VPN einrichten

[Ray Donovan]

Hi,

ich verzweifle langsam.

Setup sieht wie folgt aus.

• statische IP-Adresse ist vorhanden (also DDNS nicht notwendig)
• PlusBox Vodafone Router (ohne Möglichkeit dort einen VPN einzurichten, Portfreigabe ist aber möglich, die Ports leite ich nach 192.168.178.8 weiter)
• Rechner mit Windows 10 (dient als ²Server, 192.168.178.8)
• NAS (ohne Möglichkeit dort einen VPN einzurichten, dient als Backup für ²Server)
• zwei weitere (Office)-Rechner (Windows 10, 192.168.178.9 und 192.168.178.10) die - nachdem man per VPN eingewählt ist, per Notebook und RDP (192.168.178.9 und 192.168.178.10) von überall aus angesteuert werden können sollen. Natürlich erst, wenn man im VPN eingewählt ist.

Soweit die Theorie. Ich bekomme den VPN aber nichts ans laufen.
Bisher konnte ich das immer alles über die NAS regeln, wenn ich mal einen VPN aufgebaut habe, was in diesem Falle leider nicht geht, weil die NAS diese Option nicht besitzt.

Ich könnte auch einfach eine NAS kaufen, die mir als VPN Server dient, aber ich will verstehen, warum es nicht geht.
Was habe ich versucht:

a.) VPN als eingehende Verbindung unter Windows 10 Pro (²Server) einrichten, das geht, aber ich komme mit keinem externen Rechner in den VPN rein. Obwohl ich die Firewall vom ²Server testweise ausgeschaltet und die notwendigen Ports im Router (Ports an 192.168.178.8 weiterleiten) eingegeben habe. Finde diese Variante aber nicht gut, da Zertifikate etc. dafür ja schon Sinn machen und Windows 10 Pro hier gar keine Möglichkeiten gibt. Aber es geht ja sowieso nicht.

b.) OpenVPN auf ²Server installiert, bekomme das mit den Zertifikaten nicht hin (warum macht man das so unfassbar kompliziert?). Bis dahin kommt er aber gar nicht. Also die Zertifikate sind nicht das Problem, er kommt einfach mit externen Rechner und OpenVPN Connect nicht drauf. Gar nicht. Er findet die IP nicht.

c.) Auf ²Server eine VM mit Linux Mint installiert und versucht wireguard install zu nutzen. Soweit geht das auch, aber er startet den service nicht. Daher geht es nicht. Dann habe ich versucht es manuell zu installieren, aber es kommt im Clienten immer:

2022-02-04 03:06:07.510375: [TUN] [abhau] Sending handshake initiation to peer 1 (178.15.XXX.XXX:51820)
2022-02-04 03:06:12.513817: [TUN] [abhau] Sending handshake initiation to peer 1 (178.15.XXX.XXX:51820)
2022-02-04 03:06:17.537982: [TUN] [abhau] Sending handshake initiation to peer 1 (178.15.XXX.XXX:51820)
2022-02-04 03:06:22.546246: [TUN] [abhau] Sending handshake initiation to peer 1 (178.15.XXX.XXX:51820)
2022-02-04 03:06:27.602645: [TUN] [abhau] Handshake for peer 1 (178.15.XXX.XXX:51820) did not complete after 5 seconds, retrying (try 2)
2022-02-04 03:06:27.602664: [TUN] [abhau] Sending handshake initiation to peer 1 (178.15.XXX.XXX:51820)
2022-02-04 03:06:32.714494: [TUN] [abhau] Handshake for peer 1 (178.15.XXX.XXX:51820) did not complete after 5 seconds, retrying (try 2)
2022-02-04 03:06:32.714494: [TUN] [abhau] Sending handshake initiation to peer 1 (178.15.XXX.XXX:51820)
2022-02-04 03:06:37.725789: [TUN] [abhau] Handshake for peer 1 (178.15.XXX.XXX:51820) did not complete after 5 seconds, retrying (try 2)
2022-02-04 03:06:37.725789: [TUN] [abhau] Sending handshake initiation to peer 1 (178.15.XXX.XXX:51820)
2022-02-04 03:06:42.755239: [TUN] [abhau] Handshake for peer 1 (178.15.XXX.XXX:51820) did not complete after 5 seconds, retrying (try 2)
2022-02-04 03:06:42.755239: [TUN] [abhau] Sending handshake initiation to peer 1 (178.15.XXX.XXX:51820)
2022-02-04 03:06:47.786294: [TUN] [abhau] Sending handshake initiation to peer 1 (178.15.XXX.XXX:51820)

Kurioserweise ist es total egal, ob ich falsche Zertifikate nehme oder eine IP eingebe, die es gar nicht gibt es kommt immer diese besagte Meldung. Macht für mich keinen Sinn. Am Anfang dachte ich immer, es liegt an den Zertifikaten, aber dann habe ich einfach andere IP-Adressen genommen und die Meldung bleibt so.

Jetzt könnte man ja auch einfach einen externen VPN-Anbieter nehmen, was auch eine Option wäre aber
i.) ist das sicher und
ii.) wie kann ich mich über einen externen VPN, der irgendwo auf der Welt steht so einwählen, dass ich im lokalen Netzwerk bin? Wenn der VPN im lokalen Netzwerk eingerichtet wurde (z.B über die NAS) ist ja alles logisch, aber ich verstehe nicht, wie es über externe VPNs läuft?

Oder verwechsele ich das gerade und sollte mir einen günstigen VPS mieten und darüber nen eigenen VPN erstellen. Da er aber woanders stehen würde, verstehe ich das wieder nicht.

Irgendwie peile ich nichts mehr.
Entschuldigt bitte, ist schon spät, die Konzentration lässt nach.

P.S Es würde mich sehr freuen, wenn ihr mir bei dem Problem helfen könntet ohne euch über die Gegebenheiten lustig zu machen. Der Server ist leider notwendig, weil dort eine Software läuft, die immer laufen muss und die es für Linux nicht gibt. Sonst hätte man direkt alles über eine vernünftige NAS machen können und man bräuchte den Server gar nicht. Für Tipps wie man das optimieren kann, bin ich aber dankbar.

 

[ZuseZ3]

Ich kann dir nicht bei Windows helfen, aber zwei alternativen:
1) Falls du eine FB hast, die sollen Wireguard bekommen. Da müsstest du ein paar Monate warten.
2) Ich persönlich habe einfach bei meinen Eltern und mir jeweils einen Pi4 mit PiVPN (wireguard) und PiHole aufgesetzt. Das begleitete setup ist eine Sache von 5 Minuten (15 beim ersten mal).
Falls es einfach nur laufen soll wäre das vlt. was. PiVPN sollte auch in deiner VM nutzbar sein, es ist am Ende ja nur ein setup script / helper.

 

[Pete11]

Vielleicht sollte man zuerst eimal wissen, was Du mit dem VPN genau bezwecken will.
Danach kann man Lösungsvorschläge machen.

 

[till69]

Also weder L2TP, OpenVPN noch Wireguard funktioniert?
Du hast aber schon ein öffentliche, statische IPv4?

Kannst Du über diese IPv4 von extern auf den Router (oder per Portweiterleitung aufs NAS) zugreifen?

 

[Pilatesjünger]

poste mal die ersten 3 stellen deiner öffentlichen ip

 

[spcqike]

als ich Vodafone gelesen hab und dazu das beschriebene Problem, dachte ich auch an ein DS-Lite Anschluss, ohne eigener öffentlicher IPv4.

wenn dem so ist.... Alternativen:

• echtes DualStack mit eigener IPv4 (die wahrscheinlich nicht fest ist, also wäre DDNS von Vorteil)
• ein selbst verwalteten VPS als zentralen Zugangspunkt
• Verbindungsaufbau über IPv6
• einen anderen Anschluss (Eltern/Schwiegereltern) als zentralen Zugangspunkt (NAS/Raspberry/Router vor Ort als WireGuard Server) nutzen
• Teamviewer?

Es gibt auch einen oder zwei Anbieter, die Wireguardtunnel hinter NAT Geräten als Peer-2-Peer aufbauen können. Aber da komme ich grad nicht auf den Namen. (Im Gegensatz zu Teamviewer, wo der gesamte Traffic über deren Server läuft)

Darf man fragen, welches NAS vorhanden ist, was kein Wireguard kann? Ich hab mehrere Synology Diskstation mit Wireguard laufen. bei QNAP muss es auch gehen. die meisten NAS nutzen ja ein Linux.

und, was soll "²Server" bedeuten? Power-of-two-Server? Quadratserver?

 

[PhilAd]

Mein Vorredner meint sowas wie OVPN ... die bieten an, dass man bis zu 7 Portweiterleitungen dahinter über die VPN IP freigeben kann, um Server/Dienste damit erreichbar zu machen. Eine Möglichkeit Homeserver mit festen IPs zu versehen. Man kann dazu aber auch eine VPS mieten und einen Wireguard Tunnel aufbauen.

Ich hätte im ersten Schritt auch CGN vermutet (100.64.0.0/10) aber das scheint ja nicht der Fall zu sein.

Aus dem Text geht erstmal hervor, dass du von außen eine Verbindung zu deinem Hausanschluss (178.0.0.0/12 Vodafone GmbH) aufbauen möchtest. Testest du das dann über eine LTE Verbindung(o.Ä.) oder versuchst du von innerhalb deines Netzwerkes die VPN Verbindung über deine WAN IP in dein eigenes Netzwerk aufzubauen? (NAT Loopback)

 

[chrigu]

Mhh. Du schreibst vodabox hast aber eine fritzbox ip 192.168.178.x?
Steht die VPN Verbindung ? Beidseitig getestet(ds-lite/cgn Problem)
Du weisst schon, das dein und das VPN Netzwerk nie im selben subnetz sein darf? Also bei dir 192.168.178.x und z.b. VPN 192.168.1.x sonst meint der Router du suchst Geräte im eigenen Netzwerk und findet diese logischerweise nicht

 

[riversource]

Also die Zertifikate sind nicht das Problem, er kommt einfach mit externen Rechner und OpenVPN Connect nicht drauf. Gar nicht. Er findet die IP nicht.

Was heißt "Er findet die IP nicht"?

Für mich hört sich das so an, als ob bereits ganz früh in der Kette was schiefgeht. Also schon bei den Portfreigaben. Als Erstes muss sichergestellt werden, dass die Anfragen vom Client überhaupt bis zum Server durchkommen.

 

[Raijin]

Sehe ich tatsächlich ähnlich. Erstmal muss sichergestellt sein, dass die Verbindung von außen grundsätzlich funktioniert. Man kann zum Testen beispielsweise auf dem NAS einen FTP- oder Webserver einrichten, Port weiterleiten und ausprobieren. Danach bitte wieder löschen, weil offenes FTP im www keine gute Idee ist.


Prinzipiell gibt es bei Windows als VPN-Server mehrere Punkte zu bedenken:

1. Die öffentliche IP muss erreichbar sein
2. Portweiterleitung im Router
3. Laufender Dienst auf dem Server
4. Firewall auf dem Server muss Verbindungen von "beliebiger Quell-IP" zulassen
5. Server muss IP-Forwarding aktivieren
6. Server muss ggfs NAT/Masquerade machen
7. Zielgeräte im Netzwerk hinter dem VPN müssen ohne Server-NAT:
   • eine eingehende Firewall-Regel haben, die "Quell-IP = VPN-Subnetz" erlaubt
   • eine Route ins VPN haben

Windows Desktop ist in meinen Augen nur sehr bedingt als VPN-Server zu gebrauchen, weil Windows sich nicht sonderlich gut als Router eignet und das wird hier benötigt. Das geht mit jedem Popel-Linux besser. Wenn also schon ein Versuch mit einer Linux-VM gestartet wurde, empfehle ich, bei diesem Weg zu bleiben. Im Zweifelsfalle kann man die VM nämlich auch auslagern und auf einem anderen PC laufen lassen, ohne alles neu einrichten zu müssen. Außerdem kann man in der VM ggfs direkt eine VPN-spezifische Distro installieren.

OpenVPN auf ²Server installiert, bekomme das mit den Zertifikaten nicht hin (warum macht man das so unfassbar kompliziert?).

Das ist eigentlich gar nicht kompliziert. Wenn man OpenVPN installiert, wird normalerweise auch ein Ordner mit Skripten zum Handling der Zertifikate mitinstalliert. Wird eigentlich in jeder Anleitung beschrieben wie das geht. Kommandos abtippen, Zertifikate kopieren, fertig. Sowas wie "build-key-server myServer" oder "build-key HansPeter" sollte man doch hinbekommen, oder? Nicht groß nachdenken was da passiert, einfach machen.

ii.) wie kann ich mich über einen externen VPN, der irgendwo auf der Welt steht so einwählen, dass ich im lokalen Netzwerk bin? Wenn der VPN im lokalen Netzwerk eingerichtet wurde (z.B über die NAS) ist ja alles logisch, aber ich verstehe nicht, wie es über externe VPNs läuft?

VPN ist eine Technologie und mehrere Einsatzzwecke. Man kann ein VPN in verschiedenen Szenarien anwenden, die sich grundlegend unterscheiden. So gibt es zB Standortverbindungen mit gegenseitigem Komplettzugriff auf die jeweiligen lokalen Netzwerke (zB Firmenstandorte) oder aber Setups für Roadwarrior, bei denen ein einzelner Client sich mit einem entfernten Netzwerk verbindet (zB HomeOffice, Heimzugriff unterwegs, etc), und zu guter Letzt Direktverbindungen zweier Geräte (zB NAS-to-NAS für Backups).

Bezahl-VPNs sind tendenziell ein Roadwarrior-Setup, mit dem Unterschied, dass man nicht auf das Netzwerk des VPN-Servers zugreift, sondern das Internet dahinter. Damit ist KEIN Zugriff auf das Heimnetzwerk möglich!

Oder verwechsele ich das gerade und sollte mir einen günstigen VPS mieten und darüber nen eigenen VPN erstellen. Da er aber woanders stehen würde, verstehe ich das wieder nicht.

Das ist etwas anderes. Wenn du einen VPS mietest und dort einen VPN-Server einrichtest, kann dieser als Dreh- und Angelpunkt für alle Client-Verbindungen dienen. Du hast damit freie Hand was wie und wohin geroutet wird, inkl. Standortverbindungen oder eben auch eine Konfiguration als Roadwarrior für unterwegs. Wenn man möchte kann man auch mehrere autarke VPNs parallel einrichten.

 

[Ray Donovan]

Guten Morgen,

dann räume ich jetzt mal hier auf

Vielleicht sollte man zuerst eimal wissen, was Du mit dem VPN genau bezwecken will.
Danach kann man Lösungsvorschläge machen.

Das besagte Setup befindet sich an Ort A.
Ich möchte aber an Ort B, C, D und F (also an von jedem beliebigen Ort, wo ich Internet habe) mich per VPN aus einem anderen Netz an Ort A einwählen und dann per RDP einen der zwei Rechner steuern. RDP direkt ans Netz hängen sollte man ja nicht machen, daher der VPN davor. Person A quasi Rechner A, Person B Rechner B. Also man soll quasi von überall so arbeiten können, als ob man Vorort ist.

Also weder L2TP, OpenVPN noch Wireguard funktioniert?
Du hast aber schon ein öffentliche, statische IPv4?

Kannst Du über diese IPv4 von extern auf den Router (oder per Portweiterleitung aufs NAS) zugreifen?

Es sollte eine öffentliche statische IPv4 sein, ich weiß aber nicht, wie ich das prüfen kann.
Die NAS ist nur lokal eingebunden, die hat so keinen direkten Zugang zum Netz.

poste mal die ersten 3 stellen deiner öffentlichen ip

178. Es ist eine öffentliche... nicht 192.

als ich Vodafone gelesen hab und dazu das beschriebene Problem, dachte ich auch an ein DS-Lite Anschluss, ohne eigener öffentlicher IPv4.

wenn dem so ist.... Alternativen:

• echtes DualStack mit eigener IPv4 (die wahrscheinlich nicht fest ist, also wäre DDNS von Vorteil)
• ein selbst verwalteten VPS als zentralen Zugangspunkt
• Verbindungsaufbau über IPv6
• einen anderen Anschluss (Eltern/Schwiegereltern) als zentralen Zugangspunkt (NAS/Raspberry/Router vor Ort als WireGuard Server) nutzen
• Teamviewer?

Es gibt auch einen oder zwei Anbieter, die Wireguardtunnel hinter NAT Geräten als Peer-2-Peer aufbauen können. Aber da komme ich grad nicht auf den Namen. (Im Gegensatz zu Teamviewer, wo der gesamte Traffic über deren Server läuft)

Darf man fragen, welches NAS vorhanden ist, was kein Wireguard kann? Ich hab mehrere Synology Diskstation mit Wireguard laufen. bei QNAP muss es auch gehen. die meisten NAS nutzen ja ein Linux.

und, was soll "²Server" bedeuten? Power-of-two-Server? Quadratserver?

Es ist eine MY WD Cloud. Die kann - soweit ich das sehen konnte - gar kein VPN. Weder OpenVPN, noch Wireguard, noch irgendwas anderes. Die gibt es auch schon etwas länger, die war nie als VPN vorgesehen.

Mhh. Du schreibst vodabox hast aber eine fritzbox ip 192.168.178.x?
Steht die VPN Verbindung ? Beidseitig getestet(ds-lite/cgn Problem)
Du weisst schon, das dein und das VPN Netzwerk nie im selben subnetz sein darf? Also bei dir 192.168.178.x und z.b. VPN 192.168.1.x sonst meint der Router du suchst Geräte im eigenen Netzwerk und findet diese logischerweise nicht

Es gibt dort keine FB! Ich weiß, die IP-Range ist wie von einer FB - fragt mich nicht wieso, ich habe das nicht eingestellt - irgendwas wird sie die Person aber gedacht haben, denke ich. Ich musste den Router gestern komplett resetten, da niemand das root-Passwort kannte. Danach war die IP auf 192.168.2.1 gestellt - da ging dann aber kein Drucker mehr etc. ich hatte gesehen, das die die internen Geräte den IP-Range 192.168.178.X hatten und habe die IP des Routers (also die interne IP-Range) geändert, wie es vorher war.

Es ist ein DeskMini mit Windows 10. Eigentlich ein ganz normaler Desktop-PC.

Was heißt "Er findet die IP nicht"?

Für mich hört sich das so an, als ob bereits ganz früh in der Kette was schiefgeht. Also schon bei den Portfreigaben. Als Erstes muss sichergestellt werden, dass die Anfragen vom Client überhaupt bis zum Server durchkommen.

Ich komme halt nicht nicht drauf. Es ist die Frage ob hier der Router rumspackt, die Firewall (Defender) kann es eigentlich nicht sein, weil ich die zum testen ausmache. Vielleicht ist die IP nach außen hin gar nicht erreichbar, was ich mir aber nicht vorstellen kann.

Ich hoffe, ich konnte alle Fragen beantworten.

Das ist etwas anderes. Wenn du einen VPS mietest und dort einen VPN-Server einrichtest, kann dieser als Dreh- und Angelpunkt für alle Client-Verbindungen dienen. Du hast damit freie Hand was wie und wohin geroutet wird, inkl. Standortverbindungen oder eben auch eine Konfiguration als Roadwarrior für unterwegs. Wenn man möchte kann man auch mehrere autarke VPNs parallel einrichten.

Verstehe. Also wäre das quasi so, als wenn ich ne VM auf dem Rechner installiere, nur das es dann halt direkt ein Linux Server ist, der halt woanders steht. Die Idee mit der VM war anscheinend also gar nicht so schlecht. Ich nutze VirtualBox. Ok? Welche Linux-Distr sollte ich für einen reinen VPN-Server denn nehmen? Wireguard soll ja ganz gut sein und schneller als OpenVPN?

 

[Raijin]

Es gibt dort keine FB! Ich weiß, die IP-Range ist wie von einer FB - fragt man nicht wieso. Ich musste den Router gestern komplett resetten, da niemand das root-Passwort kannte. Danach war die IP auf 192.168.2.1 gestellt - da ging dann aber kein Drucker mehr etc. ich hatte gesehen, das die die internen Geräte den IP-Range 192.168.178.X hatten und habe die IP des Routers (also die interne IP-Range) geändert, wie es vorher war.

Dann rate ich dir dringend, zu prüfen ob die DHCP-Range so passt. Wenn die vorherige Konfiguration zB .20 - .99 via DHCP verteilt hat und es jetzt .100- .199 ist, besteht die Gefahr, dass du früher oder später in IP-Konflikte rennst, weil zB der Drucker statisch auf die .120 konfiguriert wurde.

Im selben Atemzug solltest du alle statischen IP-Adressen, also jene, die direkt am Gerät konfiguriert sind, schriftlich festhalten. Gleiches gilt für statische DHCP-Reservierungen (ist NICHT dasselbe). Dazu die DHCP-Range und alles zB in einer Excel-Tabelle notieren. Ein Backup der Routereinstellungen solltet du ebenfalls machen. So kannst du jederzeit nachvollziehen was wie wo ist und wenn du mal den Router tauschst - evtl. sogar neuer Hersteller - , kannst du das Setup auch ohne das Backup jederzeit wiederherstellen bzw. replizieren.

 

[Pete11]

Also man soll quasi von überall so arbeiten können, als ob man Vorort ist.

Die einfachste Lösung wäre die Verwendung einer Fernwartungssoftware wie TeamViewer oder Anydesk - beide für privaten Gebrauch kostenlos. So mache ich das jedenfalls...

 

[Raijin]

Welche Linux-Distr sollte ich für einen reinen VPN-Server denn nehmen?

PIVPN ist eine weit verbreitete Distribution für VPN mit zahlreichen Tutorials im www. Ja, prinzipiell für den Raspberry PI gedacht, kann aber auch in einer VM laufen.

 

[spcqike]

@Pete11 Teamviewer ist aber kein VPN. Ich arbeite vor Ort nicht remote mittels Teamviewer auf einem anderen Gerät

Das modernste VPN zum "arbeiten wie vor Ort" ist meiner Meinung nach Wireguard. schnell, sowohl im Verbindungsaufbau als auch in der Übertragung, sicher und unauffällig (keine manuelle Einwahl zum Server notwendig, da es die Verbindung bei Bedarf automatisch aufbau und die Routen zum entfernten Netz definiert).

Wir nutzen das selber mit mehreren Sites und mobilen Geräten (5 voll vernetzte und geroutete Netzwerke, 1 Rootserver, ~20 mobil Geräte), man kommt, egal wo man ist, auf alle Dienste und Services, als wäre man vor Ort. In fremden WLANs oder im mobilen Internet baut sich bei Bedarf automatisch die Verbindung zur jeweiligen Site auf, ist man in einem bekannten WLAN läuft der Traffic über den dort vorhandenen Server/Gateway.

Das sind Welten, verglichen zu Teamviewer

Zwingende Vorraussetzung ist aber, dass mindestens 1 Gerät was als Server herhält extern erreichbar ist. In unserem Fall sind es sogar 6 (1 pro Site und der Rootserver), sodass ein schickes Mesh entsteht und man nicht einen zentralen Knotenpunkt hat der ausfallen kann oder den gesamten Traffic stemmen muss.

 

[Raijin]

PIVPN unterstützt im übrigen auch Wireguard: Wireguard @ PIVPN

Würde ich heute mein VPN neu machen, wäre Wireguard auch meine Wahl. Mein OpenVPN-Setup läuft aber schon seit Ewigkeiten und ist für meine Zwecke vollkommen ausreichend. Bisher habe ich keinen Grund, umzusteigen - abgesehen vielleicht vom Haben-will-Faktor.

 

[Ray Donovan]

Vielen Dank für deine Tipps @Raijin und @spcqike!
AnyDesk und Teamviewer wären eine Möglichkeit, man soll aber auch auf den Server und die NAS zugreifen können (Daten, als Netzlaufwerk), daher bietet sich ein VPN wirklich an. Ich würde es tatsächlich mal mit der VM und PIVPN mit Wireguard probieren. Außerdem bricht die Verbindung bei AnyDesk - je nach Verbindung sehr oft ab.

Wie kann ich am besten testen, ob die IP von außen überhaupt erreichbar ist? Welchen Port/Protokoll soll ich nutzen/freischalten? Und welche VM-Software ist für meinen Zweck am besten geeignet?

 

[Raijin]

Wie kann ich am besten testen, ob die IP von außen überhaupt erreichbar ist? Welchen Port/Protokoll soll ich nutzen/freischalten? Und welche VM-Software ist für meinen Zweck am besten geeignet?

Man kann zum Testen beispielsweise auf dem NAS einen FTP- oder Webserver einrichten, Port weiterleiten und ausprobieren. Danach bitte wieder löschen, weil offenes FTP im www keine gute Idee ist.

VirtualBox oder VMware Player. Ich persönlich mag VirtualBox lieber, da der VMware Player eine abgespeckte Version des großen kommerziellen Bruders ist, während VirtualBox schon ein anständiges Feature Set mitbringt.

 

[Ray Donovan]

Verbindung von extern zur NAS direkt per FTP (nachdem der Port im Router freigegeben wurde) funktioniert.

Es gibt auch die Möglichkeit einen Exposed Host anzulegen. Ist das besser oder soll ich einfach für die VM (der ich eine feste IP gebe) den Port von Wireguard freigeben?

 

[spcqike]

exposed Host würde ich nur für eine Firewall raten. Im Falle eines Wireguardservers (oder auch nur Webservers oder was auch immer) würde ich nur diesen einen Port/Dienst freigeben.

Wenn du den Wireguardserver virtualisieren möchtest, stell sicher, dass er wirklich ein Netzwerkadapter im LAN bekommt (bridged?), nicht, dass er nur ein mit dem Host geteiltes Netzwerk hat.