Thomas/Homelab--Bratonein-Kontrollzentrum--Tutorial
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
main
Homelab--Bratonein-Kontroll…/Kapitel 04/Free Rohtext.md

435 lines
22 KiB
Markdown
Raw Permalink Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

# Kapitel 4 WireGuard (VPN) mit WG-Dashboard
## Einleitung
Bisher haben wir unsere Dienste im UCC so aufgebaut, dass öffentliche Anwendungen wie zum Beispiel die Nextcloud über den Nginx Proxy Manager (NPM) erreichbar sind.
Doch nicht jede Oberfläche sollte ins Internet freigegeben werden. Viele Admin-Dashboards, Diagnose-Tools oder Konfigurationen sind **nur für uns selbst gedacht** und würden im Internet ein leichtes Ziel für automatisierte Angriffe oder Bruteforce darstellen.
### Zugriff von unterwegs
Stell dir vor, du bist nicht zuhause und möchtest trotzdem dein UCC nutzen:
- Das **Pi-hole** soll auch unterwegs Werbung und Tracker blockieren.
- Eine **Admin-Oberfläche** soll erreichbar sein, ohne sie öffentlich freigeben zu müssen.
- Du möchtest dich per **SSH oder Terminal** einloggen, um eine schnelle Diagnose durchzuführen.
All das funktioniert nicht über den NPM, da er ausschließlich für **öffentliche Dienste** gedacht ist. Wir brauchen also einen sicheren Weg, unser gesamtes internes Netz von außen nutzen zu können.
### Lösung: VPN
Ein **Virtual Private Network (VPN)** erstellt einen verschlüsselten Tunnel zwischen deinem Gerät (z. B. Laptop oder Smartphone) und dem UCC.
Nach der Verbindung verhält sich dein Gerät so, als wäre es direkt im Heimnetz.
Das bedeutet:
- Alle internen IPs und Container sind erreichbar.
- Der gesamte Datenverkehr kann optional über das UCC laufen.
- Pi-hole wirkt dadurch auch außerhalb des heimischen WLANs.
### WireGuard
WireGuard ist ein moderner Standard für VPN-Verbindungen. Er ist schlanker, schneller und einfacher aufgebaut als klassische Lösungen wie OpenVPN oder IPSec.
Mit wenig Ressourcen läuft WireGuard auch in einem kleinen Proxmox-LXC stabil und zuverlässig.
Die Verbindung ist innerhalb weniger Sekunden aufgebaut und nutzt moderne Kryptografie, ohne komplizierte Konfiguration.
### WG-Dashboard
Die größte Hürde bei WireGuard war bisher die manuelle Einrichtung. Schlüssel erzeugen, Config-Dateien schreiben, Clients verteilen das war fehleranfällig und unübersichtlich.
**WG-Dashboard** löst genau dieses Problem:
- Der VPN-Server wird über eine **Weboberfläche** eingerichtet.
- Neue Clients lassen sich mit einem Klick anlegen.
- Für mobile Geräte werden **QR-Codes** angezeigt, die direkt in die WireGuard-App gescannt werden können.
- Statistiken und Verbindungsübersichten zeigen, welche Geräte online sind.
Damit wird WireGuard für alle nutzbar, die Wert auf Sicherheit legen, aber keine Zeit mit komplizierten Config-Files verschwenden wollen.
> [!TIP]
> Mit WireGuard und WG-Dashboard stellst du eine **sichere Verbindung** ins UCC her.
> So nutzt du alle Vorteile deines Heimnetzes von überall: Pi-hole blockt Werbung, Admin-Oberflächen bleiben geschützt, und der Zugriff auf interne Tools und Terminals ist jederzeit möglich.
---
## Voraussetzungen
Für den WireGuard-Server mit WG-Dashboard benötigen wir einen eigenen LXC-Container in Proxmox.
Dieser Container bildet die Grundlage für den VPN-Dienst und stellt die Verwaltungsoberfläche bereit.
### Anforderungen an den Container
- **Betriebssystem:** Ubuntu 24.04 LTS
- **Ressourcen:**
- 2 CPU-Kerne
- 2 GB RAM
- 16 GB Speicherplatz
- **Netzwerk:** Eine feste IPv4-Adresse im Heimnetz, z. B. `192.168.1.7`.
- **Internetverbindung:** Notwendig für das Herunterladen von Paketen und Docker-Images.
### Hinweis bei Problemen
Falls du unsicher bist, wie man in Proxmox einen LXC-Container erstellt, wirf bitte noch einmal einen Blick auf **Kapitel 1**.
Dort haben wir die grundlegenden Schritte (Template auswählen, Container einrichten, IP vergeben) ausführlich beschrieben.
> [!TIP]
> Trage die feste IP-Adresse des Containers im Router als **DHCP-Reservierung** ein.
> So stellst du sicher, dass die Adresse immer verfügbar ist und es keine Konflikte mit automatisch vergebenen Adressen gibt.
## Schritt für Schritt Anleitung
### Installation (Ubuntu 24.04 LTS im LXC)
Wir installieren WG-Dashboard nach offizieller Anleitung, erweitern die Schritte aber um Erklärungen und Hinweise.
Ziel ist es, den WireGuard-Server im UCC mit einer Weboberfläche bereitzustellen.
#### 1) System vorbereiten
Zuerst aktualisieren wir das System und installieren die wichtigsten Pakete für WireGuard und Netzwerkanalyse.
```bash
apt-get update -y
apt-get upgrade -y
apt-get install -y wireguard-tools net-tools git
```
- `wireguard-tools`: enthält die Werkzeuge, um WireGuard zu starten und zu verwalten.
- `net-tools`: nützlich für Befehle wie `ifconfig` oder `netstat` (oft für Diagnose gebraucht).
- `git`: notwendig, um den Quellcode von WG-Dashboard direkt von GitHub herunterzuladen.
> [!NOTE]
> Mit `apt-get upgrade -y` stellst du sicher, dass der Container auf dem neuesten Stand ist, bevor zusätzliche Software installiert wird.
#### 2) WG-Dashboard herunterladen
Das Projekt liegt auf GitHub. Mit `git clone` laden wir es direkt ins System.
```bash
git clone https://github.com/WGDashboard/WGDashboard.git
cd ./WGDashboard/src
```
Im Ordner `src` befindet sich das zentrale Script `wgd.sh`, das die komplette Installation und Verwaltung übernimmt.
#### 3) Installationsskript ausführen
Damit das Script lauffähig ist, setzen wir die Berechtigungen und starten die Installation:
```bash
chmod +x ./wgd.sh
./wgd.sh install
```
- `chmod +x` macht die Datei ausführbar.
- `./wgd.sh install` startet die eigentliche Einrichtung: Abhängigkeiten, Systemd-Services und Konfiguration für das Dashboard.
Während der Installation legt das Script alle benötigten Dateien unter `/etc/wireguard/` und `/etc/wgd/` an.
> [!TIP]
> Du kannst den Fortschritt jederzeit mit `journalctl -u wgd` oder `systemctl status wgd` prüfen.
#### 4) IP-Forwarding aktivieren
Damit Geräte im VPN Zugriff ins Heimnetz haben, muss das System IP-Forwarding erlauben.
Ohne diese Einstellung könnten sich Clients zwar verbinden, aber keine Daten weiterleiten.
```bash
echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
sysctl -p /etc/sysctl.conf
```
Damit wird die Weiterleitung sofort aktiviert und auch nach einem Neustart beibehalten.
> [!WARNING]
> Ohne IP-Forwarding ist dein VPN nutzlos du könntest dich zwar verbinden, aber keine Dienste im UCC erreichen.
#### 5) WG-Dashboard starten
Zum ersten Mal starten wir das Dashboard mit:
```bash
./wgd.sh start
```
Das Script legt dabei einen Systemd-Service an, der automatisch mit dem Container gestartet wird.
Der Status kann überprüft werden mit:
```bash
systemctl status wgd
```
### Erste Anmeldung in der Weboberfläche
Wenn der Service läuft, öffnen wir im Browser:
```
http://<Container-IP>:10086
```
Standard-Zugangsdaten:
- **Benutzername:** `admin`
- **Passwort:** `admin`
Nach dem Login fordert dich das Dashboard auf, ein neues Passwort zu vergeben.
Dieser Schritt ist Pflicht, da die Standarddaten öffentlich bekannt sind.
👉 *Screenshot geeignet: Login-Maske von WG-Dashboard nach Erststart.*
> [!TIP]
> Lege das neue Passwort sofort fest und notiere es in deiner Passwortverwaltung (siehe Kapitel Vaultwarden).
> [!WARNING]
> WG-Dashboard verwaltet sensible Daten wie Private Keys deiner VPN-Clients. Sichere Passwörter und ein abgeschotteter Zugriff (nur über NPM oder VPN) sind Pflicht!
## WireGuard-Server einrichten und ersten Client hinzufügen
Nach der Installation von WG-Dashboard ist die Oberfläche über
```
http://<Container-IP>:10086
```
erreichbar. Hier beginnt die eigentliche Einrichtung unseres VPN-Servers im UCC.
### Server-Grundkonfiguration
Im Menüpunkt **Server Settings** tragen wir die Basiswerte ein, die den gesamten VPN-Betrieb bestimmen.
- **Listen Port**
Standard ist `51820/udp`. WireGuard setzt konsequent auf UDP, weil Verbindungen so schneller aufgebaut und stabiler gehalten werden können als über TCP. Diesen Port müssen wir später im Router freigeben, damit Anfragen von außen bis zum Server gelangen.
- **Server Address (VPN-Subnetz)**
Ein VPN braucht ein eigenes internes Netz, das unabhängig vom Heimnetz funktioniert.
Bewährt hat sich z. B. `10.6.0.1/24`.
- `10.6.0.1` → Adresse des VPN-Servers
- `10.6.0.2254` → mögliche Adressen für Clients
So stellen wir sicher, dass sich VPN-Geräte nicht mit bestehenden Heimnetz-IPs überschneiden.
- **DNS**
Hier legen wir fest, welcher Resolver für die VPN-Clients zuständig ist.
Tragen wir die IP unseres **Pi-hole** ein (z. B. `192.168.1.5`), profitieren wir unterwegs genauso von Werbe- und Tracking-Blockade wie zuhause.
Alternativ könnten hier auch externe Resolver wie 1.1.1.1 oder 8.8.8.8 stehen aber das verschenkt die Stärke des UCC.
Nachdem wir die Werte gespeichert haben, erzeugt WG-Dashboard automatisch die nötigen Konfigurationsdateien und startet den Dienst. Im Dashboard sehen wir jetzt den Status des Servers.
> [!NOTE]
> Port 51820/UDP ist der Standard. Es ist möglich, andere Ports zu verwenden, aber nur sinnvoll, wenn im Netzwerk bereits ein weiterer WireGuard-Server läuft.
### Portfreigabe im Router
Damit externe Geräte den Server erreichen, muss der Datenverkehr weitergeleitet werden.
Im Router richten wir deshalb eine **Portfreigabe** ein:
- **Extern:** UDP 51820
- **Intern:** 192.168.1.7:51820 (die IP des WireGuard-Containers)
Ohne diese Weiterleitung bleibt der VPN-Server von außen unsichtbar.
> [!WARNING]
> Achte darauf, dass wirklich nur **UDP** weitergeleitet wird. Eine TCP-Freigabe für den gleichen Port ist unnötig und kann zu Verbindungsproblemen führen.
### Ersten Client anlegen
Als nächstes erstellen wir einen Zugang für unser erstes Gerät in diesem Beispiel ein Smartphone.
1. Öffne im Menü den Bereich **Clients**.
2. Klicke auf **Add Client**.
3. Vergib einen eindeutigen Namen, z. B. `Smartphone`.
4. WG-Dashboard generiert automatisch:
- Ein Schlüsselpaar (Public/Private Key)
- Eine vollständige Konfigurationsdatei
- Einen QR-Code für die mobile App
Für **Smartphones** ist der QR-Code die bequemste Variante.
- WireGuard-App öffnen
- „+“ → „QR-Code scannen“
- Fertig das Profil wird automatisch angelegt.
Für **Laptops oder PCs** laden wir stattdessen die `.conf`-Datei herunter und importieren sie in den Desktop-Client.
### Erste Verbindung testen
Bevor wir testen, stellen wir sicher, dass das Smartphone **nicht im heimischen WLAN** hängt, sondern über mobile Daten oder ein anderes Netz verbunden ist.
So prüfen wir realistisch, ob die VPN-Verbindung von außen funktioniert.
1. WireGuard-App öffnen und das Profil aktivieren.
2. Innerhalb weniger Sekunden sollte die Verbindung aufgebaut sein.
3. Im WG-Dashboard erscheint der Client mit Status **connected**.
4. Test im Browser:
```
http://192.168.1.5/admin
```
Das Pi-hole-Dashboard sollte sich öffnen obwohl wir uns nicht im Heimnetz befinden.
Damit ist klar:
- Der VPN-Tunnel steht.
- DNS-Anfragen laufen über das UCC und werden vom Pi-hole gefiltert.
- Interne Oberflächen wie Admin-Tools sind sicher erreichbar.
> [!TIP]
> Über `ping 10.6.0.1` (Server-Adresse im VPN) kannst du zusätzlich prüfen, ob der Tunnel stabil reagiert.
### Split-Tunnel oder Full-Tunnel?
Ein wichtiger Punkt bei VPNs ist die Frage: Soll nur der Zugriff aufs Heimnetz laufen, oder der gesamte Internetverkehr?
- **Split-Tunnel:** Nur Anfragen ins interne UCC (192.168.x.x, 10.6.x.x) laufen durch den VPN. Internet geht direkt übers aktuelle Netz. Vorteil: schneller, weniger Last.
- **Full-Tunnel:** Der gesamte Verkehr wird durchs UCC geleitet. Vorteil: Pi-hole blockt überall, deine IP im Internet ist immer die vom Heimanschluss.
Für Content Creator ist Full-Tunnel oft praktischer: unterwegs dieselbe Umgebung wie zuhause, inklusive Blocklisten und Sicherheit.
## Ergebnis
Mit WG-Dashboard haben wir in wenigen Schritten einen WireGuard-Server eingerichtet und den ersten Client erfolgreich angebunden.
Der Vorteil: kein manuelles Bearbeiten von Konfigurationsdateien, sondern eine klare Weboberfläche, die Schlüssel, Profile und Verbindungen automatisch verwaltet.
Ab sofort greifen wir von überall auf unser UCC zu geschützt, verschlüsselt und mit allen gewohnten Vorteilen wie Pi-hole-Filterung und Zugriff auf interne Oberflächen.
👉 *Screenshot geeignet: WG-Dashboard mit aktivem Client „Smartphone“ in der Übersicht.*
### Subnetze und AllowedIPs verstehen
In der WireGuard-Konfiguration taucht immer wieder der Begriff **Subnetz** auf, meist in der Form `x.x.x.x/yy`.
Für viele Anwender ist das auf den ersten Blick kryptisch dabei ist es die Grundlage dafür, welche Daten über das VPN laufen.
#### Was bedeutet die Schreibweise?
Ein Beispiel:
```
10.6.0.0/24
```
- `10.6.0.0` ist das Netz.
- `/24` bedeutet: die ersten 24 Bits (also die ersten drei Zahlenblöcke) sind fest, nur der letzte Block ist variabel.
- Damit umfasst dieses Subnetz die Adressen `10.6.0.1` bis `10.6.0.254`.
- Typischerweise ist `.1` der Server, und die Clients erhalten die weiteren Adressen.
#### Wo wird das eingetragen?
In den **AllowedIPs** jedes Clients.
Dieser Wert bestimmt, welche Zieladressen durch den VPN-Tunnel geleitet werden.
- Beispiel `10.6.0.0/24`
→ Alle Geräte im VPN-Netz selbst (Server + andere Clients) sind erreichbar.
- Beispiel `192.168.1.0/24`
→ Zusätzlich ist auch dein Heimnetz verfügbar (alle Container, Server und Geräte).
- Beispiel `0.0.0.0/0`
→ Sämtlicher IPv4-Traffic des Clients läuft durch den Tunnel. Damit surfst du komplett über das UCC.
> [!NOTE]
> `0.0.0.0/0` ist der sogenannte **Full-Tunnel**.
> `10.6.0.0/24, 192.168.1.0/24` ist ein **Split-Tunnel**: nur interne Netze gehen über den VPN, alles andere läuft normal über das lokale Netz oder die mobilen Daten.
#### Welche Wirkung hat die Wahl?
- **Split-Tunnel (nur UCC)**
- AllowedIPs: `10.6.0.0/24, 192.168.1.0/24`
- Effekt: Zugriff auf interne Dienste, Internet geht direkt.
- Vorteil: weniger Last, schneller Surfen.
- Nachteil: Pi-hole blockt unterwegs nicht.
- **Full-Tunnel (alles durch VPN)**
- AllowedIPs: `0.0.0.0/0, ::/0`
- Effekt: gesamter Internetverkehr geht durchs UCC.
- Vorteil: Pi-hole-Filterung überall, feste UCC-IP im Internet.
- Nachteil: Mehr Traffic durchs VPN, Internetgeschwindigkeit abhängig vom UCC.
#### Wie bestimmt man das richtige Subnetz?
- Für das VPN selbst (WireGuard-Clients): wähle ein Netz, das nicht schon im Heimnetz existiert.
Beispiel: `10.6.0.0/24`.
- Für das Heimnetz: trage das Subnetz ein, das dein Router nutzt, z. B. `192.168.1.0/24`.
- Für den kompletten Traffic: nutze `0.0.0.0/0` (IPv4) und `::/0` (IPv6).
> [!TIP]
> Prüfe dein Heimnetz mit `ip a` oder in den Router-Einstellungen. Dort siehst du, ob du z. B. `192.168.1.x` oder `192.168.178.x` verwendest. Diese Info brauchst du, um die AllowedIPs korrekt einzutragen.
---
## Troubleshooting & Tipps
Auch wenn WG-Dashboard den Einstieg stark vereinfacht, können beim ersten Einrichten typische Probleme auftreten.
Dieser Abschnitt erklärt nicht nur, wie du sie löst, sondern auch, warum sie entstehen so verstehst du dein Setup besser und kannst Fehler künftig schneller einordnen.
### Dashboard nicht erreichbar
Du öffnest `http://<Container-IP>:10086`, aber es passiert nichts?
In den meisten Fällen läuft der Dienst einfach nicht. Das kann direkt nach der Installation vorkommen oder nach einem Neustart des Containers, wenn der Service nicht automatisch gestartet wurde.
Überprüfen kannst du das mit:
```bash
systemctl status wgd
```
Wenn hier **inactive** oder **failed** steht, hilft ein manueller Start:
```bash
./wgd.sh start
```
Danach sollte die Oberfläche im Browser erscheinen. Falls nicht, gibt dir
```bash
journalctl -u wgd -n 50
```
eine Liste der letzten Fehlermeldungen, die meist schon die Ursache verraten (z. B. fehlendes Recht oder Tippfehler in der Config).
### Client verbindet, aber es passiert nichts
Die App zeigt „verbunden“ an, aber Webseiten laden nicht?
Das ist ein klassisches Symptom für fehlendes **IP-Forwarding**.
WireGuard selbst kann Verbindungen annehmen, leitet den Datenverkehr aber nur weiter, wenn das System erlaubt, dass Pakete von einem Interface ins andere übertragen werden. Fehlt diese Einstellung, hängt der Client im „leeren Tunnel“.
Abhilfe:
```bash
echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
sysctl -p /etc/sysctl.conf
```
Mit diesem Befehl aktivierst du die Weiterleitung sofort und dauerhaft. Danach sollten Daten nicht nur ankommen, sondern auch korrekt ins UCC weitergeleitet werden.
### Dienste im UCC sind nicht erreichbar
Du bist verbunden, siehst auch im Dashboard deinen Client als „connected“, aber ein Aufruf wie
```
http://192.168.1.5/admin
```
öffnet sich nicht?
Dann liegt es fast immer an den **AllowedIPs** im Client.
Dieser Wert steuert, welche Zieladressen der Client durch den Tunnel schickt.
Steht hier nur `10.6.0.0/24`, erreicht der Client nur das VPN-Netz selbst, aber nicht dein Heimnetz.
Trägst du zusätzlich dein Heimnetz ein, z. B. `192.168.1.0/24`, erkennt der Client: „auch diese Adressen sollen durch den Tunnel gehen“.
Damit sieht er die Geräte im UCC wieder Admin-Oberflächen, Container, Server.
### Werbung wird nicht blockiert
Das VPN läuft, Seiten laden auch aber dein Pi-hole blockt unterwegs keine Werbung?
In diesem Fall verwendet der Client nicht das Pi-hole als DNS.
Überprüfen kannst du das in der WireGuard-App: dort gibt es einen Abschnitt „DNS Server“. Steht hier nichts oder ein öffentlicher Resolver, läuft alles am Pi-hole vorbei.
Trage in den Server-Einstellungen von WG-Dashboard die Pi-hole-IP (z. B. `192.168.1.5`) ein und synchronisiere den Client neu.
Ab sofort laufen alle DNS-Anfragen über das UCC, und Pi-hole filtert auch unterwegs zuverlässig Werbung und Tracking.
### Keine Verbindung von außen
Wenn sich der Client gar nicht erst verbindet, liegt das fast immer am Router.
Der Port `51820/udp` muss auf die IP des WireGuard-Containers weitergeleitet werden.
Fehlt diese Weiterleitung oder ist sie falsch gesetzt, kommen die Anfragen nie bis zum Server durch.
Kontrolliere daher im Router die Regel:
- Extern: 51820 (UDP)
- Intern: 192.168.1.7:51820
> [!NOTE]
> Manche Provider blockieren ungewöhnliche Ports oder setzen DS-Lite ein. In diesem Fall kann eine Verbindung nur über IPv6 oder über einen alternativen Port funktionieren. Das prüfen wir im Premium-Teil.
### Zusammenfassung
- **Dashboard nicht erreichbar** → Service läuft nicht. Starten und Logs prüfen.
- **Client verbunden, aber kein Internet** → IP-Forwarding fehlt.
- **Interne Dienste nicht erreichbar** → AllowedIPs anpassen, Heimnetz ergänzen.
- **Werbung unterwegs sichtbar** → DNS im Dashboard auf Pi-hole stellen.
- **Verbindung schlägt komplett fehl** → Router-Portfreigabe prüfen.
So erkennst du die typischen Fehler schnell wieder. Entscheidend ist: Verstehe immer, **warum** ein Problem entsteht dann bist du beim nächsten Mal nicht auf Ausprobieren angewiesen, sondern kannst es gezielt beheben.
---
## Ergebnis
Mit diesem Kapitel haben wir unser UCC um einen entscheidenden Baustein erweitert:
WireGuard sorgt für die sichere Verbindung nach innen, WG-Dashboard für eine benutzerfreundliche Verwaltung.
Damit stehen uns ab sofort alle Möglichkeiten offen, von unterwegs auf das Kontrollzentrum zuzugreifen, ohne unnötige Risiken einzugehen.
**Praktische Ergebnisse dieses Kapitels:**
- Der **VPN-Server** läuft stabil im eigenen Container und ist klar vom Rest der Umgebung getrennt.
- Über die **Weboberfläche von WG-Dashboard** lassen sich Server und Clients jederzeit komfortabel verwalten.
- Ein **erster Client** (z. B. das Smartphone) ist erfolgreich angebunden und kann sich von außen verbinden.
- **Portfreigaben am Router** sind minimal und klar definiert: nur der UDP-Port 51820, sonst nichts.
- Mit **Pi-hole als DNS** profitieren wir auch unterwegs vom Werbe- und Tracking-Schutz.
Damit verändert sich die Nutzung des UCC grundlegend.
Vorher waren wir darauf beschränkt, nur von zu Hause auf interne Tools und Oberflächen zuzugreifen. Jetzt reicht ein Klick in der WireGuard-App, und wir sind so eingebunden, als säßen wir direkt vor Ort im Heimnetz.
Das bedeutet konkret:
- Admin-Oberflächen und Dashboards bleiben **nicht im Internet sichtbar**, sondern sind nur über das VPN erreichbar. Das schützt effektiv vor Bruteforce-Angriffen und automatisierten Scans.
- **Pi-hole blockt Werbung** nicht nur im heimischen WLAN, sondern auch auf Conventions, im Hotel oder unterwegs im Mobilfunknetz.
- **SSH und Terminalzugriffe** sind sicher möglich, ohne dass wir Ports für die Shell freigeben müssen.
- Content Creator haben eine stabile Umgebung, die auch unterwegs gleich funktioniert egal ob für Streaming-Tools, Test-Container oder Verwaltung.
👉 *Screenshot geeignet: WG-Dashboard mit aktivem Server, einer eingerichteten Subnetz-Konfiguration und mindestens einem verbundenen Client.*
> [!TIP]
> Mit WireGuard und WG-Dashboard hast du ab sofort die Wahl:
> - **Split-Tunnel:** nur das UCC ist erreichbar, Internet bleibt direkt.
> - **Full-Tunnel:** der gesamte Internetverkehr läuft über dein Heimnetz, inklusive Pi-hole-Filterung.
> Beide Varianten lassen sich jederzeit im Dashboard umstellen und an deine Bedürfnisse anpassen.
## Ausblick
Mit dem VPN haben wir nun eine sichere Grundlage geschaffen.
Im nächsten Kapitel kümmern wir uns um **Vaultwarden** unseren zentralen Passwort-Manager im UCC.
Damit legen wir den Grundstein für sichere Logins und Zwei-Faktor-Authentifizierung, die uns sowohl bei öffentlichen Diensten als auch bei internen Tools schützt.
Reference in New Issue View Git Blame Copy Permalink