um auf einige Dienste meines Homelabs zugreifen zu können, habe ich einen Wireguard Tunnel zwischen einem VPS Server (Hetzner) und meinem Homelab installiert und verbunden.
Auf dem VPS Server wird mittels Nginx Proxy Server und einzelner Subdomains auf die Dienste im Homelab verwiesen.
Das funktioniert wunderbar mit Desktop PCs, Laptops und Smartphones auch außerhalb meines Netzwerkes.
Doch auf der Arbeit (Firmennetzwerk) zeigt mir der Microsoft Edge Browser:
Hmmm...diese Seite ist leider nicht erreichbarDie Verbindung wurde zurückgesetzt.
Versuchen Sie Folgendes:
Die Verbindung wird überprüft…
Proxy und Firewall überprüfen
ERR_CONNECTION_RESET
Da man in der Firma bekanntlich nicht viel an den Interneteinstellungen ändern kann, ist meine Frage, ob man eventuell Serverseitig etwas ändern kann, um die strengen Richtlinien innerhalb der Firma zufrieden zu stellen?
Für Hinweise bin ich sehr dankbar, ebenso wie für eure Unterstützung.
Könnte es ein, dass dort ein Proxy o.ä. im Einsatz ist, der die Verbindung einfach blockiert?! Siehst du zu dem Zeitpunkt des Versuchs auf deinem Server bzw. Service im Logfile Zugriffe?
Vielen lieben Dank für den Hinweis @336522430 die Zugriffe werde ich mir heute Abend mal anschauen.
Auf meinem Hetzner Server ist ein NGINX Proxy installiert, für die Portweitergaben.
Innerhalb der Firma kann ich das nicht sagen, ob ein Proxy zwischengeschaltet ist.
Wäre es für mich besser, anstatt dem NGINX auf Traefik zu setzen?
Interessant ist, wenn ich in meinem heimischen Netzwerk bin und mit einem VPN Tunnel auf das Firmennetzwerk zugreife, funktioniert das aufrufen der Dienste. Nur im Firmennetzwerk eben nicht.
Ich habe nun auch mal versucht, einen Cloudflare Tunnel zu nutzen:
Mit HTTP erhalte ich die Fehlermeldung => Grund: Die URL fällt in die Kategorie** newly-registered-domain
Mit HTTPS erhalte ich weiterhin die bekannt Fehlermeldung.
Ist es eigentlich egal, wer der Wireguard Server und wer der Wireguard Client ist?
Aktuell ist VPS Server von Hetzner der WG Server und das Homelab der WG Client.
Ich würde gerne noch einen weiteren VPS Server mit ins System nehmen, um eine weitere Domain zu testen.
Daher müsste ich wohl das Homelab als WG Server laufen lassen und die beiden VPs Server als WG Clients, ist das richtig?
Ich bin selbst nicht bei Hetzner, aber ich denke das die RTT innerhalb des RZ nur ein Bruchteil dessen sein dürfte, was das Internet Deutschland (Neuland) aufweist.
Der Vorteile meines Vorschlages wäre auch sicherheitsrelevant. Bei mehreren VPS würde ich einen als WG-Server definieren und alle anderen als WG-Clients zu diesem verbinden. Somit haben die VPS, die nur WG-Client sind, keine Ports Richtung Internet öffnen.
Aber davon mal abgesehen, und das ist das Schöne an Wireguard, es ist egal wer Server und wer Client ist. Du kannst (theoretisch) sogar eine Server-Server-Verbindung konfigurieren.
Und wenn man die Sache mal weiterspinnt, käme man sogar auf die verrückte Idee einer Dreiecksverbindung. Hier steigt gerade mein Gehirn aus, denn ich habe heute noch nicht gefrühstückt
Fast, da fehlen bei Client 1 und Client 2 (2. VPS) noch weitere „AllowedIPs“, wenn du auch deren Netzwerk nach dem WG erreichen möchtest.
AllowedIPs sind als Routen zu verstehen.
Ein Ping von 10.0.0.2 nach 10.0.0.3 und umgekehrt würde funktionieren, aber nicht zwischen 192.0.0.0/24 und 194.0.0.0/24, da die Routen (AllowedIPs) bei den Clients fehlen.
Was ich noch bemängeln würde sind die beiden IP-Ranges für Homelab und 2. VPS. Sind das öffentlich zugängliche Netze (mit öffentlichen IPs), dann habe ich nichts gesagt. Aber wenn das nur LANs sind, sollte man hierfür auch private IP-Adressen (RFC 1918) benutzen, keine öffentlichen.
der 2. VPS Server hat eine öffentliche und feste IPV4 Adresse.
Das Homelab hingegen ist das Netzwerk der Fritzbox und hat keine öffentliche IP Adresse (DS Lite Anschluss).
Das heißt, die IP Adresse des Homelabs NUC auf dem Proxmox läuft?
Internet -----(WAN)----- Fritzbox -----(LAN)----- NUC (Proxmox)
Im LAN sollten stets nur private IPs gemäß RFC 1918 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) genutzt werden. Der IP-Block 192.0.0.0/24 ist dafür nicht gedacht.
Bei DS-Lite sollte man zudem auch darauf achten, ob nicht auch der Provider eine dieser dafür nutzt statt den für CGNAT aus RFC 6598 vorgesehenen 100.64.0.0/10 Block.