Ein Homeserver ist nicht nur für den internen Gebrauch gedacht. Man kann diesen auch von extern zugänglich machen. c’t 3003 erklärt, wie das funktioniert.
Das eigene Netzwerk nach außen öffnen? Das mag zunächst riskant klingen. Doch c’t 3003 demonstriert, dass es sicher gestaltet werden kann.
Video-Transkript
(Hinweis: Dieses Transkript hilft denen, die das Video nicht sehen können oder möchten. Der Text deckt nicht alle visuellen Inhalte ab.)
Ich sitze hier in der U-Bahn und schaue einen Film. Ihr denkt vielleicht: Was soll’s, das kann jeder, der Netflix auf seinem Smartphone hat. Aber hier ist der Clou: Der Film wird von meinem persönlichen NAS gestreamt. Und das funktioniert auch mit anderen Diensten, die auf meinem Homeserver laufen, ob über Browser oder App. Dienste wie Nextcloud, Paperless, Nginx, Audiobookshelf, Jellyfin und mehr sind so erreichbar.
Vielleicht denkt ihr jetzt, es sei zu riskant, den Homeserver öffentlich zugänglich zu machen. Ich zeige euch, wie ihr das sicher bewerkstelligen könnt. Wir betrachten zwei Methoden: über ein VPN, beispielsweise mittels WireGuard, und über einen Reverse-Proxy, speziell mittels Nginx Proxy Manager.
In diesem Video erkläre ich euch, wie das alles geht. Ihr werdet auch noch einige interessante Dinge über Netzwerke erfahren, die ich vorher auch nicht wusste. Also bleibt dran.
*Keno am Telefon*: Oh, nein, wir behandeln nicht nur KI. Auch keine Küchengeräte. Ja, das war nur einmal mit dem Thermomix. Nein, keine KI. Tschüss.
Liebe Hackerinnen und Internetsurfer, willkommen bei…
Bevor wir beginnen, noch ein wichtiger Hinweis: Am sichersten ist es natürlich, wenn Ihr Euer Heimnetzwerk bzw. Euren Homeserver nicht nach außen öffnet. Ich beispielsweise deaktiviere zuerst die Möglichkeit der externen Anmeldung an meinen Routern, denn wenn ich etwas an meinem Router ändern möchte, bin ich zu Hause. Das brauche ich nicht von extern.
Auch wenn es nicht extrem gefährlich ist, von außen darauf zuzugreifen, je mehr Zugriffsmöglichkeiten bestehen, desto größer ist die Angriffsfläche. Überlegt euch also gut, was ihr wirklich benötigt. Es gibt allerdings viele gute Gründe, warum ihr oder andere auf euer Netzwerk von außen zugreifen möchten.
Ihr werdet jedoch auf verschiedene Herausforderungen stoßen. Das erste Problem ist, dass ihr wahrscheinlich keine feste IP-Adresse von eurem Internetanbieter habt, sondern eine dynamische, die sich regelmäßig ändert. Feste IPs sind meist nur bei Geschäftsanschlüssen verfügbar. Bei manchen DSL-Anschlüssen ändert sich die Adresse sogar täglich. Da gibt es die berühmte Zwangstrennung einmal in 24 Stunden. Bei anderen ist der Wechsel seltener, aber die IP-Adresse ändert sich dennoch gelegentlich.
Ja, und für eine Verbindung per VPN oder Reverse-Proxy benötigt man immer einen festen Ankerpunkt im Internet. Ihr könnt natürlich immer eure aktuelle vom Provider vergebene IP-Adresse verwenden, aber sobald diese sich ändert, könnt ihr von außen nicht mehr auf euer Netzwerk zugreifen. Ihr könnt die IP ja nicht erraten.
Dieses Problem löst ihr mit dynamischem DNS, kurz DynDNS. Das ist quasi eine Domain, die immer auf euren Anschluss zu Hause zeigt, auf eure aktuelle IP-Adresse. Auf eurem Home-Server oder auf einem Router läuft ein Service, der bei jedem Reconnect prüft: Welche IP-Adresse habe ich gerade? – und teilt diese dem DynDNS-Service mit. Das Ergebnis ist, dass eure DynDNS-Adresse immer auf eure aktuelle IP zeigt.
DynDNS wird von verschiedenen Hostern angeboten. In den kostenlosen Versionen bekommt man dann z. B. etwas wie ct3003.ipv64.de. Ich habe zum Testen den kostenlosen Anbieter ipv64.net verwendet. Der wird vom Server-YouTuber Dennis Schröder betrieben und macht einen soliden Eindruck.
Falls ihr eine Fritzbox nutzt – und das tun anscheinend viele von euch, unserer Erfahrung nach – könnte es sein, dass ihr bereits automatisch etwas wie DynDNS laufen habt und nichts konfigurieren müsst. Wenn ihr einen MyFritz-Account angelegt habt – das habe ich beispielsweise gemacht, nicht wegen DynDNS, sondern weil mir die Fritzbox dann manchmal E-Mails schickt, wenn irgendwas passiert, und ich fand das praktisch – dann habt ihr bereits eine feste Adresse, mit der ihr immer euer Netzwerk erreicht. Das wäre dann eine kryptische Buchstaben- und Zeichenkombination gefolgt von .myfritz.net. Das wäre also bereits vorkonfiguriert.
Wenn ihr das nicht nutzen wollt, also MyFritz oder auch nicht könnt, dann integriert ihr einfach einen anderen DynDNS-Provider in euren Router. Das geht bei der Fritzbox über Internet -> Freigaben -> DynDNS. Dort gebt ihr dann eure sogenannte Update-URL sowie Login und Passwort ein. Und das könnt ihr alles von eurem DynDNS-Anbieter übernehmen, wenn ihr dort einen Account angelegt habt.
So, und wenn ihr jetzt die MyFritz-URL oder die DynDNS-URL in den Browser eingebt, dann passiert nichts. Genau. Also wenn da etwas passiert, dann ist das eher ein Problem, weil ihr eigentlich noch nichts freigegeben haben solltet. Wenn da schon etwas im Browser erscheint, solltet ihr eure Portfreigaben am Router noch einmal überprüfen. Denn ihr wollt auf keinen Fall euer gesamtes Netzwerk nach außen öffnen.
Okay, MyFritz bzw. DynDNS ist eingerichtet.
Methode Nummer 1: VPN über WireGuard
Beginnen wir mit VPN. VPN steht für Virtual Private Network und ist eine gängige Methode, um eine verschlüsselte Verbindung in ein geschlossenes Netzwerk herzustellen. Viele Unternehmen nutzen VPN, um ihren Mitarbeiterinnen und Mitarbeitern Zugriff auf Dateien, Zeitverwaltung und andere Dienste zu ermöglichen, die von außen standardmäßig nicht erreichbar sind.
Der große Vorteil von VPN ist auch gleichzeitig der Nachteil: Ihr habt direkten Zugriff auf euer komplettes Heimnetzwerk. Es eignet sich also nicht unbedingt, um es an andere weiterzugeben. Außerdem benötigt ihr immer eine Zusatzsoftware oder zumindest eine zusätzliche Konfiguration auf euren Endgeräten.
Bei VPN-Verbindungen gibt es verschiedene Protokolle wie IPsec, OpenVPN oder WireGuard. Wir betrachten hier nur WireGuard, da es sehr einfach zu konfigurieren ist, viele Router-Modelle es standardmäßig unterstützen und es sehr ressourcenschonend und sicher läuft. Es gibt unseres Wissens noch keinen erfolgreichen Angriff auf WireGuard von außen. Das bedeutet, es ist sicher.
Ihr könnt das beispielsweise auf eurem Smartphone im Hintergrund laufen lassen, ohne dass sich das allzu stark auf die Akkulaufzeit auswirkt. Um es einfach zu halten, zeigen wir euch, wie ihr die WireGuard-Integration der Fritzbox nutzt. Seit der FritzOS-Version 7.5 ist WireGuard vollständig in der Fritzbox implementiert. Natürlich könnt ihr den Dienst alternativ auch auf eurem Homeserver laufen lassen, wenn ihr das möchtet.
Ja, aber auf meiner Fritzbox war die WireGuard-Installation wirklich einfach. Es war fast so, als ob ich Werbung machen wollte, was ich natürlich nicht tue. Es ärgert mich zum Beispiel, dass es so wenige 6-Gigahertz-Fritzboxen gibt. Aber gut, das nur am Rande – die WireGuard-Installation war wirklich surreal einfach. Ich dachte: Hä, das kann doch jetzt noch nicht alles gewesen sein. Bin ich da schon drin?
Hier sind die Schritte, die ihr befolgen müsst: Internet -> Freigaben -> VPN -> WireGuard. Dann auf das Plus „Verbindung hinzufügen“ klicken. „Einzelgerät verbinden lassen“ als Voreinstellung wählen. Auf „Weiter“ klicken. Irgendeinen Namen eingeben. Fertigstellen. Auf der Fritzbox eine beliebige Taste drücken – das ist ein Sicherheitsfeature für die Bestätigung. Auf dem Handy die WireGuard-App installieren. Auf das Plus tippen. Dann „Aus QR-Code erstellen“ wählen. Abfotografieren. Fertig.
Wenn ihr Geräte ohne Kameras nutzen wollt – also beispielsweise Desktop-PCs – könnt ihr einfach die Config-Datei herunterladen und dann in WireGuard installieren. Wie gesagt, wenn ihr MyFritz eingerichtet habt, geht das komplett ohne jegliche vorherige Konfiguration. Da ist dann eure MyFritz-Adresse in der WireGuard-Config schon automatisch enthalten. Ihr könnt aber auch auf den Stift hier klicken, und dann könnt ihr in der Config zum Beispiel eine DynDNS-Adresse eingeben. Es ist wirklich ziemlich einfach.
Ja, und sobald die WireGuard-Verbindung steht, könnt ihr aus der Ferne – also egal wo ihr seid – euer Heimnetzwerk so verwenden, als wärt ihr zu Hause, als wärt ihr direkt mit dem Netzwerk verbunden. Ihr könnt hier in der Config auch sehen, dass euer mit WireGuard verbundenes Gerät einfach auch ein Gerät im lokalen Netzwerk ist. Hier bei mir ist es die 187.202, also das heißt, das Netzwerk denkt quasi, das ist hier ein internes Gerät, auch wenn ihr ganz woanders seid.
Ja, und das Tolle ist, ihr müsst jetzt auch nicht mit Portfreigaben oder so herumhantieren, sondern es ist alles genauso wie im lokalen Netz. Also ihr kommt überall drauf, wo ihr im lokalen Netz auch draufkommt.
Jetzt muss ich aber natürlich noch mal darauf hinweisen: Es gibt durchaus Leute in der c’t-Redaktion, die sagen, ja, WireGuard ist schon okay, aber da ist dann auf jeden Fall der VPN-Port nach draußen offen. Macht doch lieber Tailscale, da sieht man von außen gar nichts. UDP-Hole-Punching ist da das Stichwort.
Aber darauf möchte ich jetzt nicht im Detail eingehen, weil andere in der Redaktion sagen: Ja, Tailscale ist auch gut, aber da muss man einem Anbieter vertrauen – und das will man vielleicht auch nicht.
Man kann die Tailscale-Infrastruktur auch selbst betreiben, aber das ist dann schon ziemlich aufwendig. Also mal sehen, wie das Video hier bei euch ankommt. Wenn gut, dann machen wir vielleicht noch mal etwas separat zu Tailscale.
Ja, und wie gesagt, mit WireGuard gibt es Zugriff ins ganze Netz. Wenn ihr eurer Kollegin vielleicht nur kurz eine Datei über Nextcloud schicken wollt, macht ihr das vielleicht besser anders, nämlich mit einem Reverse-Proxy. So könnt ihr dann einen einzelnen Dienst nach außen freigeben.
Noch ein Hinweis: Ein Reverse-Proxy ist unsicherer als WireGuard, weil ihr Services wirklich ins ganze Netz direkt öffnet. Da ist nicht nochmal so eine sicherheitsverschlüsselte Tür dazwischen. Also da können alle drauf.
Wenn ihr das alles sorgfältig konfiguriert und die Server-Dienste immer aktuell haltet, gute, lange Passwörter verwendet, die nicht in Wörterbüchern stehen, dann kann man das aber schon machen. Aber man sollte sich auf jeden Fall darüber im Klaren sein, dass da ein Restrisiko bleibt.
Methode Nummer 2: Reverse-Proxy mit Nginx Proxy Manager
Ein Reverse-Proxy macht Dienste aus dem Heimnetzwerk direkt im Internet verfügbar. Das könnt ihr zwar auch über eine einfache Portfreigabe erreichen. Dafür müsst ihr euch aber Ports merken und für jede Anwendung mindestens einen Port in eurer Firewall freigeben.
Bei einem Reverse-Proxy werden nur die Standard-Ports für HTTP und HTTPS freigegeben und direkt an den Reverse-Proxy weitergeleitet. Das weitere Management wird direkt im Tool konfiguriert. Sollten zwei Anwendungen die gleichen Ports benötigen, müsstet ihr euch ohne Reverse-Proxy an der Stelle entscheiden. Mit einem Reverse-Proxy ist das kein Problem.
Und als großes i-Tüpfelchen: Ein Reverse-Proxy kümmert sich auch um die Verschlüsselung per SSL. Das bedeutet, Let’s-Encrypt-Zertifikate können dort bequem angelegt werden.
Schauen wir uns das mal an einem Beispiel an. Ihr wollt über jellyfin.3003.ipv64.de auf eure Jellyfin-Instanz zugreifen. Normalerweise müsstet ihr dann den Port 8096 für Jellyfin in der URL angeben und diesen auch in der Firewall freigeben. Mit einem Reverse-Proxy wird dieser direkt für die Subdomain in der Konfiguration angegeben.
Was ich übrigens gelernt habe bei der Recherche für dieses Video: Die Kombination aus IP-Adresse und Port heißt Socket. Habe ich schon super oft gehört, habe ich jetzt erst richtig verstanden. Bin ich ehrlich. Okay, aber weiter geht’s.
Wenn der Reverse-Proxy eine Anfrage für die genannte Subdomain bekommt, dann kann der diese direkt an das richtige Gerät mit dem richtigen Port im Heimnetzwerk zuordnen und weiterleiten. Kommt eine Anfrage für nextcloud.3003.ipv64.de zum Reverse-Proxy, leitet er die natürlich entsprechend an den Nextcloud-Server mit dem richtigen Port weiter.
Ihr seht: Ist eine ziemlich bequeme Sache, wenn es erst mal eingerichtet ist. Allerdings sind jetzt eure Dienste für alle im Internet erreichbar. Ich habe ja schon gesagt: Es ist also wichtig, dass ihr diese auch entsprechend passwortschützt, wenn die Inhalte nicht alle sehen sollen.
Für den Reverse-Proxy muss ein Server im Heimnetzwerk laufen. Reverse-Proxy-Dienste sind zum Beispiel Traefik, Caddy oder eben der Nginx Proxy Manager. All diese laufen auf einem NAS oder Heimserver. Das kann zum Beispiel auch ein Raspi sein.
Für den einfachen Einstieg in die Reverse-Proxys bietet sich der Nginx Proxy Manager an. Darunter werkelt, wie der Name schon vermuten lässt, der Nginx-Reverse-Proxy. Die Steuerung läuft über eine einsteigerfreundliche Web-Oberfläche. Bei den Alternativen müsst ihr die Verbindung per Kommandozeile und Texteditor konfigurieren.
Legen wir mal los mit der Installation des Nginx Proxy Managers. Das geht zum Beispiel per Docker. Wenn ihr Docker noch nie benutzt habt, schaut gerne das Video von uns an. Da haben wir das erklärt. Den richtigen Docker-Container haben wir außerdem unten verlinkt. Die Config für die YAML-Datei findet ihr auf der Website des Nginx Proxy Managers. Einfach kopieren, in eure YAML-Datei einfügen und schon sollte das Ding laufen.
Falls ihr Unraid oder TrueNAS Scale benutzt, könnt ihr auch den Nginx Proxy Manager einfach als App herunterladen. Das ist dann auch Docker, aber kann man dann einfach anklicken und wie eine App installieren. Einfach in den entsprechenden Stores danach suchen. Hier, so sieht das in meinem Unraid aus.
Ihr erreicht dann den Proxy Manager jetzt einfach über die IP-Adresse des Servers mit dem Port 81. Also zum Beispiel 192.168.178.110:81 – Socket, wisst ihr. Der Standard-User ist admin@example.com und das Standard-Passwort ist change.me. Das solltet ihr auch direkt nach dem Einloggen ändern – also das Passwort ändern. Wählt dort wirklich ein starkes Passwort.
Ja, der Proxy Manager läuft jetzt. Aber damit er jetzt auch die Anfragen von draußen an die richtige Stelle im Heim
Ähnliche Artikel
- Alleskönner für nur 100 Euro: Der OpenWrt One Router!
- Können Sie KI-Bilder erkennen? Testen Sie Ihr Wissen im Quiz!
- Streisand-Effekt eskaliert: Kontroverse um Reparatur eines Luxus-Phono-Verstärkers!
- Nachhaltige Bastelideen – Entdecken Sie kreative Web-Tipps!
- Smartwatch-Revolution: Kann Ihr Smartphone ersetzen? Entdecken Sie die Möglichkeiten!
Experte für Popkultur und Filmfan, erkundet Max Jäger die Welt der Unterhaltung mit neugierigem und lockerem Blick. Er teilt gerne die Geschichten hinter den Stars und entschlüsselt die Trends, die die Medienlandschaft prägen.
