Homserver IPv4

[einfachpeer]

Hallo zusammen,

ich möchte gern eine Webserveranwendung auf meinem Mini PC hosten.
Dazu brauche ich ein pfx SSL Zertifikat. Dazu brauche ich ja eine ipv4.
Ich habe laut ipconfig nur eine ipv6 und eine lokale 192. IPv4.

Wenn ich jetzt wieistmeineip.de aufrufe, wird mir meine große Öffentliche IP angezeigt, die ich nach außen hin habe.

Nennen wir sie 94.1.1.1 als Beispiel.

Ich brauche halt eine ipv4 die direkt auf den Mini PC zeigt, um darüber Anwendungen direkt zu erreichen.

Mein Gaming PC und der Mini PC haben beide 94.1.1.1. Ich denke also mal, das ist meine IP die mir die Telekom (mein Provider) gegeben hat.

Wie mache ich denn jetzt eine ipv4, die direkt auf den Mini PC zeigt und ich so meinen Webserver und SSL Erstellung erreichbar machen kann.

Wie mache ich das ??

Ich nutze eine FritzBox!

Danke

 

[konkretor]

https://notthebe.ee/blog/easy-ssl-in-homelab-dns01/

 

[LieberNetterFlo]

gar nicht. Mach Portweiterleitung auf deinen MiniPC! Externe Zugreifer wissen nicht ob sie gerade auf deinen Router (der mit der öffentlichen IP Adresse) oder deinen MiniPC zugreifen.

 

[Azghul0815]

Was für einen Internet Anschluß hast du denn?
Je nach Anbieter teilst du deine öffentliche IPv4 mit anderen.

 

[einfachpeer]

Einen eigenen Telekom Glasfaser Anschluss

 

[Ranayna]

Willst du tatsaechlich extern hosten?
Viel wichtiger in dem Fall als die IP waere ein DNS Name, erst recht wenn deine IP nicht fix ist, was sehr wahrschinlich der Fall ist.
Also einen dynamischen DNS Dienst auf der Fritze konfigurieren, fuer diese Domain muesste man dann ueber Let's Encrypt ein Zertifikat anfordern koennen.
Und dann natuerlich noch die entsprechenden Portweiterleitungen auf der Fritzbox einrichten, damit dein Dienst von extern erreichbar ist.

 

[LieberNetterFlo]

Wenn du deine IPv4 allerdings teilst (Stichwort CGN), dann wird das nichts bringen mit der Portweiterleitung.

 

[Ranayna]

Soweit ich weiss nutzt die Telekom kein Carrier Grade NAT, das sollte soweit safe sein. Sonst im Zweifel nochmal auf wieistmeineip schauen: Faengt die externe IP mit 100. an, koennte es eine CGN IP sein.
Ja, dann ist mit hosten Essig. Man kann auch ueber IPv6 only hosten, aber dann ist man nicht von ueberall erreichbar, weil es immer noch Anschluesse ohne IPv6 gibt.

 

[einfachpeer]

Kann ich das nicht einfach wie folgt machen :

• Wireguard VPN auf der Fritze
• Server auf der Fritze mit 192. IP
• In Cloudflare meine Domain auf die 192.er IP setzen
• Den Client auch über dat VPN verbinden.

Kann ich so einen Webserver und SSL lokal in meinem Netz nutzen und auch eine .de Domain nur in meinem Netz nutzen ?

 

[NAFFER]

Du willst das nur ein einziger rechner das draußen erreicht ?
- Dann geht Wireguard

Willst du das mehrere Rechner draußen deine Webseite / Dienst erreicht ?
- Dann Port Weiterleitung und ggf. DynDNS
Möchtest du Webseite weiterleiten oder verschlüsselte Webseite, dann Port 80/8080 oder zusätzliche Ports wenn du noch andere Funktionen eingebunden hast.

Beispiel Portweiterleitung:
https://www.vtx.ch/media/pdf/fritzbox-7490-port-forwarding-de.pdf

 

[einfachpeer]

Ich möchte meine Server Client Webanwendung die Port 8080 und 8098 braucht und das einfach nur einmal zu Testzwecken präsentieren. Da ist es ja egal wenn der eine einzige Client das dann unter domain.de lokal erreicht ?? Würde #9 denn genau so klappen ?

 

[Ranayna]

Wenn du das nur fuer dich selber mit VPN nutzen willst: Kann deine ungekannte Webanwendung nicht ein Self-Signed Zertifikat ausstellen? Ja, dann musst du eine Zertifikatswarnung wegklicken, aber technisch macht es keinen relevanten Unterschied.

Ich hab jetzt zugegebenerweise wenig Erfahrugen mit externen DNS Diensten. Technisch spricht nichts dagegegen eine Domain auf eine private IP zeigen zu lassen, aber ob einen die Dienste das machen lassen, weiss ich nicht.
Leider stellt Let's Encrypt keine Zertifikate auf IP Adressen aus, was technisch auch machbar waere, aber denen ist vermutlich das Missbrauchspotential zu gross.

Wobei... Wenn du per VPN mit der Fritzbox gekoppelt bis, nutzt du ja auch deren DNS. Auch das weiss ich nicht obs geht, aber kann man womoeglich im internen DNS der Fritze einen manuellen Eintrag machen, der deine Domain auf deine interne IP zeigen laesst?

 

[Raijin]

ich möchte gern eine Webserveranwendung auf meinem Mini PC hosten.

Kann ich so einen Webserver und SSL lokal in meinem Netz nutzen und auch eine .de Domain nur in meinem Netz nutzen ?

Das heißt also, dass der Webserver nicht extern erreichbar sein soll? Du möchtest also ausschließlich lokal innerhalb deines Netzwerks bzw. maximal von außen via VPN auf diesen Webserver zugreifen?

Wenn dem so ist, hat @konkretor in #2 mit seinem Link eigentlich schon alles gesagt. Du kannst wie in dem Artikel dargestellt zB eine duckdns-Domain anlegen und diese auf die lokale IP deines Servers zeigen lassen. Mittels DNS-01-Challenge ist es möglich, ein 100% gültiges Let's Encrypt Zertifikat zu erstellen, das auf die duckdns-Domain hört. Du könntest also im Browser einfach "meinserver.einfachpeer.duckdns.org" eingeben und dahinter verbirgt sich dann 192.168.x.y, dein Server, der sich wiederum mit einem gültigen Zertifikat für "meinserver.einfachpeer.duckdns.org" meldet - keine Warnung, kein gar nichts, einfach nur direkt Let's go.

 

[LieberNetterFlo]

nur einmal zum testen also? Dann Portweiterleitung 8080 und 8098 und von Außen direkt auf deine IP zugreifen und Zertifikatswarnung wegklicken.

 

[einfachpeer]

Warum brauche ich denn Duck DNS wenn ich auch eine .de Domain habe ?

Ergänzung (17. Mai 2024)

Genau lokal + VPN mehr soll es nicht können. Möchte einfach nur mein Anwendung vorstellen...,

 

[LieberNetterFlo]

warum machst du dann überhaupt rum mit Domain und dem ganzen krams?

Einfach Anwendung starten, sagen wir auf deinem MiniPC mit der IP 192.168.178.89

Lokal oder per VPN dann einfach im Browser auf https://192.168.178.89:8080 gehen, die Warnung wegdrücken und garnz normal nutzen. Außer dass da oben so ein rotes Icon im Browser ist, funktioniert die wahrscheinlich ganz normal

 

[Azghul0815]

Stellst du dir das jetzt so vor:
Wireguard -> Fritte
test.de ->durch VPN Tunnel -> MiniServer Webanwendung

So ungefähr?

Deine IPv4 ist eine fixe oder eine dynamische IPv4?

 

[Raijin]

Ich möchte meine Server Client Webanwendung die Port 8080 und 8098 braucht und das einfach nur einmal zu Testzwecken präsentieren

Ach so, nur einmalig zum Testen? Dann ist das Zertifikat doch egal, Warnung einfach ignorieren. Insbesondere, wenn du per VPN reingehst und der Server gar nicht ohne VPN erreichbar ist.

Kann ich das nicht einfach wie folgt machen :

• Wireguard VPN auf der Fritze
• Server auf der Fritze mit 192. IP
• In Cloudflare meine Domain auf die 192.er IP setzen
• Den Client auch über dat VPN verbinden.

Ja, so ginge das dann. Wobei die Domain dabei gar nicht erforderlich wäre, weil du ja einfach die Server-IP eingeben kannst.

Warum brauche ich denn Duck DNS wenn ich auch eine .de Domain habe ?

Zu dem Zeitpunkt dachte zumindest ich noch, dass es sich um eine permanente Lösung handeln sollte (die anderen Beiträge kamen während ich am Tippen war). duckdns ist in dem Fall nur ein Beispiel für einen domain hoster, der die DNS-01 Challenge von Let's Encrypt unterstüzt. Cloudflare tut dies soweit ich weiß aber auch, man könnte den Part also auch mit einer cloudflare Domain machen.

 

[Renegade334]

Wenn du das nur fuer dich selber mit VPN nutzen willst: Kann deine ungekannte Webanwendung nicht ein Self-Signed Zertifikat ausstellen? Ja, dann musst du eine Zertifikatswarnung wegklicken, aber technisch macht es keinen relevanten Unterschied.

Ich hab jetzt zugegebenerweise wenig Erfahrugen mit externen DNS Diensten. Technisch spricht nichts dagegegen eine Domain auf eine private IP zeigen zu lassen, aber ob einen die Dienste das machen lassen, weiss ich nicht.
Leider stellt Let's Encrypt keine Zertifikate auf IP Adressen aus, was technisch auch machbar waere, aber denen ist vermutlich das Missbrauchspotential zu gross.

Wobei... Wenn du per VPN mit der Fritzbox gekoppelt bis, nutzt du ja auch deren DNS. Auch das weiss ich nicht obs geht, aber kann man womoeglich im internen DNS der Fritze einen manuellen Eintrag machen, der deine Domain auf deine interne IP zeigen laesst?

Self Signed kann man im Vorfeld vertrauen, dann sieht man während der Präsentation keine Warnung.

Man kann DNS auf eine interne IP zeigen lassen, aber das bringt nicht viel. Ja, die Adresse wird intern dann aufgelöst (wenn der Server der FritzBox keinen Schutz dagegen hat), aber davon hat man noch kein Zertifikat.

Und zum letzten Punkt: Die FritzBox hat kein Conditional Forwarding oder manuelle Einträge, da kann man leider auch nicht einfach was ergänzen.

Self Signed wäre für so eine Testanwendung eigentlich das richtige. Ansonsten braucht man in seiner Domain einen Eintrag auf die öffentliche IP des Routers (bzw. CNAME auf DynDNS), weiterleitung der beiden Ports auf den Mini PC und eine Weiterleitung von Port 80 für z.B. Let's Encrypt auf den Client, falls der Nameserver keine API für die Challenge bietet.

Ein Self Signed auf dem Client zu vertrauenswürdigen Zertifikaten hinzuzufügen ist da einfacher und benötigt keine offenen Ports. Da kann man dann auch alle IPs und Hostnamen eintragen die man möchte.

 

[einfachpeer]

Ich möchte es ja vor anderen prässentieren, da soll es doch professionell aussehen hahah. Ich werde das so wie n #9 mal probieren

Ergänzung (17. Mai 2024)

Aber wie bekomme ich dann ein SSL Zertifikat was innerhalb des Netzes als Sicher annerkannt wird ? Mit Certbot ja wahrscheinlich nicht oder ?