eskortes Codeberg Pages

Selfhost Wireguard VM RPi Alternative

2022/12/16

Selfhost: Mit Wireguard verbundene Cloud-VM anstatt Raspberry Pi

Seit Fritz!OS v7.50 können FritzBoxen Wireguard-Verbindungen herstellen1). Das ermöglicht neue Möglichkeiten  der Konnektivität. Wer daheim eine Applikation hosten möchte und durch die anhaltend schwierige Beschaffungssituation von Raspberry Pis nach Alternativen Ausschau hält, bekommt hiermit eine neue Option: Ein Site-to-Site VPN zwischen einer Cloud-VM und dem Heimnetz. Motiviert durch den Heise-Artikel Fritzbox-VPN: Was WireGuard ausmacht und wie man es konfiguriert hab ich es einmal ausprobiert.

Cloud-VM

Je nach Größe der Applikation mietet man sich eine Cloud-VM bei einem der gängigen Anbieter. Man hat keinen Stress mit deren Betrieb, kann sich ein Backup dazuklicken, hat keinen Stromverbrauch, und wenn die Resourcen gerade nicht benötigt werden bekommt sie durch den Shared-Ansatz halt jemand anders ;-)

Ich gehe in dem Beispiel von einer Debian11-Linux-VM  aus.

Fritz-Konfiguration

Unter Internet -> Freigaben -> VPN (WireGuard) fügt man eine Verbindung hinzu, Benutzerdefinierte Einrichtung:

Dann vergibt man einen Namen und Netz (nicht das daheim verwendete Netz, ein neues! Hier: 192.168.50.0/255.255.255.0) und lädt sich die Konfigurationsdatei herunter.

VM-Konfiguration

Die neue VM benötigt Wireguard als Paket:

apt-get update && apt-get install wireguard

Die heruntergeladene Konfigurationsdatei wird unter

/etc/wireguard/wg0.conf

abgelegt und aktiviert:

systemctl enable --now wg-quick@wg0

In dem Moment hat die VM die IP 192.168.50.1 und sollte die heimische FritzBox anpingen können:

root@debian# ping 192.168.178.1
PING 192.168.178.1 (192.168.178.1) 56(84) bytes of data.
64 bytes from 192.168.178.1: icmp_seq=1 ttl=64 time=36.2 ms
64 bytes from 192.168.178.1: icmp_seq=2 ttl=64 time=34.0 ms

Ich habe zum Test die App evcc zum eAuto-Lademanagement installiert.

evcc eAuto Lademanagement

Sicherheit

Die VM hat Zugriff auf das Heimnetz, dessen sollte man sich bewusst sein. D.h. man muss dem VM-Provider vertrauen. Wenn dies nicht gegeben ist sollte man eine Firewall vor das Heimnnetz stellen und den Zugriff reglementieren.

Fazit

Die hier gezeigte Konfiguration zeigt eine einfache Möglichkeit auf sein Heimnetz einfach und günstig zu erweitern um Applikationen zu hosten.

Kommentare bitte auf Mastodon

1) Speedport-Router können dies schon länger, hier läuft jedoch schon immer ein AVM-Router so dass ich dies jetzt erst testen konnte