Hetzner Cloud Server WireGuard DNS

[Peter68]

Da ich etwas anonymer im Netz unterwegs sein möchte, habe ich mir bei Hetzner einen kleinen Cloud Server zugelegt. Darauf habe ich Wireguard Installiert und meinen Rechner damit verbunden. Jetzt möchte ich AdGuardHome (nutze auch Unbound-DNS) welches auf meiner OPNsense läuft, auch gern nutzen. Das ganze läuft auch, bin nur nicht sicher ob es der richtige weg ist.

Beim Client (Rechner) habe ich meine Home IP als DNS eingetragen und eine Portweiterleitung eingerichtet. Hetzner IP - WAN Adresse 53 - OPNsense 53 und die Werbung wird schön rausgefiltert. IP-Adresse im Netz erscheint von Hetzner auch der standort.  Ist der Ansatz soweit ok oder gibt es eine bessere Lösung.

Ich möchte irgendwann mal, wenn es stabil läuft, dass meine komplette OPNsense darüber läuft

Gruß

[knebb]

Moin,

mir ist nicht ganz klar, was Du erreichen willst?

• Werbung weg?
• IP verschleiern?
• DNS selbst hosten?

Ich denke aber, dass Du ein wenig eine fahlsche Vorstellung hast, was Dir ein solcher Cloud-Server bringen kann... Du hast doch schon im LAN eine OPNSense, damit kannst Du doch eigentlich alles machen, dann braucht es doch keinen Cloud-Server mehr zusätzlich?


/KNEBB

[Peter68]

Werbung ist schon weg, DNS läuft auch. IP verschleiern wäre das, was ich möchte. Sowas wie ein eigener VPN. Mit dem Cloud Server wollte ich einfach etwas Testen, kostet auch nicht so viel und andere in der Familie, könnten auch ihren Nutzen haben.
Meine OPNsense möchte ich erstmal so lassen, hängt zu viel dran. Das mit Tor, wenn du das meinst, hab ich nie richtig zum laufen bekommen.
Plan ist, dass mal alles über die cloud läuft, habe aber schon bemerkt, dass sich ein paar wenige Seiten nicht öffnen.

[Patrick M. Hausen]

Du kannst natürlich den ganzen Traffic über einen WG-Tunnel durch den Cloud-Server routen. Da it bist du aber doch weniger anonym unterwegs als sonst. Der Cloud-Server hat schließlich feste IP-Adressen ...

[Peter68]

Denke ich falsch? Man sieht doch nur die Cloud IP und nicht meine echte? Verbindung geht alles durch einen WG-Tunnel. Wie kann ich das mit meiner OPNsense im LAN besser hinbekommen? Ich war der Meinung über die Cloud und WG-Tunnel wäre Perfekt, nur für die DNS-Verbindung wollte ich meine OPNsense mit einbinden.

[Patrick M. Hausen]

Und die Cloud-IP ist doch mit dir verknüpft. Du hast doch ein Konto bei Hetzner mit Namen, Kreditkartennummer und sonst noch was ...

Hetzner weiß genau so viel über dich wie der Provider deines DSL-Anschlusses. Und Behördenoder wer auch immer, dann natürlich auch.

[Peter68]

Ich möchte keine Illegalen Dinge machen, mir geht es darum, dass nicht jeder meine IP nachverfolgen kann. Mir ging es bei der Frage mehr darum, ob es einen besseren weg gibt meinen AdguarHome in den WireGuard Tunnel mit einzubinden. Adguard auf dem Server zu installieren, soll nicht der beste weg sein. Die Frage ist, ist es sicher genug den Port 53 nur für die feste IP vom Server zu öffnen, auf meiner OPNsense?

[Patrick M. Hausen]

Ja aber die Cloud-Server-IP ist doch deine. Genau so wie die von deinem DSL-Anschluss. Die ist keinen Deut anonymer.

Zum WireGuard mach mal bitte eine Übersicht-Skizze, ich blicke nur aus deinem ersten Posting wirklich nicht durch.

[Peter68]

Ja es ist meine IP, wenn man aber auf diese IP einen Scan macht, geht es nicht direkt auf meine echte IP. Also habe ich einen gewissen Schutz?

You cannot view this attachment.

Mit der Einstellung läuft es über meinen Adguard, da ich bei meinem Client die echte IP hinterlegt habe.

Wireguard Software auf dem Mac.    OPNsense   >>>   WG-Tunnel   >>>   Hetzner_Cloud  >>>>>  Internet
                                                                                                                 <<<<<<<<       DNS OPNsense

[knebb]

Ja es ist meine IP, wenn man aber auf diese IP einen Scan macht, geht es nicht direkt auf meine echte IP. Also habe ich einen gewissen Schutz?

Ich glaube, Du hast das Ganze nicht verstanden- also das, wovor Du Dich "schützen" willst.

Du meinst, wenn Du Dich auf einer Webseite oder einem anderen Internet-Dienst verbindest, wird direkt ein "Scan" gefahren, der Deine IP "untersucht"? Das ist eher nicht so- wenn, dann bei "bösen Buben".

Zur Klarheit: Wenn Du einen Dienst (Webserver, Mailserver, irgendein Cloud-Dienst einer App,...) kontaktierst, wird als Absender Deine IP-Adresse mitgeschickt. Über diese IP gibt es gewisse (öffentliche!) Informationen- zB welche Firma diese hat, wo sie geolokalisert ist und manches mehr. Keine dieser Informationen lassen jedoch Rückschlüsse auf Dich zu. Ausnahme: Dein Provider, der ist der einzige, der die IP Deiner Person (Vertragspartner) zuordnen kann.

Was manche Werbenetze halt nutzebn, sind oft ganz andere Informationen wie zB Browser-Versionen, OS-Versionen, Cookies etc. Das können Sie aber auch, wenn Du über Dein Wireguard-VPN gehst. Da hast Du dann zwar eine andere IP, aber das bringt Dir Schutzmäßig nicht viel.
Kurz: Das macht nicht wirklich Sinn... ja, ist machbar aber mit einem solchen fehlerbehaftetem Setup willst Du nicht wirklich "arbeiten". Die Fehlersuche ist ein Albtraum.

Ein VPN macht nur dann Sinn, wenn Du die Informationen, die Du versendest tatsächlich Schützen musst- in autoritären Staaten zB. Für Dich macht es keinen Sinn, da die Informationen so oder so nach dem VPN wieder zT unverschlüsselt übertragen werden.

Und wenn Du meinst, ein "normaler" Scan findet durch diesen Aufbau weniger Informationen, so liegst Du auch falsch. Deine IP der OPNSense ist ja dennoch weiterhin im Internet sichtbar- sonst könntest Du ja nicht kommunizieren. Die "böse Buben" Scans nehmen einfach beliebige IP (-BEreiche) und scannen durch. Ob Du Deine IP für ausgehende Anfragen vir Wireguard Verschleierst oder nicht, spielt dabei keine Rolle. Eher im Gegenteil, Du hast ja dann sogar zwei IPs, auf denen die "bösenBuben" versuchen können, einzudringen oder Informationen abzugreifen....

Also meiner bescheidenen Meinung nach ist das vollkommener Quatsch....
/KNEBB