DS-Lite Portfreigaben erstellen inkl. ReverseProxy und VPN-Server

Für Leute, die wie ich nur auf diesem Video gelandet sind, weil sie in öffentlichen Netzwerken ihre VPN nicht erreichen und das wieder tun wollen, die Konfiguration allerdings nicht ganz funktioniert. Hier ein paar Probleme auf die ich gestoßen bin und wie man sie lösen kann.
Am Ende des Videos wird gesagt, man kann einfach einen weiteren Peer zum VPN Server hinzufügen und mit diesem erreicht man dann das Netzwerk. Das stimmt auch soweit, allerdings ist die Konfiguration nicht die selbe und auch die im Patreon Exclusive gezeigte passt nicht. Wenn man sie so übernimmt kommt der Fehler, dass bei Aktivieren des Servers und wg show angezeigt wird, dass bei einem Peer keine IPs erlaubt sind.
Bei der Config des Servers sollte für AllowedIPs bei Peers nicht ein Adressraum von 10.0.0.0/24 gewählt werden. Jeder Peer in der Config muss dort die zugeordete Adresse mit /32 bekommen. Also z.B. 10.0.0.3/32
Das liegt daran, dass Allowed IPs ein irreführender Name ist. Es steht im Kontext des Servers dafür, welcher Traffic an ein bestimmten Peer gesendet werden soll. Wenn dort 10.0.0.0/24 steht, werden alle Packete mit einer Zieladresse in diesem Bereich an diesen Peer gesendet. Deshalb können auch nicht mehrer Peers diese Konfiguration haben, da dann nicht klar definiert ist, wo ein Packet hin soll. Daher sollte jedem Peer nur eine Adresse zugeordet werden mit /32. Im Falle des Peers der im Heimnetz steht sollte noch , 192.xxx... hinzugefügt werden mit /24, da an diesen alle Packete mit Zieladressen aus dem Heimnetz gehen sollen. Aber auch dieser sollte nur eine 10.0.0.x/32 Adresse zugeordnet bekommen!
Ein weiterer Tipp: Falls damit eine Verbindung scheinbar möglich ist, Pings und evtl ssh untereinander funktioniert, allerdings Webseiten nicht aufrufbar sind versucht den Wert für MTU herunterzustellen. Z.B auf 1280
Hier mal meine Server-Config und die eines Peers:
Server:
[Interface]
Address = 10.0.0.1/24
SaveConfig = true
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o ens6 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o ens6 -j MASQUERA>
ListenPort = 51820
PrivateKey =
[Peer]
PublicKey =
AllowedIPs = 10.0.0.3/32, 192.168.178.0/24
PersistentKeepalive = 25
[Peer]
PublicKey =
AllowedIPs = 10.0.0.4/32
PersistentKeepalive = 25
Peer:
[Interface]
PrivateKey =
Address = 10.0.0.4/24
DNS = 192.168.178.39, 192.168.178.1, fritz.box
MTU = 1280
[Peer]
PublicKey =
AllowedIPs = 0.0.0.0/0
Endpoint = xxx.xxx.xxx.xxx:51820 (IP VPN Server)
PersistentKeepalive = 30
AllowedIps ist hier auf 0.0.0.0/0 damit sämtlicher Traffic zum VPN geht. Wenn nur Teil des Traffics zum VPN gehen soll dann diese IP Bereiche hier definieren.
Ich hoffe ich konnte damit ein paar verzweifelten Seelen helfen :)

Vielen Dank nochmal für die Unterstützung bei der Einrichtung Daniel!
Läuft bei mir seid ca. einem Monat sehr stabil. Bin dt. Glasfaser Kunde.

Habe genau auf dieses Video schon lange gewartet. Vielen Dank dir!

Hallo Daniel, vielen dank das Du dein versprechen gehalten hat und das es diese Video jetzt gibt.
Ich werde mich morgen dran entlang hangeln.

Ich schiebe schon seit Monaten die Panik das ich meine Nextcloud nicht mehr nutzen kann wenn demnächst hier Glas verlegt wird. Du hast mir diese Panik genommen. Danke!

Update: Bei 1und1 gibt es einen Mini-Server mit IPv4/v6 für einen Euro im Monat (VPS Linux XS). Der kann für diese Konfiguration benutzt werden. Ich mach hier keine Werbung - es ist einfach das unschlagbar günstigste Angebot im Moment.

Nach ein paar Startschwierigkeiten läuft nun alles. Danke.

Super Video. Bei mir hat es geklappt. Musste zwar etwas testen und nachfragen. Jetzt kann hier ruhig Glasfaser ausgebaut werden.... 😃

Top Video, sehr lange habe ich versucht eine Lösung mit meinem DG Anschluss hinzubekommen --> immer ohne Erfolg, aber mit dieser Anleitung hat es direkt funktioniert! TOP & Dankeschön!!

Hallo Daniel, vielen Dank, das ist genau das, was ich mir vor kurzem von dir gewünscht hatte. Ich werde das am Wochenende mal testen.😋

Tipp für ein Video: Wie sieht das Ganze aus, wenn sich die Fritzbox als Client mit dem VPS verbinden soll.

Cooles Video! Lustigerweise hab ich fast das gleiche vor kurzem gemacht. Einziger unterschied: ich hab einen Vanilla Nginx genommen mit certbot. (Ich glaub da wird noch ein upgrade fällig.) Danke!

Vielen vielen Dank für dieses Video! Hat mir sehr geholfen. Wie immer super professionell gemacht.

Vielen Dank Daniel :) jetzt kann ich endlich mehrere Mailserver mit Mailcow zu Hause betreiben

Bei mir scheint das alles nicht so ganz zu funktionieren.
die Wireguard-Verbindung lässt sich ohne probleme Aufbauen, ich kann pingen ins Lokale Netz und umgekehrt, aber ich habe irgendwie bei den Proxy-Manager echt so meine Probleme, der ist erreichbar, domain auf port 80 gibt den Standard-Ngnix-Text als Ausgabe, mappe ich dann nun mit einer Subdomain auf meine getunnelte IP komme ich hier immer in ein Timeout, egal wie ich das konfiguriere. =/

Alles zunächst perfekt, jeder Wireguard-Server sieht die Devices des jeweils anderen Netzes. Nun wäre es natürlich schön, wenn jedes Device der einen Seite die Devices der anderen Seite sehen würde. Müsste das nicht sehr einfach gehen?
JA, ich kenne das Video "Site-to-Site VPN einfach mit WireGuard einrichten! Schritt-für-Schritt Anleitung". Da bin ich aber vermutlich daran gescheitert, dass eine Seite DS Lite hat.
Wie auch immer, es wäre toll, basierend auf der DS Lite Lösung zu wissen wie man sie auf "any to any" erweitern kann.

Hätte ich vor zwei Wochen beim Kunden gebaucht. Habe es mit einem IONOS vserver versucht. Nach einiger Zeit hatte ich die Konfiguration so dass es ab und an funktionierte. VPN war aber nicht zuverlässig. Offenbar hat sich die IP geändert. Habe dann in den sauren Apfel gebissen und bei 1&1 gegen deren Willen das DS Lite abstellen lassen. Danach ging alles wunderbar. Das schlimmste ist wirklich den Support von deinem Vorhaben zu überzeugen. Sollte ich nochmal damit konfrontiert werden, halte ich mich an dein Video. Mal schauen ob es klappt. Hat bisschen an meinem Ego gekratzt 😅

Nginx Proxy Manager: Fehler bei New Proxy Host. Habe meine Domain eingegeben, die IP-Adresse, Zertifikat, etc. aber im UI erscheint nachdem ich auf "Save" klicke ein roter Balken in der Maske. Vermutlich ein Fehler aber außer dem roten Balken erscheint kein Fehlercode bzw. Fehlermedlung. Hat noch jemand das Problem?

Hi, tolles Video, danke! Geht das auch mit ner Fritz!Box auf der WireGuard VPN konfiguriert ist?

Ein Video, worauf ich gefühlt schon 10 Jahre gewartet habe! Danke Danke Danke !!! Leider klappts noch nicht mit dem SSL-Zertifikat im Nginx (Internal Error), aber ist erstmal egal. Wie bringe ich denn meinem Windows-11-Rechner bei, mit dem Wireguard Kontakt aufzunehmen?

Alles super läuft. Danke dafür guter Job

Bei mir funktioniert die Nginx Portweiterleitung nicht so richtig. Also wenn ich das im Browser aufrufe steht oben im Tab was mit Nginx (also die weiterleitung funcktioniert an sich), aber die Seite will einfach nicht laden, hab unterschiedliche Browser ausprobiert.
Hat wer ein tip

Super Anleitung, das habe ich schon lange gesucht.
Leider funktioniert bei mir die Weiterleitung nicht. Es dauert ewig, und am Schluss kommt "504 Gateway Time-out"
Habe einen IONOS vServer für 1€ im Monat -> wireguard funktioniert -> ping ins Heimnetz vom vServer funktioniert.
Wo könnte das Problem hier liegen ?

Endlich, vielen Dank darauf hab ich auch so lange gewartet.

Nur Wegen dir habe ich mich mit IPV6 auseinander gesetzt. Dadurch laufen meine Vserver Perfekt, getrennt voneinander und für mich 100% reibungslos. Nur die, die kein Ipv6 haben haben leider probleme D:

Das hätte ich vor ca. 4 Jahren gebraucht... :D Mittlerweile hab ich nen Portmapper am Start - aber das klingt hier alles ziemlich gut, sodass ich das vielleicht sogar auf diese Lösung hier umbaue.
Wie ist denn die Performance? Gibt es einen Overhead durch das VPN?

Hey Daniel
Vielen Dank für dieses super coole Video!
3 Fragen hätte ich noch:
1. Wenn Du mehrere Geräte\Clients in Deinem Home Netzwerk hast wie z.B. mehrere VMs auf die Du z.B. per SSH oder RDP zugreifen möchtest, geht das nur wenn Du jedem client einen anderen Port zuweist? Oder leitet der Wireguard client jeglichen traffic weiter, und man braucht dazu nur die LAN IP Addresse von dem Client im Remote Netzwerk?
2. Wie kann man konfigurieren, dass man per domain name einen client im Home Netzwerk erreicht? D.h. z.B. per RDP einen RDP Server im Home Netzwerk mit dem domain namen aufrufen
3. Du hast in einem anderen Video ein Docker Image für Wireguard verwendet. Könnte man dies hierfür auch alternativ verwenden?

Keine Ahnung warum aber ab dem Punkt des Aufrufens des NPM über die steigt es bei mir aus. Der NPM wird nicht geöffnet und ich bekomme eine "ERR_CONNECTION_TIMED_OUT" Meldung. Der NPM lässt sich nur über :81 öffnen aber nicht über :81 . Ich weiß nicht woran es liegt, dass er das nicht öffnet. Der Tunnel scheint zu funktionieren, denn ich bekomme einen Ping sowohl vom VPS-Server zum Client im Heimnetz als auch andersrum. Woran kann das liegen?

Cooles Video🤝

Kann man eigentlich auch die fritzbox direkt als wireguard Client einrichten, ohne den separaten Client auf dem Mini PC?
Damit würde ich ein Gerät sparen. Oder muss dafür der vps Server als Client konfiguriert werden?

Hallo Daniel
funktioniert das ganze auch mit Windows 10 ?

super Anleitung! Vielen Dank!

Super interessantes Video: Reicht als lokaler Server im Heimnetz auch eine Raspberry PI 3B (mit 1 GB Speicher und 32GB Speicherkarte) ?

Habe mich zuerst sehr gefreut über die Anleitung, dann aber festgestellt, dass sie mit EC2 Instanzen anscheinend nicht funktioniert. Ich habe alles nach Anleitung gemacht, den WireGuard Port und ICMP auf der EC2 freigegeben, die richtigen Interfaces in den WG-Konfig-Dateien genommen, aber Ping geht weder in die eine noch in die andere Richtung :( latest handshake wird bei "wg show" nie angezeigt, also war keine Verbindung da. Regulär über die externe IP lässt sich der EC2 aber pingen.

Schönes Video, aber nach jedem Neustart ist die route auf Port 81 wieder weg... wie speichere ich diese?

Und die Einstellungen mit iptables bei 19:20 muss man noch speichern, sonst sind die nach einem Reboot nicht mehr aktiv!

Also kann ich damit auch von einem externen IPv4 auf mein IPv6 Heimnetz zugreifen? Mein NAS hängt im IPv6 Heimnetz. Ich komme z.b. von der Arbeit was ein IPV4 Netz hat nicht auf mein NAS

Super Video danke.
Wenn ich Dich recht verstanden habe, bekommt jeder "externe" Server automatisch eine statische IP. Wenn ich zuhause einen Mailserver betreiben möchte, braucht man ja eine statische IP um nicht auf Blacklisten zu landen.
Könnte ich Deine Konfiguration dazu nutzen um einen Mailserver zu betreiben?

Eignet sich auch ein Raspi anstatt des Mini Pc‘s?

Tolles Video!
Nur eine Sorge/Frage hätte ich. Angenommen jemand (z.B. ein Mitarbeiter des Rechenzentrum) würde die Kontrolle über den vServer erlangen. Kann er über die dauerhafte VPN Verbindung in mein Heimnetzwerk gelangen?

Daniel, besten Dank für das Video.Das hat mir nach unserem Umschluss auf Glasfaser nun geholfen wieder auf das Netz zuzugreifen. Vorher hatte ich z.B. Wiregurd auf meinem Handy und konnte dort den Tunnel ins Heimnetz aufbauen. Kann ich diese im Video Vorgestellte Verbindung vom Wireguard Server zum Client auch auf dem Handy nutzen ohne einen separaten Tunnel aufzubauen ? Bzw. Was ist die bete Lösung? Habe auch gelesen dass die neue Firmware der Frizbox eine Wireguard Option hat.

Eine Frage habe Ich. Wenn ich eine NAS habe (Synology) und eine Native IPv6-Anbindung verwende zusätzlich noch eine IPv4-Anbindung über DS-Lite habe, kann ich nicht über meine NAS z. B extern auf Nextcloud oder sonstige Programme extern zugreifen? Grüße

Warum hast du denn in dieser aktualisierten Version des ursprünglichen, vor 3 Jahren erstellten, Videos jetzt Hetzner gewählt ? Hetzner kostet mind. 4,51€ im Monat und Ionos, wie damals, nur 2€ im Monat. Bringt der Wechsel irgendeinen gravierenden Vorteil?
Vielen Dank für deine Videos, ohne die ich echt aufgeschmissen wäre 😅

Müsste man nicht auch en port 443 in Nginx weiterleiten?
Nextcloud läuft aktuell nicht mit https bei mir.

Hey, bei mir läufts grundsätzlich, d.h. ich kann alle meine Webdienste aufrufen (habe es über einen Dyndns - Eintrag bei Duckdns + Hetzner + Wireguard gemacht), allerdings stimmts bei allen Diensten noch nicht ganz. Ich kann häufig nichts editieren oder verändern, also scheint das Backend bei den Diensten irgendwie unrund zu laufen. Hat das jemand auch? Habe Vodafone DS-Lite.

Hallo, ich habe die Lösung umgesetzt. Nur leider bekomme ich über den NGM keine Verbindung durch den WG-Tunnel zu meiner lokalen Nextcloud. Wenn ich einen tcptump auf der wg0 des Client mache, sehe ich die Anfragen, bekomme jedoch keine Antworten der NC oder auch von anderen IPs. Der Ping von Dockercontainer NGM zur lokalen IP der NC funktioniert einwandfrei. Die NC kann ich auch von einem anderen Client aufrufen. Über den NGM kann ich Container auf den Server ohne Probleme aufrufen. Hat jemand ein solche Problem gelöst? Dank für Euere Hilfe!

Hallo,
auf dem Server trägt man ja keinen Endpoint beim peer ein.
Aber nach einiger Zeit erscheint der Eintrag Endpoint automatisch auf dem Server beim Peer.
Ist das normal?

Hi Daniel, danke für die Anleitung. Sie funktioniert bei mir. Mir ist allerdings aufgefallen, dass nach dem Neustart des Clients die Weiterleitung auf port 81 zum Server nicht mehr funktioniert. Die Befehle zu Weiterleitung müssen dann neu eingegeben werden wenn man den ngiX ereichen will. Gibt es eine Möglichkeit die Weiterleitung zu speichern? Danke im Voraus. Grüße VoFa

Danke. Hat im zweiten Anlauf geklappt... bis auf ... Letsencrypt. Ich bekomme immer die Fehlermeldung "Internal Error" wenn ich ein SSL Zertifikat anfordere.

Guten Tag,
ist für diese Vorgehensweise auch der günstigste Mietserver von IONOS (VPS S) den du im Video davor genutzt hast noch ausreichend?

Hallo, kann man auch als Client im Heimnetz die pfSense verwenden

erstmal danke - eine frage: habe momentan noch IP4, wird sich aber im einigen wochen ändern (neuer glasfaseranschluss). zur zeit läuft nginx in meinem lokalen network. habe das video mit 6tunnel von ihnen gesehen und wollte nun fragen, ob ich das video mit 6tunnel umsetzen kann und den nginx server bei mir im netzwerk belassen kann ? oder anders gefragt - muss der nginx server extern laufen oder kann der intern bleiben ?

Moin, super Video. 😍

Bedeutet das das beide Netzwerke die Gleichen IP Adressbereiche haben können? (12:42)

kann man damit seine IP Adresse verschleiern? so wie das cloudflare auch macht

Ich suche eine hilfe mit VPN mit WireGuard mit raspberry. Funkzionirt das mit Vodafone Kabel (Unitymedia) router?

Wie wird denn verhindert, dass der nginx Proxy Manager öffentlich erreichbar ist? Weil das wäre ja eigentlich unerwünscht und wenn über den Tunnel erreichbar ja auch unnötig.

@ApfelCast Daniel, was in deinem Tutorial fehlt:
persistent iptables rules.
Nach reboot sind die regeln sonst futsch auf dem Client ;)

Funktioniert das ganze auch mit Windows? Ich habe einen alten Win10 Laptop als Heimnetzserver aufgestellt und möchte mich einfach damit extern verbinden können; brauche also eine ipv4 damit meine Freunde auf die verschiedenen gehosteten Spiele zugriff haben! Nur dafür zu Linux zu wechseln scheint mir etwas zu aufwändig.

Hallo Daniel. Tolle Anleitung. Was hälst du von Netmaker ? Ist denke ich der gleiche Vorgang, oder ?

Hallo,
danke für das Video.
Reicht hierzu ein Ionos
vServer VPS S oder müsste der Server größer sein?
Dann würde ich mich mal dran probieren.
Gruß
Andreas

Hallo, kann ich das auch auf einem Raspi machen, auf dem Homeassistant läuft?

Hey, ich habe folgendes Problem. Mein Nat Typ hat sich auf der Ps5 selbst auf strikt verändert, diesen bekomme ich nun nicht mehr auf moderat umgestellt, kannst du mir helfen?

mit anderen worten, ich kann meinen proxmox server mit einer wireguard VM so konfigurieren, dass ich den eigentlich überall hinsetzen kann und sobald er internet findet, gehen alle dienste online, komplett unabhängig vom internet-anschluss oder?

Wo ist den der Link zur Wireguard Config von der im Video gesprochen wurde?

ich habe vodafone angerufen und nachgefragt. noch während des telefonats hat mein router neu gestartet und ich hatte ne zusätzliche public ipv4 adresse!

Kann man den VPS Server nicht auch irgendwie selbst hosten?

Kann ich meine Fritzbox als VPN Client Server benutzen?

Prima Video ! Ich scheitere jetzt allerdings noch daran an weitere Adressen lokal zu kommen. Ich kann die tunnel-internen Adressen gegenseitig anpingen und vom VPN Server auch die lokale Adresse des VPN Clients. Aber an andere Adressen im lokalen Netz, z.B. der Router oder meinem NAS komme ich nicht dran. Was könnte mein Fehler sein ?

Funktioniert es auch mit wg-easy von Docker ?

Ich habe alles nach Anleitung gemacht. Einzige Ausnahme war, dass der Client in einem lxc-Container auf Proxmox läuft. Den vps-Server erreicht man leider nicht über die lokale IP. Jemand eine Idee oder das gleiche Problem?

Hallo Daniel,
Vielen Dank für dein Video !
Könntest du uns zeigen wie man mit dieser Weise Mailcow zu Hause auf einer VM installiert und die Ports zur VM durchreicht. So das man die ipv4 des vServers nutzen kann.

Ich erhalte beim Erstellen der SSL Zertifikate immer die Meldung "Internal Error" im NGINX Proxy Manager. Woran kann das liegen? Server und Klient lassen sich gegenseitig anpingen, der A-Record Eintrag bei der Subdomain (Strato) ist auch korrekt.

Danke für das mega gute Video. Ich.mache es zur Zeit mit Tunnel und ionos. Nun wollte ich gerne auch zwei Freunde über den selben Server auch die Chance geben auf das eigene Zuhause zuzugreifen. Ist es hiermit möglich? Wenn ja wo muss ich da drauf achten dass es geht ? Was ändern ? Viele Grüße und vielen Dank für die Hilfe.

Mal eine Frage kann mir jemand den Befehl sagen mit dem ich mir die iptables Schnittstelle anzeigen lassen? Ob diese eth0 heißt?

Es ist schade, denn denn der Ansatz ist gut.
Doch am Ende sieht man nur: klicke hier, kopiere das und ändere das.
Was dahinter steckt, erfährt man leider nur rudimentär bis gar nicht.
Denn meist läuft das Ganze ab der nächsten Version der verwendeten Software nicht mehr so rund und man müsste Hintergrundwissen haben, das man aber nicht vermittelt bekommen hat.
Hilfe bekommt man dann leider auch nicht mehr, denn die neuen Videos müssen ja produziert werden - die dann aber der gleichen Halbwertzeit unterliegen.

Alter ist das kompliziert, ich möchte doch einfach unterwegs auf mein NAS zugreifen

Gutes Video, aber es fehlt die Kennzeichnung der Werbung.

ist Tailscale auch eine Alternative?

Was ist der Vorteil davon MariaDB zu verwenden? Das ist doch gar nicht nötig.

Das funktioniert nicht mal im Ansatz, ich musste fünf weitere Tutorials googlen, um zumindest NPM zum Laufen zu kriegen. Runternehmen, neu machen.

Ich hab auf den Link geklickt und mich angemeldet, hab aber keine 20 Euro bekommen und jetzt steht da nur Neukunden bekommen die. Tut mir leid, aber da gibts von mir ein Daumen runter und hetzner wird auch nicht genutzt :D