**Ein Heimserver kann über das Internet von überall genutzt werden. Dafür gibt es zwei Methoden, die sich in der Art der Nutzung und der Konfiguration unterscheiden.**
Geräte im Heimnetz sind standardmäßig nicht direkt von außen über das Internet erreichbar. Die Gründe dafür sind die begrenzte Anzahl von IP-Adressen und die Sicherheit. Wenn Dienste nicht offen über das Internet angeboten werden, können unberechtigte Personen nicht auf den Server zugreifen und über Sicherheitslücken oder einen unzureichenden Schutz das lokale Netzwerk kompromittieren. Sie selbst oder andere Personen können dennoch einen Zugang aus der Ferne erhalten. Dieser Artikel stellt zwei Techniken vor, die das ermöglichen.
Geräte im Heimnetz sind standardmäßig nicht direkt von außen über das Internet erreichbar. Die Gründe dafür sind die begrenzte Anzahl von IP-Adressen und die Sicherheit. Wenn Dienste nicht offen über das Internet angeboten werden, können unberechtigte Personen nicht auf den Server zugreifen und über Sicherheitslücken oder einen unzureichenden Schutz das lokale Netzwerk kompromittieren. Sie selbst oder andere Personen können dennoch einen Zugang aus der Ferne erhalten. Dieser Artikel stellt zwei Techniken vor, die das ermöglichen.
## Technische Grenzen und Voraussetzungen
...
...
@@ -12,24 +12,28 @@ Die meisten Internetanschlüsse sind für den Zugriff auf einen Heimserver inzwi
**Domainnamen verwenden:** Ein Domainname für das eigene Netzwerk erleichtert den Zugang, insbesondere bei häufig wechselnden IP-Adressen. Dienste für dynamisches DNS bieten eine kostenlose Subdomain an, etwa https://dynv6.com oder https://freedns.afraid.org. Die Aktualisierung der IP erfolgt automatisch über den Router oder per Script auf dem Server. Anleitungen finden Sie auf den jeweiligen Websites. Einige Routerhersteller stellen ebenfalls kostenlose Domains bereit, etwa AVM für die Fritzbox. Hier erstellen Sie in der Weboberfläche des Routers unter „Internet –› MyFRITZ!-Konto“ ein kostenloses Konto und erhalten dann eine Domain in der Form „\[ID\].myfritz.net“.
_Vollwertiger Internetzugang: Für einen zuverlässigen Fernzugang muss der Router eine IPv4-Adresse („WAN-IP“) erhalten haben. Eine IPv6-Adresse ist wünschenswert, aber nicht zwingend erforderlich._
## Sicher ins Netz mit VPN
Über ein Virtual Private Network (VPN) stellen Sie eine sichere verschlüsselte Verbindung zwischen einem Gerät und einem entfernten Netzwerk her. Damit wird das entfernte Gerät Teil des Heimnetzwerks und Sie können jeden Serverdienst direkt nutzen. Allerdings eignet sich VPN nur für einen kleinen Personenkreis, weil jeder Teilnehmer den VPN-Client selbst konfigurieren muss.
Über ein Virtual Private Network (VPN) stellen Sie eine sichere verschlüsselte Verbindung zwischen einem Gerät und einem entfernten Netzwerk her. Damit wird das entfernte Gerät Teil des Heimnetzwerks und Sie können jeden Serverdienst direkt nutzen. Allerdings eignet sich VPN nur für einen kleinen Personenkreis, weil jeder Teilnehmer den VPN-Client selbst konfigurieren muss.
Am komfortabelsten gelingt die Einrichtung eines VPN mit Wireguard (www.wireguard.com) für Besitzer einer Fritzbox ab Fritz-OS 7.50. Richten Sie zuerst über die Fritzbox-Oberfläche unter „Internet –› MyFritz!-Konto“ ein Konto ein. Alternativ konfigurieren Sie unter „Internet –› Freigaben –› DynDNS“ einen anderen Anbieter.
Gehen Sie auf „Internet –› Freigaben –›VPN (WireGuard)“, klicken Sie auf „Verbindung hinzufügen“, belassen Sie die Option „Einzelgerät verbinden“ und klicken Sie auf „Weiter“. Geben Sie der Konfiguration eine aussagekräftige Bezeichnung und klicken Sie auf „Fertigstellen“. Über den angezeigten QR-Code konfigurieren Sie mobile Geräte oder Sie speichern nach Klick auf „Einstellungen herunterladen“ die Konfigurationsdatei für einen PC. Erstellen Sie für jeden Wireguard-Client eine eigene Konfiguration, wenn mehrere Personen oder Geräte die Verbindung nutzen sollen.
Gehen Sie auf „Internet –› Freigaben –›VPN (WireGuard)“, klicken Sie auf „Verbindung hinzufügen“, belassen Sie die Option „Einzelgerät verbinden“ und klicken Sie auf „Weiter“. Geben Sie der Konfiguration eine aussagekräftige Bezeichnung und klicken Sie auf „Fertigstellen“. Über den angezeigten QR-Code konfigurieren Sie mobile Geräte oder Sie speichern nach Klick auf „Einstellungen herunterladen“ die Konfigurationsdatei für einen PC. Erstellen Sie für jeden Wireguard-Client eine eigene Konfiguration, wenn mehrere Personen oder Geräte die Verbindung nutzen sollen.
Die Clientsoftware ist für Android (http://bit.ly/3ZvbeyN) und iOS (http://bit.ly/41vjzEp) verfügbar. Nutzer von Ubuntu 24.04/Linux Mint 21.1 oder höher öffnen „Erweiterte Netzwerkkonfiguration“, klicken auf die „+“-Schaltfläche und wählen „Gespeicherte VPN-Konfiguration importieren“. Nach einem Klick auf „Erstellen“ öffnen Sie die von der Fritzbox erzeugte Konfigurationsdatei.
Die Clientsoftware ist für Android (http://bit.ly/3ZvbeyN) und iOS (http://bit.ly/41vjzEp) verfügbar. Nutzer von Ubuntu 24.04/Linux Mint 21.1 oder höher öffnen „Erweiterte Netzwerkkonfiguration“, klicken auf die „+“-Schaltfläche und wählen „Gespeicherte VPN-Konfiguration importieren“. Nach einem Klick auf „Erstellen“ öffnen Sie die von der Fritzbox erzeugte Konfigurationsdatei.
**Wireguard ohne Router:** Sie können Wireguard auch auf Ihrem Server installieren, was am einfachsten per Script erfolgt (https://github.com/angristan/wireguard-install). Starten Sie unter Ubuntu oder Debian folgenden Befehl im Terminal:
`sudo su -c "bash <(wget -O- ``https://m6u.de/WGINST``)"`
``sudo su -c "bash <(wget -O- ``https://m6u.de/WGINST``)"``
Das Script fragt die Optionen der Konfiguration nacheinander ab. Es erzeugt einen QR-Code für mobile Geräte und für PCs die Datei „wg0-client-\[Name\].conf“. Den Wireguard-Dienst startet das Script über ein Systemd-Unit automatisch. Für weitere Clientkonfigurationen rufen Sie das Script erneut auf. Damit der Dienst über das Internet erreichbar ist, geben Sie den konfigurierten Port frei wie im nächsten Abschnitt beschrieben. Weiterführende Informationen zu Wireguard finden Sie unter https://www.pcwelt.de/1789345.
## Klassische Portfreigaben verwenden
Mit einer Portfreigabe weisen Sie den Router an, einzelne Portanfragen von außen an eine bestimmte IP-Adresse im lokalen Netz weiterzuleiten. Dadurch kann jede Person, die die IP-Adresse oder den Domainnamen Ihres Netzwerks kennt, auf die Serverdienste zugreifen. Das kann als sicher gelten, solange die Dienste ausreichend durch starke Passwörter geschützt sind und die Software sich stets auf dem aktuellen Stand befindet.
Mit einer Portfreigabe weisen Sie den Router an, einzelne Portanfragen von außen an eine bestimmte IP-Adresse im lokalen Netz weiterzuleiten. Dadurch kann jede Person, die die IP-Adresse oder den Domainnamen Ihres Netzwerks kennt, auf die Serverdienste zugreifen. Das kann als sicher gelten, solange die Dienste ausreichend durch starke Passwörter geschützt sind und die Software sich stets auf dem aktuellen Stand befindet.
Wie genau die Konfiguration des Routers durchzuführen ist, hängt vom jeweiligen Modell ab. Auf https://portforward.com finden Sie Anleitungen für zahlreiche Geräte in englischer Sprache. Bei einer Fritzbox gehen Sie auf „Internet –› Freigaben –› Portfreigaben“. Klicken Sie auf „Gerät für Freigaben hinzufügen“ und wählen Sie Ihren Server hinter „Gerät“. Dann klicken Sie auf „Neue Freigabe“, wählen die Option „Portfreigabe“ und hinter „Anwendung“ den gewünschten Dienst, beispielsweise „HTTP-Server“ für einen Webserver. Verwenden Sie „Andere Anwendung“ etwa für Wireguard oder den SSH-Server, und tragen Sie die benötigten Ports ein.
