WireGuard VPN / Nextcloud Tunnel

[hansstramm]

Moin freunde,
ich nutze eine Fritz!Box 7520 mit neustem OS (7.57).
Ebenfalls betreibe ich einen Intel NUC als Server in meinem Heimnetz mit Proxmox / Pi-hole und Nextcloud.
Meine Nextcloud wird nur offline betrieben, da ich mich nicht gut genug auskenne, um sie sicher online betreiben zu können.
Am 1.8.2023 habe ich eine Ausbildung zum Fachinformatiker begonnen.
Ein Arbeitskollege hat mir empfohlen, die Nextcloud per WireGuard über die Fritz!Box mit einem "Tunnel" online erreichbar zu machen.

Nun wüsste ich gerne, wie ich das umsetzten kann.
Funktioniert das überhaupt?
Falls ja, wie mache ich das am besten, damit es wirklich sicher ist?
Hab mich schon etwas in die Materie eingelesen, möchte aber ungern gehackt werden, daher frage ich lieber vorher hier bei den Experten nach 😅.

Würde mich freuen, wenn jemand helfen kann 🙂.

Mfg

 

[CoMo]

In der Fritzbox gibt es doch einen Wizard für das Anlegen einer neuen Wireguard-Verbindung. Wie weit bist du da gekommen?

 

[hansstramm]

Danke für die schnelle Antwort.
Meine 7520 kann auch WireGuard:

Hab noch nichts verändert, wollte mich erst mal informieren 🙂.
Über Wizard muss ich mich noch einlesen.
Das Einrichten von WireGuard am Handy wird wohl kein Problem sein.

 

[Blutomen]

Ein Arbeitskollege hat mir empfohlen, die Nextcloud per WireGuard über die Fritz!Box mit einem "Tunnel" online erreichbar zu machen.

Für wen? Wenn du die nur für dich brauchst ... wähle dich einfach per WireGuard auf deine Fritz!Box ein. Dann ist es, als wärst du mit deinen Geräten daheim. Dann musst du dir keine Gedanken machen und bleibst weiterhin save.

Wenn deine Familie auch drauf soll .. Fritz!Box Side-by-Side. (sofern die auch ne Fritz!Box haben)

Und wie CoMo schon sagte .. AVM bietet einen Wizard für WireGuard an und dort kannst du auch sagen, welches Endgerät im Heimnetz darüber erreichbar sein soll. So kannst du eine WireGuard Verbindung auch statt aufs gesamte Heimnetz (meine Erklärung oben) auch nur auf ein einziges Gerät zugreifen lassen.

Nur ins Netz stellen, was unbedingt Netz benötigt.

 

[hansstramm]

Die Nextcloud wird nur von mir genutzt.
Wäre halt praktisch, wenn ich die Nextcloud auch als Online Speicher nutzen könnte für die Dateien der Arbeit / Berufsschule 🙂.
Aber scheinbar scheint das ja echt einfach umzusetzen zu sein 👍

 

[Blutomen]

Jub .. lass das Ding einfach eingeschaltet .. und folge der AVM Anleitung.

Einfachste ist .. die MyFritz!App .. da musst du wirklich gaar nix machen.
Daheim im WLAN einmal installieren die App und einrichten .. die konfiguiert alles.
Und wenn du unterwegs bist, einmal mit der App die Verbindung starten und fertig.

Ansonsten:
https://avm.de/service/wissensdaten...ITZ-Box-am-Smartphone-oder-Tablet-einrichten/ (Smartphone)

https://avm.de/service/wissensdaten...ard-VPN-zur-FRITZ-Box-am-Computer-einrichten/ (Computer)

 

[hansstramm]

Super, vielen Dank 👍.
Werde das mal testen und mich melden, falls es Probleme gibt 🙂.

 

[hansstramm]

Hatte es vor Wochen mal getestet.
Da gab es allerdings Probleme mit meinem ThinkPad unter Linux Mint.
Mit meinem Handy ging es auf Anhieb.

Hab es letztes WE nochmal eingerichtet, jetzt läuft es super vom ThinkPad und auch vom Handy.
Vermutlich, weil ich diesmal für jedes Gerät eine eigene VPN-Verbindung eingerichtet habe.
Jetzt kann ich von unterwegs auf meine Offline Nextcloud zugreifen, sehr praktisch 👍

 

[julijan1994]

Hallo,

ich schließe mich hier mal an anstatt ein eigenes Thema zu erstellen, weil ich fast das gleiche Setup habe. Ich habe auch die 7520 mit OS 7.57. Ich betreibe eine Nextcloud auf einem Raspberry Pi 4 in einem Docker. Der Desktop PC hängt per LAN an der FritzBox und ich habe Zugriff auf die Cloud. Ebenfalls kann mein Smartphone per Nextcloud-App darauf zugreifen. Allerdings kann das Smartphone nur auf die Cloud zugreifen wenn ich direkt im WLAN ohne den VPN-Tunnel bin. Mache ich den VPN an, dann kann die App den Server nicht mehr erreichen, egal ob ich jetzt im heimischen WLAN oder im Mobilfunknetz bin. Im VPN-Tunnel habe ich aber Internetzugriff und ich kann die FritzBox anpingen, allerdings weder den Pi noch andere Geräte im Netzwerk. Den Tunnel habe ich über den Wizard in der FritzBox für Einzelgeräte (Option 1) erstellt. Danach habe ich einen neuen Tunnel erstellt unter der Verwendung der zweiten Option im Wizard weil man da noch Häkchen für "Gesamten IPv4-Netzwerkverkehr über die VPN-Verbindung senden" und NetBIOS setzen kann, was ich auch tat. Danach konnte über den Tunnel nicht mehr aufs Internet zugegriffen werden und der Zugriff auf die Cloud ging noch immer nicht aber ich konnte den Pi und andere Gerät im Heimnetz anpingen. Kann mir vielleicht jemand weiterhelfen? Ich sehe das Problem hier leider nicht.

LG

 

[h00bi]

Du verwendest ebenfalls das AVM wireguard VPN?
Damit solltest du komplett ins Internet Netz der Fritzbox geroutet werden und solltest vollen Zugriff haben.

Du sagst du kannst die Fritzbox vom Mobilfunknetz mit aktivem VPN Tunnel anpingen.
Kannst du auch den Pi anpingen?
Kannst du auf irgendeinen Webdienst auf deinem Pi zugreifen?

Wie rufst du das nextcloud Webinterface vom PC aus auf? Über die IP? Über den Rechnernamen des Pi? Über eine Domain mit Zertifikat?

 

[julijan1994]

Hi,
Ja ich ging auch davon aus, dass ich mit dem AVM WireGuard auf der FritzBox bei aktivem Tunnel im Heimnetz sein sollte. Ein VPN-Tunnel kommt ja zustande aber die FritzBox oder was auch immer lässt mich anscheinend nicht ins Heimnetz. Ich komme über den VPN ins Internet aber das einzige Gerät, was ich anpingen kann, ist die FritzBox selber. Weder den Pi noch meinen Desktop-PC.

Vom Desktop-PC greife ich entweder über die Nextcloud-App oder über das Webinterface unter http://raspberrypi.local:8080/login auf die Nextcloud zu. Komischerweise komme ich aber nur mit diesem Link auf das Webinterface im Browser. Bei Eingabe der IP des Raspberry im Browser gibt es nur einen Ladefehler.

 

[mae1cum77]

Bei Eingabe der IP des Raspberry im Browser gibt es nur einen Ladefehler.

Auch bei Aufruf in der Form: http://192.168.178.XXX:8080/login? Das sollte gehen, wenn lokal die 'Domain' des Pi aufgelöst wird.

 

[h00bi]

Ich komme über den VPN ins Internet aber das einzige Gerät, was ich anpingen kann, ist die FritzBox selber. Weder den Pi noch meinen Desktop-PC.

Wie ist denn die lokale IP Adresse des Pi und welche IP Adresse bekommst du per VPN zugewiesen?

Das Fehlerbild klingt eher nach dem alten AVM VPN, nicht nach wireguard.

 

[julijan1994]

Auch bei Aufruf in der Form: http://192.168.178.XXX:8080/login? Das sollte gehen, wenn lokal die 'Domain' des Pi aufgelöst wird.

Gerade getestet und das geht. Nextcloud zeigt hier aber "Zugriff über eine nicht vertrauenswürdige Domain" an die man in der config.php einstellen kann.

Wie ist denn die lokale IP Adresse des Pi und welche IP Adresse bekommst du per VPN zugewiesen?

Das Fehlerbild klingt eher nach dem alten AVM VPN, nicht nach wireguard.

Der VPN-Tunnel hat die IP 192.168.178.201. Der Pi hat die IP 192.168.178.21.

 

[mae1cum77]

Nextcloud zeigt hier aber "Zugriff über eine nicht vertrauenswürdige Domain" an die man in der config.php einstellen kann.

Siehe: https://www.computerbase.de/forum/t...-neuinstallation.2185244/page-4#post-29164884

Ort der config.php ist von der Art deiner NC-Installation abhängig.

 

[h00bi]

Gerade getestet und das geht.

Vom Desktop aus gestestet oder per VPN getestet?
Wenn per IP vom Desktop und per VPN geht, dann hast du ein Namensauflösungsproblem im VPN (weil ja raspberrypi.local per VPN nicht geht)
Wenn per IP vom Desktop geht aber vom VPN nicht, dann liegts an der VPN config.

 

[julijan1994]

OK heute habe ich mal weiterprobiert und heute konnte ich den Pi via VPN anpingen. Ich weiß nicht ob es daran lag, dass ich dem Smartphone jetzt eine statische IP in der Fritzbox gegeben habe.

Auf die Nextcloud konnte ich da aber noch nicht zugreifen. Dank eurer Hinweise bin ich mal in die config.php und habe dort die IP des Pi (192.168.178.21) erlaubt. Danach konnte ich via 192.168.178.21:8080 im Browser darauf zugreifen. Auch mit der Nextcloud-App ging es nachdem ich dort einen neuen Benutzer mit der neuen Adresse angelegt habe. Die Cloud funktioniert jetzt via VPN und auch aus dem Mobilfunk. Vielen Dank für eure Hilfe.

Es scheint also ein Problem gewesen zu sein, dass er via VPN den Namen nicht auflösen konnte und nur die IP direkt ging.

Eine Verständnisfrage habe ich noch: Warum muss die Portangabe :8080 mit an die IP? Denn ohne die geht es nicht. In der config.php steht die IP alleine ohne die Portangabe.

LG

 

[chrigu]

Damit die Start-Anwendung auch weiss wo das Ziel ist. Ähnlich wie eine Telefonnummer (die ip) die zur Zentrale (Router) zu einem bestimmten Telefon (portnummer) weitergeleitet wird.