Hallo zusammen,
vorab zur Info ich habe mein Setup (OpenWrt-Router hinter Fritzbox) so gewählt wie von Mike´s Anleitung.
Wie mache ich am besten die Wireguard VPN Verbindung damit ich meine Nextcloud im OpenWrt Router erreiche?
Ich hoffe hier kann mir jemand einen Rat/Anleitung dazu geben?
Sollte der NC-Server nach Mikes Anleitung nicht im privaten Netz der Fritzbox liegen? In dem Fall kannst du entweder in der Fritzbox port forwarding für den Wireguard-Port machen und auf dem Server direkt einen Wireguard-Server hosten oder die Fritzbox als Wireguard-Server verwenden.
Am Besten du machst mal eine Skizze, wie der Netzwerkaufbau bis zur Nextcloud ist.
Also direkt eingezeichnet ist das nicht bei Mikes Anleitung.
Ich würde gerne die Fitzbox als Wireguard Server verwenden.
Die Nextcloud ist im LAN Bereich des OpenWRT Routers sonst ist alles ident.
Gibt es dafür gute Gründe, oder einfach so gewählt?
Auf was willst du alles Zugriff via Wireguard? Nur auf den NC-Server?
Gewählt hab ich es wegen der Einfachheit. Wäre anders besser?
Ich will nur auf die NC kommen!
Am Sichersten wäre direkt den Wireguard-Server auf dem NC-Server zu betreiben, insbesondere solltest du kein TLS intern verwenden.
D.h. Port-Weiterleitung Fritzbox, Port-Weiterleitung OpenWRT und auf dem NC-Server via wg-quick systemd-Service einen Wireguard-Server betreiben. Gibt zahlreiche Anleitungen zu Letzterem.
Auf dem Server würde ich mit firewalld zwei FIrewall-Zonen einreichten. In die Zone mit dem physischen Interface musst du den Wireguard-Port öffnen, in eine andere Zone fügst du das Wireguard-Interface hinzu und öffnest dort die Ports die du durch den Wireguard-Tunnel erreichen willst oder die Services via Service-Namen, z.B. ssh.
Da deine IP vermutlich nicht statisch ist, ist zudem ein DynDNS-Service notwendig. Den Client dafür kannst du auf einem beliebigen Gerät im Heimnetz betreiben, solange der nicht durch ein VPN o.ä. geroutet wird. Eine Domain hast du?
Alternativ kannst du auch den Wireguard-Server auf der Fritzbox oder OpenWRT verwenden. Sonderlich einfacher wird es dadurch nicht, du musst dann halt an anderer Stelle die Port-Weiterleitung machen. Zudem sollten dann alle Services des NC-Services mit TLS verschlüsselt sein, damit der Weg von Wireguard-Server zu NC-Server sicher ist.
Sollte das alles zu kompliziert sein und die NC sowieso nur via VPN erreichbar sein, empfiehlt es sich auf Services wie Tailscale, Zerotier usw. umzusteigen. Mit Tailscale ist das Ganze ziemlich leicht und man kann auch auf Domains, DynDNS, Firewall- und Router-Konfiguration usw. verzichten.
Die Domain würde ich von der Fritzbox nehmen.
Wäre es nicht besser den Wireguard Server auf der OpenWRT Box zu betreiben als direkt auf der Fritzbox?
Das würde für mich bedeuten(Wireguard Server auf der OpenWRT Box): Portweiterleitung auf der Fritzbox mit Port 51820 einrichten (auf der OpenWRT Box auch?) und alle weiteren Einstellungen auf der OpenWRT Box vornehmen.
Gibt es dazu auch eine Anleitung an die Ich mich halten kann?
Kann man auch machen. Ich mache das auch so. Bei mir läuft aber alles sowieso über TLS, bei Services die das unterstützen auch mTLS, also ist der Weg von OpenWRT zu Router auch gesichert.
Bei einem Wireguard-Server auf OpenWRT musst du eine „accept input“-Regel in OpenWRT machen, statt einer Portweiterleitung.
Hast du mal selbst danach gesucht? Gibt genügend Anleitungen.
Bei mir geht das einfach so:
Der WG-Client verbindet sich bis zum Router (KabelBW-Modem, DynDNS; z.b. myfancyname.dyndns.bla:51820), der das per Portweiterleitung an meinen Router weiterleitet, der wiederum an meinen Linux-Server weiterleitet, wo der WG-Server läuft. Dort läuft auch alles weitere, so dass ich damit schon am Ziel bin 