Um den Heimserver aus dem Internet erreichen zu können, braucht man zunächst eine eigene Domäne, über die man auf den eigenen Server zugreift. Ich zeige die Einrichtung am Beispiel von dynv6 und Ionos, aber es kann auf ähnliche Art auch mit anderen Anbietern umgesetzt werden.
Falls man eine feste IP-Adresse hat, ist es einfach. Man muss diese nur mit einer Domäne verknüpfen, indem man sich einen Anbieter für Domänennamen aussucht, und dort die eigene IP-Adresse im A- (für IPv4) bzw. AAAA-Record (für IPv6) hinterlegt. Dann kann man den folgenden Teil überpringen und mit der Port-Weiterleitung weitermachen.
Statischer Name für Dynamische IP-Adresse
In den meisten Fällen bekommt man vom Anbieter aber eine dynamische IP-Adresse zugewiesen. In diesem Fall muss man einen DynDNS-Anbieter (steht für Dynamic Domain Name System) wie dynv6 nutzen. Richtet man dort eine Domäne ein und informiert den Dienst in regelmäßigen Abständen über die eigene IP-Adresse, werden die A- und AAAA-Records regelmäßig auf die dann jeweils gültige IP-Adresse aktualisiert.
Bei dynv6 legt man sich hierfür zunächst eine Domäne an. Das kann ein Domänenname bei dynv6 selbst sein (dann wäre der Domänenname z.B. ich.dynv6.net), oder aber ein Domänenname, den man bereits besitzt.
Existierende Domäne
Letzteres war bei mir der Fall. Ich habe schon eine Domäne bei Ionos und habe entschieden, meinen Heimserver über „home.<meinedomaene>“ erreichbar zu machen. Dazu muss man bei Ionos die Verwendungsart der Subdomäne so konfigurieren, dass ein eigener Nameserver genutzt wird.
Dann konfiguriert man die Nameserver, indem man alle existierenden Einträge für die Subdomäne löscht und dafür drei NS-Records für die Nameserver von dynv6 anlegt (ns1.dynv6,com, ns2.dynv6,com und ns3.dynv6,com). Am Schluss soll das dann so aussehen:
Ruft man anschließend diese Subdomäne auf, wird der Aufruf an den dynv6-Nameserver geschickt, der dann über die konfigurierte IP-Adresse auf den Heimserver zugreift.
Grundsätzliche Einrichtung
Als Typ für die Domäne wählt man bei dynv6 „Single Zone“ aus. Es wird dann neben der Domäne selbst unter „Zones“ eine zugehörige Zone erstellt. Diese sollte man jetzt anpassen, sonst kann man nicht alle Subdomänen an den Heimserver weiterleiten (und das wollen wir später machen). Dazu die Zone auswählen und unter „Records“ wie folgt anpassen:
- Erstmal alles löschen, was schon dort steht.
- Einen Eintrag vom Typ „A“ einfügen. Unter „Name“
*.<domain>eintragen und „Data“ leer lassen. - Einen Eintrag vom Typ „AAAA“ einfügen. Unter „Name“
<domain>eintragen und bei „Data“ den Host-Teil der IPv6-Adresse einfügen, also die IPv6-ID des Heimservers. In einer Fritzbox findet man diese wenn man unter „Heimnetz–Netzwerk“ die Daten des Heimservers öffnet. Sie steht dort unter „IPv6 Interface-ID“. Nach der Eingabe wird dann übrigens die gesamte IPv6-Adresse angezeigt (also acht Blöcke mit je vier Stellen, nicht nur vier Blöcke). Nicht wundern. Klickt man „Edit“, um sie zu ändern, ist auch weiterhin nur die Interface-ID eingetragen.
Das Ergebnis sieht dann in der Tabelle etwa so aus:
| Type | Name | Data | |
|---|---|---|---|
| A | *.<domain> | not set <IPv4 address> | edit delete |
| AAAA | <domain> | <IPv6 address> | edit delete |
Jetzt fehlt nur noch der letzte Schritt. In den Einstellungen der Zone steht unter „Instructions“ wie man die IP-Adresse regelmäßig aktualisiert. In der Fritzbox ist das ziemlich einfach, weil es dort einen entsprechenden Eintrag gibt. Leider passen die Anweisungen zumindest bei der Fritzbox nicht für IPv6, da dann die IPv6-Adresse der Fritzbox, aber nicht des Heimservers eingetragen wird. Stattdessen muss die Konfiguration folgendermaßen geändert werden:
http://dynv6.com/api/update?hostname=<domain>&token=<username>&ipv4=<ipaddr> http://dynv6.com/api/update?hostname=<domain>&token=<username>&ipv6=::homeserver-id&ipv6prefix=<ip6lanprefix>Dabei ist homeserver-id zu ersetzen durch die im AAAA-Eintrag konfigurierte IPv6-ID des Heimservers. Also z.B. ::1234:567:890:abcd.
Hat man keine Fritzbox oder einen anderen Router, der die DynDNS-Benachrichtigung erledigt, muss man die Aktualisierung der IP-Adresse im „schlimmsten“ Fall über ein Skript machen, das man z.B. hier finden kann.
Wenn alles korrekt eingerichtet ist, sollte die Eingabe von http://<domain> die Seite des Routers öffnen, wobei Änderungen an A- und AAAA-Records gerne mal ein paar Minuten dauern können.
Port-Weiterleitung
Um den Zugriff aus dem Intranet über HTTP und HTTPS an den Heimserver zu ermöglichen, muss man im Router jetzt noch Port-Weiterleitungen hierfür einrichten. HTTP wird dabei in der Regel über Port 80 und HTTPS über Port 443 abgewickelt. Theoretisch kann man auch andere Ports nutzen und dann am Heimserver auch entsprechend konfigurieren, aber dann muss man im Browser immer Ports mit angeben. Und sicherer ist es auch nicht wirklich, weil ein einfacher Port-Scan letztlich offenlegt, welche Ports man stattdessen nutzt. Es ist also nur unnötiger Aufwand.
Während der Einrichtung empfiehlt es sich, auch noch die Ports 21 (FTP) und 22 (SSH) durchzureichen, falls man etwas von unterwegs konfigurieren möchte. Später kann man diese Ports dann wieder entfernen, um mögliche Angriffe von außen zu erschweren.
Hier ein Screenshot von der Fritzbox für die Weiterleitungen für IPv4 (links) und IPv6 (rechts):
Theoretisch kann man auch auf Port 80 verzichten, um alles über das sicherere HTTPS abzuwickeln. Da ich aber ein fauler Mensch bin, und lieber app.home.meinedomaene im Browser eingebe als https://app.home.meinedomaene, habe ich das anders gelöst. Der Reverse Proxy (dazu kommen wir später noch) lenkt alle HTTP-Anfragen im Browser um auf HTTPS. Damit erreiche ich das selbe, erleichtere mir aber die Eingabe im Browser.
Wenn Sie diese Felder durch einen Klick aktivieren, werden Informationen an Facebook, Twitter, Flattr, Xing, t3n, LinkedIn, Pinterest oder Google eventuell ins Ausland übertragen und unter Umständen auch dort gespeichert. Näheres erfahren Sie durch einen Klick auf das i.
