Hallo liebe Gemeinde,
als langjähriger Zuschauer von Raspberry Pi Cloud muss ich hier doch mal Hilfe beantragen.
Ich nehme als Grundlage folgendes Video:
Zur Situation:
Anschluss bei NetCom BW (1000/500) über Glasfaser
Fritz!Box 7590 AX
IONOS VPS als „Eingang“ ins Heimnetz
Kleiner Homeserver mit Proxmox im Heimnetz
Aktuell hat mein Heimnetz ein 172.16.0.0/24 Subnetz. Alle meine Geräte, welche permanent zu Hause angeschlossen sind haben fest vergebene IP Adressen.
Auf dem Proxmox laufen diverse Dienste als einzelner LXC Container (IP 172.16.1.200 aufwärts). Einer dieser Dienste ist ein Container mit WireGuard, welcher die Verbindung zum VPS herstellt. Mein Ziel ist es nun die jeweiligen Dienste auf dem Port 80 und 443 abhängig von einer Subdomain erreichbar zu machen. Hierzu wurde der Nginx Proxy Manager auf die 172.16.1.201 installiert. In der Fritzbox ist eine statische Router auf 10.0.0.0/24 mit dem Gateway 172.16.1.250 (Wireguard Verbindung LXC-Container)
Es werden folgende configs verwendet:
IONOS VPS
[Interface]
Address = 10.0.0.1/24
ListenPort = 62000
PrivateKey = <PrivateKey>
PostUp = iptables -A FORWARD -i ens6 -o wg0 -j ACCEPT
PostUp = iptables -A FORWARD -i wg0 -o ens6 -j ACCEPT
PostUp = iptables -t nat -A PREROUTING -i ens6 -p tcp -m multiport --dport 80,443 -j DNAT --to 172.16.1.201
PostUp = iptables -t nat -A POSTROUTING -o wg0 -j MASQUERADE
PostDown = iptables -A FORWARD -i ens6 -o wg0 -j ACCEPT
PostDown = iptables -A FORWARD -i wg0 -o ens6 -j ACCEPT
PostDown = iptables -t nat -A PREROUTING -i ens6 -p tcp -m multiport --dport 80,443 -j DNAT --to 172.16.1.2>PostDown = iptables -t nat -A POSTROUTING -o wg0 -j MASQUERADE
PostDown = iptables -t nat -A POSTROUTING -o wg0 -j MASQUERADE
# Server@Home
[Peer]
PublicKey = <PublicKey>
PresharedKey = <PreSharedKey>
AllowedIPs = 10.0.0.2/32, 172.16.1.0/24
# Mein Laptop
[Peer]
PublicKey = <PublicKey>
PresharedKey = <PreSharedKey>
AllowedIPs = 10.0.0.3/32
# Freundin Laptop
[Peer]
PublicKey = <PublicKey>
PresharedKey = <PreSharedKey>
AllowedIPs = 10.0.0.4/32
# Mein Handy
[Peer]
PublicKey = <PublicKey>
PresharedKey = <PreSharedKey>
AllowedIPs = 10.0.0.5/32
# Freundin Handy Privat
[Peer]
PublicKey = <PublicKey>
PresharedKey = <PreSharedKey>
AllowedIPs = 10.0.0.6/32
#Freundin Handy Arbeit
[Peer]
PublicKey = <PublicKey>
PresharedKey = <PreSharedKey>
AllowedIPs = 10.0.0.7/32
#Reserve1
[Peer]
PublicKey = <PublicKey>
PresharedKey = <PreSharedKey>
AllowedIPs = 10.0.0.8/32
#Reserve2
[Peer]
PublicKey = <PublicKey>
PresharedKey = <PreSharedKey>
AllowedIPs = 10.0.0.9/32
#Reserve3
[Peer]
PublicKey = <PublicKey>
PresharedKey = <PreSharedKey>
AllowedIPs = 10.0.0.10/32
#Reserve4
[Peer]
PublicKey = <PublicKey>
PresharedKey = <PreSharedKey>
AllowedIPs = 10.0.0.11/32
Die einzelnen Peer Configs sehen dann dementsprechend so aus. Dies hier ist die config des Peers welcher sich auf den VPS verbindet. Bei allen anderen Peers fällt bei AllowedIPs das 172.16.1.0/24 Netz weg.
[Interface]
Address = 10.0.0.2/32
PrivateKey = <PrivateKey>
[Peer]
PublicKey = <PublicKey>
PresharedKey = <PreSharedKey>
AllowedIPs = 10.0.0.0/24, 172.16.1.0/24
Endpoint = [IONOS-VPS-IP]:62000
PersistentKeepalive = 25
Nun ist es so, ich kann mit jedem Peer eine Verbindung in das Netzwerk herstellen. Ich kann auch, von meinem Rechner mein Handy anpingen, wenn es über Mobilfunk in das Wireguard Netz reinkommt. Ich kann mit dem Handy und dem VPS alles in meinem internem Netzwerk anpingen. Sowohl über die 10.0.0.0/24 als auch über die 172.16.1.0/24 Adressen.
Setze ich jetzt zu meiner gewünschten Domain einen Subdomain A-Record auf die IP des IONOS VPS, bekomme ich aber nichts erreicht. Selbst mit dem Nginx Proxy Manager kann ich kein SSL Zertifikat anfordern, Fehler siehe im Bild anbei.
Wo hängt es? Aus dem bösen Internet komme ich ins Netz und auch auf das NAS etc drauf mit der Config, aber bei dem Nginx haperts irgendwie, hat jemand eine Idee was hier falsch läuft?
Danke und Gruß,
Xiao