Andreas Moor

Warum ich SSH nur noch über WireGuard nutze – und nicht direkt ins Heimnetz weiterleite

Verfasst von

Andy

in

, , , , ,

Wer sein Homelab von unterwegs erreichen möchte, landet früher oder später bei der Frage: „Wie komme ich sicher per SSH auf mein Heimnetz?“

Die klassische Lösung: SSH-Portweiterleitung über die FritzBox. Funktioniert, ist aber offen. Und damit anfällig für Angriffsversuche aus dem Internet – auch wenn man Port 22 wechselt oder Fail2Ban einsetzt.

Die deutlich sicherere Lösung: SSH nur noch über ein VPN erreichbar machen. Und genau dafür setze ich WireGuard ein – ein leichtgewichtiges, schnelles VPN, das sich perfekt für Homelabs eignet.

Warum überhaupt ein VPN?

Ein VPN baut einen verschlüsselten Tunnel in dein Heimnetz. Sobald du verbunden bist, bist du aus Sicht deiner Geräte „lokal im Netz“ – auch wenn du am Handy oder mit dem Laptop im Zug sitzt.

  • Du brauchst keine offenen Ports im Internet
  • SSH, Home Assistant, NAS – alles ist erreichbar, aber nur über den VPN-Tunnel
  • Deine Angriffsfläche wird drastisch reduziert

Warum WireGuard?

WireGuard ist der neue Standard für moderne VPNs unter Linux. Es ist minimalistisch, sehr schnell, läuft sogar auf schwacher Hardware und lässt sich extrem einfach konfigurieren.

  • Nur wenige Zeilen Konfiguration
  • Statische Schlüssel statt komplexer Zertifikate
  • Plattformübergreifend nutzbar (Android, iOS, Linux, macOS, Windows)
  • In vielen Distributionen direkt im Kernel enthalten

Warum auf der FritzBox – und nicht auf dem Server?

Ich habe mich entschieden, WireGuard direkt auf der FritzBox zu betreiben. Der Grund: Die FritzBox ist mein Gateway – sie ist immer erreichbar, auch wenn der Futro (mein Server) mal rebootet oder down ist.

  • VPN-Zugang bleibt auch bei Serverausfall aktiv
  • Keine zusätzliche Portweiterleitung nötig
  • Ich kann auf das gesamte Heimnetz zugreifen – nicht nur auf ein einzelnes Gerät

Natürlich könnte ich WireGuard auch direkt auf meinem Futro-Server einrichten. Das wäre sinnvoll, wenn ich ein komplett isoliertes VPN nur für Linux-Dienste will – oder wenn ich spezielle Firewallregeln, VLANs oder getrennte Subnetze konfigurieren möchte.

Fazit

Statt meine Server per Portweiterleitung direkt dem Internet auszusetzen, setze ich auf WireGuard – einfach, schnell, sicher. SSH läuft bei mir nur intern. Der Zugang von außen geht nur über VPN. So habe ich Kontrolle, Übersicht und ein ruhigeres Gefühl – ohne auf Funktionalität zu verzichten.

Im nächsten Beitrag zeige ich dir Schritt für Schritt, wie du WireGuard auf deiner FritzBox oder einem Linux-Server einrichtest – inklusive Beispielkonfiguration und Tipps zur Schlüsselverwaltung.

Kommentare

Kommentar verfassen

Weitere Beiträge