Starlink on Christians Blog

VPN Verbindung mit dem Heimischen Router

Sat, 29 Nov 2025 06:25:40 +0100

Wie man anderen vorgaukelt, man sei zu Hause

Die Idee hierzu kam, weil ich mir vor ein paar Tagen einen alternativen TV-Anbieter geklickt habe. Da ich hier keine Werbung machen will, ist es erst mal egal, welcher das ist. Das Problem hierbei ist: Dieser Anbieter blockiert einige TV-Programme, wenn man nicht im heimischen Netzwerk ist. Gut, ich könnte jetzt diese Option für eine kleinere Summe dazubuchen, aber warum, wenn ich mir dieses Geld sparen kann?! Und auch, weil ich hier dann mal erklären kann, wie man ein VPN mit der Fritz!Box erstellt. Jetzt habe ich ja eine.

D.h. ich muss dem TV Client / dem TV-Anbieter nur zeigen, dass ich sei zu Hause, obwohl ich es in Wirklichkeit nicht bin. Doch wie geht das? Das will ich hier in diesem Tutorial erklären. Man darf hier das jetzt nicht falsch verstehen. Ich kann mit einer VPN Verbindung zum Heimischen Netzwerk solche Dinge umgehen. Jedoch sollte man es in erster Linie auch von der Seite sehen, dass eine VPN Verbindung mehr Sicherheit in Öffentlichen Netzwerken bietet. Denn wer sich gerne mit seinem Laptop in ein Internet Caffee setzt, sollte sich darüber im Klaren sein, dass solche Orte auch gerne von Menschen genutzt werden, die eben nicht da abhängen, einen Kaffee trinken und mit Ihrem Laptop im Netz rum surfen. Denn so einen AccessPoint kann man auch gut fälschen und dann werden eure Daten mitgelesen. Und zwar alles: Zugangsdaten von Bankkonten, Facebook, Instagram etc. Wenn ich also eine VPN Verbindung nutze, dann ist die Verbindung schon ab verlassen des Laptops verschlüsselt und es funktionieren solche Abhörmethoden, sog. Man in the Middle Angriffe nicht mehr.

Eine solche VPN Verbindung eignet sich auch u.a. dafür, wenn man so wie ich aktuell, einen Internetprovider hat, der einem keine öffentliche IP Adresse gibt.

Telekom, Vodafone etc. bei denen bekommt Ihr eine eigene IP Adresse, über die Ihr, bzw. euer Router zu erkennen ist. Bei Anbietern wie StarLink hat man das nicht. Da teilt man sich eine IP Adresse mit mehreren anderen Nutzern, ähnlich wie beim Mobilfunknetz.

StarLink nutzt CGNAT. CGNAT ist eine Technik, bei der ein Internetanbieter eine einzige öffentliche Internetadresse für viele Nutzer gleichzeitig benutzt.

Jeder Nutzer bekommt eine eigene, private Adresse, die aber nicht direkt im Internet sichtbar ist. Wenn ein Nutzer etwas im Internet macht, wird seine private Adresse von CGNAT in die gemeinsame öffentliche Adresse umgewandelt, damit die Daten zurück zum richtigen Nutzer finden.

Das bedeutet: Mehrere Nutzer teilen sich eine Internetadresse, was aber dazu führen kann, dass manche besondere Dinge wie eigene Server schwer oder gar nicht gehen. Das machen die Anbieter so, weil es nicht genug einzelne Internetadressen für alle gibt. Mit einer VPN Verbindung kann man so etwas umgehen.

VPN ist Lösung

Viele Firmen nutzen diese Möglichkeit bereits, um Ihre Mitarbeiter im HomeOffice auf das Firmennetzwerk zugreifen zu lassen. Die Wahl der Verbindungen, als über was man eine VPN Verbindung herstellt ist, sind unterschiedlich.

Ich will das hier nur mal erwähnen, bevor hier die Fragen aufkommen, was gibt es denn für alternativen?

In diesem Tutorial werden wir WireGuard in Verbindung mit einer Fritz!Box verwenden, obwohl es noch die Möglichkeit von OpenVPN oder IPSec gibt. Ich hab hier mal eine Tabelle gebastelt, die die unterschiede aufzeigen soll:

Frage aus Sicht des Heimanwenders	WireGuard	OpenVPN	IPsec
Wofür brauche ich das?	Sicher von unterwegs ins Heimnetz oder zur Fritzbox verbinden, z.B. um auf NAS oder Dateien zuzugreifen.	Dasselbe: sicher ins Heimnetz oder zu einem VPN‑Dienst verbinden.	Häufig für Firmen‑VPN oder Router‑zu‑Router‑Verbindungen, eher „Business‑Technik“.
Wie „modern“ ist das?	Sehr moderne, neue Technik, auf Sicherheit und Geschwindigkeit ausgelegt.	Bewährt und seit vielen Jahren im Einsatz, sehr verbreitet.	Klassiker im Unternehmensbereich, seit Langem Standard auf Routern und in Firmen.
Geschwindigkeit beim Surfen/Streaming	Meist am schnellsten, oft kaum Unterschied zum normalen Internet.	Kann etwas langsamer sein, reicht aber für Surfen und Streaming meistens locker.	In der Praxis meist schneller als OpenVPN, aber oft etwas langsamer als WireGuard.
Wie leicht kann der Anbieter mich sperren?	Nutzt einen speziellen Datenweg (UDP), lässt sich erkennen und in manchen Netzen einfacher blocken.	Kann sich gut tarnen, sieht für Außenstehende oft wie normaler Webseiten‑Verkehr aus (z.B. über Port 443).	Hat typische, feste Merkmale und Ports, wird von strengen Netzen relativ leicht erkannt und geblockt.
Wie aufwendig ist die Einrichtung für Laien?	Für den Nutzer oft einfach: App installieren, QR‑Code/Datei vom Anbieter scannen, fertig; für den Einrichter des Servers etwas technischer.	Je nach Anbieter: mit fertiger App oft simpel, selbst einrichten (eigener Server) kann ziemlich komplex sein.	Für Privatleute am kompliziertesten, viele Einstellungen; oft über Assistenten der Fritzbox oder Firmen‑IT.
Wo läuft das typischerweise?	Auf vielen Routern (z.B. modernen Open‑Source‑Firmware‑Routern), Smartphones und PCs; in Windows/macOS teils über Zusatzprogramme.	Sehr viele VPN‑Dienste benutzen es, es gibt Apps für alle gängigen Geräte.	Häufig direkt im Betriebssystem (Windows, iOS, Android, Router von Providern/Firmen) eingebaut.
Was merke ich als unbedarfter Nutzer?	Meist: App öffnen, Schalter auf „An“, surfen wie gewohnt; Verbindung ist flott und unauffällig.	Ähnlich: App öffnen, einloggen, verbinden; manchmal etwas längere Verbindungszeit.	Oft vom Arbeitgeber vorkonfiguriert oder über Router eingerichtet; man klickt nur auf „Verbinden“ und arbeitet dann wie gewohnt.
Sicherheit aus Heimsicht	Sehr sicher für typische Privatnutzer‑Zwecke, wenn ordentlich eingerichtet.	Ebenfalls sehr sicher, seit vielen Jahren im Alltag bewährt.	Ebenfalls sicher, aber durch die Komplexität leichter falsch zu konfigurieren – Privatanwender machen das selten selbst.

Ok, weiter im Text. Das Klassische Was brauchen wir spare ich mir, weil wir alles mit Boardmitteln unseres Linux Betriebssystems basteln werden. Wie gesagt, ich verwende hier im Tutorial WireGuard und eine Fritz!Box. Wer keine hat, sollte in seinem Router eine entsprechende Funktion für VPN finden. Der Speedport Router der Deutschen Telekom hat sowas und nutzt standardmäßig WireGuard.

Kleiner Hinweis am Rande

Noch ein kleiner Hinweis für StarLink Nutzer: Keine Sorge, diese VPN Verbindung funktioniert auch mit StarLink ohne dass man extra was einstellen muss. Wichtig ist nur: Man hat neben dem Gen3 auch noch einen weiteren Router im Einsatz, der die Internet Verbindung regelt. Also der Gen3 im Bypass Modus, der richtige Router macht den Rest.

WireGuard einrichten

Im ersten Schritt öffnen wir das Konfigurationsmenü unserer Fritz!Box im Browser. Entweder via https://fritz.box oder https://192.168.178.1. Letzteres geht nur dann, wenn man die IP Adresse der Fritz!Box nicht geändert hat.

💡 Wichtig! Die Fritz!Box sollte wenigstens Fritz!OS 7.50 haben, denn da ist WireGuard erst drin. Also ggf. einmal die Fritz!Box auf den aktuellsten Stand bringen

Gut weiter im Text. Wir gehen im Menü auf Internet -> Freigaben und wählen Links WireGuard aus.

Die Konfiguration ist eigentlich recht unkompliziert.

Wir wählen dort VPN (WireGuard) aus und klicken dann auf Verbindung hinzufügen. Wichtig ist dann im nächsten Schritt Einzelgerät verbinden auswählen, bzw. ausgewählt lassen und auf weiter. Auf der nächsten Seite dann einfach nur noch einen Namen für die Verbindung festlegen und auf Fertigstellen klicken. Die Fritz!Box wird nun eine Bestätigung für die Änderung verlangen. Wer ein Telefon mit der Fritz!Box verbunden hat, gibt dann einfach das ein, was die Meldung anzeigt, alternativ kann man unten drunter dann auf den Link klicken, die LEDs an der Fritz!Box fangen an zu blinken, einfach auf einen Schalter am Router drücken wo es blinkt und die Konfiguration ist bestätigt.

Im letzten sich öffnenden Fenster hat man dann die Optionen die Konfiguration entweder per QR Code auf dem Gerät einzurichten oder die Konfiguration herunterzuladen. Wir nehmen letzteres.

Damit ist die Einrichtung an der Fritz!Box erledigt und wir wenden uns nun der Konfiguration unter Linux zu.

WireGuard auf dem Linux Laptop installieren

Hier brauchen wir den WireGuard Client und die WireGuard-Tools.

Also machen wir folgendes:

sudo apt update && sudo apt install wireguard wireguard-tools

Ist das installiert, können wir die WireGuard Konfiguration integrieren.

Das machen über sudo nmcli connection import type wireguard file wg-laptop-cmr.conf Bitte hier den Namen des ConfigFiles anpassen und auch den Pfad.

In den Einstellungen unter Netzwerk sollte nun die WireGuard Verbindung auftauchen und auch schon aktiv sein. Unter Cinnamon lässt sich die VPN Verbindung nun ganz bequem über das Netzwerk Symbol in der Taskleiste aktivieren und deaktivieren.

Wenn die VPN Verbindung aktiv ist, testen wir das ganze mal.

Da ich meinen Laptop unterwegs über die Hotspot Funktion meines Smartphones online bringe, verbinde ich also auch hier zu Hause meinen Laptop mit dem Smartphone um so aus dem Heimischen Netzwerk zu verschwinden :D

Um zu das nun zu testen, geben wir im Terminal einfach mal folgendes ein:

dig @192.168.178.1 heise.de

oder

dig heise.de

Beides sollte eine saubere Antwort liefern.

Ein weiterer Vorteil ist: Wer einen AdGuard Home betreibt und diesen Netzwerkweit im Router als DNS eingetragen hat, nutzt den gleich mit. So ist man dann noch vor Tracking und nerviger Werbung geschützt.

Weiter gehts, für die ganz bequemen

Ich bin so einer, der vergisst auch manchmal, dass man sowas einschalten sollte, wenn ich unterwegs bin. Was also, wenn es einen Weg gäbe, sowas automatisiert geschehen zu lassen?

Kein Problem: Hier also weiter im Text VPN Verbindung für faule Leute :D

Wie man das automatisiert

Wir erstellen uns im Prinzip 2 Scripte.

Ein Script nur dafür, der quasi den Schalter darstellt, um die VPN zu aktivieren oder zu deaktivieren. Ein weiteres Script

Doch zunächst prüfen wir mal, welche Geräte überhaupt vorhanden sind und was davon verbunden ist.

Dazu nageln wir kurz nmcli devices in die Konsole.

Die Aussgabe sollte in etwa so aussehen:

DEVICE      TYPE      STATE      CONNECTION
enp3s0      ethernet  connected  Kabelverbindung 1
wlp2s0      wifi      disconnected  --
wg0         wireguard disconnected --

Merke dir die Namen:

dein LAN-Interface → z. B. enp3s0
dein WLAN-Interface → z. b. wlp2s0
dein WireGuard-VPN → z. b. WgLaptop oder wie NetworkManager den nennt

Bauen wir nun das Script. Wichtig! Die Namen der einzelnen Devices müssen noch angepasst werden, wer also das Script so 1:1 kopiert, sollte das im Hinterkopf behalten, wenn es nicht funktioniert.

Das Script erstellen wir mit sudo nano /usr/local/bin/net-auto.sh

#!/bin/bash

LAN_IF="enp3s0" # Name anpassen!
WLAN_IF="wlp2s0" # Name anpassen!
VPN_NAME="wg-laptop" # Name anpassen!

LAN_STATE=$(nmcli -f GENERAL.STATE device show "$LAN_IF" | grep -o '[0-9]*')

# 100 = connected
if [ "$LAN_STATE" -eq 100 ]; then
    nmcli radio wifi off
    nmcli connection down "$VPN_NAME"
else
    nmcli radio wifi on
    nmcli device wifi connect "DEIN_WLAN_NAME" password "DEIN_PASSWORT"
    nmcli connection up "$VPN_NAME"
fi

Anschließend sudo chmod +x /usr/local/bin/net-auto.sh

Als nächstes brauchen wir das zweite Script als Service Datei im systemd, welches wir mit sudo nano /etc/systemd/system/net-auto.service erstellen:

[Unit]
Description=Automatisches Umschalten zwischen LAN/WLAN/VPN
After=network.target

[Service]
Type=oneshot
ExecStart=/usr/local/bin/net-auto.sh

Eigentlich, wenn man richtig faul ist, braucht es noch einen Timer, der alle 10 Sekunden prüft, ob eine LAN Verbindung existiert oder ob es WLAN ist. Vorrausgesetzt man verbindet seinen Laptop auch zu Hause via LAN Kabel (ja ich weiß, per Wlan ist es einfacher, aber LAN ist halt stabiler, vor allen beim zocken.)

Doch das ist eine Geschichte, die ich ein anderes mal erzähle. Wenn man sich jetzt noch mein Tutorial über AdGuard Home anschaut, bekommt man damit einen Werbe und Trackingfilter zusätzlich, der auch Unterwegs greift.

Nextcloud vs. Starlink

Sun, 22 Jun 2025 15:15:55 +0200

Nextcloud über Starlink mit Cloudflare öffentlich machen – das Rundum-Tutorial 🚀

Du hast Starlink als Internetprovider, betreibst bereits eine Nextcloud-Instanz auf einem Linux-Server und weißt nicht, wie man das Ganze ohne extra Router von außen erreichbar macht? Dann schnapp dir einen Kaffee – ich zeige dir Schritt für Schritt, wie du das Ding über z. B. Cloudflare ins Rollen bringst.

Vorab: Cloudflare ist nur eine von mehreren Lösungen, wie man selbst gehostete Dienste von Außen erreichbar machen kann, ohne dass man dafür einen separaten Router benötigt. Und Cloudflare ist nicht unbedingt die beste Lösung. Es gibt Gründe, die gegen Cloudflare sprechen, die kann man sich bspw. bei Mike Kuketz durchlesen.

Voraussetzungen

Ein laufendes Linux-System mit installierter Nextcloud
Ein Domainname (z. B. meinecloud.de)
Ein Cloudflare-Account
Starlink-Internet (offensichtlich 😄)
Optional, aber empfohlen: ein Cloudflared Tunnel (die beste Lösung bei CGNAT)

Warum ist Starlink speziell?

Starlink verwendet CGNAT – das heißt, du bekommst keine öffentliche IPv4-Adresse. Portweiterleitungen wie bei klassischem DSL oder Kabel? Vergiss es. ABER: Mit Cloudflare bekommst du’s trotzdem hin!

Schritt 1: Domain zu Cloudflare bringen

Registriere dich auf Cloudflare.com und füge deine Domain hinzu.
Cloudflare fragt dich nach deinen DNS-Einträgen – erstmal ignorieren.
Ändere bei deinem Domain-Registrar die Nameserver auf die von Cloudflare.
Warte, bis Cloudflare die Domain übernommen hat (kann 5–15 Minuten dauern).

Schritt 2: Cloudflared Tunnel einrichten (weil CGNAT)

Da du keine Portweiterleitung machen kannst, brauchst du den „Cloudflared Tunnel“. Klingt technisch – ist aber super easy.

Installation von `cloudflared`

cloudflared ist nicht direkt aus den Debian-Repos installierbar – du musst zuerst das offizielle Repository von Cloudflare einbinden:

# 1. Cloudflare GPG-Key hinzufügen
curl -fsSL https://pkg.cloudflare.com/cloudflare-main.gpg | sudo gpg --dearmor -o /usr/share/keyrings/cloudflare-main.gpg

# 2. Repository hinzufügen
echo 'deb [signed-by=/usr/share/keyrings/cloudflare-main.gpg] https://pkg.cloudflare.com/cloudflared stable main' | sudo tee /etc/apt/sources.list.d/cloudflared.list

# 3. Paketliste aktualisieren und cloudflared installieren
sudo apt update
sudo apt install cloudflared

Tunnel einrichten

`1`	`cloudflared tunnel login`

Das öffnet einen Browser – dort mit Cloudflare einloggen und Zugriff auf deine Domain bestätigen.

`1`	`cloudflared tunnel create nextcloud-tunnel`

Damit wird dein Tunnel angelegt.

Tunnel konfigurieren

Erstelle die Konfigurationsdatei:

1
2

sudo mkdir -p /etc/cloudflared
sudo nano /etc/cloudflared/config.yml

Beispielinhalt:

tunnel: nextcloud-tunnel
credentials-file: /etc/cloudflared/<lange-hash-datei>.json

ingress:
  - hostname: cloud.meinecloud.de
    service: http://localhost:80
  - service: http_status:404

Jetzt das Ganze als Systemdienst:

1
2

sudo cloudflared service install
sudo systemctl enable --now cloudflared

Fertig. Cloudflare routed nun Traffic direkt auf deinen Server – ohne öffentliche IP!

HTTPS aktivieren (über Cloudflare)

Du brauchst kein Let’s Encrypt – Cloudflare kann TLS terminieren. Geh in der Cloudflare-Weboberfläche zu deiner Domain:

Tab: SSL/TLS
Wähle “Flexible” oder besser “Full (strict)”, wenn du ein internes Zertifikat hast.
Unter „Page Rules“ kannst du noch HTTPS erzwingen.

Testen

Geh auf https://cloud.meinecloud.de
Du solltest deine Nextcloud sehen
Einloggen, fertig 🎉

Extra-Tipps

Willst du /var/www/nextcloud absichern? Setz fail2ban und eine Firewall auf.
Nutze ufw:

1
2
3

sudo apt install ufw
sudo ufw allow OpenSSH
sudo ufw enable

Backup nicht vergessen!

Fazit

Mit Starlink + Cloudflare Tunnels ist es richtig einfach, deinen eigenen Cloud-Dienst zu betreiben – ganz ohne komplizierte Netzwerkkonfiguration. Du brauchst keine statische IP, keinen DynDNS, keine Portfreigaben.