Quantcast
Aktuelles
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Hardware & Software Praxis: Raspi als WireGuard-Server?

Ich möchte einen Raspberry Pi als WireGuard-Server einrichten. Leider unterstützt der Router, den ich von meinem Provider (Magenta Österreich) bekommen habe, den DDNS-Service nicht, jedenfalls kann ich im Setup des Routers diesbezüglich nichts einstellen. Gibt es eine andere Möglichkeit, den Raspi aus dem Internet erreichbar zu machen, oder muss ich dafür bei neueren Modellen einfach nur die Portweiterleitung im Router aktivieren?


Solange Ihr Router Portfreigaben oder -weiterleitungen unterstützt und Sie eine öffentliche IPv4- oder IPv6-Adresse haben, werden Sie keine Probleme haben, Ihren Raspberry Pi aus dem Internet erreichbar zu machen.

Die IPv4/v6-Adresse Ihres Routers (beziehungsweise bei v6 des benutzten Gerätes) ist ja nicht nur diesem bekannt; sie wird jedes Mal, wenn Sie eine Verbindung ins Internet aufbauen (etwa zu einer Website), mitgeschickt, damit das Ziel weiß, wohin die Daten zurückgehen müssen. Viele DynDNS-Anbieter stellen daher URLs bereit, die Sie nur vom entsprechenden Anschluss aus aufrufen müssen, damit der Anbieter die aktuelle IP-Adresse erhält und für den jeweiligen DynDNS-Eintrag speichert.

Am besten schauen Sie erst einmal auf der Weboberfläche Ihres Routers, ob Sie eine öffentliche IPv4-Adresse sowie eine öffentliche IPv6-Adresse an der WAN-Schnittstelle bekommen und keine private.Es gibte eine Liste mit privaten IPv4-Adressbereichen. Aufgrund der IPv4-Adressknappheit verwenden immer mehr Anbieter private IP-Adressen für Endkundenanschlüsse – sogenanntes "Carrier-grade NAT". Wenn Sie eine öffentliche Adresse haben, können Sie die WireGuard-Portweiterleitung einfach anlegen.

Wenn es eine private IPv4-Adresse ist, fragen Sie bei Ihrem Anbieter, ob Sie auf Anfrage eine öffentliche IPv4-Adresse erhalten können. Wenn nicht, gibt es keinen einfachen Weg (für IPv4). Dann kann nur noch ein anderer Anbieter helfen, der Ihnen die Adresse über einen Tunnel zur Verfügung stellt, oder ein kleiner vServer mit öffentlicher IP-Adresse im Netz, über den Sie ein VPN-Routing einrichten. Nichtsdestotrotz kann Ihr VPN-Vorhaben trotzdem funktionieren, wenn an beiden verwendeten Anschlüssen IPv6 verfügbar ist.

Vom Anbieter vergebene IPv6-Adressen sind praktisch immer öffentlich (fe80 ist lokal, Check unter ipv6-test.com). Sofern Ihr Router gar keine vergibt, schauen Sie, ob Sie IPv6 auf Ihrem Router und/oder bei Ihrem Anbieter aktivieren müssen. Bietet Ihr Anbieter kein IPv6, schreiben Sie ihm eine Beschwerdemail, in der Sie fragen, wie es sein kann, dass er das Protokoll, das das Problem der Adressknappheit effizient lösen würde, 20 Jahre nach der Veröffentlichung noch nicht eingeführt hat.

Wenn das funktioniert: Da es bei IPv6 genug Adressen gibt, bekommt der Router meist ein öffentliches Präfix zur Vergabe an Geräte, worüber Ihr Raspberry Pi dann eine oder mehrere Adressen erhält. Per Default sind in Raspberry OS die Privacy Extensions aktiviert, die eine temporäre Adresse generieren, die keine eingehenden Verbindungen zulässt. Sie müssen sie also deaktivieren, wenn die Adresse über eine Verbindung zum Anbieter ermittelt wird. Dann ist IPv6 einsatzbereit und Sie müssen nur noch anhand der Anleitung Ihres Routers die WireGuard-Portfreigabe anlegen.
Der kostenlose DynDNS-Dienst dynv6.com stellt APIs bereit, mit denen man den eigenen Eintrag auch ohne Router-Unterstützung aktualisieren kann.
Anschließend prüfen Sie die Dokumentation Ihres DynDNS-Anbieters. Der Dienst von dynv6.com etwa liefert ein fertiges Shellskript, das auf beliebigen Linux-Computern läuft. Wenn Sie das oder beispielsweise einen vom Anbieter bereitgestellten curl-Befehl regelmäßig als Cronjob auf dem Raspi ausführen, behält der DynDNS-Anbieter auch ohne Zutun des Routers die aktuelle Adresse – der spielt dafür keine Rolle.

Quelle: c‘t
 
Zurück
Oben