WireGuard S2S, Zugriff auf die "Tunnelhosts" übers Internet

[uan]

Dank Eurer Hilfe konnte ich im Thema

viewtopic.php?t=189845 (WireGuard -> wg0 existiert bereits)

die gewünschte S2S mit Wireguard aufbauen. Nach einigen Widrigkeiten steht der Tunnel jetzt stabil.

Mir wurde geraten, was ich auch gerne als nächstes in Angriff nehmen möchte, zu den beiden Maschinen die den Tunnel hosten, jeweils einen weiteren, vom Tunnel selbst unabhängigen Zugang von aussen über das Internet zu ermöglichen. Das ich vom jedem Netz aus auf das andere komme, sollte der Tunnel mal nicht funktionieren oder ich auch Zugriff habe, sollte ich mal auf Reise sein.

Das gebrannte Kind scheuts Feuer und so wollte ich mich nicht wieder von nem YT-Video ins Boxhorn jagen lassen, sonder dachte mir, ich frag gleich die Herren, die sich auskennen - Euch!

Für mich völliges Neuland. Was habe ich: beide Netze haben Fritzboxen als Router. Es sind recht kleine Netze 2 Rechner (windows) Netzwerkdrucker und -scanner, NAS, sowie einige mobile Devices.
Wenn ich von aussen komme, brauche ich vermutlich ne Domain, die hab ich, hab Subdomains eingerichtet, für jede der beiden Tunnelmaschinen eine, alles ist gehostet anpingbar und gemäß Hoster auch mit Zertifikaten ausgestattet.
Allerdings kann ich die Subdomains nicht direkt im Browser aufrufen - also mit

Code: Alles auswählen

https://meinesubdomain.meinedomain.de

da kommt ne 404 Meldung,

Code: Alles auswählen

https://meinedomain.de

funktioniert einwandfrei, da komme ich quasi auf ne Seite die sagt, das dort tolle Dinge entstehen... Sei es drum.


Wenn ich also jetzt meine Subdomain aufrufe, muss ich die ja vor diesem Aufruf in mein Netzwerk umleiten. Richtig? Da ich bei meiner Fritzbox keine feste IP hab, müsste ich die vermutlich an meine duckdns Adresse weiterleiten also sowas wie

Code: Alles auswählen

meinesubdomainbei.duckdns.org

Diese Umleitung kann ich beim Hoster hinterlegen, das sollte ohne weiteres funktionieren.

Dann würde über die duckdns die Anfrage - ich vermute mal, wie das alle DNS Anfragen tun, zunächst auf meinem AdGuard Home landen, oder? Das kann ich mir noch vorstellen.

Nur: wie bekomme ich das von da auf meine Debiantunnelmaschine und wie kann ich dann drauf zugreifen. Wie bekäme ich das Richtung SSH oder wegen meiner auch als Debian WebGui? Das verstehe ich noch überhaupt nicht. Und dann noch, wie bekomme ich das gegen unbefugte Zugriffe abgesichert?

Kann mir da jemand Licht ins Dunkel bringen? - Bitte!

[mat6937]

..., hab Subdomains eingerichtet, ...

Nur: wie bekomme ich das von da auf meine Debiantunnelmaschine und wie kann ich dann drauf zugreifen. Wie bekäme ich das Richtung SSH oder wegen meiner auch als Debian WebGui?

Du brauchst keine Subdomains und auch keine Debian WebGui.
Was für einen Internetanschluss hast Du mit deiner FritzBox (als border device)? DS oder DS-lite oder natives IPv4 oder CG-Nat?

[uan]

Beide haben IPv4 Adressen, die eine war wohl CG-NAT mit ner IPv6 Adresse, ist dann aber auf meinen Wunsch auf ne IPv4 umgestellt worden, weils da nur Streß gab. Daheim ist NetCologne, im Laden Telecom Regio, die über NetCologne Hardware kommt.

Bei MyFritz haben beide auf jeden Fall IPv4 Addys

[mat6937]

Beide haben IPv4 Adressen, ...

Dann brauchst Du nur eine Portweiterleitung in der FritzBox (border device) auf die IPv4-Adresse vom sshd-Server und den lauschenden Port des sshd.

EDIT:

BTW: Mit der Option ProxyCommand kannst Du einen bestimmten source-Port für die ssh-Verbindung benutzen. Z. B.:

Code: Alles auswählen

ssh -o 'ProxyCommand nc -p <source-Port> %h %p' <user>@<hostname-oder-IP>

[uan]

Portweiterleitung in der Fritzbox kriege ich hin.

Ich weiss noch, dass ich auf beiden Tunnelmaschinen bewußt bei der Installation SSH mit angegeben habe. Das brauche ich - habe ich gedacht - um mich über die Windows Powershell oder Putty mit

Code: Alles auswählen

ssh user@1.2.3.4

auf den Tunnelmaschinen anmelden zu können. Das funktioniert soweit und ich kann auf der Konsole arbeiten. Also darf ich doch bestimmt davon ausgehen, dass auf beiden Maschinen etwas SSH-Server-mäßiges rennt.

Ab dann klinkt sich mein Verstehzentrum was ssh angeht aus.

Ich kenne die IPv4 Adresse des sshd servers nicht, hab mir aber mal die configfiles im Ordner

Code: Alles auswählen

/etc/ssh/ssh_config
und 
/etc/ssh/sshd_config

angeschaut.
Identifizieren konnte ich den Listening Port, der ziemlich Standard aussah...


EDIT:
Was bedeutet (border device)? Muss ich da in der FB auch noch was machen? Kann meine 7590 das?
Sorry für meine dummen Fragen.

[mat6937]

... um mich über die Windows Powershell oder Putty mit

Code: Alles auswählen

ssh user@1.2.3.4

auf den Tunnelmaschinen anmelden zu können. Das funktioniert soweit und ich kann auf der Konsole arbeiten.

Dann ist dein problem jetzt schon gelöst. Was willst Du noch zusätzlich haben? Du kommst doch jetzt per ssh auf die Endpoints, auch wenn der WG-Tunnel mal nicht funktioniert, oder?

EDIT:

Ja, deine FB7590 kann das. Schau mal in der Wissensdatenbank von AVM nach.

[uan]

Im eigenen Netz ist das kein Problem. Den im jeweils anderen Netz erwische ich auch über den Tunnel. Aber ohne Tunnel nicht...
Du erinnerst Dich, ich wollte aus dem Internet, also als jeweils zweiten Zugang auf die Maschinen zugreifen können, unabhängig vom Tunnel (damit ich nicht immer in den Laden fahren muss...).

[mat6937]

Im eigenen Netz ist das kein Problem. Den im jeweils anderen Netz erwische ich auch über den Tunnel. Aber ohne Tunnel nicht...

Ja, und deshalb konfigurierst Du ssh via Internet.

[uan]

Danke Danke Danke - läuft.

Portfreigabe für SSH in der FB für den WG-Server.

Funzt.
Geil - Danke!

Manchmal ists wie vernagelt - die Sache mit dem Großhirn

EDIT:
Dann wirft sich sofort die Frage auf, was, wenn ich auf mehrere Maschinen per SSH zugreifen will?

[mat6937]

Dann wirft sich sofort die Frage auf, was, wenn ich auf mehrere Maschinen per SSH zugreifen will?

Den sshd auf diesen Maschinen installieren/konfigurieren und zugreifen.