Feste-IP zuhause via VPN?

cij

New Member
#1
Hallo zusammen,

ich habe zuhause einen Hyper-V Server mit ca. 15 VMs unter anderem einen Webserver. Mein Problem ist, dass ich zuhause leider keine FesteIP habe. Meine Frage, kann man über meinen Windows Server im Rechenzentrum durch einen VPN-Tunnel zuhause eine feste IP Adresse bekommen und den Webserver Traffic oder noch weitere Dienste welches im Rechenzentrum ankommt an die VMs im heimischen Netz weiterleiten? Wenn ja könnte mir das jemand genauer erklären wie das funktionieren könnte?
Mein Setup:

  1. Fritzbox 7490 über Glasfaser ins Internet 1GB Down 500Mbit Upload
  2. Hyper-V Server direkt per Lan an Fritzbox 7490 angeschlossen und bezieht von dort seine IPs für die VMs

Fritzbox 7390 liegt hier noch rum ggf. kann ich diese verwenden um einen Tunnel in RZ aufzubauen.

Vielen Dank vorab!
 
#2
das machst du am sinnvollsten über dynamisches DNS. Gibt da "kostenlose Dienste", dann hast du zwar keine feste IP, aber eine feste Adresse. Deine Fritz-Box sendet dann immer die aktuelle IP an den DynDNS anbieter.
 

cij

New Member
#3
Hi,

danke, aber eine dyndns will ich vermeiden, dass ist nicht halbes uns nichts ganzes und vorallem für einen Web / Mailserver nicht unbedingt am besten geeignet.
 

cij

New Member
#5
Bei derartig leistungsfähigen Anschlüssen gibt es doch meist für ein kleines Geld eine statische IP als Option
Leider nein, dass bieten Sie nicht an. Ich hatte zwar 1 Jahr die gleiche IP, aber das ist wie Glücksspiel und gestern war es dann so weit. IP geändert und die Domains waren nicht mehr erreichbar. Daher wäre eine Lösung via VPN Tunnel auf den Root Server fein. Dort stehen mir einige IP-Adressen zur Verfügung wo ich eine bzw. auch ein Subnetz Problemlos umleiten könnte. Ich werde heute mal versuchen mit der zweiten FritzBox eine dauerhafte VPN zum Server aufzubauen. Dann habe ich ja die IP-Adresse vom Server. Ich weiß nur noch nicht wie ich den Traffic vom Server im RZ an den Server zuhause umleite.
 

DeaD_EyE

Blog Benutzer
#6
Kostenpflichtige Lösung: ganz kleinen VServer mieten, OpenVPN einrichten, Server von Zuhause verbindet sich selbstständig zum Server mit der festen IP.

Wenn du dann unterwegs bist, baust du eine OpenVPN Verbindung zum VServer auf. Wenn alles richtig konfiguriert ist, befindest du dich dann in deinem privaten Netzwerk und es ist auch noch verschlüsselt.
 

Thunderbyte

Moderator
Staff member
#7
Webserver haben mit CNAMES, die auf DynIP Einträge verweisen keine Probleme. Eine Umleitung über den VPN Tunnel wird die Latenz und sonstige Performance jedoch negativ beeinflussen.

Bei Mailservern sieht die Sache anders aus, hier ist eher der fehlende / nicht editierbare RDNS Eintrag (IP -> DNS Eintrag, der für MX Records der Maildomains verwendet wird) ein Problem.

Eigentlich brauchst Du für die Lösung dieses Problems aber kein VPN, die Nutzung eines "Smarthosts" ( https://de.wikipedia.org/wiki/SMTP-Relay-Server ) ist ausreichend. Das kann eine klitzekleine VM für 3€ im Monat sein. Hier hast Du: eine feste IP, ein RDNS Eintrag den Du (normalerweise) editieren kannst, eine IP aus einem nicht-Dial-Up Bereich.

Letzteres ist noch ein Punkt: wenn Du als SMTP Server eine IP aus einem ISP Bereich hast, wird das von Spam Filtern negativ bewertet, da diese davon ausgehen, dass Mails, die aus diesen Bereichen kommen, häufig mit Malware befallene Spam-Zombies sind.

Logischerweise ist Sorge dafür zu tragen, dass der Smarthost kein offenes Relay ist.
 
#8
Du könntest auch (fürs Web) auf einen Rootserver einen ReverseProxy laufen lassen. So habe ich das bei einem DSLite Anschluss realisiert. VPN zum Root und auf dem Root läuft ein Apache/Nginx als ReverseProxy. SSL Terminierung incl.Da deine Leitung gut ist, sollte sich das auch nicht großartig auf die Latenz auswirken. Bei Fragen bgzl. eines kleinen Roots kannst du mich gern anschreiben.
Auf diesen kannst ud dann auch den MX laufen lassen (mit Spamfilter usw.).
Du kannst den Rootserver dann auch als VPN Einstieg in dein Netz nutzen.
 
#9
naja bzgl. mail habe ich mir keine gedanken gemacht, aber ich nutze tatsächlich dyndns. und zwar hoste ich mir das dyndns selbst auf einem server im rechenzentrum, der dient als master dns und leitet die domain (welche auf mich zu hause läuft) dann zeitnah um auf die neue ip. das sollte eigentlich dann auch mit mail funktionieren.... in jedem Fall funktioniert das für Web-Anwendungen ich kann z.b. daheim ohne Probleme eine Website hosten, nutze die "feste Adresse" aber eher um jederzeit auf meinen Server draufzukommen per VPN und per RDS
 

cij

New Member
#10
Hallo zusammen,

vielen Dank für die zahlreichen Antworten.
Wenn du dann unterwegs bist, baust du eine OpenVPN Verbindung zum VServer auf. Wenn alles richtig konfiguriert ist, befindest du dich dann in deinem privaten Netzwerk und es ist auch noch verschlüsselt.
@DeaD_EyE, ich will ja nicht Privat auf Dienste zurückgreifen. Es sollen ja public Dienste wie z.B. mehrere Websites verfügbar sein. Und daher suche ich nach einer Möglichkeit mir selbst eine Feste IP zuzuweisen über einen vServer / Root.

Webserver haben mit CNAMES, die auf DynIP Einträge verweisen keine Probleme. Eine Umleitung über den VPN Tunnel wird die Latenz und sonstige Performance jedoch negativ beeinflussen.
@DeaD_EyE, ich habe eine eigene DynDNS Adresse über eine Subdomain laufen. Welches auch sauber aufgelöst wird über die FritzBox. Jedoch funktionieren meines wissens nach die CNAME Records nur auf Subdomains oder täusche ich mich damit?

Du könntest auch (fürs Web) auf einen Rootserver einen ReverseProxy laufen lassen. So habe ich das bei einem DSLite Anschluss realisiert. VPN zum Root und auf dem Root läuft ein Apache/Nginx als ReverseProxy. SSL Terminierung incl.Da deine Leitung gut ist, sollte sich das auch nicht großartig auf die Latenz auswirken.
@DrLecter, so ungefähr hatte ich mir das ausgemalt. Das bedeutet ich müsste jeden Port dann einzeln umbiegen und anders herum kann ich mit dem ReverseProxy nur Web relevante oder auch Mail, Services relevante Angelegenheiten an den Home Server schicken?

Also Allgemein noch mal zusammengefasst. Eine Lösung, dass man den gesamten ankommen Traffic am vServer im Rechenzentrum an das Netzwerk zuhause Tunnel bzw. weiterleiten kann ist so dann nicht möglich? Kann man das so sagen? Ich bin ja eigentlich auf die Idee gekommen wegen folgenden beiträgen die ich im Interne gefunden habe:

1) https://fitmylink.de/mQnx
2) https://fitmylink.de/517Q1ijZ

Also wenn ich nach dem gehe, dann sollte es ja technisch nicht anders laufen. Einen Root bzw. vServer bereits beides vorhanden und auch Zugriff auf mehrere IP Adressen. Jedoch ist mir das Setup noch nicht ganz schlüssig. Jedoch sind halt die Bandbreiten aus Link 2 nicht so der Hit (10-20 mbit im upload). Im Rechenzentrum habe ich auch jeweils eine 1GBs Anbindung an beiden Servern. Wenn am Ende nur 100 - 200 Mbit am Homeserver ankommen ist das auch o.k. Nur Müsste ich für einen vergleichbaren Server im RZ 300 - 500€ im Monat berzahlen

Vielen Dank nochmals
 

danton

Debian User
#11
Jedoch funktionieren meines wissens nach die CNAME Records nur auf Subdomains oder täusche ich mich damit?
Nein, auch etwas in der Art:
Code:
domain.de CNAME hostname.dyndns.org
würde funktionieren.
Wenn du allerdings auch deinen Mailserver daheim stehen hast, muss der MX weiterhin auf deinen Dyndns FQDN zeigen, da MX immer auf einen A-Record zeigen muss.
Und für den Mail-Versand benötigst du einen Smarthost, das kann z.B. dein Root-Server im Internet sein - da einige Mailserver Mails von den sog. Dialup-IPs nicht annehmen.
Bezüglich Dyndns könntest du auch einen Dyndns-Anbieter verwenden, der auch eigene Domains zulässt oder einen Domain-Anbieter, der auch einen Dyndns-Dienst anbietet.

Also Allgemein noch mal zusammengefasst. Eine Lösung, dass man den gesamten ankommen Traffic am vServer im Rechenzentrum an das Netzwerk zuhause Tunnel bzw. weiterleiten kann ist so dann nicht möglich?
Gehen wird das ganze schon, die Lösung mit vorgeschaltetem Reverse-Proxy dürfte aber performanter sein. So kann dein Server im Internet schon mal ein wenig filtern und der unnötige Netztraffic geht gar nicht erst auf die VPN-Verbindung. Außerdem umgehst du damit auch Probleme mit MTU und Paket-Fragmentierung, die beim reinen Durchleiten von IP-Paketeen aufs VPN schon mal ein Perfomance-Problem darstellen können (Geschwindigkeit und Latenz) - da kann schon eine aufwendige Optimierung notwendig sein.

Nur Müsste ich für einen vergleichbaren Server im RZ 300 - 500€ im Monat berzahlen
Was hast du da für Hardware zuhause stehen, dass du auf diese Preise kommst?
 

marce

Active Member
#12
Was hast du da für Hardware zuhause stehen, dass du auf diese Preise kommst?
Interessanter als das, was er zu Hause stehen hat wäre vermutlich eher die Frage, welche Ressourcen er denn wirklich benötigt - Webhosting mit Mail und ein paar Domains in der Größenordnung dürfte eher im Bereich 10€ / Monat liegen - wenn überhaupt.
Damit wären die kritischen Dienste eigentlich schon safe und erledigt und für den Rest kann man sich ja immer noch problemlos auch was mit VPN oder DynDNS bauen.

Für irgendwelche weniger kritischen Services kann man ja den Server zu Hause weiter nutzen und entsprechend anbinden - wobei mit Strom und Hardware und so die Kosten-Nutzen-Rechnung meist gegen eigene Hardware im Keller spricht - die meisten AGB von Internetanbietern sowieso.
 

cij

New Member
#13
@marce

Danke, ich verstehe die Ansätze. Es hat einen triftigen Grund warum der Server zuhause läuft. Das mit den Stromkosten etc. ist mir bewusst die zahle ich bereits seid 1 1/2 Jahren für den Server. Die kritischen Sachen laufen auch auf Servern im RZ, nur wenn ich schon die Ressourcen hier stehen habe, dann brauche ich nicht für zusätzliches Geld Kapazitäten anmieten weil gezahlt werden wird der hier so oder so. Und das ganze ist trotzdem Stromsparend aufgebaut.

Gehen wird das ganze schon, die Lösung mit vorgeschaltetem Reverse-Proxy dürfte aber performanter sein. So kann dein Server im Internet schon mal ein wenig filtern und der unnötige Netztraffic geht gar nicht erst auf die VPN-Verbindung. Außerdem umgehst du damit auch Probleme mit MTU und Paket-Fragmentierung, die beim reinen Durchleiten von IP-Paketeen aufs VPN schon mal ein Perfomance-Problem darstellen können (Geschwindigkeit und Latenz) - da kann schon eine aufwendige Optimierung notwendig sein.
Gibt es für den Part ggf. eine Anleitung an die man sich mal anschauen könnte. Hab da in der Vergangenheit schon paar mal rum gespielt aber nicht in der Größenordnung.

Was hast du da für Hardware zuhause stehen, dass du auf diese Preise kommst?
Aktuell läuft hier folgende Hardware:
- Intel Xeon 2630L V4 10 Core 20 Threads
- Asrock X99 Taichi
- 128 GB DDR4 2400
- 4x 10TB HGST Ultrastar
- 2x 1 TB Samsung 860 EVO
- 2x 500 GB Samsung 860 EVO
- Geforce GTX1060 für RemoteFX
- Abgesichert mit APC Black-UPS Pro

Interessanter als das, was er zu Hause stehen hat wäre vermutlich eher die Frage, welche Ressourcen er denn wirklich benötigt
Der Server ist aktuell zu 80% ausgelastet, da wir an einem Projekt arbeiten (Künstliche Intelligenz) und diverse Schnittellen die dann wiederum mit einer Cloud-Oberfläche verbunden sind die über HTTPS erreichbar sein sollte. Datenbankserver etc.

Also wie bereits erwähnt ging das ganze spiel 1 Jahr gut, die IP ändert sich in der Regel auch gar nicht bis sehr selten das zweite mal in 3 Jahren. Aber wenn ich dann mal im Urlaub bin etc. dann kann keine mehr rauf. Das ist dann auch nicht so schön. Daher der Gedanke
 
Last edited by a moderator:
#14
Hallo zusammen,
....
@DrLecter, so ungefähr hatte ich mir das ausgemalt. Das bedeutet ich müsste jeden Port dann einzeln umbiegen und anders herum kann ich mit dem ReverseProxy nur Web relevante oder auch Mail, Services relevante Angelegenheiten an den Home Server schicken?
....
Ja. Wenn ich das richtig verstanden habe, geht es dir doch hier in erster Linie um den Webservice oder? Da funktioniert das sehr gut. Du kannst dann auch ggf. für alle VHosts dir Configs bauen.
Für Mail kannst du das auch mit dem Server lösen, allerdings ist der Lösungsansatz da anders. Hier könnte man den Mailserver als MX nehmen und die Mails dann weiter nach "innen" leiten. Die Konstellation kenne ich gerade im Betrieb eines Exchange Servers.
 

danton

Debian User
#15
Gibt es für den Part ggf. eine Anleitung an die man sich mal anschauen könnte. Hab da in der Vergangenheit schon paar mal rum gespielt aber nicht in der Größenordnung.
Anleitungen gibt es im Netz jede Menge. Es kommt halt drauf auf, welches Betriebssystem du einsetzt, welche VPN-Software usw.

Der Server ist aktuell zu 80% ausgelastet, da wir an einem Projekt arbeiten (Künstliche Intelligenz) und diverse Schnittellen die dann wiederum mit einer Cloud-Oberfläche verbunden sind die über HTTPS erreichbar sein sollte. Datenbankserver etc.

Also wie bereits erwähnt ging das ganze spiel 1 Jahr gut, die IP ändert sich in der Regel auch gar nicht bis sehr selten das zweite mal in 3 Jahren. Aber wenn ich dann mal im Urlaub bin etc. dann kann keine mehr rauf. Das ist dann auch nicht so schön. Daher der Gedanke
Die Frage ist, ob du neben HTTPS auch noch Zugriffe über andere Protokollen zuläßt. Wenn es nur um HTTPS geht, ist in der Tag der Zugriff über einen Reverse-Proxy auf dem Root-Server eine gangbare Lösung (z.B. mit NGINX). Da kann der Root-Server dann auch noch ein bischen Application-Firewall spielen und dein System zuhause zusätzlich schützen.
Ansonsten wird hier auch DynDNS seinen Zweck erfüllen und bei einem IP-Wechsel die neue relativ schnell (im Zeitraum von wenigen Minuten) bekanntgeben. Wenn dann unbedingt "schöne FQDNs" sein müssen, reicht das Setzen von CNAME-Records aus.
Das Verwenden einer IP deines Root-Servers mit VPN-Verbindung und Portweiterleitungen ist ja auch ein relativ komplexes System und da würde ich die DynDNS/CNAME-Methode als zuverlässiger ansehen.
 

cij

New Member
#16
O.K. vielen Dank an alle für die Hilfe und Gedanken Anstoße. Die CNAME Config mit meiner DynDNS würde ja erstmal reichen, nur funktioniert CNAME nicht mehr auf Hauptdomains sondern nur noch auf Sub-Domain Ebene. Daher kann ich die Variante leider nicht verwenden. Dann werde ich mich mal mit der Proxy spielen.
 

danton

Debian User
#17
Anderer Alternative: DynDNS direkt mit der verwendeten Domain, z.B. durch Betreiben eines eigenen Nameservers, auf dem die Zone der betroffenen Domain liegt.
Ich mache es noch etwas anders: Mein Domain-Anbieter bietet eine API, die ich von meinem Root-Server aus ansprechen kann. Auf meinem Root-Server liegt ein kleines PHP-Script, welches von der Fritzbox die IP erhält (per Custom DynDNS Dienst in der Fritzbox) und dann an mehreren Stellen die IP aktualisiert (u.a. per API bei meinem Anbieter für mehrere A-Records, mir per Mail schicken usw.). Einziger Nachteil: Es dauert bis zu fünf Minuten, da ich keine kürzere TTL beim Anbieter eintragen kann - aber das reicht für meine Zwecke.
 

Thunderbyte

Moderator
Staff member
#18
O.K. vielen Dank an alle für die Hilfe und Gedanken Anstoße. Die CNAME Config mit meiner DynDNS würde ja erstmal reichen, nur funktioniert CNAME nicht mehr auf Hauptdomains sondern nur noch auf Sub-Domain Ebene. Daher kann ich die Variante leider nicht verwenden.
Wieso ist das so? Was ist das Problem mit Subdomains? Schon www.domain.tld ist eine Subdomain, die Du ohne weiteres mit home.dyndnsservice.tld CNAMEn kannst. Nur wenn Du unbedingt domain.tld verwenden MUSST, gehts wirklich nicht anders.
 
#20
Hey Leute, ich habe zuhause eine Synology NAS stehen und würde gerne den Mailplus server nutzen wollen. Leider habe ich auch eine Dynamische IP, aber ich habe auch einen Rootserver. Meine Idee wäre es einen Smarthost auf dem Rootserver in einem Docker Container zum laufen zu bekommen, der die Emails empfängt und über Zerotier zur Synology schickt bzw. welche von der Synology so weiterleitet. Hat jemand von euch schon mal was vergleichbares gemacht?
 
Top