Nein.CG-NAT (DS-Lite) Anschlüsse sind generell technisch per IPv4 NICHT für eingehende Verbindungen aus dem Internet erreichbar. Das liegt daran das man da zentrale CG-NAT Gateway des Providers nicht überwinden kann. Intern nutzen CG-NAT Provider bekanntlich im Internet nicht routebare RFC1918 oder RFC6598 IPv4 Adressen.
Ein Server Betrieb als VPN Responder scheidet also aus den o.a. technischen Gründen aus. Nicht aber ein VPN Client (Initiator) der aktiv eine Verbindung zu einem Server ausgehend aufbaut.
Mit IPv6 ist natürlich beides problemlos möglich weil es öffentliche IPv6 Adressen am lokalen Router gibt.
In der Regel löst man das für IPv4 z.B. mit einem vServer als Jumphost. Dieser ist dann mit einer öffentlichen IPv4 Adresse erreichbar.
Ob du da dann IPsec oder Wireguard nutzt ist eher eine kosmetische Frage. Ersteres hat den Vorteil das du bequem immer alle onboard VPN Clients benutzen kannst ohne umständlich mit externer, zusätzlicher Software rumfrickeln zu müssen.
Kann man machen, ist aber 🤮, um UDP was Wireguard nutzt über den Tunnel zu jagen bedingt es einiger Umwege da UDP Portforwarding standardmäßig von SSH nicht supported ist.
https://superuser.com/questions/53103/udp-traffic-through-ssh-tunnel
Das ist aber ziemlich mit der heißen Nadel gestrickt und alles andere als schnell, vom doppelten Crypto-Overhead durch SSH und WG mal ganz zu schweigen.
Zielgerichteter wäre es einen Wireguard Server auf dem vServer aufzusetzen und dich aus deinem Heimnetz per Wireguard auf diesen zu verbinden und die Verbindung zu halten.
Die Clients verbinden dann per Wireguard auf den vServer und schon sind die Clients mit deinem Heimnetz gekoppelt, gängige Praxis ...
https://superuser.com/questions/53103/udp-traffic-through-ssh-tunnel
Das ist aber ziemlich mit der heißen Nadel gestrickt und alles andere als schnell, vom doppelten Crypto-Overhead durch SSH und WG mal ganz zu schweigen.
Zielgerichteter wäre es einen Wireguard Server auf dem vServer aufzusetzen und dich aus deinem Heimnetz per Wireguard auf diesen zu verbinden und die Verbindung zu halten.
Die Clients verbinden dann per Wireguard auf den vServer und schon sind die Clients mit deinem Heimnetz gekoppelt, gängige Praxis ...