**Ein Heimserver kann über das Internet von überall genutzt werden. Dafür gibt es zwei Methoden, die sich in der Art der Nutzung und der Konfiguration unterscheiden.**
Geräte im Heimnetz sind standardmäßig nicht direkt von außen über das Internet erreichbar. Die Gründe dafür sind die begrenzte Anzahl von IP-Adressen und die Sicherheit. Wenn Dienste nicht offen über das Internet angeboten werden, können unberechtigte Personen nicht auf den Server zugreifen und über Sicherheitslücken oder einen unzureichenden Schutz das lokale Netzwerk kompromittieren. Sie selbst oder andere Personen können dennoch einen Zugang aus der Ferne erhalten. Dieser Artikel stellt zwei Techniken vor, die das ermöglichen.
## Technische Grenzen und Voraussetzungen
Die meisten Internetanschlüsse sind für den Zugriff auf einen Heimserver inzwischen schnell genug. Die maximale Uploadgeschwindigkeit entspricht dabei der Downloadgeschwindigkeit des Servers. Bei 40 MBit/s können Sie mit einer Transferrate von ungefähr 4,5 MB/s rechnen, bei 250 MBit/s (Glasfaser) schon mit gut 30 MB/s. Für die meisten Webanwendungen sind 40 MBit/s mehr als genug, beim Download größerer Dateien muss man sich jedoch etwas in Geduld üben. Die Transferrate sinkt beim gleichzeitigen Zugriff mehrerer Personen, sodass sich DSL-Tarife nur für die Selbstnutzung oder einen sehr begrenzten Personenkreis eignen.
**Netzwerk hinter der Firewall:** Der Router erhält vom Internetanbieter eine öffentliche IP-Adresse für den Zugang zum Internet und steuert die Verbindungen aller Geräte im lokalen Netzwerk über NAT (Network Address Translation). Dabei leitet der Router die Ergebnisse einer Internetanfrage an das Gerät weiter, das die Anfrage initiiert hat. Ein Server dagegen wartet passiv auf Anfragen, die der Router von der öffentlichen IP an seine lokale IP weiterleiten muss. Diese Weiterleitung können Sie über die Weboberfläche des Routers konfigurieren.
**IP-Adressen:** Damit der Fernzugriff zuverlässig funktioniert, muss der Router vom Provider eine IPv4-Adresse erhalten („WAN-IP“). Einige Anschlüsse bieten nur Dual-Stack Lite („DS-Lite“) mit einer öffentlichen IPv6-Adresse. Dann funktioniert der Fernzugriff nur, wenn auch der Client-PC eine IPv6-Verbindung hergestellt hat, was nicht überall gewährleistet ist. Sehen Sie in den Vertragsunterlagen oder der Weboberfläche des Routers nach, welcher Verbindungstyp genutzt wird. Bei einigen Anbietern können Sie gegen Aufpreis Dual-Stack aktivieren lassen. Dann erhalten Sie auch eine öffentliche IPv4-Adresse. Eine feste IPv4-Adresse bietet mehr Komfort, was sich der Provider aber ebenfalls bezahlen lässt. Andernfalls können sich die IP-Adressen ändern, entweder nach einem Neustart des Routers oder wenn der Internetanbieter eine regelmäßige Zwangstrennung durchführt. Auf Letzteres verzichten die meisten Internetanbieter inzwischen jedoch.
**Domainnamen verwenden:** Ein Domainname für das eigene Netzwerk erleichtert den Zugang, insbesondere bei häufig wechselnden IP-Adressen. Dienste für dynamisches DNS bieten eine kostenlose Subdomain an, etwa https://dynv6.com oder https://freedns.afraid.org. Die Aktualisierung der IP erfolgt automatisch über den Router oder per Script auf dem Server. Anleitungen finden Sie auf den jeweiligen Websites. Einige Routerhersteller stellen ebenfalls kostenlose Domains bereit, etwa AVM für die Fritzbox. Hier erstellen Sie in der Weboberfläche des Routers unter „Internet –› MyFRITZ!-Konto“ ein kostenloses Konto und erhalten dann eine Domain in der Form „\[ID\].myfritz.net“.
## Sicher ins Netz mit VPN
Über ein Virtual Private Network (VPN) stellen Sie eine sichere verschlüsselte Verbindung zwischen einem Gerät und einem entfernten Netzwerk her. Damit wird das entfernte Gerät Teil des Heimnetzwerks und Sie können jeden Serverdienst direkt nutzen. Allerdings eignet sich VPN nur für einen kleinen Personenkreis, weil jeder Teilnehmer den VPN-Client selbst konfigurieren muss.
Am komfortabelsten gelingt die Einrichtung eines VPN mit Wireguard (www.wireguard.com) für Besitzer einer Fritzbox ab Fritz-OS 7.50. Richten Sie zuerst über die Fritzbox-Oberfläche unter „Internet –› MyFritz!-Konto“ ein Konto ein. Alternativ konfigurieren Sie unter „Internet –› Freigaben –› DynDNS“ einen anderen Anbieter.
Gehen Sie auf „Internet –› Freigaben –›VPN (WireGuard)“, klicken Sie auf „Verbindung hinzufügen“, belassen Sie die Option „Einzelgerät verbinden“ und klicken Sie auf „Weiter“. Geben Sie der Konfiguration eine aussagekräftige Bezeichnung und klicken Sie auf „Fertigstellen“. Über den angezeigten QR-Code konfigurieren Sie mobile Geräte oder Sie speichern nach Klick auf „Einstellungen herunterladen“ die Konfigurationsdatei für einen PC. Erstellen Sie für jeden Wireguard-Client eine eigene Konfiguration, wenn mehrere Personen oder Geräte die Verbindung nutzen sollen.
Die Clientsoftware ist für Android (http://bit.ly/3ZvbeyN) und iOS (http://bit.ly/41vjzEp) verfügbar. Nutzer von Ubuntu 24.04/Linux Mint 21.1 oder höher öffnen „Erweiterte Netzwerkkonfiguration“, klicken auf die „+“-Schaltfläche und wählen „Gespeicherte VPN-Konfiguration importieren“. Nach einem Klick auf „Erstellen“ öffnen Sie die von der Fritzbox erzeugte Konfigurationsdatei.
**Wireguard ohne Router:** Sie können Wireguard auch auf Ihrem Server installieren, was am einfachsten per Script erfolgt (https://github.com/angristan/wireguard-install). Starten Sie unter Ubuntu oder Debian folgenden Befehl im Terminal:
`sudo su -c "bash <(wget -O- ``https://m6u.de/WGINST``)"`
Das Script fragt die Optionen der Konfiguration nacheinander ab. Es erzeugt einen QR-Code für mobile Geräte und für PCs die Datei „wg0-client-\[Name\].conf“. Den Wireguard-Dienst startet das Script über ein Systemd-Unit automatisch. Für weitere Clientkonfigurationen rufen Sie das Script erneut auf. Damit der Dienst über das Internet erreichbar ist, geben Sie den konfigurierten Port frei wie im nächsten Abschnitt beschrieben. Weiterführende Informationen zu Wireguard finden Sie unter https://www.pcwelt.de/1789345.
## Klassische Portfreigaben verwenden
Mit einer Portfreigabe weisen Sie den Router an, einzelne Portanfragen von außen an eine bestimmte IP-Adresse im lokalen Netz weiterzuleiten. Dadurch kann jede Person, die die IP-Adresse oder den Domainnamen Ihres Netzwerks kennt, auf die Serverdienste zugreifen. Das kann als sicher gelten, solange die Dienste ausreichend durch starke Passwörter geschützt sind und die Software sich stets auf dem aktuellen Stand befindet.
Wie genau die Konfiguration des Routers durchzuführen ist, hängt vom jeweiligen Modell ab. Auf https://portforward.com finden Sie Anleitungen für zahlreiche Geräte in englischer Sprache. Bei einer Fritzbox gehen Sie auf „Internet –› Freigaben –› Portfreigaben“. Klicken Sie auf „Gerät für Freigaben hinzufügen“ und wählen Sie Ihren Server hinter „Gerät“. Dann klicken Sie auf „Neue Freigabe“, wählen die Option „Portfreigabe“ und hinter „Anwendung“ den gewünschten Dienst, beispielsweise „HTTP-Server“ für einen Webserver. Verwenden Sie „Andere Anwendung“ etwa für Wireguard oder den SSH-Server, und tragen Sie die benötigten Ports ein.
