[erl.]freiwilliger helfer für ds-lite umgehung (ip4zuip6)
-
@wal
wo hostest duwar ja ein link
-
@liv-in-sky ,
ich hoste auch noch nicht, habe auch einen vollen Dual Stack.
Mich würde aber die Sache mit dem reverse Proxy .... -
habe gerade ionos gekündigt - gibt eine 30 tage geld zurück testphase - find ich gut
-
@liv-in-sky ,
man müsste also erst nachfragen ob es eine ipv6 Adresse gibt oder nicht.
Bei Netcup steht auch ipv6 Adresse nach Bedarf enthalten, nach Bedarf kostenpflichtig oder kostenlos.
-
@wal bei ionos wäre ein cloudserver (ca 5€) auch mit ip6
wenn du aber einen dual stack provider hast, sollte es egal sein - du brauchst halt entweder 2 feste ip4 oder ip6 addressen, damit sich der tunnel immer "finden" kann (wenn ich das alles richtig verstehe)
wenn du aber daheim eine ip4 hast und eine fritzbox, kannst du eigntlich einen nginx server intern bauen und die ports an der fritzbox weitergeben - das mache ich im moment so
so nutze ich die traccar (gps) app und sende direkt an meinen traccar server und mit tasker über httpget command noch andere daten an iobroker -
@liv-in-sky ,
ich muss mir noch ein paar Videos reinziehen, ich verstehe das mit der Sicherheit noch nicht. Wenn jemand die sub.domain aufruft, kommt er doch auch auf meinen Server. -
also wie erwähnt - ganz tief drin bin ich da nicht - im der config datei des wireguard stehen feste öffentliche ip bei mir drin - ich gehe mal davon aus, dass dies auch über eine dyndns oder myfritz angabe funktionieren müßte
was bei meiner ionos noch dazu kam - ich hatte eine extra domain mit dazu bestellt , denn diese braucht man für das nginx certificat , damit die leitung sicher ist - keine ahnung ob das über eine dyndns gegangen wäre - waren also auch noch kosten - die serverzuweisung der festen ip4 von ionos und der domain konnte man dort über den A-record zuweisen
@wal sagte in [erl.]freiwilliger helfer für ds-lite umgehung (ip4zuip6):
@liv-in-sky ,
ich muss mir noch ein paar Videos reinziehen, ich verstehe das mit der Sicherheit noch nicht. Wenn jemand die sub.domain aufruft, kommt er doch auch auf meinen Servergenau deswegen habe ich ja einen profi gesucht
der wireguard tunnel reicht alles weiter in den internen wireguard server - da sehe ich eigentlich keine sicherheit - nur einen weg in mein netz - daher wollte ich auch weg von den ports 80 und 443 - ich habe ja momentan zwei ports freigegeben auf der fritzbox - aber im 5 stelligen bereich, damit nicht jeder simpler/standard portscann bescheid weiß - mit dem nginx server beim provider wollte ich dies noch machen - da muss ich mich aber auch noch einlesen. auf dem inneren wireguard server wird dann in die ip tables die zuweisung des traffics bzw ports gemacht
ist alles ein heikles thema - und ja - durch das wissen der subdomains kommt man an deine geräte, die aber nur durch einen port aufgerufen werden können
clients, die das ganze interne netz benutzen können sollen , würde ich dann extra anbinden - viel sicherheit ist also im internen wireguard server zu konfigurieren, damit da nichts falsches durchkommt -
@liv-in-sky ,
der externe Server mit wireguard ist sicher, da ja nur du die Schlüssel hast.
Das ist das gleiche wie auf dem Heimnetz.
Was mich reizt ist ja ohne wireguard, da man ja keinen client starten müsste. -
wireguard macht ja nur die verbindung vom externen server (ionos) zum internen heim netz (wo entweder ein eigener pi oder lxc mit wireguard installiert ist) - jeder der die adresse/port kennt kommt dann außerhalb des ionos servers in dein internes netz
du brauchst keinen client auf dem handy oder irgendeinem anderen externen server - wireguard ist nur auf dem ionos server und einem heimserver installiert - traffic wird einfach durchgeleitet - außerhalb des ionos servers braucht man keinen schlüssel und keinen client
die absicherung ist zum einen der port, der weitergegeben wird, die routen, die der interne wireguard server müssen muss und die passwörter der angesprochenen server
wird hier ganz am anfang als zeichnung gezeigt https://www.youtube.com/watch?v=kIK0I9dwXh8
-
@liv-in-sky ,
so das habe ich jetzt kapiert.
Wo ich jetzt noch Probleme habe ist die Sicherheit.
Wenn ich z.B. ioBroker so ans Netz hänge, ist die einzige Sicherheit der Login oder ? -
@wal ja - wenn man den port kennt und die adresse ist man drin
ich habe den iobroker so nicht freigegeben (p8081) - nur einen port für simple api- adapter - so kann ich dp setzen und lesen
den iobroker admin (8081) öffne ich nur über fritzbox vpn
-
@liv-in-sky ,
wenn man aber bedenkt, das man bei iNet Diensten wie Dyndns, Ionos u.s.w. auch nur ein User und Password braucht dürfte das im allgemeinen ziemlich sicher sein. -
Ich habe jetzt nicht alles gelesen, aber meine Empfehlung ist immer: ioBroker über VPN, z.B. mit wireguard, niemals Port direkt freigeben. Portfreigabe mache ich, falls erforderlich, immer nur über Nginx Proxy Manager auf irgendeinen dedizierten Server der in meiner DMZ steht und den ich unbedingt von aussen erreichen möchte (z.B. Wordpress, etc.)). Das klappt auch alles wunderbar mit dyndns. Voraussetzung ist, dass Du Dir über Deine Heimnetzstruktur gedanken machst und nicht alles in eine Domäne haust. VLAN wäre hier das Stichwort, um dein Netz logisch zu strukturieren und damit auch (über passende Firewallregeln) sicherer zu machen.
