Gemeinsame IPv4 mit Portfreigaben bei Dual Stack oder Dual WAN
Egal ob IoT, lokale Server, NAS-Geräte und viele andere Anwendungen: Die externe Erreichbarkeit von lokalen Diensten ist für viele unserer Kunden von großer Bedeutung. Einige unserer Kunden stehen jedoch vor komplexeren Herausforderungen, die diese externe Erreichbarkeit erschweren. Besonders betroffen sind Kunden mit Kabelinternet, denen keine eigene IPv4-Adresse zugewiesen wird, sowie Kunden, die aufgrund schwacher Anschlussleistung eine Lastverteilung oder Failover benötigen.
Für uns ist es daher essenziell, dass wir unseren Kunden unabhängig vom Internetanbieter eine eigene IPv4-Adresse zuweisen können und eine Portfreigabe ermöglichen. Dies gewährleistet nicht nur die notwendige Erreichbarkeit, sondern auch die Flexibilität und Zuverlässigkeit, die moderne Netzwerkanforderungen erfüllen.
Unser Konzept bietet sich hierbei sowohl für Privat- als auch Geschäftskunden gleichermaßen an und stellt aus unserer Sicht eine kostengünstige Lösung dar.
Renick Büttner
Senior Software Engineer & IT-Sachverständiger
Warum ist ein VPN eine sinnvolle Brücke?
Um einen Server extern erreichbar zu machen, muss der Traffic aus dem lokalen Netzwerk heraus und von außen wieder hineinkommen. Damit Traffic aus dem Internet in das lokale Netzwerk gelangen kann, muss ein Routing anhand einer IP-Adresse erfolgen, und die betreffenden Ports müssen in der lokalen Firewall freigegeben werden. Wenn jedoch keine eigene, eindeutige IP-Adresse zur Verfügung steht, kann ein VPN aushelfen.
Mithilfe des VPNs ist es möglich, einen Tunnel von außen in das lokale Netzwerk zu erstellen. Wir haben hierbei mehrere spezialisierte VPN-Anbieter wie zum Beispiel Windscribe oder Ivacy getestet. Diese Anbieter bieten statische IP-Adressen mit Portfreigaben an. Dennoch hat uns das Konzept und die Zuverlässigkeit dieser Lösungen nicht überzeugt.
Statische IPv4 und Portfreigaben:
So wird es möglich!
Da das VPN als Brücke zwischen lokalem und externem Netzwerk dient – ist ein VPN für unser Vorhaben notwendig. Es gibt diverse Protokolle; wir setzen oft auf OpenVPN. Für bessere Performance und höhere Bandbreiten ist jedoch WireGuard empfehlenswert. Cloud-Server sind so günstig geworden, dass wir hier deutlich günstiger wegkommen als mit kommerziellen VPN-Angeboten. Allerdings muss das VPN manuell eingerichtet werden.
Über einen Nginx Reverse Proxy oder mittels IPTables NAT Prerouting kann der Traffic auf dem Cloud-Server auf verschiedene Geräte innerhalb des VPNs geroutet werden. Die VPN-Profile können sich dann über beliebige Wege mit dem VPN-Server verbinden, egal ob über IPv6, IPv4, Dual Stack Lite, mobiles Internet oder Starlink. Sind die Geräte im VPN verbunden, kann der Traffic entsprechend geroutet werden.
Unsere Grafik soll veranschaulichen, wie wir ein solches Setup bereits in Betrieb haben. In unserem Setup haben wir gleich zwei Knackpunkte: Dual Stack sowie Dual WAN. Also zwei unabhängige Internetverbindungen; die beide keine öffentliche IPv4-Adresse zugeordnet bekommen.
Konkret setzt sich unser Setup aus folgenden Komponenten zusammen:
- Günstigster Cloud-Server von Hetzner
- OpenVPN-Server
- Eigene IPv4-Adresse
- Synology Router mit Failover und Lastverteilung
- Diverse lokale Geräte und Server
Für unsere Konfiguration haben wir keine zusätzliche Hard- und Software eingekauft. Der Cloud-Server ist somit die einzige Komponente, die Kosten verursacht.
Synology Geräte: Synology-Geräte bieten eine benutzerfreundliche grafische Oberfläche zur Verwaltung an, in der ein VPN-Profil als Netzwerkadapter angelegt werden kann. Dieses VPN kann dann als Standardinterface fungieren, während das NAS dennoch über die im Router vergebene lokale IP-Adresse im lokalen Netzwerk erreichbar bleibt.
Andere Server: Unser Portainer-Host läuft auf einem Ubuntu 22.04 Server, der sich automatisch beim Start mit dem OpenVPN-Server verbindet. Ähnlich wie beim Synology NAS ist auch hier der Bridge-Mode aktiv, wodurch die Dienste sowohl im lokalen als auch im VPN-Netzwerk erreichbar sind. Jedes Gerät bekommt von uns ein eigenes Profil und erhält im VPN-Netzwerk eine eigene Adresse. Diese Adressen können wir dann entsprechend für die Portfreigaben nutzen, um eine effiziente und sichere Erreichbarkeit zu gewährleisten.
Wie richten Sie Portfreigaben bei Dual Stack und Gemeinsamer IPv4 ein?
Die Installation eines Cloud-Servers, beispielsweise mit Ubuntu 22.04 und OpenVPN, ist von der Komplexität her überschaubar. Eine Schritt-für-Schritt-Anleitung zu erstellen, gestaltet sich für uns jedoch schwierig, da sich die notwendigen Schritte je nach lokalen Gegebenheiten unterscheiden können. Wir stehen Ihnen gerne beratend zur Seite, um die Installation und Konfiguration optimal an Ihre individuellen Anforderungen anzupassen. Zögern Sie nicht, uns zu kontaktieren, um von unserer Expertise zu profitieren und eine maßgeschneiderte Lösung für Ihre Bedürfnisse zu erhalten.
Was sind die Vor- und Nachteile dieses Konzepts?
Unser Konzept bietet für unsere Kunden, die keine eigene IPv4-Adresse erhalten, eine gute Lösung an. Dennoch gibt es mehrere Punkte zu beachten. Denken Sie daran, nur die für Ihre Anwendungen notwendigen Ports freizugeben. Nutzen Sie bitte eine Firewall. Hier bietet Hetzner auch eine One-Click-Lösung an, um Ihren Cloud-Server zusätzlich abzusichern.
Durch die Anmietung von IPv4-Adressen unabhängig von Ihrem Internet-Service-Provider können Sie flexibler Ihre Dienste im Internet freigeben. Der regionale Standort eines Servers ist somit nicht relevant. Es ist somit auch möglich mehrere Dienste aus mehreren Standorten zu vereinen.
Je nach Hard- und Software-Kombination kann die Nutzung eines VPN Ihre Internet-Bandbreite erheblich beeinträchtigen. Und auch Ihr Ping wird sich erhöhen, durch die zusätzlichen Schichten in Ihrer Netzwerk-Konfiguration.
Hetzer Online - Günstige Cloud-Server in Sekunden eingerichtet
Über diesen Empfehlungslink erhalte ich eine Provision für geworbene Kunden. Zu Hetzner Online
