Kapitel 4/Free Rohtext.md aktualisiert

2025-10-03 12:27:43 +00:00
parent 24d847324d
commit 15b1728c6f
1 changed files with 98 additions and 3 deletions
--- a/Rohtext.md
+++ b/Rohtext.md
@@ -141,8 +141,6 @@ Der Status kann überprüft werden mit:
 systemctl status wgd
 ```

---
-
 ### Erste Anmeldung in der Weboberfläche
 Wenn der Service läuft, öffnen wir im Browser:

@@ -163,4 +161,101 @@ Dieser Schritt ist Pflicht, da die Standarddaten öffentlich bekannt sind.
 > Lege das neue Passwort sofort fest und notiere es in deiner Passwortverwaltung (siehe Kapitel Vaultwarden).  

 > [!WARNING]  
-> WG-Dashboard verwaltet sensible Daten wie Private Keys deiner VPN-Clients. Sichere Passwörter und ein abgeschotteter Zugriff (nur über NPM oder VPN) sind Pflicht!
+> WG-Dashboard verwaltet sensible Daten wie Private Keys deiner VPN-Clients. Sichere Passwörter und ein abgeschotteter Zugriff (nur über NPM oder VPN) sind Pflicht!
+
+## WireGuard-Server einrichten und ersten Client hinzufügen
+
+Nach der Installation von WG-Dashboard ist die Oberfläche über  
+```
+http://<Container-IP>:10086
+```  
+erreichbar. Hier beginnt die eigentliche Einrichtung unseres VPN-Servers im UCC.  
+
+### Server-Grundkonfiguration
+Im Menüpunkt **Server Settings** tragen wir die Basiswerte ein, die den gesamten VPN-Betrieb bestimmen.  
+
+- **Listen Port**  
+  Standard ist `51820/udp`. WireGuard setzt konsequent auf UDP, weil Verbindungen so schneller aufgebaut und stabiler gehalten werden können als über TCP. Diesen Port müssen wir später im Router freigeben, damit Anfragen von außen bis zum Server gelangen.  
+
+- **Server Address (VPN-Subnetz)**  
+  Ein VPN braucht ein eigenes internes Netz, das unabhängig vom Heimnetz funktioniert.  
+  Bewährt hat sich z. B. `10.6.0.1/24`.  
+  - `10.6.0.1` → Adresse des VPN-Servers  
+  - `10.6.0.2–254` → mögliche Adressen für Clients  
+  So stellen wir sicher, dass sich VPN-Geräte nicht mit bestehenden Heimnetz-IPs überschneiden.  
+
+- **DNS**  
+  Hier legen wir fest, welcher Resolver für die VPN-Clients zuständig ist.  
+  Tragen wir die IP unseres **Pi-hole** ein (z. B. `192.168.1.5`), profitieren wir unterwegs genauso von Werbe- und Tracking-Blockade wie zuhause.  
+  Alternativ könnten hier auch externe Resolver wie 1.1.1.1 oder 8.8.8.8 stehen – aber das verschenkt die Stärke des UCC.  
+
+Nachdem wir die Werte gespeichert haben, erzeugt WG-Dashboard automatisch die nötigen Konfigurationsdateien und startet den Dienst. Im Dashboard sehen wir jetzt den Status des Servers.  
+
+> [!NOTE]  
+> Port 51820/UDP ist der Standard. Es ist möglich, andere Ports zu verwenden, aber nur sinnvoll, wenn im Netzwerk bereits ein weiterer WireGuard-Server läuft.  
+
+### Portfreigabe im Router
+Damit externe Geräte den Server erreichen, muss der Datenverkehr weitergeleitet werden.  
+Im Router richten wir deshalb eine **Portfreigabe** ein:  
+
+- **Extern:** UDP 51820  
+- **Intern:** 192.168.1.7:51820 (die IP des WireGuard-Containers)  
+
+Ohne diese Weiterleitung bleibt der VPN-Server von außen unsichtbar.  
+
+> [!WARNING]  
+> Achte darauf, dass wirklich nur **UDP** weitergeleitet wird. Eine TCP-Freigabe für den gleichen Port ist unnötig und kann zu Verbindungsproblemen führen.  
+
+### Ersten Client anlegen
+Als nächstes erstellen wir einen Zugang für unser erstes Gerät – in diesem Beispiel ein Smartphone.  
+
+1. Öffne im Menü den Bereich **Clients**.  
+2. Klicke auf **Add Client**.  
+3. Vergib einen eindeutigen Namen, z. B. `Smartphone`.  
+4. WG-Dashboard generiert automatisch:  
+   - Ein Schlüsselpaar (Public/Private Key)  
+   - Eine vollständige Konfigurationsdatei  
+   - Einen QR-Code für die mobile App  
+
+Für **Smartphones** ist der QR-Code die bequemste Variante.  
+- WireGuard-App öffnen  
+- „+“ → „QR-Code scannen“  
+- Fertig – das Profil wird automatisch angelegt.  
+
+Für **Laptops oder PCs** laden wir stattdessen die `.conf`-Datei herunter und importieren sie in den Desktop-Client.  
+
+### Erste Verbindung testen
+Bevor wir testen, stellen wir sicher, dass das Smartphone **nicht im heimischen WLAN** hängt, sondern über mobile Daten oder ein anderes Netz verbunden ist.  
+So prüfen wir realistisch, ob die VPN-Verbindung von außen funktioniert.  
+
+1. WireGuard-App öffnen und das Profil aktivieren.  
+2. Innerhalb weniger Sekunden sollte die Verbindung aufgebaut sein.  
+3. Im WG-Dashboard erscheint der Client mit Status **connected**.  
+4. Test im Browser:  
+   ```
+   http://192.168.1.5/admin
+   ```  
+   Das Pi-hole-Dashboard sollte sich öffnen – obwohl wir uns nicht im Heimnetz befinden.  
+
+Damit ist klar:  
+- Der VPN-Tunnel steht.  
+- DNS-Anfragen laufen über das UCC und werden vom Pi-hole gefiltert.  
+- Interne Oberflächen wie Admin-Tools sind sicher erreichbar.  
+
+> [!TIP]  
+> Über `ping 10.6.0.1` (Server-Adresse im VPN) kannst du zusätzlich prüfen, ob der Tunnel stabil reagiert.  
+
+### Split-Tunnel oder Full-Tunnel?
+Ein wichtiger Punkt bei VPNs ist die Frage: Soll nur der Zugriff aufs Heimnetz laufen, oder der gesamte Internetverkehr?  
+
+- **Split-Tunnel:** Nur Anfragen ins interne UCC (192.168.x.x, 10.6.x.x) laufen durch den VPN. Internet geht direkt übers aktuelle Netz. Vorteil: schneller, weniger Last.  
+- **Full-Tunnel:** Der gesamte Verkehr wird durchs UCC geleitet. Vorteil: Pi-hole blockt überall, deine IP im Internet ist immer die vom Heimanschluss.  
+
+Für Content Creator ist Full-Tunnel oft praktischer: unterwegs dieselbe Umgebung wie zuhause, inklusive Blocklisten und Sicherheit.  
+
+## Ergebnis
+Mit WG-Dashboard haben wir in wenigen Schritten einen WireGuard-Server eingerichtet und den ersten Client erfolgreich angebunden.  
+Der Vorteil: kein manuelles Bearbeiten von Konfigurationsdateien, sondern eine klare Weboberfläche, die Schlüssel, Profile und Verbindungen automatisch verwaltet.  
+Ab sofort greifen wir von überall auf unser UCC zu – geschützt, verschlüsselt und mit allen gewohnten Vorteilen wie Pi-hole-Filterung und Zugriff auf interne Oberflächen.  
+
+👉 *Screenshot geeignet: WG-Dashboard mit aktivem Client „Smartphone“ in der Übersicht.*