Fritzbox: Port weiterleiten an externe IP

[Domi25]

Hallo,
ich habe auf einem VPS-Server (IONOS) einen Wireguard-VPN-Server installiert. Meine Fritzbox zuhause (und diverse Clients unterwegs) verbinden sich mit dem Server und ermöglichen mir nun so einen Zugang zum Heimnetz. Klappt schon wunderbar.
Dabei hab ich die Anleitung von Apfelcast genutzt (

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

) - mit ein paar Änderungen, da ich eben keinen eigenen NUC oder PI als VPN-Client im Heimnetz nutze/habe, sondern die Fritzbox nehme.

Nun habe ich auf dem VPS auch NGINX als ReverseProxy installiert (ab Minute 16:45). Der ProxyServer ist auf dem VPS auch über Port 81 erreichbar. Apfelcast nennt nun eine Lösung, den VPN-Client im Heimnetz (bei ihm ein PI glaub ich) anzuweisen, dass Anfragen an Port 81 direkt auf die externe IP des VPS weitergeleitet werden, also z.B. 192.168.178.1:81 -> [externe IP des VPS]:81. Das macht er im Terminal über die Befehle
iptables -t nat -A PREROUTING -p tcp --dport 81 -j DNAT --to-destination 10.0.0.1:81 #das ist die VPN-IP

iptables -t nat -A POSTROUTING -j MASQUERADE

Nun habe ich auf der Fritzbox keinen ssh Zugriff und kann entsprechend auch so einen Befehl nicht geben.
Und ich finde in der Fritzbox keine EInstellungen, wie ich an eine externe IP weiterleiten kann.

Hat jemand eine Idee für mich?
Herzlichen Dank
Dominik

 

[qiller]

Warum überhaupt so kompliziert. Wenn du eh dauerhaft per VPN mit deinem VPS-Server verbunden bist, nehm doch einfach <VPN-IP des VPS>:81 als Verbindungsziel. Das einzige was du evt. noch machen musst, ist den nginx-Reverse-Proxy auch auf die VPN-IP deines VPS zu binden.

Aber so ganz check ich nicht, was das fürn Sinn hat. Oder hast du nen Webdienst bei dir zu hause laufen und willst den auf dem VPS per Reverse Proxy beschleunigen?

 

[DFFVB]

Ich hab den Sinn und Zwekc auch noch nicht ganz verstanden. Du könntest aber alternativ auch Site-to-Site VPN einrichten, und aus der Fritzbox dann ggf auf den Server routen?

 

[qiller]

Man sollte ruhig mal aufs YT-Video klicken^^.

Ähm ja, also es geht um nen Webdienst (z.B. nextcloud), den man auch hinter einem DS-Light-Anschluss (keine öffentliche IPv4) erreichbar machen will.

Worum es aber bei der IPTables-Regel geht: Hier will man auf einen sogenannten nginx-Manager vom lokalen Netzwerk aus durch den VPN-Tunnel zugreifen können, welcher auch nur ein Webdienst auf TCP-Port 81 ist (diesmal aber auf dem VPS-Server als Docker-Container). D.h. es geht gar nicht um den Reverse-Proxy selber, sondern um ne Adminoberfläche dafür, die man nicht aus Versehen übers Internet aufrufen will, sondern übers VPN. Im Video sieht man aber, dass der Container auf alle Netzwerkschnittstellen des VPS gebindet ist (0.0.0.0:80->81) - also auch im normalen Internet. Glaub das ist ohne Firewall keine so gute Idee (Edit: Firewall konfiguriert er später in der Hetzner-Oberfläche).

Ich denke, der Apfelcast-Mensch hat die iptables-Regeln nur gemacht, weil bei ihm der VPN-Client nicht auch gleichzeitig das Standardgateway in seinem lokalen Netzwerk ist.

@TE: Da bei dir der VPN-Client auch gleichzeitig dein Standardgateway ist (nämlich deine FritzBox), kannst du dir diese Regel sparen und wie von mir vorgeschlagen direkt auf die VPN-IP des VPS zugreifen, also 10.0.0.1:81. Deine Fritzbox kennt die Route zum VPN-Netz ja.

Ergänzung (7. Februar 2024)

Achso und nochwas: So ein VPS-Server kostet ja auch paar Mark im Monat. Hast du mal bei deinem Provider angefragt, was eine feste, öffentliche IPv4-Adresse zusätzlich kosten soll? Wenn das für 2-3€/Monat extra möglich ist, sollte man vlt nochmal darüber nachdenken, wenn es jetzt wirklich nur ums reine Umgehen der DS-Light-Nachteile geht.