Grundlagen
Diese Seite erklärt die wichtigsten Grundlagen hinter Nexum Control: Heimnetz-Erreichbarkeit, NAT, DS-Lite, VPS, WireGuard, AllowedIPs, Routing und Firewall.
Ziel ist nicht, jedes Detail wie in einer Fach-Dokumentation zu behandeln, sondern die Zusammenhänge so zu erklären, dass man versteht, warum ein Tool wie Nexum Control überhaupt sinnvoll sein kann.
Einstieg
Heimnetz: Dein lokales Netzwerk zu Hause. Dazu gehören zum Beispiel Router, NAS, Server, PCs, Smart-Home-Geräte oder andere interne Dienste.
Von außen erreichbar: Ein Gerät oder Dienst kann aus dem Internet direkt angesprochen werden.
Portfreigabe: Eine Router-Regel, die einen bestimmten Dienst im Heimnetz über das Internet erreichbar machen kann.
Öffentliche IPv4-Adresse: Eine Adresse, über die dein Anschluss grundsätzlich direkt aus dem Internet erreichbar sein kann.
Viele möchten von unterwegs auf ihr Heimnetz zugreifen. Zum Beispiel auf einen Server, ein NAS, eine Verwaltungsoberfläche, Plex, ein internes Dashboard oder andere Dienste.
Früher war das oft relativ einfach: Man hatte eine öffentliche IPv4-Adresse, setzte eine Portfreigabe im Router und konnte den Dienst von außen erreichen.
Heute funktioniert genau das nicht mehr bei jedem Anschluss. Besonders bei DS-Lite oder Provider-NAT ist das Heimnetz häufig nicht direkt aus dem Internet erreichbar.
Dadurch entsteht die eigentliche Herausforderung: Die Geräte zu Hause existieren zwar, aber von außen kommt man nicht einfach sauber hinein.
Genau an dieser Stelle kommen Themen wie NAT, DS-Lite, VPS und WireGuard ins Spiel. Sie sind nicht einzeln schwer – schwierig wird es, weil alle Teile zusammenpassen müssen.
Grundlage vor DS-Lite
NAT bedeutet Network Address Translation. Dabei werden IP-Adressen beim Übergang zwischen Netzwerken übersetzt.
Einfach gesagt: Ein Gerät mit privater IP-Adresse spricht nach außen über eine andere IP-Adresse.
Private IPv4-Adresse: Eine Adresse im Heimnetz,
zum Beispiel 192.168.178.20. Diese Adresse ist im Internet
nicht direkt erreichbar.
Öffentliche IPv4-Adresse: Eine Adresse, über die ein Anschluss grundsätzlich aus dem Internet erreichbar sein kann.
Beim klassischen Heimnetz-NAT hat dein Router auf der einen Seite private Geräte im Heimnetz und auf der anderen Seite eine öffentliche IPv4-Adresse im Internet.
Deine Geräte können dadurch normal ins Internet. Der Router merkt sich intern, welche Verbindung von welchem Gerät gestartet wurde, und leitet die Antworten wieder richtig zurück.
Beispiel: Dein PC im Heimnetz hat 192.168.178.20 und ruft eine Webseite auf.
Nach außen sieht die Webseite aber nicht diese private Adresse, sondern die öffentliche
Adresse deines Routers.
Wenn dein Router eine eigene öffentliche IPv4-Adresse hat, können Portfreigaben grundsätzlich funktionieren.
Bei CGNAT, also Carrier Grade NAT, passiert eine ähnliche Übersetzung nicht nur bei dir zu Hause, sondern zusätzlich beim Internetanbieter.
Mehrere Kunden teilen sich dabei eine öffentliche IPv4-Adresse des Providers. Dein eigener Router hat dann keine echte eigene öffentliche IPv4-Adresse mehr.
Das Ergebnis: Du kommst ins Internet raus, aber von außen kann man dich über IPv4 nicht direkt erreichen.
Genau deshalb werden klassische Portfreigaben in solchen Setups problematisch oder unmöglich.
Klassisches NAT zu Hause ist oft noch beherrschbar. Provider-NAT oder CGNAT nimmt dir aber die direkte Erreichbarkeit von außen.
DS-Lite
DS-Lite bedeutet Dual Stack Lite. Der Anschluss nutzt IPv6 direkt, während IPv4-Verkehr über eine Provider-Struktur abgewickelt wird.
CGNAT ist dabei die Technik, durch die mehrere Kunden eine öffentliche IPv4-Adresse teilen können.
DS-Lite ist also nicht einfach „noch eine zweite Sache neben CGNAT“. DS-Lite ist eine Anschlussart, bei der IPv4 typischerweise über Provider-NAT beziehungsweise CGNAT läuft.
DS-Lite ↓ IPv6 direkt beim Kunden ↓ IPv4 über Provider-NAT / CGNAT ↓ keine direkte eingehende IPv4-Verbindung ins Heimnetz
Für normales Surfen ist das meistens kein Problem. Du öffnest Webseiten, startest Verbindungen nach außen und bekommst Antworten zurück.
Schwierig wird es, wenn jemand von außen zu dir nach Hause verbinden soll. Genau da fehlt dir bei DS-Lite oft die direkt erreichbare öffentliche IPv4-Adresse.
Das erklärt, warum viele Heimserver-, VPN- oder NAS-Setups bei DS-Lite nicht einfach mit einer Portfreigabe lösbar sind.
Man kann sich das so vorstellen: Dein Heimnetz kann nach draußen telefonieren, aber von außen kann niemand direkt deine „Durchwahl“ anrufen, weil die öffentliche IPv4-Adresse nicht eindeutig dir gehört.
Zwischenstation
VPS / vServer: Ein gemieteter virtueller Server im Internet.
Hub: Ein zentraler Verbindungspunkt, an dem mehrere Gegenstellen zusammenlaufen.
Client: Ein Gerät, das sich mit diesem Hub verbindet, zum Beispiel ein Windows-11-PC.
Gegenstelle: Ein Teilnehmer oder Standort im VPN-Verbund.
Wenn dein Heimnetz nicht direkt erreichbar ist, kann ein VPS als erreichbarer Treffpunkt im Internet dienen.
Der VPS hat normalerweise eine öffentliche IP-Adresse. Dadurch kann er von den anderen Teilnehmern erreicht werden.
Die Idee ist dann nicht, dass jeder direkt zu dir nach Hause verbindet. Stattdessen verbinden sich die relevanten Gegenstellen zum VPS.
Windows 11 Client
↓
WireGuard-Verbindung
↓
Ubuntu Server 24.04 LTS als WireGuard-Hub
↓
weitere Gegenstellen / Heimnetz
Wichtig: Der Ubuntu Server 24.04 LTS ist dabei nicht automatisch das Tool selbst. Er ist die technische Grundlage beziehungsweise der WireGuard-Hub, über den die Verbindungen laufen.
Nexum Control soll später helfen, genau diese Struktur übersichtlicher zu verwalten.
Ein VPS oder vServer kostet je nach Anbieter und Leistung meist monatlich Geld. Er ist also kein reiner Softwarebestandteil, sondern ein zusätzlicher Baustein in der Infrastruktur.
VPN-Werkzeug
VPN: Ein verschlüsselter Tunnel zwischen Geräten oder Netzwerken.
WireGuard: Eine moderne VPN-Technik, die schlank, schnell und stabil ist.
Peer: Ein Teilnehmer in WireGuard. Ein Server kann ein Peer sein, ein Client ebenfalls.
Private Key: Der geheime Schlüssel eines Peers. Er bleibt auf dem jeweiligen Gerät.
Public Key: Der öffentliche Schlüssel eines Peers. Andere Peers brauchen ihn, um die Gegenstelle zu erkennen.
Endpoint: Die Adresse, unter der ein Peer erreichbar ist, zum Beispiel die IP oder Domain des VPS.
AllowedIPs: Eine der wichtigsten Einstellungen in WireGuard. Sie steuert Routing und Peer-Zuordnung.
AllowedIPs erfüllen in WireGuard zwei wichtige Aufgaben gleichzeitig:
Auf dem WireGuard-Hub sagt ein Peer-Eintrag zum Beispiel:
[Peer Client1] AllowedIPs = 10.0.0.2/32
Das bedeutet: Die WireGuard-Adresse 10.0.0.2 gehört genau zu diesem Peer.
Traffic zu dieser Adresse wird zu diesem Peer geschickt.
Eine einzelne WireGuard-IP darf serverseitig nicht mehrfach an verschiedene Peers vergeben werden.
Wenn zwei Peers dieselbe AllowedIP bekommen, wird die Zuordnung unklar. WireGuard kann Traffic dann falsch zuordnen oder an eine Gegenstelle schicken, die gar nicht gemeint war.
/32 bedeutet bei IPv4: genau eine einzelne Adresse.
Beispiel: 10.0.0.2/32.
/24 beschreibt ein ganzes IPv4-Netz mit 256 Adressen,
von denen in typischen Netzen 254 nutzbar sind.
Beispiel: 10.10.10.0/24.
Ein Peer kann auch für ein ganzes Netz zuständig sein, wenn hinter ihm weitere Geräte oder Subnetze erreichbar sind.
[Peer Heimnetz] AllowedIPs = 10.0.0.10/32, 10.10.10.0/24
Das bedeutet: Der Peer selbst hat die WireGuard-Adresse 10.0.0.10.
Zusätzlich ist über diesen Peer das Netz 10.10.10.0/24 erreichbar.
Auch solche Netze dürfen nicht wild doppelt bei mehreren Peers auftauchen. Sonst weiß der Hub nicht sauber, über welchen Tunnel dieses Netz erreicht werden soll.
Auf dem Client entscheidet AllowedIPs, welche Ziele über den WireGuard-Tunnel gehen.
Full Tunnel:
AllowedIPs = 0.0.0.0/0
Das bedeutet: Der gesamte IPv4-Traffic soll durch den Tunnel gehen. Auch normaler Internetverkehr läuft dann über WireGuard.
Split Tunnel:
AllowedIPs = 10.10.10.0/24, 10.10.20.0/24
Das bedeutet: Nur diese Netze gehen durch den Tunnel. Alles andere läuft normal über die lokale Internetverbindung des Clients.
Wenn dein PC eine Verbindung aufbauen will, prüft das Betriebssystem sinngemäß:
Deshalb kann eine Verbindung scheinbar „aktiv“ sein, aber der Zugriff trotzdem nicht funktionieren: Der Tunnel steht, aber das Routing über AllowedIPs passt nicht.
Ergänzung zu WireGuard
WireGuard baut den Tunnel. Damit Daten aber wirklich ankommen, müssen zusätzlich Routing und Firewall-Regeln passen.
Routing beantwortet die Frage: Wohin muss dieses Paket geschickt werden?
Firewall-Regeln beantworten die Frage: Darf dieses Paket diesen Weg überhaupt benutzen?
Es reicht nicht, nur den Hinweg zu erlauben. Auch die Antwort muss wieder zurückkommen. Wenn der Rückweg fehlt oder blockiert wird, wirkt die Verbindung kaputt, obwohl der Tunnel selbst aktiv sein kann.
Client (10.0.0.2) ↓ will zu ↓ Server / Router (192.168.178.1)
Damit das funktioniert, müssen mehrere Dinge gleichzeitig stimmen:
Tunnel aktiv ✔ Handshake vorhanden ✔ Zugriff funktioniert trotzdem nicht ❌
Eine häufige Ursache ist: Die Anfrage kommt an, aber die Antwort findet den Rückweg nicht oder wird von einer Firewall-Regel blockiert.
Firewall- und Routing-Regeln können sehr offen oder sehr gezielt geschrieben werden.
Sehr offen wäre sinngemäß:
Alles aus dem Tunnel darf überall hin.
Kontrollierter wäre zum Beispiel:
192.168.178.0/24 → darf zu → 10.0.0.1
Das bedeutet: Nur ein bestimmtes Netz oder eine bestimmte Quelle darf ein bestimmtes Ziel erreichen. Dadurch wird das Setup kontrollierter und sicherer.
In WireGuard-Konfigurationen sieht man oft PostUp und PostDown.
Das sind Befehle, die automatisch ausgeführt werden.
Damit kann man zum Beispiel Firewall-Regeln setzen, NAT aktivieren oder Routing vorbereiten.
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT PostDown = iptables -D FORWARD -i wg0 -j ACCEPT
-A bedeutet: Regel hinzufügen.
-D bedeutet: Regel entfernen.
-i wg0 bedeutet: eingehend über das Interface wg0.
-o wg0 bedeutet: ausgehend über das Interface wg0.
-j ACCEPT bedeutet: erlauben.
-j DROP bedeutet: blockieren.
MASQUERADE bedeutet: NAT, also Quelladresse ersetzen.
Dieser Bereich wird auf der Seite für fortgeschrittene Themen später noch ausführlicher erklärt, weil Routing, Firewall, NAT und mehrere Subnetze schnell sehr tief werden.
Gesamtbild
DS-Lite erschwert die direkte Erreichbarkeit des Heimnetzes. Ein VPS kann als öffentlich erreichbarer Hub dienen. WireGuard baut die sicheren Tunnel zwischen den Teilnehmern.
Client ↓ WireGuard-Tunnel ↓ VPS / WireGuard-Hub ↓ Heimnetz / weitere Gegenstellen
Damit das funktioniert, müssen mehrere Ebenen gleichzeitig stimmen:
Für Anfänger ist das schwer, weil nicht nur eine Einstellung verantwortlich ist. Es ist ein Zusammenspiel mehrerer Schichten.
Warum ein Tool helfen kann
Config-Datei: Eine Datei, in der WireGuard-Einstellungen stehen.
Nachpflege: Bestehende Konfigurationen müssen angepasst werden, wenn neue Peers oder Netze dazukommen.
Fehlerquelle: Eine falsche Einstellung, die dazu führen kann, dass ein Tunnel nicht oder nur teilweise funktioniert.
Solange man nur eine einfache Verbindung hat, bleibt WireGuard relativ überschaubar.
Sobald mehrere Clients, mehrere Netze oder mehrere Standorte dazukommen, wird es schnell unübersichtlich.
Genau hier setzt Nexum Control an. Nicht, weil WireGuard schlecht ist, sondern weil echte Setups schnell unübersichtlich werden.
Nexum Control soll diese Struktur sichtbarer, verständlicher und kontrollierbarer machen.
Fragen, die beim Lesen entstehen können
Das liegt meistens nicht an WireGuard selbst, sondern an äußeren Faktoren. Zum Beispiel kann sich eine Adresse geändert haben, der Router kann Verbindungen neu aufgebaut haben, oder eine Route beziehungsweise Firewall-Regel greift anders als vorher.
WireGuard arbeitet nicht nach dem Prinzip „einmal verbunden, für immer gespeichert“. Es nutzt die aktuelle Netzsituation. Wenn sich diese ändert, kann ein vorher funktionierendes Setup plötzlich nicht mehr funktionieren.
Der Handshake zeigt nur, dass sich die WireGuard-Gegenstellen grundsätzlich erreichen. Er beweist aber nicht, dass Routing, AllowedIPs, Firewall und Rückweg korrekt sind.
Deshalb kann der Tunnel aktiv wirken, obwohl der eigentliche Zugriff auf ein Zielnetz nicht funktioniert.
Netzwerkverkehr braucht immer Hinweg und Rückweg. Wenn nur der Hinweg stimmt, kommt die Anfrage zwar an, aber die Antwort findet nicht zurück.
Das passiert zum Beispiel bei fehlenden Routen, falschen AllowedIPs oder Firewall-Regeln, die nur eine Richtung erlauben.
Manchmal funktioniert ein Setup nur zufällig, weil ein Teil der Route noch über einen anderen Weg passt, ein altes Routing noch aktiv ist oder nur ein bestimmter Testfall funktioniert.
Das ist gefährlich, weil es später bei einer kleinen Änderung plötzlich komplett ausfallen kann.
WireGuard nutzt AllowedIPs auch zur Zuordnung von Traffic zu Peers. Wenn dieselbe WireGuard-IP mehrfach vergeben wird, ist nicht mehr klar, welcher Peer für diese Adresse zuständig ist.
Das kann dazu führen, dass Traffic beim falschen Peer landet oder gar nicht sauber zugestellt wird.
Das Betriebssystem schaut bei einer Verbindung nach, welche Route für das Ziel gilt. AllowedIPs und Routing entscheiden dann, ob der Traffic in den WireGuard-Tunnel geht oder über den normalen Netzwerkweg läuft.
Weil mehrere Ebenen beteiligt sind: WireGuard, Betriebssystem, Router, Firewall, VPS, Internetanbieter und Zielsystem.
Man sieht oft nur das Symptom, aber nicht sofort die Ursache.
Wenn mehrere Routen möglich sind, entscheidet das System nach seinen Routing-Regeln. Die passendste oder priorisierte Route gewinnt.
Ist diese Route falsch gesetzt, geht der Traffic über einen falschen Weg oder erreicht sein Ziel nicht.
Nicht unbedingt alles, aber neue Clients müssen sauber eingetragen werden. Dazu gehören Keys, Peer-Einträge, AllowedIPs und je nach Setup auch Routing- oder Firewall-Anpassungen.
Genau diese wiederkehrenden Schritte werden bei größeren Setups schnell nervig und fehleranfällig.
WireGuard selbst ist bewusst schlank. Die Komplexität entsteht durch die Umgebung: NAT, DS-Lite, Routing, Firewall, mehrere Netze und unterschiedliche Systeme.
Genau deshalb ist nicht WireGuard allein das Problem, sondern das Zusammenspiel drumherum.