 Der Heurikus ist heute hier und ich erzähle uns über ein Problem, was ihr vermutlich alle kennt, dass es zu wenig IPv4-Adressen gibt und eigentlich man ja IPv6 ist doch die Lösung, aber offensichtlich doch nicht oder manchmal gibt es halt doch Probleme und da liefert er uns hoffentlich die Lösungen. Vielen Dank. Ja, hallo zusammen. Ich bin der Heurikus und ich bin sehr erstaunt, dass so viele Leute da sind. Ich dachte, das ist eigentlich eher so ein Tag. Da kommen nicht so viele, weil wie das geht, das wissen sowieso eh die meisten. Hier habe ich gedacht, na okay, umso besser. Vielen Dank fürs kommen. Und ja, kurz zu mir, ich bin seit 20 Jahren eigentlich im Mobilfunk unterwegs. Das ist so mein erstes großes Hobby, da verdiene ich aber auch mein Geld mit. Und was ich so hinterhermachte, im Rest von dem Tag unter anderem eben auch, ich habe meine eigenen Server daheim, weil ich habe keine Lust, meine ganzen Daten, Google und anderen großen Firmen anzuvertrauen. Ich habe die Lieber bei mir, ich habe meinen Kalender und meine Adressen und meine Files, die habe ich bei mir und auf dem Server liegen, auf mehreren Servern liegen und die sind aus dem Internet erreichbar und das ist mir viel lieber, als die bei den großen Firmen zu haben. So, ich habe Glück, ich habe einen ISP, DSL ISP, der gibt mir eine Public IPv4 Adresse, das ist super, mache ich Nutport Mapping in meinem Router und dann sind die Dinger aus dem Internet erreichbar, klasse. Aber es ist leider der Fall bei vielen anderen, die haben einen anderen Betreiber, hauptsächlich Kabelbetreiber, aber auch andere DSL Betreiber, die geben einem keine Public IPv4 Adresse, die machen schönes Carrier Grade Nut und die haben halt nur eine private Adresse, auch vor ihrem Router und wenn man dann Server reinstellt, dann sind die eben nicht aus dem Internet erreichbar über IPv4, über IPv6 schon, ist toll, solange man sich im Internet dann nur in Netzen bewegt, wo man auch IPv6 machen kann, aber das ist halt leider auch nicht immer der Fall, deswegen ohne IPv4 Adresse geht es nicht und das große Problem ist jetzt eben, wie kriege ich meinen Server ins Internet und macht den auch IPv4-mäßig erreichbar, auch wenn ich daheim keine IPv4 Adresse kriege. Hier mal nochmal ein Bildchen, wie das eigentlich so aussieht, wo das Problem liegt. Ich habe auf der linken oberen Seite den Rechner, da möchte ich auf meinen Server, der unten in gelb eingerahmt ist, zugreifen, geht aber nicht, zum einen weil da das Provider-Nut da ist, also der setzt die Public IP-Adresse, die im Internet verwendet wird für meinen Anschluss auf eine private IP-Adresse um und dann habe ich meinen Home-Router, eine Fritzbox oder was auch immer, die setzt dann die private, wieder auf eine private Adresse um. Das ist blöd, Doppelnut drin, bei dem Natterheim könnte ich noch was machen mit Port Forwarding, aber wenn ich auch vor meiner Kiste schon eine private IP-Adresse habe, dann wird das nichts mehr. Und am Provider-Nut kann ich üblicherweise nichts mehr selber konfigurieren. So, rausgehend, Verbindungen, die funktionieren natürlich, also das Problem an der Sache ist, rausgehend geht super, weil da verbau ich die Verbindung von innen auf, dann werden die Support-Mappings gemacht und wenn Pakete zurückkommen, wissen diese Nut-Gateways, wie sie das wieder ummappen sollen. Aber wenn jetzt eine Verbindung eben von außen aufgebaut wird, dann geht es nicht, weil die Nutzen noch keine Mapping-Table haben für die Verbindung, die reinkommt. Also muss ich mir was anderes überlegen. Die Lösung dazu heißt, wir bauen uns einen Tunnel, in dem wir mal ein bisschen was durchtunneln. Ich brauche dazu ein Host im Internet, der mir eingehende Datenpakete für eine neue Verbindung in diesen Tunnel reinwirft. Aber glücklicherweise gibt es solche Server heute für relativ wenig Geld. Da geht man zu einem lokalen Cloudspace. Wenn man jetzt nicht bei Amazon oder Google wieder landen will, aber es gibt auch lokale Sachen, mietet man sich eine virtuelle Maschine dar. Die hat üblicherweise eine Public IPv4-Adresse, kostet auch nicht viel Geld. Ich verwende da eine, kostet 3 Euro im Monat, hat 20 Terabyte Datenvolumen, die ich darüber leiten lassen kann. Ich wünschte, ich hätte so viel für mein Handy. Das ist nicht ganz so viel, aber 20 Terabyte, alles Reichticke für das, was ich üblicherweise mache. So, das ist die Rosa-Box rechts oben. Und funktionieren tut es folgendermaßen. Mein Server daheim baut einen Tunnel auf, zum Beispiel für den Webserver-Port 80 oder 443 und sagt dem Ordner in Pink, dem Server in Pink im Internet, hör mal zu, alle eingehenden Pakete, die du bei Port 80 bekommst, die leite einfach in meinen grünen Tunnel hier weiter. Und der Tunnel wird von dem gelben Rechner an den pinken Rechner aufgebaut. Und wenn der mal steht, dann können Pakete in beide Richtungen fließen, weil diese Nuttgate, weil es dann dieses Mapping haben. Und so kann ich über einen Server im Internet, der nicht viel Geld kostet, um mit dem man dann ja auch noch andere Sachen machen kann, wenn der schon mal da steht, kann ich hier mit einem hübschen Tunnel zu meinem Server daheim kommen. Die nächste Frage ist jetzt natürlich, wie baue ich mir so einen Tunnel? Ist das kompliziert? Da gibt es unterschiedliche Möglichkeiten. Und die einfachste Möglichkeit, die ich so verwende, ist ein nettes Tool, das bestimmt hier jeder schon mal verwendet hat, wenn er sich schon mal mit dem Gedanken gespielt hat, ein Server daheim zu machen. Es ist SSH, also die Secure Shell. Und eigentlich denkt man, Secure Shell, das hat irgendwas mit einer Shell nur zu tun. Aber das ist so das Schweizer Messer der Tunnel im Internet. Man kann von allem nach allem über alles gehen. Und mit dem Ding kann man ganz tolle Dinge machen. Unter anderem eben auch ein TCP-Port, zum Beispiel von der gelben Maschine in meinem Home-Netzwerk, exportieren auf die pinke Maschine im Internet. Und alle eingehenden TCP-Anfragen an diesen Port, den ich exportiert habe, geht dann durch den SSH-Tunnel, schön verschlüsselt und alles zurück in mein Heimat-Netzwerk. Also der Computer jetzt links, der mit dem roten Pfeil markiert ist, das ist die eingehende Verbindung, zum Beispiel HTTP-Request. Und der sieht eigentlich nur, dass er sich verbindet mit dem Server im Cloud-Zentrum. Aber der Server macht nichts anderes als die Pakete zu nehmen. Der guckt die auch nicht weiter an, sondern der schiebt die einfach in diesen SSH-Tunnel rein. So, das ist es eigentlich schon. Wir brauchen wirklich nur dieses SSH und noch ein paar ganz kleine Helfer-Tools, damit das Ding völlig automatisiert so vor sich hinläuft, dass wenn der Tunnel mal abstürzt oder mal Rechner neu gestartet werden, dass es sich wieder von selber aufbaut. Ja, ich brauche den Internet, 3 Euro pro Monat. SSH verwende ich mit einer Port-Mapping-Option mit Minus R für Reverse Port. Gibt auch noch andere interessante Optionen, Minus L und Minus D, mal ein anderer Vortrag. Ich möchte so ein SSH-Tunnel nicht mit einem Passwort machen, sondern ich möchte da ein Private und Public Key-Pair verwenden, damit das alles automatisch geht und damit ich keine Passworte in irgendwelche Skriptateien reinschreiben muss. Dann verwende ich Auto-SSH, das automatisiert den Verbindungsaufbau und wenn die Verbindung abricht, wird die automatisch wieder aufgebaut. Ansonsten ist es gleich wie SSH, es ist nur so ein Werber drum herum. Und Grunt-Tab, das ist eine schöne Tabelle, da kann man Sachen reinschreiben, die im Wetter zyklisch aufgerufen werden sollen oder die gestartet werden sollen, wenn der Rechner botet. Und das ist so mein Werkzeug, mit dem ich jetzt hergehen kann, unseren Tunnel aufbauen kann, um mein Rechner dann aus dem Internet zu gänglich zu machen. So, jetzt könnte ich natürlich stumpfen nur die Kommandos zeigen auf den Slides, aber ich habe mir gedacht, ja, machen wir mal ein bisschen was, was eher in Schwitzen bringt und machen eine Live-Demo. Ja, ich habe auch mein Internet mitgebracht und habe es da hinten in die Ecke gelegt. Schauen wir mal. So, ich gehe nochmal kurz zurück. Ich habe jetzt eine Shell, die zeige ich gleich und die ist dreigeteilt. Ganz oben habe ich den Rechner, der im Internet steht, der Pink, der Schellprompt ist auch Pink, deswegen mal die Farben merken. Dann habe ich ein Shellprompt für den lokalen Rechnern, das ist eine virtuelle Maschine, auf der an der Patchy läuft, das läuft auf dem Rechner hier drauf und hat dann ein gelbes Shellprompt. Also hier oben ist der Remote Server, Pink, ja, dann in der Mitte habe ich den Homeserver und hier unten habe ich mein Spickzettel, damit ich nicht alles eintippeln muss und mich fünfmal vertippeln bei der ganzen Sache. Ich habe das dann auch ins Internet gelegt, diese Kommandos ihr könnt dann nachher, ich habe einen Link da, da könnt ihr hingehen und euch die Kommandos auch holen. Okay, also ich habe hier eine virtuelle Maschine laufen. Schauen wir mal, die sieht hier so aus, ganz unspektakulär, die braucht man auch gar nicht und da läuft eine Patchy drauf und da kann ich jetzt auch drauf zugreifen. Und zwar über Envert über Localhost, ich habe den nicht auf Port 80 oder 443 laufen, sondern einfach, dass man in den Kommandos dann auch schön sieht, welche Port sich jetzt meint und dieser Patchy Server läuft auf Port 3724 und nicht auf 80. Habe ich jetzt halt einfach mal so gemacht. Wie man hier sieht, ich hol mir jetzt ein Bild von dem Server runter und mache das Ganze über Localhost, also ich greif hier noch lokal auf meine virtuelle Maschine zu und hier habe ich schon Fenster aufgemacht, was ich aber eigentlich möchte, ich möchte über einen Domain Namen über den Server aus dem Internet auf mein Server zugreifen und das ist mein remote server.gpndemo.de und da möchte ich nicht Port 3724 haben, sondern da möchte ich Port 8080 haben, wieder, dass man das schön in den Kommandos sieht, wenn ich nur Port 80 überall verwende, steht überall 80 drin und ist nicht so ganz klar, was man meint. So, das Ganze läuft natürlich noch nicht, weil der Tunnel ist ja noch gar nicht aufgebaut, die sind jetzt mal so nackt, ich habe noch nichts konfiguriert. Ja und dann legen wir mal los. Noch ganz kurz auf Topic wollte ich unbedingt hier noch erwähnen. Ich weiß nicht, wie viele Leute das wissen, aber dieses Jahr ist gar nicht mehr so weit hin. Am 20. Juli vor 50 Jahren, erster Mensch auf dem Mond, total krasse Geschichte, gibt es ganz tolle Bücher drüber und wer sich interessiert, wie das technisch funktioniert, das ist das allerbeste Buch zum Mal nachlesen. Also ich kenne den Outer nicht, soll auch keine Schleichwerbung sein, aber ich habe das schon zweimal gelesen in den letzten zehn Jahren, einfach klasse Buch, gefällt mir gut. Zurück zur Demo. Also gut, ich habe hier mein Home Server und hier habe ich mein Server im Internet, der dann alles umleiten soll und das erste, was ich jetzt machen muss, ich muss mal das Schlüsselpaar generieren, damit ich keinen Passwort brauche, damit sich der Home Server mit dem Remote Server verbinden kann. So, da gibt es ein Kommando, das heißt SSH Key Gen und dem sage ich, okay, ich möchte den RSA Key haben und ich möchte auch nicht das Billigste haben, ich möchte 4096 Bit haben, damit es auch ein bisschen sicherer ist. Das lege ich hier mal an, er fragt dann noch, ob ich Passwort will, aber ich will keines. Lass mir das einfach anlegen, das war es schon und wenn man sich jetzt da anschaut in SSH, da hat er jetzt hier ein Schlüssel generiert und zwar ist das ein Geheimerschlüssel, das ist das ID RSA und ein Publix Schlüssel, das ist der hier da und das ist der, den ich auf der anderen Seite jetzt eintrage, damit der Remote Server weiß, wenn jemand anruft und sagt hier, das ist mein Publix Key hier, das ist der richtige und lässt mich danach rein. Den kann ich jetzt auch hier mal anzeigen. So, das ist der Schlüssel, das sieht so aus und das ist jetzt der Teil, den ich auf den Remote Server kopiere für den Zugang und den Geheimerschlüssel, den behalte ich für mich, den zeige ich jetzt nicht an, sonst wäre er ja nicht mehr geheim. Ich kopiere den jetzt mal hier rüber und zwar trage ich den hier ein in die Authorized Keys Datei, ich bin hier oben jetzt schon root, aber man könnte das auch ohne root machen, wenn man nicht auf Privileged Sports zugreift zu alles unter 1024, aber egal, wir sind root, dann nehmen wir das halt. Das ist jetzt root SSH und da gibt es die Authorized Keys. Da ist schon ein Key drin, das ist der Key von dem lokalen Rechner hier, damit ich auch selber auf den Rechner zugreifen kann und da schreibe ich den jetzt noch mit dazu rein und das war es eigentlich schon. Jetzt habe ich schon Zugang von dem gelben Rechner auf dem pinken Rechner, also von lokal nach Remote und eine Geschichte, die ich jetzt noch machen muss, ist normalerweise ist der SSH-Tunnel so konfiguriert, dass dann nur Prozesse auf dem pinken Server auch auf den Tunnel zugreifen dürfen und keine Sachen, die von außen aus im Internet reinkommen, aber das ist ja genau das, was wir in diesem Fall wollen, deswegen muss ich dem SSH-Server hier noch sagen auf der Remote-Maschine, dass ich auch aus eingehende Verbindungen drauf lassen darf. Dafür habe ich das Trackman in die SSH-D-Config ein, das S-Feld noch macht aber nichts. Das könnte man jetzt auskommentieren, aber ich bin jetzt zu faul, das zu suchen, deswegen schreibe ich es einfach unten hin. Das sind drei Zeilen. Das erste ist das Gateway Parts. Das ist eigentlich das, was man braucht. Die unteren zwei, die sind nur dafür da, dass auch der Server ständig kontrolliert, ob der Tunnel noch wirklich da ist, der schickt dann so ein Statuspaket mal zum Kleint und wenn nichts zurückkommt, dann macht das noch mal und wenn immer noch nichts zurückkommt, baut er die Verbindung ab. Es ist einfach, dass da nichts rumhängt, wenn irgendwann eine Verbindung abricht. Und das war es eigentlich schon. Dann starte ich den noch mal neu. Nein, ich verwende keine System-D-Kommandos. Ja, ich bin schon zu alt. So, das war es aber eigentlich jetzt schon. Mein Tunnel ist jetzt so fertig konfiguriert und ich lasse jetzt mal auf dem Server ein Watch-Kommando laufen und das Watch-Kommando, das macht ein Netzdat und ich lasse mir jetzt hier einfach mal anzeigen, welche eingehenden Ports der Server im Internet hat. Was er eigentlich haben sollte, gleich ist Port 8080, weil das ist der, auf den ich eingehende Webserveranfragen dann haben will und das sollte dann hier oben auftauchen. Ich mache da hier mal weg, damit es nicht so unordentlich aussieht. So, und jetzt bin ich eigentlich soweit, den Tunnel aufzubauen und den Tunnel, den mache ich mit einem SSH minus R-Kommando. Das ist das hier und was es macht ist, ich verwende auch keinen Port 22 für den SSH auf dem Server im Internet, weil sonst ist mein ganzes Authentication Lock die ganze Zeit von Bots voll, die versuchen, meinen Server irgendwie aufzumachen. Deswegen habe ich da 39122 gewählt, irgendein Port, da ist Ruhe, da kommt niemand hin. Einfach nur, dass mein Lock nicht so die ganze Zeit zugemüllt wird. Und wie man hier schön sehen kann, minus R, also ich möchte meinen Port 7324 von meinem Localhost nach Port 8080 mapen und ich möchte dahin remote-server-gpnw.de und ich möchte da gleich zum Route gehen, macht man normalerweise nicht bei SSH, so SSH sollte einfach Route zu sein, in dem Fall brauche ich das aber, wenn ich auch zum Beispiel den Port 80 und 443 mapen möchte, was ich jetzt hier nicht mache, aber das ist eher üblich und es geht nur mit Route-Zugriff, weil alle Ports unter 1024, da darf nur Route drauf zugreifen. Dann fragt er mich noch kurz, weil ich noch nie eine Verbindung aufgebaut habe, will der Kleint noch mal wissen, ist es okay, sage ich ja und wenn jetzt irgendjemand mal sich versuchen würde, sich als Server von mir auszugeben, würde nicht funktionieren, weil sein Fingerprint ein anderer wäre. So, das war es eigentlich jetzt, jetzt ist mein Tunnel aufgebaut, kann man hier auch hübsch sehen, weil hier ist jetzt diese Zeile dazugekommen, Port 8080, ich kann mal hier mal unterbrechen, dann geht die wieder weg, wenn man hübsch sehen kann, ja also wird wirklich der Tunnel aufgebaut, und dann kommt die wieder und wenn wir jetzt in Webbrowser gehen, zu meinem Remote Server und ich nichts falsch gemacht habe, dann wird auch das Bild da aufgebaut. Wunderbar, sehr hübsch, ist alles aber noch manuell, ich unterbreche mal nochmal, ja und wenn ich jetzt hier die Seite neu lade, dann geht das nicht mehr, weil der Tunnel ja weg ist. So, das ist eigentlich die ganze Arbeit, so jetzt habe ich meinen Server daheim ohne IPv4-Adresse im Internet über diesen Jump-Poster, sehr nett. Jetzt ist die Frage noch, wie automatisiere ich das, weil ich will das ja einmal machen und dann will ich dann nie wieder darüber nachdenken, wie das funktioniert und da gibt es eben zwei hübsche Commandos, mit denen man das machen kann und zwar ich nehme Auto SSH, das hat genau die gleiche Syntax wie das SSH auch, hat aber noch ein paar zusätzliche Kommandooptionen, dem kann ich mit minus F sagen, er soll in Hintergrund gehen, dann ist er weg von der Shell und ich kann auch die Shell zumachen und es läuft dann alles im Hintergrund und ich brauche mich dann nicht mehr darum zu kümmern und das Auto SSH, das geht auch her und schaut, wenn die Verbindung abricht, also wenn der SSH Task stirbt, dann baut er automatisch wieder neu auf und dann habe ich dann noch zusätzlich mit minus O ein paar Options drin, dass er die Verbindung überprüft der SSH und wenn er merkt, der Tunnel ist irgendwie gestorben, weil er keine Antwort mehr kriegt auf seine Statuspakete, dann macht er den weg und der Auto SSH baut wieder neu auf. Also genau das gleiche Kommando wie oben, machen wir jetzt mal, man sieht kein Port 80, ich pipe das jetzt hier rein und wenn ich Enter drückt, dann kann man oben dann sehen, Port 80 taucht wieder auf, so sehr hübsch und ich kann jetzt auch hier aus dieser Shell komplett rausgehen, bin jetzt nicht mehr mit dem Rechner verbunden und mein Port 80 80 ist trotzdem auf, drücken wir mal F5, dauert ein bisschen, ja der Demo God ist mir jetzt gerade nicht genedig, vielleicht ist die Internetverbindung gerade kaputt, probieren wir nochmal, ja ich glaube die Internetverbindung ist jetzt gerade weg, schauen wir mal gucken, ja Port 80 80 ist auch da, naja jetzt hat er es aufgebaut, ja da hat er aufgebaut, so lange wir es nicht gesehen haben, ist ja klar, es hat Zauber grad F5 gedrückt, alles wieder gut, okay Internet so, ist jetzt auch schon toll, läuft jetzt im Hintergrund, können wir jetzt vergessen, das einzige Problem, das wir jetzt noch haben ist, naja okay, jetzt müssen wir noch was machen, dass wenn der Server neu startet, also der Server daheim neu startet, das ist auch automatisch funktioniert und das kann ich schön machen, indem ich in der CroneTap einen Eintrag anleg, der einmal ausgeführt wird, wenn der Rechner startet, ich gehe mal wieder auf mein Localhost drauf, wieder Gelber prompt und sage jetzt CroneTap minus E, wähle mein Editor aus und jetzt schreibe ich diese Zeile, diese Auto SSH Zeile schreibe ich da rein, so wie ich die Woche gemacht habe und sage noch Add Reboot, das heißt das wird einmal ausgeführt und dann läuft es, das einzige Problem an der Sache ist dann, der verträgt nicht, wenn man das Kommando über zwei Zeilen mit dem Backslash schreibt, das geht irgendwie nicht, also muss man es in eine Zeile schreiben, vielleicht gibt es da noch irgendein Trick, kenne ich aber nicht, ja gut, machen wir es halt so, so das war es vorne hinten passt, so und jetzt sollte er theoretisch, wenn ich den Server neu starte, sollte auch den Tunnel automatisch aufbauen, ich mache das jetzt mal, ich bin jetzt mal adventurous, so zack man sollte sehen ja er bootet neu, oben 8080 ist jetzt verschwunden, so ich gehe mal zur virtuellen Maschine, man sieht der bootet jetzt gerade mal neu durch und wenn er fertig ist und am prompt angekommen ist, dann sollte oben wieder port 8080 aufgehen, ja da ok super, port 8080 kommt wieder und trotz Neustart ist der Tunnel nach wie vor verhanden, ja also relativ einfach nochmal ganz kurz zusammengefasst, gehen wir nochmal zurück auf die Slides, anderes Fenster, ja klar, ja gehen wir mal kurz zuhören, also relativ einfach, ich habe einen SSH Tunnel, der tunnelt mir die Pakete zurück, die nicht zu mir selber direkt adressiert sind, sondern zu dem Haus dem Internet und hier ich habe den QR Code mal gemacht, da findet man ein Descript, ich habe das auf meinen Block gelegt und kann sich die Kommandos nochmal anschauen, ich habe auch nochmal das Übersichtsbild rein gemacht und dann kann jeder mal daheim mit seinem Server den er daheim hat und noch nicht im Internet hat, mal mit einem Server im Internet in einem kleinen Cloud-Hoster mal ausprobieren, ob das so eine Lösung für ihn ist, wenn er dummerweise eben an einem Kabelnetz oder so dran hängt, wo er keine Public IP für 4 Adresse kriegt, alright, so weit so gut, das war meine Demo, vielen Dank fürs zuhören und jetzt haben wir noch ein paar Minuten Zeit für Fragen, welche sind, Dankeschön. Keine Angst, nein, hast du dir mal WireGuard angeschaut, statt SSH Tunnel? Nee, habe ich mir noch nicht angeschaut WireGuard, ich weiß was es ist, aber ich habe es mir noch nie ausprobiert, wenn es auch so einfach ist, dann ist es natürlich noch was Neueres und Moderneres. Guter Tipp, also mal nachschauen WireGuard als Alternative, weil es gibt ja nicht immer nur ein Tool des Gutes, danke. Gehst du in produktiven Umgebungen ein bisschen sicherer vor Zwecks SSH Command Keys oder so ähnlich, falls man irgendwie an einem Private Key rankommt? Ja, du könntest den woanders hin machen, habe ich aber in dem Fall nicht, sondern ich verwende das so, aber komm noch mal nachher her und sag, was man noch besser machen kann und welche Angriffspektoren es da gibt, wenn es einfach im User Verzeichnis drin liegt. Ja, danke für den Talk. Funktioniert das Ganze auch, wenn ich hinter einem DS-Leid hänge von Kabel BW. Ja, würde ich mal sagen, geht auch, also ich habe da eine ganz, ich habe da auch noch andere Szenarien, mit denen ich das mache, also jetzt war es zum Beispiel der Fall, ich habe da hinten im Ecken meinen Handy liegen und mache Wifi-Tethering zu diesem Rechner her, bin also im Internet über meinen Mobiltelefon und habe jetzt über das Mobiltelefon der Server, der hier als virtuelle Maschine läuft, im Internet über diesen Jump-Post am Laufen, habe ich daheim auch, weil ich habe noch so ein Fullback, also wenn meine DSL-Leitungen kaputt geht, dann merkt es meine Cloud und schaltet alles, schaltet den LTE-Router ein und dann gehen die ganzen Verbindungen hoch. Wird jetzt vielleicht einer kommen und sagen, ja, okay, da gibt es aber auch Netzbetreiber, die geben einem eine Public IPv4-Adresse. Ich bin zufällig bei diesem Netzbetreiber, habe da eine SIM-Karte von dem und das funktioniert auch super. Also ich könnte direkt auf meine Server über den LTE-Router zugreifen. Das geht aber nicht aus dem Mobilfunknetz raus. Ja, das geht aus dem ganzen Internet, aber nicht aus dem Mobilfunknetzwerk von dieser Firma. Ja, das ist kein Bucks, hat man mir erklärt, sondern das ist ein Feature. Ja, ich weiß zwar nicht, was für einen es ist. Ja, und deswegen, da ich eben auch eine SIM-Karte habe auf meinem Handy und nicht auf den LTE-Router komme, obwohl er eine Public IPv4-Adresse hat, muss ich, das ist zum Beispiel mein Anwendungsfall, warum ich da die Tunnel verwende für meine Fullback-Geschichte über LTE. Ja, Dankeschön nochmal. Frage, funktioniert es auch wirklich zuverlässig über, sagen wir mal, schlechte Mobilfunkverbindungen, wie zum Beispiel über, weiß ich nicht, Edge oder so. Wie viel Treffig verbraucht es und ist das außer mal mal Reverse-Proxy kompatibel? Also wenn ich jetzt zum Beispiel Webseiten hosten will und ich habe einen Reverse-Proxy-Host dann auf diesem gemieteten Server im Internet stehen, muss ich dann praktisch pro Instanz, die ich vielleicht in einem extra Container laufen las, einen Port durchschalten, also muss ich da ganz viele SSH-Verbindungen aufmachen oder kriege ich das nur mit einer Verbindung hin und zwar praktisch einem Reverse-Proxy, der bei mir noch daheim läuft. Okay, viele Fragen, mal gucken, ob ich die alle zusammen kriege. Der erste ist einfach, geht das auch über Edge? Ja klar, kommt natürlich darauf an, wenn du fünf Gigabyte-Files hausst, ist eher nicht. Aber wenn das nur kleine Sachen sind, wenn du zum Beispiel Adressen und Termin-Sachen synchronisieren willst, das ist eine von meinen Anwendungen, damit das nicht bei Google landet, würde ich sagen, das geht auch über Edge, wenn du da jetzt nicht die großen Sachen da drin hast, bei mir ist nicht so viel. Und solange da keine Daten fließen, passiert da auch einfach nichts, der Tunnel ist aufgebaut und einmal pro Minute geht ein Status-Paket in beide Richtungen mit ein paar Bytes. Das ist also nicht arg viel und die Status-Pakete sind aus zwei Dingen wichtig, beim Mobilfunk und auch beim Kabelanbieter. Es muss ab und an mal ein Paket auf dieser Verbindung in beide Richtungen laufen, weil sonst vergessen diese Gateways, diese Portzuordnung und dann kommt nach einer halben Stunde wieder was und die wissen nichts und dann ist der Tunnel kaputt. Und deswegen die Status-Pakete toll, wenn die Nut-Gateways trotzdem mal versagen, ja macht nichts, dann merkt er, dass da nichts mehr geht und dann baut er den Tunnel wieder neu auf. Also ich habe auch nicht nur einen Port getunnelt, ich habe ein Haufen Services bei mir laufen, so das letzte Mal, als ich geguckt habe, waren das so 17 virtuelle Maschinen, so langsam ein bisschen eng in meiner Kiste und jeder hat so zwei bis drei Ports, also ich habe irgendwie so 20, 25 Ports mit SSH von unterschiedlichen virtuellen Maschinen auf eine Maschine im Internet gehängt und das sind natürlich alles andere Portnummern, weil ich kann die nur einmal verwenden, ja also wenn ich ein Web-Sover 4, 4, 3 habe, dann kann ich da nur einmal mapen, weil sonst, wie soll das machen, dieser Jump-Post. Mit einem Reverse musst du mir nachher noch nachher erklären, da das ist ein bisschen komplizierter, das kriege ich jetzt nicht in den 30 Minuten durch. Okay, also zeitisch eigentlich umhaben, wir haben auch ein bisschen später angefangen von daher können wir auch ein bisschen länger machen. Es sei denn, es muss jemand gleich weg, aber dann... Hi, was ist jetzt der Vorteil von deiner SSH-Lösung gegenüber dem reinen Reverse-Proxy, weil ne Öffentlich IPv6-Adresse habe ich ja. Ja, ist zum Beispiel ganz wichtig, weil es gibt ja auch Netzbetreiber in diesem Land, die haben kein IPv6, vor allem so Mobilfunk, da ist nicht jeder damit und ja und hat auch nicht jeder IPv6 daheim international schon mal gar nicht. Wenn ich so auf meinen Blog gucke, da sind halt 10% IPv6-Zugriffe und 90% IPv4, ja so kannst du ja für die neue Welt mit IPv6 macht, aber irgendwie niemand ist echt schlimm, ja. Aber du kannst den Tunnel über IPv6 aufbauen, ja, dann hast du zumindest von dem Haus dem Internet zu dir IPv6, ja. Okay, geht's noch fragen? Nix mehr? Okay, dann bedanke ich mich nochmal für diese sehr schön farbige und sehr anschauliche Demo, habe ich so noch nicht gesehen. Echt cool, danke schön. Danke schön.