Um von unterwegs an ein Heimnetz zu kommen, muss die eigene öffentliche IP bekannt sein, und da sie sich ständig ändert, braucht es einen Hilfsdienst.
DynDNS ist hierfür das Zauberwort, DynamischesDNS. Wer eine Fritzbox der Firma AVM als Plasterouter betreibt kann sich jetzt ganz einfach einen DynDNS Dienst in der Verwaltungsoberfläche der Fritzbox einrichten, denn AVM bietet seinen Kunden das kostenlos mit an.
Was macht DynDNS denn?
Der eigentliche Dienst wird auf einem Server im Internet bereitgestellt. Dort muss man ein Konto einrichten, erhält Benutzername und Kennwort und darf sich einen freien FQDN ( remember? FullQualifiedDomainName ) reservieren mit dem man dann später sein Heimnetz erreichen kann.
Das ist dann sowas wie
pa54678.dyndns.org,
– wie das Ding heisst ist erstmal völlig egal, hauptsache es ist einmalig.
Dieses Konto trägt man in den DynDNS-Bereich seines Plasterouters ein und veranlasst damit, daß der Plasterouter jedesmal wenn er vom Provider eine neue IP-Adresse bekommt, diese beim DynDNS-Dienst einträgt.
Und schon ist es ganz egal welche IP-Adresse unser Plasterouter hat, unser VPN-Client kann unser Heimnetz mit pa54678.dyndns.org erreichen.
AVM macht es einem da einfach wie gesagt, der Besitzer anderer Hardware muss sich da meist selber um ein Konto bei einem kostenlosen oder bezahlten DynDNS-Dienst kümmern. Bei DynDNS selber reden wir da von ein paar Euro im Jahr, das war früher mal kostenlos. Eine Suche im Netz bringt reichlich Auswahl, aber kostenlos heisst nicht immer gut. Zwei Kriterien sollten mitgesucht werden: Zuverlässigkeit und Standort. Von einem DynDNS Dienst in China oder Ukraine würde ich abraten, selbst wenn die Geld zahlen…
Am Ende muss der Plasterouter eine Meldung wie „DynDNS erfolgreich angemeldet“ irgendwo auf seiner Übersichtsseite anzeigen.
Ist das eingerichtet, kann es weitergehen.
Ich hab das schon, ausserdem auch meinen VPN auf dem Plasterouter, kann ich den nicht einfach weiternutzen?
Ja und nein, bzw. auch
Beispiel:
Ich habe jetzt zwei Kameras am Plasterouter im DMZ und muss oder will garnicht weiter ins Heimnetz. Klar Ja!
Ich möchte auch von unterwegs an gateway per SSH kommen, wenn da aus irgendeinem Grund openVPN nicht mehr geht.
Ganz klar Ja! Aber dann bitte mit einer Portweiterleitung vielleicht tcp 522 Plasterouter/Internet zu tcp 22 gateway/net. Port 22 im Internet würde ich nie aufmachen, weil die ganzen Kraken da draussen die Standardports dauernd abklopfen und bei Antwort sofort schauen ob man reinkommt.
Ich möchte aber auch ins Heimnetz und meine Temperatur messen.
Ganz klar Auch. Ein eigener VPN fürs Heimnetz zusätzlich ist nötig.
Muss das denn openVPN sein?
Ganz klar Nein!
Es darf gerne auch WireGuard oder auch der ProfiSwitch mit eingebautem VPN sein, das kann ich hier bloss nicht zeigen, weil ich keine Ahnung davon habe. Soviel vielleicht: WireGuard kann direkt auf gateway aufgesetzt werden wie openVPN auch, ein ProfiSwitch braucht eine entsprechende Portweiterleitung Plasterouter > gateway > Profiswitch, dann geht das auch. Vielleicht muss man noch ein Auge auf die Routen werfen, wenn irgendwas hängenbleibt.