Thomas/Homelab--Bratonein-Kontrollzentrum--Tutorial
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

Kapitel 4/Free Rohtext.md aktualisiert

Browse Source
This commit is contained in:
Thomas Dannenberg
2025-10-03 14:04:37 +00:00
parent 15b1728c6f
commit 6308b26a9e
1 changed files with 175 additions and 1 deletions
Download Patch File Download Diff File Expand all files Collapse all files

176
Kapitel 4/Free Rohtext.md
View File

@@ -258,4 +258,178 @@ Mit WG-Dashboard haben wir in wenigen Schritten einen WireGuard-Server eingerich
Der Vorteil: kein manuelles Bearbeiten von Konfigurationsdateien, sondern eine klare Weboberfläche, die Schlüssel, Profile und Verbindungen automatisch verwaltet.
Ab sofort greifen wir von überall auf unser UCC zu geschützt, verschlüsselt und mit allen gewohnten Vorteilen wie Pi-hole-Filterung und Zugriff auf interne Oberflächen.
👉 *Screenshot geeignet: WG-Dashboard mit aktivem Client „Smartphone“ in der Übersicht.*
👉 *Screenshot geeignet: WG-Dashboard mit aktivem Client „Smartphone“ in der Übersicht.*
### Subnetze und AllowedIPs verstehen
In der WireGuard-Konfiguration taucht immer wieder der Begriff **Subnetz** auf, meist in der Form `x.x.x.x/yy`.
Für viele Anwender ist das auf den ersten Blick kryptisch dabei ist es die Grundlage dafür, welche Daten über das VPN laufen.
#### Was bedeutet die Schreibweise?
Ein Beispiel:
```
10.6.0.0/24
```
- `10.6.0.0` ist das Netz.
- `/24` bedeutet: die ersten 24 Bits (also die ersten drei Zahlenblöcke) sind fest, nur der letzte Block ist variabel.
- Damit umfasst dieses Subnetz die Adressen `10.6.0.1` bis `10.6.0.254`.
- Typischerweise ist `.1` der Server, und die Clients erhalten die weiteren Adressen.
#### Wo wird das eingetragen?
In den **AllowedIPs** jedes Clients.
Dieser Wert bestimmt, welche Zieladressen durch den VPN-Tunnel geleitet werden.
- Beispiel `10.6.0.0/24`
→ Alle Geräte im VPN-Netz selbst (Server + andere Clients) sind erreichbar.
- Beispiel `192.168.1.0/24`
→ Zusätzlich ist auch dein Heimnetz verfügbar (alle Container, Server und Geräte).
- Beispiel `0.0.0.0/0`
→ Sämtlicher IPv4-Traffic des Clients läuft durch den Tunnel. Damit surfst du komplett über das UCC.
> [!NOTE]
> `0.0.0.0/0` ist der sogenannte **Full-Tunnel**.
> `10.6.0.0/24, 192.168.1.0/24` ist ein **Split-Tunnel**: nur interne Netze gehen über den VPN, alles andere läuft normal über das lokale Netz oder die mobilen Daten.
#### Welche Wirkung hat die Wahl?
- **Split-Tunnel (nur UCC)**
- AllowedIPs: `10.6.0.0/24, 192.168.1.0/24`
- Effekt: Zugriff auf interne Dienste, Internet geht direkt.
- Vorteil: weniger Last, schneller Surfen.
- Nachteil: Pi-hole blockt unterwegs nicht.
- **Full-Tunnel (alles durch VPN)**
- AllowedIPs: `0.0.0.0/0, ::/0`
- Effekt: gesamter Internetverkehr geht durchs UCC.
- Vorteil: Pi-hole-Filterung überall, feste UCC-IP im Internet.
- Nachteil: Mehr Traffic durchs VPN, Internetgeschwindigkeit abhängig vom UCC.
#### Wie bestimmt man das richtige Subnetz?
- Für das VPN selbst (WireGuard-Clients): wähle ein Netz, das nicht schon im Heimnetz existiert.
Beispiel: `10.6.0.0/24`.
- Für das Heimnetz: trage das Subnetz ein, das dein Router nutzt, z. B. `192.168.1.0/24`.
- Für den kompletten Traffic: nutze `0.0.0.0/0` (IPv4) und `::/0` (IPv6).
> [!TIP]
> Prüfe dein Heimnetz mit `ip a` oder in den Router-Einstellungen. Dort siehst du, ob du z. B. `192.168.1.x` oder `192.168.178.x` verwendest. Diese Info brauchst du, um die AllowedIPs korrekt einzutragen.
---
## Troubleshooting & Tipps
Auch wenn WG-Dashboard den Einstieg stark vereinfacht, können beim ersten Einrichten typische Probleme auftreten.
Dieser Abschnitt erklärt nicht nur, wie du sie löst, sondern auch, warum sie entstehen so verstehst du dein Setup besser und kannst Fehler künftig schneller einordnen.
### Dashboard nicht erreichbar
Du öffnest `http://<Container-IP>:10086`, aber es passiert nichts?
In den meisten Fällen läuft der Dienst einfach nicht. Das kann direkt nach der Installation vorkommen oder nach einem Neustart des Containers, wenn der Service nicht automatisch gestartet wurde.
Überprüfen kannst du das mit:
```bash
systemctl status wgd
```
Wenn hier **inactive** oder **failed** steht, hilft ein manueller Start:
```bash
./wgd.sh start
```
Danach sollte die Oberfläche im Browser erscheinen. Falls nicht, gibt dir
```bash
journalctl -u wgd -n 50
```
eine Liste der letzten Fehlermeldungen, die meist schon die Ursache verraten (z. B. fehlendes Recht oder Tippfehler in der Config).
### Client verbindet, aber es passiert nichts
Die App zeigt „verbunden“ an, aber Webseiten laden nicht?
Das ist ein klassisches Symptom für fehlendes **IP-Forwarding**.
WireGuard selbst kann Verbindungen annehmen, leitet den Datenverkehr aber nur weiter, wenn das System erlaubt, dass Pakete von einem Interface ins andere übertragen werden. Fehlt diese Einstellung, hängt der Client im „leeren Tunnel“.
Abhilfe:
```bash
echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
sysctl -p /etc/sysctl.conf
```
Mit diesem Befehl aktivierst du die Weiterleitung sofort und dauerhaft. Danach sollten Daten nicht nur ankommen, sondern auch korrekt ins UCC weitergeleitet werden.
### Dienste im UCC sind nicht erreichbar
Du bist verbunden, siehst auch im Dashboard deinen Client als „connected“, aber ein Aufruf wie
```
http://192.168.1.5/admin
```
öffnet sich nicht?
Dann liegt es fast immer an den **AllowedIPs** im Client.
Dieser Wert steuert, welche Zieladressen der Client durch den Tunnel schickt.
Steht hier nur `10.6.0.0/24`, erreicht der Client nur das VPN-Netz selbst, aber nicht dein Heimnetz.
Trägst du zusätzlich dein Heimnetz ein, z. B. `192.168.1.0/24`, erkennt der Client: „auch diese Adressen sollen durch den Tunnel gehen“.
Damit sieht er die Geräte im UCC wieder Admin-Oberflächen, Container, Server.
### Werbung wird nicht blockiert
Das VPN läuft, Seiten laden auch aber dein Pi-hole blockt unterwegs keine Werbung?
In diesem Fall verwendet der Client nicht das Pi-hole als DNS.
Überprüfen kannst du das in der WireGuard-App: dort gibt es einen Abschnitt „DNS Server“. Steht hier nichts oder ein öffentlicher Resolver, läuft alles am Pi-hole vorbei.
Trage in den Server-Einstellungen von WG-Dashboard die Pi-hole-IP (z. B. `192.168.1.5`) ein und synchronisiere den Client neu.
Ab sofort laufen alle DNS-Anfragen über das UCC, und Pi-hole filtert auch unterwegs zuverlässig Werbung und Tracking.
### Keine Verbindung von außen
Wenn sich der Client gar nicht erst verbindet, liegt das fast immer am Router.
Der Port `51820/udp` muss auf die IP des WireGuard-Containers weitergeleitet werden.
Fehlt diese Weiterleitung oder ist sie falsch gesetzt, kommen die Anfragen nie bis zum Server durch.
Kontrolliere daher im Router die Regel:
- Extern: 51820 (UDP)
- Intern: 192.168.1.7:51820
> [!NOTE]
> Manche Provider blockieren ungewöhnliche Ports oder setzen DS-Lite ein. In diesem Fall kann eine Verbindung nur über IPv6 oder über einen alternativen Port funktionieren. Das prüfen wir im Premium-Teil.
### Zusammenfassung
- **Dashboard nicht erreichbar** → Service läuft nicht. Starten und Logs prüfen.
- **Client verbunden, aber kein Internet** → IP-Forwarding fehlt.
- **Interne Dienste nicht erreichbar** → AllowedIPs anpassen, Heimnetz ergänzen.
- **Werbung unterwegs sichtbar** → DNS im Dashboard auf Pi-hole stellen.
- **Verbindung schlägt komplett fehl** → Router-Portfreigabe prüfen.
So erkennst du die typischen Fehler schnell wieder. Entscheidend ist: Verstehe immer, **warum** ein Problem entsteht dann bist du beim nächsten Mal nicht auf Ausprobieren angewiesen, sondern kannst es gezielt beheben.
---
## Ergebnis
Mit diesem Kapitel haben wir unser UCC um einen entscheidenden Baustein erweitert:
WireGuard sorgt für die sichere Verbindung nach innen, WG-Dashboard für eine benutzerfreundliche Verwaltung.
Damit stehen uns ab sofort alle Möglichkeiten offen, von unterwegs auf das Kontrollzentrum zuzugreifen, ohne unnötige Risiken einzugehen.
**Praktische Ergebnisse dieses Kapitels:**
- Der **VPN-Server** läuft stabil im eigenen Container und ist klar vom Rest der Umgebung getrennt.
- Über die **Weboberfläche von WG-Dashboard** lassen sich Server und Clients jederzeit komfortabel verwalten.
- Ein **erster Client** (z. B. das Smartphone) ist erfolgreich angebunden und kann sich von außen verbinden.
- **Portfreigaben am Router** sind minimal und klar definiert: nur der UDP-Port 51820, sonst nichts.
- Mit **Pi-hole als DNS** profitieren wir auch unterwegs vom Werbe- und Tracking-Schutz.
Damit verändert sich die Nutzung des UCC grundlegend.
Vorher waren wir darauf beschränkt, nur von zu Hause auf interne Tools und Oberflächen zuzugreifen. Jetzt reicht ein Klick in der WireGuard-App, und wir sind so eingebunden, als säßen wir direkt vor Ort im Heimnetz.
Das bedeutet konkret:
- Admin-Oberflächen und Dashboards bleiben **nicht im Internet sichtbar**, sondern sind nur über das VPN erreichbar. Das schützt effektiv vor Bruteforce-Angriffen und automatisierten Scans.
- **Pi-hole blockt Werbung** nicht nur im heimischen WLAN, sondern auch auf Conventions, im Hotel oder unterwegs im Mobilfunknetz.
- **SSH und Terminalzugriffe** sind sicher möglich, ohne dass wir Ports für die Shell freigeben müssen.
- Content Creator haben eine stabile Umgebung, die auch unterwegs gleich funktioniert egal ob für Streaming-Tools, Test-Container oder Verwaltung.
👉 *Screenshot geeignet: WG-Dashboard mit aktivem Server, einer eingerichteten Subnetz-Konfiguration und mindestens einem verbundenen Client.*
> [!TIP]
> Mit WireGuard und WG-Dashboard hast du ab sofort die Wahl:
> - **Split-Tunnel:** nur das UCC ist erreichbar, Internet bleibt direkt.
> - **Full-Tunnel:** der gesamte Internetverkehr läuft über dein Heimnetz, inklusive Pi-hole-Filterung.
> Beide Varianten lassen sich jederzeit im Dashboard umstellen und an deine Bedürfnisse anpassen.
## Ausblick
Mit dem VPN haben wir nun eine sichere Grundlage geschaffen.
Im nächsten Kapitel kümmern wir uns um **Vaultwarden** unseren zentralen Passwort-Manager im UCC.
Damit legen wir den Grundstein für sichere Logins und Zwei-Faktor-Authentifizierung, die uns sowohl bei öffentlichen Diensten als auch bei internen Tools schützt.