Server via VPN im Heimnetz einbinden

[SvenL]

Hallo zusammen,

ich verzweifel ein wenig und frage mich, ob ich vielleicht einen Denkfehler mache und mein Ziel vielleicht gar nicht erreichen kann. Vielleicht kann mir ja jemand sagen ob ich hoffnungslos mein Ziel verfolge :-)

Folgendes Setup: Wir haben zuhause ein "Heimnetz" mit einer Fritzbox 7540. Alle Geräte laufen dort mit IPs unter 192.168.33.* . Das funktioniert auch alles. Dann habe ich einen eigenen Cloud-Server mit Ubuntu laufen. Er hat auch eine feste IP. Auf dem Server laufen mehrere Anwendungen, u.a. auch ein Dokumentenmanagement.

Nun möchte ich folgendes erreichen: Der Cloudserver soll sich via VPN mit der Fritzbox verbinden und auf diese Weise im Heimnetz eine eigene IP bekommen. Dies habe ich über Wireguard auch realisiert bekommen.

Nun soll der Cloudserver alle seine Dienste über die 192er-IP den Computern des Heimnetzes zur Verfügung stehen - in diese Richtung sollen alle Ports offen sein. Auch das habe ich hinbekommen. Einige wenige Dienste, z.B. das DMS, sollen aber zusätzlich auch unter der öffentlichen IP des Cloudservers erreichbar sein. Hier scheitere ich jetzt aber, weil nach Aufbau der VPN-Verbindung der Server nicht mehr unter seiner öffentlichen IP erreichbar ist.

Geht das so wie ich mir das wünsche überhaupt? Und hat jemand eine Idee, woran es liegen könnte?

Vielen Dank!
Sven

 

[Nero_XY]

Dass du deinen Server nicht mehr mit seiner öffentlichen IP erreichen kannst, dürfte daran liegen, dass du einen "Full-Tunnel" eingerichtet hast, bei dem jeglicher Verkehr an das Heimnetz geschickt wird (auch Antworten auf Anfragen aus dem öffentlichen Netz!). Was du für deinen Zweck brauchst, ist ein "Split-Tunnel".

 

[SvenL]

Hmm.. ich dachte, ich hätte das getan. Ich hab in der Wireguard-Config ein

AllowedIPs = 192.168.33.0/24

eingebaut. Aber Deiner Antwort entnehme ich Hoffnung, dass es grundsätzlich geht.

 

[Pummeluff]

Poste mal die Wireguardconfig, also allowed IPs.

 

[SvenL]

Fehler gefunden. Ich hatte eine nicht auskommentierte Zeile drin, bei der

AllowedIPs = 192.168.33.0/24,0.0.0.0/24

stand. Die hatte ich nicht gesehen in meinem schlecht dokumentierten Versuchen. Hab die 0.0.0.0/24 rausgenommen und siehe da, es geht.. vielen Dank. Auch wenn einfach gelöst, das war der Hinweis im Gehirnchaos..

 

[Pummeluff]

Hmm.. ich dachte, ich hätte das getan.

Ich hatte am Handy nebenbei geantwortet und vermutlich etwas länger gebraucht.

Aber Deiner Antwort entnehme ich Hoffnung, dass es grundsätzlich geht.

Ich hab auch einen V-Server über Wireguard angebunden. Im Gegensatz zu Dir hab ich aber eine LAN-2-LAN-Verbindung konfiguriert, d.h. einen anderen Subnetzkreis, da der V-Server bei mir ein Wireguard-Vermittlungspunkt zwischen IPv4 und IPv6 ist. Mein Internetanschluss ist bei der Deutschen Glasfaser (IPv6), das damit verbundene entfernte LAN ist IPv4. Und diverse Clients können sowohl IPv4 als auch IPv6 sein.

Einige wenige Dienste, z.B. das DMS, sollen aber zusätzlich auch unter der öffentlichen IP des Cloudservers erreichbar sein. Hier scheitere ich jetzt aber, weil nach Aufbau der VPN-Verbindung der Server nicht mehr unter seiner öffentlichen IP erreichbar ist.

Was heißt "nicht mehr erreichbar"?

Kommst du über die öffentliche IP per SSH auf den V-Server?

Das Wireguard-Device wird ja nur als TUN-Device hinzugefügt. Das hat eigentlich keine Auswirkungen auf die anderen Netzwerkdevices.

Auf welchem Port hört das DMS? Was passiert, wenn du mit TCPDump den Netzwerktraffic auf dem V-Server abhörst, während du versuchst von außen zuzugreifen? Wie ist die Firewall konfiguriert (iptables -L -n)?

Update:
Ok, dann war's doch die erste Idee mit dem Routing des gesamten Traffics.