Und funktioniert das ganze dann wenn ich Wireguard einrichte, dass ich überhaupt auf den Port 8065 komme? Die Ports machen mir wirklich probleme, sind aber die einzige Möglichkeit die zwei Anwendungen voneinander zu trennen…
Ich verstehe Dein Problem gerade nicht. Was hat DS-Lite mit nur im Inland erreichbar zu tun? DS-Lite bedeutet doch erst einmal nur, dass Du dir eine öffentlich erreichbare IPv4-Adresse mit dutzenden anderen Kunden Deines ISP teilen musst und daher im Normalfall keine Portfreigaben einrichten kannst denn es ist ja nicht klar zu welchem der zwei oder drei dutzend Anschlüsse der Port 80 oder 443 weitergeleitet werden soll.
Da Du Port 8065 erwähnst mutmaße ich mal, dass Du bei einem ISP bist der das Port Control Protokoll (PCP) unterstützt, wie z.B. 1&1. Über PCP handeln FritzBox und ISP z.B. 20 Port aus, die dann exklusiv Dir zugewiesen werden, wie etwa Port 8060 bis 8079. Ein andere Kunde des ISP mit gleicher IPv4-Adresse bekommt dann z.B. die Ports 8080 bis 8079.
Aber für den Zugriff auf diese Ports sollte es doch egal sein, ob du im Inland oder Ausland bist. IPv4 ist und bleibt IPv4.
Und was die Nutzung von DynDNS angeht. auch da sollte es doch egal sein ob das eine Adresse bei ipv64 ist oder bei myfritz.
Darum erschließt sich mir dein Prblem derzeit nicht wirklich.
DS-Lite und die Möglichkeit Port 443 von außen direkt zu erreichen schließen sich eigentlich aus. Irgendwas kann an deiner Problemschilderung nicht stimmen.
Mag sein, dass ich das Problem noch nicht korrekt geschildert habe.
Aber mein System ist folgendes:
1.) Fritzbox mit Portfreigaben und Registrierung bei myfritz.net
2.) Hinter der Fritz-box hängt ein Ubuntu-Server, auf dem mittels Docker-Container Nextcloud (auf Port 443) und Mattermost (auf Port 8065) lauscht.
3.) Im Inland habe ich Zugriff im Ausland nicht.
Fritz hat mir das bei einer Support-Anfrage bestätigt. Hier die Nachricht von dem Mitarbeiter:
vielen Dank für Ihre Anfrage an den AVM Support.
Grundsätzlich ist es einer VPN-Verbindung egal, ob Sie sich in einem deutschen oder einem ausländischen Mobilfunknetzwerk (oder einer sonstigen Internetzugangsmöglichkeit) befinden.
Was aber oftmals zum Problem beim Aufbau einer VPN-Verbindung über andere Netzwerke (z.B. ausländischen Mobilfunknetzen) führt, ist der Umstand, dass man dort oftmals keine IPv6-Anbindung erhält.
Das führt aber auch nur dann zum Problem, wenn sich ihre FRITZ!Box nicht über eine öffentliche IPv4-, sondern nur über eine IPv6-Adresse aus dem Internet erreichen lässt, was leider bei einigen Anschlüssen der Fall ist.
Und leider ist genau das auch an ihrem Anschluss der Fall, denn dieser nutzt das sogenannte DS-Lite-Verfahren. Hier einige Informationen dazu:
Sollten Sie nun noch einmal auf das Problem stoßen, dann prüfen Sie bitte, ob der aktuell genutzte Internetzugang das benötigte IPv6 unterstützt. Dazu finden Sie hier die entsprechenden Hinweise:
So ist es. Es kommt nicht drauf an, ob Inland oder Ausland. Dass du kein IPv6 hast kann dir auch in Deutschland passieren, z.B. im WLAN einen Hotels, einer Gaststätte oder eines Campingplatzes.
Um das Problem dann zu lösen sehe ich grundsätzlich zwei Ansätze:
prüfe ob dein ISP (wie 1&1) PCP unterstützt. Ist das der Fall, dann kannst du in der Fritzbox dieses PCP nutzen um über (leider von dir nicht beeinflussbare Ports) die der ISP und die Fritzbox aushandeln, die gewünschten Geräte zu erreichen.
sollte dein ISP kein PCP unterstützen, kannst du dir für wenig Geld (ab einem Euro im Monat) einen vServer mieten,d er einen feste IPv-Adresse hat. Mittels einen „Reverse SSH-Tunnels“ ist es dann möglich eine SSH-Tunnelverbindung von einem Linux-Gerät hinter deiner FritzBox zu diesem vServer aufzubauen. Die mobilen Geräte verbinden sich dann von Unterwegs mit ebendiesem vServer und der Verkehr wird durch den „Reverse SSH-Tunnel“ zum eigentlichen Ziel weitergeleitet. Diesen Linux-Gerät hinter deiner FritzBox kann ein Einplatinengerät sein, wie z.B. ein Raspberry Pi, oder auch der Docker-Cotainer selbst in dem das Ziel (z.B. die Nextcloud) läuft.
Erweiterte Linux-Grundkenntnisse wäre aber angeraten.
Zur Frage WIreguard. Der standardmäßig erste genutzte Wiregard-Port ist 51820 und zwar UDP nicht TCP. Benötigst du mehr als einen Wiregard-Tunnel werden die folgenden Ports genutzt, also 51821, 51822 …
Die Fritzbox managt das aber selbst, denn sie kennt ja die belegten Ports.
Nachtrag zur ersten Option:
Das Problem bei PCP ist, dass du willkürlich 20 Ports bekommst. Also z.B. die Ports 4020 bis 4039. Darauf hast du keinen Einfluss. Du kannst dann aber seitens der FritzBox definieren,dass der Port 4020 den du ja bekommen hast nach außen hin unter TCP-Port 4020 Anfragen annimmt und intern auf Port 443 an die Nextcloud weiterleitet. Daneben nimmst du dann TCP-Port 4021 und leitest den weiter auf Port 8065 (Mattermost). Als drittes dann Port UDP 4022 der dann eben abweichend statt des Standarports 51820 für Wiregard genutzt wird.
Okay, ich möchte es eignetlich möglichst einfach mit Wireguard lösen, da mir das andere zu kompliziert ist.
Ist eine Lösung mit Wireguard überhaupt möglich und was muss ich da machen?
Mit möglichst einfach meinst du wahrscheinlich per Wireguard deinen Router direkt erreichen? Geht bei DS-Lite nur per IPv6. Du willst aber eine Lösung um eben auch aus Netzen mit nur IPv4 in dein häusliches Netz zu kommen. Das geht nur mit einer öffentlich erreichbaren IPv4-Adresse, bei der du selbst die zu erreichenden Ports öffnen kannst. Bei DS-Lite hast du die nicht, es sei denn PCP wird supportet.
Wird PCP nicht supportet musst du eben den Weg über einen vServer mit öffentlicher IPv4-Adresse gehen oder zusehen dass du für deinen Vertrag bei deinem ISP eine IPv4-Adresse bekommst oder eben Vertragstyp (z.B Geschäftskunden- statt Privatkundentarif) oder ISP wechseln.
Dann empfehle ich vor der Nutzung von Tailscale mal das hier zu lesen:
Ich hab auch eine Nextcloud bei mir zuhause. Die nutze ich weil ich meine Daten nicht in den Clouds von Google & Co. speichern will, denen nicht vertraue. Warum sollte ich dann einen Dienst wie Tailscale nutzen und auf dessen Servern meine PublicKeys viele weitere Daten speichern, die den Zugriff auf die Daten in meiner eigenen Nextcloud ermöglichen?
Wenn ich mich dann nicht mit IPv4, IPv6, DSlite, CGNAT beschäftigen will, dann ist es immer noch besser entweder einen Vertrag bei einem ISP abzuschließen, der mir noch eine öffentliche IPv4-Adresse zuweist, also noch Dual-Sack (wie o2, Telekom und viele andere) bietet, oder aber, sollte es in meinem Wohngebiet so einen Anbieter nicht geben, die Nextcloud nicht bei mir Zuhause installiere, sondern entweder auf einem vServer oder aber mir eine fertige professionell gemanagte Nextcloud-Instanz irgendwo im Netz anmiete.
Ich habe auch verstanden was ein public key ist. Aber public key ist nicht gleich public key. Den public key zur Verschlüsselung von eMails via PGP kann ich problemlos verteilen. Anders sieht das aber beim public key einer Wireguard-Verbindung aus. Wer den hat kann die Verbindung herstellen.
Warum nicht? Hast schon gehört, dass man die Daten in einer Nextcloud
sicher auf dem Datenträger beim VPS verschlüsseln kann und
zusätzlich den Zugriff auf diese mit einer Zwei-Faktor-Authentifizierung absichern kann.
Ich habe auch verstanden was ein public key. Aber public key is nicht gleich public key. Den public key zur Verschlüsselung von eMails via PGP kann ich problemlos verteilen. Anders sieht das aber beim public key einer Wireguard-Verbindung aus. Wer den hat kann die Verbindung herstellen.
Äh nö. Dazu musst du ja den anderen public key auch einer Verbindung hinzufügen. Vorher passiert da gar nichts.
ganzen privaten Daten auf eine Nextcloud auf einem VPS bei einem Hoster
Warum nicht? Hast schon gehört, dass man die Daten in einer Nextcloud
sicher auf dem Datenträger beim VPS verschlüsseln kann und
zusätzlich den Zugriff auf diese mit einer Zwei-Faktor-Authentifizierung absichern kann.
Solange das Ding läuft ist der key im Speicher um die Datenzugriffe zu ermöglichen. Der ist schön klein und kann gerade auf einem VPS mit einer shared-CPU per verschiedenster side-channel Angriffe abgegriffen werden (Spectre, Meltdown, Rowhammer usw.)
Wenn du dich mit Tailscale auseinander gesetzt hättest dann wüsstest du auch wie es funktioniert (und müsstest keine halbgaren Blog-Beiträge verlinken).
Der Code für den Server ist Open Source, kannst dir also anschauen wenn du willst. Der Server macht nix anderes als die public keys und policies zwischen den Clients zu brokern.
Die Verbindung wird immer zwischen deinen Clients aufgebaut, der private key verlässt den Client nicht.
Selbst wenn du einen der public relay verwendest wird dort nur der Tunnel-Transport weitergeleitet. Da gibt’s längliche Dokumentation dazu auf deren Webseite.
Und wem das nicht reicht, der kann sich einen Headscale basteln oder gleich netbird oder was anderes, da geb ich dir Recht. Muss schliesslich jeder selber wissen.
Aber die die es selber wissen (und können) stellen hier keine Fragen
Ja, aber die Ausgangslage des Fragestellers war doch folgende:
Also zwei Docker-Container auf einem Ubuntu-Server, von dem aus die Nextcloud-Instanz direkt per HTTPS-Port 443 von überall aus dem Internet erreichbar sein soll.
Zugegeben ich verwende kein Docker. Aber ob das Nutzen von Docker da sicherer ist als ein vServer auf KVM-Basis, da hab ich schon Zweifel dran.
Was ich sagen will:
Wenn ich eine Nextcloud in einem Docker-Container direkt per Port 443 von überall aus dem Internet her erreichbar mache, dann kann ich das auf vergleichbaren Sicherheitsniveau auch in einem vServer machen.
Dass die Fritzbox nur den Port 443 für den Zugriff auf den Docker-Container freigibt ist da kein signifikanter Vorteil. Das kann ich auch per ufw auf dem vServer erreichen und wenn mir ufw nicht reicht, dann eben indem ich auf dem vServer noch eine pfsense oder OPNsense davorschalte.
