Private IP adresse öffentlich machen

HomeUser557

New member
Guten tag, ich habe leider keine Ahnung in welchem Bereich ich das sonnst reinschreiben würde da ich eine Fritzbox besitze

Ich habe mir einen Server zugelegt der nur eine Private IP adresse besitzt, nun will ich aber das man von außen darauf zugreifen kann, bzw über eine öffentliche ip sich mit ssh verbinden kann.
Muss ich bei der Fritzbox die ip selbst vergeben? oder openVPN einrichten um meinem Server eine öffentliche zu vergeben?
Ich bin noch recht neu bei dieser Sache und würde mich über eine Antwort freuen
 

blurrrr

Well-known member
Mahlzeit!

Dann kläre doch erstmal, was Du bei Dir einsetzt und was Dein Router so hat. Stichwort: "IP-Adressen" und zwar "IPv4" und/oder "IPv6".

Hast Du intern nur IPv4 und hat Deine Fritzbox auch IPv4 (oder DualStack (IPv4 UND IPv6)), kannst Du beim Router eine Portweiterleitung auf die interne IP des Servers einrichten. Somit wird alles an den internen Server weitergeleitet, was z.B. bei der öffentlichen IP des Routers auf Port 443 (HTTPS) ankommt.

Bei IPv6 erhält der Server eine eigene "öffentliche" IP-Adresse, somit entfällt der Schritt mit der "Weiterleitung". Dennoch muss man eine "Freigabe" einrichten (damit der Router diese Pakete zum Ziel lässt).

Da Du offensichtlich - wie Du schon selbst sagst - nicht sonderlich bewandert bist in dieser Thematik, würde ich "dringend"(!) dazu raten, diese Portfreigaben und all das erstmal sein zu lassen, sondern den Zugriff via VPN zu gestalten.

OpenVPN ist jetzt dummerweise genau das "falsche" Stichwort (eigentlich nicht, aber die Erklärung kommt jetzt).... Du hast ja eine Fritzbox... diese kann a) IPSec-VPN und b) Wireguard-VPN (OpenVPN eben nicht ;) ). Ich würde vorschlagen, dass Du es erstmal damit versuchst. Im Fritzbox-Interface hast Du da entsprechende Möglichkeiten Dir sowas einzurichten:

1673355812606.png

Für Dich wäre es dann "Fernzugang für einen Benutzer einrichten":

1673355938540.png

Ich würde mal sagen, dass Du einfach mal diese Anleitung durchschaust:

https://www.heimnetz.de/anleitungen...pn-server-fuer-die-client-einwahl-einrichten/

Das wäre der Teil auf der Fritzbox - Anleitungen für Endgeräte sind am Ende auch aufgeführt :)
 

HomeUser557

New member
Also würde die VPN von Fritzbox meinem Server eine eigene IP Adresse zuweisen um von dort aus im Internet erreichbar ist?
 

blurrrr

Well-known member
Nein, die grundsätzliche Frage wäre ja erstmal:

Willst "Du" von extern auf Deinen Server kommen, oder sollen "andere" ("alle" unbekannter Art) auf Deinen Server zugreifen können? Anders formuliert: WAS willst Du an "Dienst" im Internet bereitstellen, worauf andere (unbekannte) zugreifen können sollen?

Geht es Dir nur darum, dass "Du" (oder eine handvoll Leute) auf den Server zugreifen können, wäre VPN definitiv der sicherste Weg. Willst Du aber z.B. eine öffentlich eine Website bereitstellen, sieht das Vorgehen schon ganz anders aus. Allerdings ist sowas auch nur bedingt zu empfehlen...

Du sprachst von...
Ich habe mir einen Server zugelegt
... da frage ich direkt mal gegen: Was für eine Modell-Bezeichnung hat das Gerät denn (und von welchem Hersteller ist es)? Auch hier gibt es massive Unterschiede (abhängig von Deinen Antworten). HP, Lenovo, Dell, usw.... wäre eine ganz andere Nummer als z.B. "QNAP, Synology, Asustor, etc.".

Also blieben da nun folgende Fragen:

- SERVER: Hersteller und Modell?
- WAS willst Du von extern erreichen? (Server ist übrigens die falsche Antwort, gefragt ist die "Applikation" bzw. der "Dienst")
- WER soll von extern darauf zugreifen können (nur Du, eine handvoll ausgewählte Personen, oder die ganze Welt)?
- WIE willst Du darauf zugreifen (Dateifreigabe, Website, was auch immer)?

Zum Verständnis... Machen wir es einfach mal etwas weniger "digital" und dafür etwas anschaulicher.... Dein "Netzwerk" ist ein "Haus". Für dieses Haus gibt es einen "Schlüssel" damit man hinein kann (z.B. VPN). Wer kriegt so einen Schlüssel? Natürlich nur Du und von Dir ausgewählte Personen. Wer kriegt keinen Schlüssel? Na alle anderen... ist ja klar.

So, jetzt kommt das "Kuchen"-Beispiel (weil es so schön anschaulich ist ;))... Nun möchtest Du, dass nur "Du" in Dein Haus kannst (was ja durchaus verständlich wäre). Auf der anderen Seite backst Du aber Kuchen und möchtest diesen gerne mit anderen "externen" teilen. Vermutlich wird es dann darauf hinauslaufen - wenn die Tür nicht offen stehen bleiben soll und nicht jeder einen Schlüssel bekommen soll - dass der Kuchen schlussendlich z.B. bei "geöffnetem Fenster" auf einer Fensterbank im Erdgeschoss platziert wird, wo sich "externe" dann am Kuchen bedienen können.

Gehen wir ferner erstmal davon aus, dass in diesem Szenario die (interne) Küchentür auch abgeschlossen ist. Heisst: Externe können durchaus an den Kuchen, mit etwas Geschick können sie evtl. auch in die Küche klettern, dort die interne Küchentür aufbrechen und wären somit auch im Haus (ohne Schlüssel).

Somit hätten wir jetzt auch mal das "Risiko" dabei angesprochen (wobei auch immer heisser gekocht als gegessen wird und das ganze dazu auch noch stark von Deiner Antwort bzgl. der oben gestellten Fragen abhängt) :)
 
Zuletzt bearbeitet:

blurrrr

Well-known member
Sorry, das mit dem VPN hätte ich besser erklären sollen... Ganz kurz nochmal das "Haus"-Beispiel... Schlüssel... ja, kann man so sagen, aber wesentlich bildcher wäre folgendes: Du bist 3 Strassen weiter und willst in Dein Haus (aber nur Du!). Das VPN ist dann quasi wie ein "Kinder-Krabbeltunnel" bis zu Dir nach Hause. Niemand kann rein, niemand kann reinschauen, nur Du kannst durch diesen Tunnel bis in Dein Haus.

Heisst übersetzt, dass der Server "keine" öffentliche IP hat und auch nicht "braucht", da Du durch das VPN auch direkt Zugriff auf die private IP vom Server bekommst :)
 

HomeUser557

New member
Das ist super erklärt vielen Dank
Ich will das auf diese Applikation jeder zugreifen kann. Ich würde z.B eine Webseite oder ein GameServer erstellen worüber man sich verbinden kann.
Der Server ist selbst gebaut worden. bzw Computer umgebaut. Darauf läuft jetzt Debian 11
 

blurrrr

Well-known member
Okay, dann willst Du eher "nicht", dass der "Server" eine öffentliche IP bekommt. Das wäre jetzt ein typisches Beispiel für den Kuchen.

Also ein gängiges Konstrukt (ohne jetzt alles bis zum Anschlag aufzubohren) wäre folgendes:

1) Server bleibt "intern" mit "interner" IP
2) Für den Fall der Fälle: VPN-Zugang (nur für Dich) via Fritzbox (damit Du auch remote an "alles" dran kommst, z.B. SSH auf dem Server)
3) Je nach "Applikation" (Website, GameServer) gibt es "Ports" (da wir vorhin dabei waren... es sind die "Fenster" (Ports) in "Räume" (Dienste)), diese "Ports" werden vom Router an den Server weitergeleitet. Das ist in einfacher Form für eine Website erstmal so aus:

externer Client --HTTP--> [WAN] Router [LAN] --HTTP--> Server

bzw. konkreter

externer Client --Port80/TCP--> [WAN] Router [LAN] --Port80/TCP--> Server

Bei einem GameServer- bzw. -Dienst hängt es halt vom jeweiligen Spiel ab, welche Ports Du an den internen Server weiterleiten musst.

Dennoch... die Frage, welche nach wie vor im Raum steht ist noch immer jene, ob Du mit der Fritzbox eine öffentliche IPv4-Adresse hast, eine IPv6-Adresse, oder ggf. auch beides? Schau mal in der Fritzbox unter "Übersicht" (Verbindungen Internet) und ggf. unter "Internet/Online Monitor" (DSL/Internet, IPv4/6) was dort steht. Mitunter steht dort irgendwas von "Dualstack", oder "DS-Lite", oder nur IPv4 oder nur IPv6, da müssen wir jetzt leider schon etwas konkreter werden.
 

HomeUser557

New member
Habe ipv4 sowohl ipv6. Also kann ich die Private IP nutzen und muss einfach nur den Port für die jeweilige applikation freigeben (z.B 80 oder 22)?
 

blurrrr

Well-known member
Korrekt, wobei "22" ist wirklich eines der schlechtesten Beispiele ist. Sowas machst Du nicht nach aussen auf (fail2ban hin oder her), richtige Dir den VPN-Zugang für Dich für administrative Zwecke ein und gut ist.

Bei IPv4 ist es wie gesagt, die "Weiterleitung"

öffentliche IP-Fritzbox / Port 80 -> interne IP Server / Port 80
oder
öffentliche IP-Fritzbox / Port 12345 -> interne IP Server / Port 22222

Ansprechpunkt von extern ist dann immer die öffentliche IPv4-Adresse der Fritzbox.

Bei IPv6 heisst es einfach nur "Portfreigabe":

öffentliche IPv6-Adresse Server / Port 80 erlauben

Ansprechpunkt von extern ist hier "direkt" die öffentliche IPv6-Adresse des Servers.

Btw... wenn irgendwann alles "komisch" läuft und/oder Du noch Post von Deinem Provider bekommst, dass irgendwelche Dinge gesperrt wurden, weisst Du, dass die Kiste übernommen wurde ☺️
 

HomeUser557

New member
also ist die fritzbox immer die öffentliche ip adresse, super danke.
Könnt ich aber nicht einfach eine VPN für Fritzbox einrichten wo dann eine andere adresse genommen wird?
 

blurrrr

Well-known member
Nein, dann kriegt die Fritzbox ja auch wieder eine öffentliche IP-Adresse. Was Du machen "könntest", wäre einen VPN-Dienst (welcher Dir eine öffentliche IPv4 bereitstellt) kostenpflichtig zu nutzen, wie z.B. https://www.feste-ip.net/. Bedenke aber dabei, dass so ein "Server" (in seiner Gesamtheit) durchaus schützenswert ist.

Weiss ja nicht, wie Du das so machst, aber ich "vermute" mal, dass Du Deine Haus-/Wohnungstür nicht einfach 24/7 offen stehen lässt ;)

Öffentliche IPv4-Adressen haben eigentlich nur Server, welche auch "wirklich" professionell betrieben werden, davon bist Du erstmal ganz weit weg (vom Knowhow eines solchen Einsatzes mal ganz zu schweigen). Für privat ist das "typische" Szenario eben jenes der normalen Portweiterleitungen/-freigaben.

Server hinstellen, gewünschte Dienste installieren, Ports vom Router an den Server weiterleiten (v4) bzw. freigeben (v6), fertig. Das ist - meiner Meinung nach (und ich mache sowas beruflich) - "Dein" Weg.

Kannst natürlich auch - sofern Dir die Möglichkeit gegeben ist - beim Provider mehrere öffentliche IPv4-Adressen beantragen (heisst meistens aber nur, dass Du mehrere öffentliche IP-Adressen bekommst, welche hinter der Fritzbox verfügbar sind, i.d.R. maximal 5 öffentliche IPv4-Adressen). Dann könntest Du den Server einfach an die Fritzbox anschliessen und dieser hätte eine öffentliche IPv4-Adresse. Dein privates LAN allerdings müsste dann nochmal hinter einer Firewall oder einem anderen Router sitzen, damit die Clients nicht alle ungeschützt aus dem Internet erreichbar sind.
 

HomeUser557

New member
Sorry das ich mich grade so blöd anstelle, Wenn ich den Port freigebe, sagen wir 25565 über die Fritzbox (fritzboxip z.B 125.125.125.49) würde diese ip 125.125.125.49:25565 öffentlich verfügbar sein bzw verbunden?
 

FSC830

Active member
Bist Du sicher, dass Du das wirklich machen willst?
Ist nicht bös gemeint, aber bei soviel Abstand von der Materie fängst Du Dir ruck-zuck was ein und Dein Netzwerk ist gekapert.
Wird dann bestimmt nicht schön, wenn man vom SEK geweckt wird, weil irgendwelche bösen Seiten über Deinen Rechner laufen.

Gruss

Edit: Und ja, der Rechner wäre dann über 125.125.125.49:25565 erreichbar. Selbst starke Passwörter und 2FA schützen im übrigen nicht vor sogenannten Exploits, über die Schadsoftware eindringt.
 

blurrrr

Well-known member
oder muss ich die Privatip vom Computer eingeben und diese ist dann über den port dann aus erreichbar?
Also... nehmen wir einfach mal ein kleines konkretes Beispiel (IPv4)....:

öffentliche IPv4 Fritzbox: 123.123.123.123
interne IPv4 Server: 192.168.178.10
Port der Anwendung: 80/TCP

Portweiterleitung auf der Fritzbox einrichten (für den Server), würde dann z.B. so aussehen:

1673365248286.png

Sollte es ein anderer Port, z.B. von einem Spiel sein, wäre es eben "andere Anwendung":

1673365301132.png

Wenn Du es "ein bisschen" verschleiern möchtest und das Spiel selbst, bei einer Verbindung zu seinem Server auch eine Portangabe im Spiel zulässt, könntest Du z.B. auch folgendes machen:

1673365362883.png

Somit müssten sich die externen Spieler via "<Deine öffentliche IP/DynDNS-Adresse>:33333" verbinden, wobei die Fritzbox das dann an "<interne Server-IP>:22222" weiterleiten würde.

Ich würde aber einfach mal folgendes vorschlagen:

1) Du richtest - für Dich - erstmal einen VPN-Zugang ein. Somit erreichst Du erstmal "alles" in Deinem privaten Netzwerk
2) Du schaust erstmal, welche Applikationen Du freigeben möchtest und welche Ports und Protokolle diese benötigen (Port-Nummer + Protokoll (i.d.R. "TCP" oder beliebt bei Spielen/Echtzeitanwendungen auch "UDP"). Das gehört auch immer zusammen, daher schrieb ich vorhin z.B. auch schon "80/TCP" (HTTP).

Mal langsam und mit Bedacht, dann wird das schon :)
 

HomeUser557

New member
Könnt man dann theoretisch die IP adresse von der Fritzbox verschleiern, sodass man z.B nicht geddost werden kann? Eigentlich wäre das ja eine VPN
 

Barungar

Well-known member
Einen Server auf den andere Zugreifen sollen verschleiern?! Und wie sollen die Anderen dann drauf zugreifen?!
Also nein, das geht so nicht. Wenn Du willst das Andere an den Server kommen z.B. als Gameserver, dann müssen die auch die Chance haben die IP zu ermitteln.
 

blurrrr

Well-known member
Dann stellt sich eher die Frage, warum Du das überhaupt "Zuhause" machst und Dir nicht einfach bei Hetzner, Strato und Co. einen Server angemietet hast ;)

Theoretisch kann man über div. VPN-Dienste sowas bereitstellen, aber die Latenzen beim spielen werden sicherlich ziemlich böse sein. Darf man jetzt aber auch nicht mit den "typischen" Anonymisierungsdiensten verwechseln. Die bieten Dir nur einen "Ausgang", Du brauchst aber etwas, wo das ganze auch öffentlich erreichbar ist. Alternativ irgendwas in Richtung Cloudflare und Co. davor schalten, Deine öffentliche IP samt entsprechender Portfreigaben bleibt dann aber trotzdem erreichbar.
 

HomeUser557

New member
Dann stellt sich eher die Frage, warum Du das überhaupt "Zuhause" machst und Dir nicht einfach bei Hetzner, Strato und Co. einen Server angemietet hast ;)

Theoretisch kann man über div. VPN-Dienste sowas bereitstellen, aber die Latenzen beim spielen werden sicherlich ziemlich böse sein. Darf man jetzt aber auch nicht mit den "typischen" Anonymisierungsdiensten verwechseln. Die bieten Dir nur einen "Ausgang", Du brauchst aber etwas, wo das ganze auch öffentlich erreichbar ist. Alternativ irgendwas in Richtung Cloudflare und Co. davor schalten, Deine öffentliche IP samt entsprechender Portfreigaben bleibt dann aber trotzdem erreichbar.
Das liegt daran das ich mir selbst einen Server zulegen da es für mich günstiger wäre, mir einen Server zu kaufen als zu mieten (auf dauer)
 

blurrrr

Well-known member
Naja, Strom kostet's halt auch :) Kannste aber natürlich machen, wie Du magst. Was die Sorge um einen DDOS-Angriff geht... da würde ich mir eher weniger Sorgen drum machen, dafür müsstest Du auch erstmal ein lohnenswertes Ziel sein (und die Gegenseite braucht entsprechende Kapazitäten). Dein Hauptaugenmerk sollte eher auf der Absicherung der Dienste liegen (SSH-Freigabe mit Passwort-Authentifizierung ohne fail2ban-Dienst wäre z.B. eine sehr schlechte Idee (Port 22/TCP, da Du es vorhin aufgeführt hattest, sowas ist im besten Fall nur via VPN erreichbar)).
 

Zurzeit aktive Besucher

Letzte Anleitungen

Statistik des Forums

Themen
1.725
Beiträge
21.439
Mitglieder
1.234
Neuestes Mitglied
Doneinei
Oben