Homeserver per Vpn erreichen auch aus WLAN

[merowinger]

Hallo Zusammen,

auf meinem Proxmox Homeserver laufen inzwischen eine ganze Reihe nützlicher Sachen wie paperless, immich, Home Assistant, etc.

Nun würde ich gerne aus dem Internet darauf zugreifen können.

Erster Versuch war, auf der Fritzbox Wireguard zu aktivieren und Verbindungen auf den Geräten einzurichten. Das funktioniert aber nur, wenn ich mobile Daten nutze. Sobald ich in einem WLAN bin, geht es nicht mehr, egal ob ICE/Bahn, Hotel, Office was auch immer.

Ich habe schon versucht, einen komplett zufällig Adressbereich zu nutzen in meinem Heimnetz 192.168.6.xxx aber das hat auch nichts genützt.

Jetzt wäre meine nächste Idee, einen VPS zu mieten und darauf Wireguard oder OpenVPN laufen zu lassen, um dann sowohl von der Fritzbox (alternativ einer VM im Heimnetz) und parallel vom Handy, Laptop aus einen VPN Tunnelen aufzubauen.

Portfreigabe kommt für mich aus Sicherheitsgründen nicht in Frage.

Könnt ihr mir sagen, ob dieser doppelte Tunnel das Problem löst (z.b. indem auf dem vps Wireguard einen anderen Port verwende, der in Wlans offen ist)? Wenn ja, wo finde ich Anleitungen um sowas zu konfigurieren?

 

[BobbyD]

Sobald ich in einem WLAN bin, geht es nicht mehr, egal ob ICE/Bahn, Hotel, Office was auch immer.

Warum sollte das nicht gehen. Müsstest Du schon mal klären, ob es einen Adresskonflikt gibt oder ob gar kein Handshake zustande kommt, IPv4/IPv6 etc.

Wenn es nur um Webservices geht, könnte Cloudflare-Tunnel eine Alternative sein.
Netbird oder Tailscale könnten weitere Alternativen sein.
Aber alles nicht selbst ausprobiert.

Beitrag automatisch zusammengeführt: Samstag um 13:54

Jetzt wäre meine nächste Idee, einen VPS zu mieten

Das würde nur Sinn machen, wenn Du zuhause keine öffentlich erreichbare IPv4-Adresse hast und Du glaubst, dass das die Ursache ist.

 

[merowinger]

Warum sollte das nicht gehen. Müsstest Du schon mal klären, ob es einen Adresskonflikt gibt oder ob gar kein Handshake zustande kommt, IPv4/IPv6 etc.

Wie finde ich das heraus?

 

[BobbyD]

Wie finde ich das heraus?

Ein Blick in das Log der WireGuard-App sollte z.B. den Handshake anzeigen. Welchen ISP hast Du denn.

 

[Liesel Weppen]

Erster Versuch war, auf der Fritzbox Wireguard zu aktivieren und Verbindungen auf den Geräten einzurichten. Das funktioniert aber nur, wenn ich mobile Daten nutze. Sobald ich in einem WLAN bin, geht es nicht mehr, egal ob ICE/Bahn, Hotel, Office was auch immer.

Ich habe schon versucht, einen komplett zufällig Adressbereich zu nutzen in meinem Heimnetz 192.168.6.xxx aber das hat auch nichts genützt.

Da es mit mobilen Daten klappt, nehme ich an dein VPN wird mit IPv6 funktionieren.
WLANs von Hotels und ICE bieten (intern) oft nur IPv4. Wenn dein VPN als nicht mit IPv4 klar kommt/nur für IPv6 eingerichtet ist, klappt das aus solchen Netzen heraus natürlich nicht.
Oder dein Heimanschluss ggf. sogar mit DSlite läuft, du zuhause also sowieso nur IPv6 nativ hast, dann kommst du von aussen mit nur-IPv4 sowieso nicht ran.

 

[andrer250282]

Ich rate mal
Du hast einen ds-lite Anschluss an dem der Server betrieben wird. Mobile Daten haben in aller Regel IPv6, deshalb geht es, die meisten öffentlichen WLANs nicht.
Ich hab das gleiche Elend

Eine richtige gute Lösung hab ich aber auch nicht, du könntest dir einen VPS mieten, dort deine Box und dein Handy anbinden und dort über eine öffentliche V4 Routen
Falls es was besseres gibt, ich wäre auch an einer guten Lösung interessiert

 

[merowinger]

Genauso ist es, dslite mit ip v6. Spannend mein Vertrag läuft schon ewig und früher noch mit Zwangstrennung nachts etc. Scheint sich einfach so geändert zu haben, ohne dass es mir aufgefallen ist.


Also bleibt dann nur einen VPS zu mieten und dann verbinde ich die Fritzbox als Client zu dem und die Handys, Laptops auch?

Gibt es eine bestimmte Konfiguration mit der man mit VPN am ehesten aus dem WLAN herauskommt? Habe bei meiner Recherche erst gedacht, zu dem Thema erst nur Beiträge gefunden, wo erwähnt wurde, dass die UDP Ports für Wireguard ggf. blockiert sind.

Da ich mit meinem beruflichen VPN auf Basis von Open VPN bislang keine Probleme hatte, wird das evtl. weniger geblockt? Oder besser bei Wireguard bleiben und einen andren Port z.b. 123 verwenden?

 

[Senator Wurstbein]

Ob openvpn odee wireguard spielt keine Rolle, ipv4 oder ipv6 ist das Problem.

Wenn du aber in einem wifi bist, in dem vpn ports geblockt werden, dann würde ich das wifi verlassen. Wer weiss, wie der Betreiber sich noch in deine Kommunikation einmischen möchte, das wäre mir zu unsicher.

 

[danthosch]

Die einfachste Lösung zuhause auf Wunsch überall verfügbar zu machen war in meinem Fall ein Tailscale-Netzwerk einzurichten. Damit ist auf Wunsch Adguard oder Nextcloud auf dem Server daheim auch unterwegs verfügbar, man muss sich nur in der App ins Heimnetzwerk einloggen.
Konfiguration von VPN entfällt damit quasi komplett und erreichbar ist es aus dem Netz nur gut abgesichert ohne offene Ports.
Schau dir die kostenlose Lösung mal an.

 

[xST4R]

ich würde niemals den ganzen homeserver ins internet stellen (egal ob mit oder ohne vpn), erstell doch einfach verschiedene docker netzwerke und nutz pangolin.

https://github.com/fosrl/pangolin

das ist quasi wie ein cloudflared tunnel nur komplett selfhostet - (bei pangolin hast du dann auch noch einen weiteren schutz durch pin oder pw abfrage)
(auserdem gibt es crowdsec , treafik unterstützung usw.)

und du brauchst kein extra LetsEncrypt

 

[merowinger]

Habe gestern Abend einen Wireguard VPS bei Ionos aufgesetzt. Verbindung über die FritzBox und Handy klappt. Aber der Zugriff auf die einzelnen Rechner nicht

Ich kann die Server auch von Wireguard VPS anpingen.


die /etc/wireguard/wg0.conf auf dem vps sieht wie folgt aus

[Interface]
PrivateKey = [xxx]
Address = 10.[xxx]
MTU = 1420
ListenPort = 51820
PostUp   = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o ens6 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o ens6 -j MASQUERADE
### begin pocophone ###
[Peer]
PublicKey = [xxx]
PresharedKey = [xxx]
AllowedIPs = 10.[xxx]
### end pocophone ###
### begin fritzbox ###
[Peer]
PublicKey = [xxx]
PresharedKey = [xxx]
AllowedIPs = 10.[xxx]/32,192.168.61.0/24
### end fritzbox ###
### begin homeassistant ###
[Peer]
PublicKey = [xxx]
PresharedKey = [xxx]
AllowedIPs = 10.[xxx]/32,192.168.61.104
### end homeassistant ###

Wenn ich homeassistant direkt zum Wireguard Server verbinde, dann komme ich vom Handy aus mit mobilen Daten drauf. Schalte ich die VPN in HA aus und nur die FritzBox ein, geht es nicht mehr.

Client Liste sieht so aus

::: Connected Clients List :::
Name               Remote IP                Virtual IP                          Bytes Received      Bytes Sent      Last Seen
pocophone          [xxx]                   10.115.125.2                        128KiB              294KiB          Apr 27 2025 - 09:02:11
fritzbox           [xxx]                 10.115.125.3,192.168.61.0/24        399KiB              523KiB          Apr 27 2025 - 09:02:18
homeassistant      (none)                   10.115.125.4,192.168.61.104/32      0B                  0B              (not yet)

Auf der FritzBox ist es wie folgt konfiuriert