Paperless-ngx, Teil 7: Dokumente unterwegs über das eigene Modem abrufen

Einer der Vorteile des kleinen Raspberry Pi ist ja, dass vertrauliche Dokumente nicht die eigenen vier Wände oder den Arbeitsplatz verlassen. Hier trägt man einfach die IP des Geräts im eigenen Netzwerk ein, z.B. 192.164.171.18, und alles funktioniert. Aber was macht man unterwegs? Klar könnte man einen Webserver mit eigener Domain mieten. Aber dann muss man doch wieder dem Serverbetreiber vertrauen. Und zusätzliche Kosten würden auch anfallen.

Die gute Nachricht ist: Es kann alles bleiben, wie es ist! Heute kann man sehr einfach eine verschlüsselte Verbindung einrichten. Über einen abgeschotteten VPN-Tunnel wie gewohnt auf den Raspberry Pi zugegriffen werden. Und: Die Übertragung erfolgt extrem schnell, so dass keine Wartezeiten entstehen.

Das harte Brot der frühen Jahre

Vor rund 10 Jahren hatte ich versucht, meine damalige Synology „von außen“ zugänglich zu machen. Das hatte mich damals viele Stunden gekostet. Die dynamisch vergebene IP der Telekom statisch erreichbar machen, Ports im Modem einrichten usw. usw. Und ich kam ja nicht aus dem IT-Bereich, so dass ich immer die Unsicherheit hatte, ob ich da nicht irgendein Scheunentor für Eindringlinge geöffnet hatte. Auch die Dateifreigabe via Synology-QuickConnect hatte keinen Spaß gemacht – plötzlich bekam ich ständig Warnmeldungen meines Modems von Angriffen. Dazu der Flaschenhals der damaligen Upload-Geschwindigkeiten – kurz: Die ganze Geschichte habe ich schließlich zu den Akten gelegt und meine – teure – Synology nur noch für Backup-Vorgänge genutzt. Inzwischen gibt es neue und bessere Verfahren, die jeder umsetzen kann.

Fünf Minuten – und der VPN-Tunnel gehört Dir!

Ich werde gleich zeigen, wie man sich mit wenigen Klicks eine VPN-Verbindung einrichtet. „VPN“ kennt man vielleicht von aufdringlichen Werbe-Einblendungen von Anbietern, die viel Geld verlangen und deren Verbindungen oft schnarch-langsam sind.

Damit hat das hier geschilderte Verfahren nichts zu tun. Die aktuellen Modems bringen die VPN-Technologie bereits mit, man muss diese nur kurz aktivieren. Anschließend kann man von unterwegs mit der vollen Geschwindigkeit, die der Handyvertrag ermöglicht, auf seinen Raspberry Pi zugreifen. Via VPN. Sicher. Verschlüsselt. – Ich selbst rufe gelegentlich umfangreiche Dokumente von unterwegs via LTE 5 ab – die sind in der Regel sofort nach dem letzten Fingertipp auf dem Gerät (wenn ich nicht gerade in einem DB-Zug sitze 😉 ).

Warum ist es so einfach geworden?

Die Modem-Hersteller haben ihre Bedienoberflächen inzwischen deutlich übersichtlicher gestaltet. Vor allem aber hat in den letzten Jahren eine neue Variante des verschlüsselten Transports – WireGuard – an Bedeutung gewonnen. Die benötigt, im Unterschied zu den älteren Verfahren wie IPsec, keine besondere Hardware mehr und nutzt sogar etwas aktuellere Verschlüsselungsmethoden. Hinzu kommt, dass WireGuard auf allen Geräten und unter jedem Betriebssystem läuft: Windows, Mac, Linux, Android und iOS. Am Beispiel einer Fritz!Box schauen wir uns die Einrichtung von WireGuard einmal näher an.

Schritt für Schritt: WireGuard auf der Fritz!Box einrichten

Ein Fritz!Box-Konto anlegen (sofern noch nicht vorhanden)

Natürlich besteht bei Privatanwendern das Problem nach wie vor, dass sie im Unterschied zu Firmen über keine feste IP verfügen. Daher muss man sich 1 x ein Fritz-Konto einrichten, das künftig für die korrekte Zuweisung sorgt. (Diesen Job haben früher externe DynDNS-Dienste besorgt – das kann man sich also sparen.)

1. Web-Frontend der Fritzbox aufrufen = im Browser „fritz.box“ eintippen.
2. In der Rubrik „Internet“ das Untermenü „MyFRITZ!-Konto“ (1) aufrufen.
3. Häkchen bei „MyFritz … aktiv“ setzen (2) und die eigene E-Mail-Adresse eingeben (3).
4. Man erhält eine MyFritz-Adresse nach dem Muster „xyzabc123456.myfritz.net“ – diese unter (4) eintragen, bei (5) Häkchen setzen und unter 6 mit „https://xyzabc123….usw.“ den Eintrag vornehmen.

Gut, damit sind wir in diesem Bereich fertig.

WireGuard auf der Fritz!Box aktivieren

Nun im Internet-Menü der Box zu „Freigaben“ gehen (1) und auf den Reiter „VPN (WireGuard)“ (2) klicken.

Anschließend auf „Verbindung hinzufügen“ klicken, „Einzelgerät verbinden“ (oder „vereinfachte Einrichtung“) aktiviert lassen …

… auf „weiter“ gehen und beliebigen Verbindungsnamen eintragen (z.B. „MeinSmartphone“).

Die Fritz!Box möchte nun auf Nummer sicher gehen und fordert daher eine kurze Bestätigung. Die eingeblendete Nachricht sieht dann etwa so aus:

Auf dem Modem blinken jetzt für 2, 3 Minuten alle Lämpchen.
Falls man die Bestätigung über den Telefonhörer eingibt: das Sternchen vor der Ziffernfolge nicht vergessen. Also z.B. „*15198“ eingeben, grüne Anruftaste drücken, Quittungston erfolgt – alle Lämpchen beruhigen sich wieder.

Die Fritz!Box beglückwünscht Euch nun und zeigt zugleich einen QR-Code an.

WireGuard auf mobilen Geräten aktivieren

Die Apps für die unterschiedlichen Betriebssystem sind auf der WireGuard-Webseite abrufbar. Beim Smartphone richtet man einfach die Kamera kurz auf den angezeigten QR-Code, bei anderen Geräten nutzt man den Download-Link für die Konfigurationsdatei.

Aktiviert man nun künftig in der WireGuard-App VPN, so kann man einfach wie gewohnt die lokale IP seines Raspberry Pis eingeben – alles funktioniert so, als würde man im heimischen Arbeitszimmer sitzen. Zugleich ist alles so abgesichert, dass im Zug, Hotel oder Café keiner mitlesen kann.

Man kann natürlich nicht nur Paperless-ngx nutzen, auch alle anderen Dienste können auf diese Weise genutzt werden. Der Abruf umfangreicher PDF-Dateien richtet sich nach den (Upload-)Bandbreiten, über die man zu Hause verfügt. Die Such- und Anzeige-Vorgänge im Paperless-Datenbestand sollten aber immer ausgesprochen schnell und zügig geschehen. Einer der vielen Vorteile vom Raspberry Pi ist auch, dass er kaum Energie verbraucht, selbst wenn er 24 Stunden täglich an 365 Tagen läuft (die Kosten belaufen sich bei mir auf unter einem Euro im Monat). Daher stehen die Dokumente auch unterwegs sofort zur Verfügung, auch wenn der Desktop-PC ausgeschaltet ist.

Ist eine externe Server-Lösung nicht besser?

Sollte man sich nicht einen externen Hoster suchen und die Unterlagen über eine Domain wie „mein-super-archiv.de“ zugänglich machen? Kann man machen. Sinnvoll ist es aber eigentlich nur, wenn das Archiv für viele Personen außerhalb des eigenen Haushalts/Unternehmens zugänglich sein soll. Das ist z.B. bei meiner Nextcloud so: Ich teile oft Links, möchte die Updates über einen Hoster erledigen lassen, schätze die Vorteile eines Rechenzentrums, das gegen Stromspannungen und Wasserschäden geschützt ist und Backups für mich übernimmt. Bei Paperless-ngx sieht das anders aus – ich bin gewissermaßen der „Hauptnutzer“ und Updates sind mit einer Befehlszeile erledigt. Allerdings, und das kriegen wir noch, ein hoch-verschlüsseltes Backup landet automatisiert in meiner extern gehosteten Nextcloud. Sollte also einmal während eines Urlaubs alles abrauchen – kein Thema. Alle digitalisierten Unterlagen stehen mir trotzdem nach wenigen Minuten wieder zur Verfügung.

Bisherige Teile der Paperless-ngx-Serie:
Teil 1: Ausführlicher Überblick
Teil 2: Suche & Tags
Teil 3: consume-Ordner – Einsatz von Scannern
Teil 4: Speicherpfade konfigurieren
Teil 5: Installation auf dem Raspberry Pi
Teil 6: Neue Funktionen in Version 2
Teil 7: Dokumente unterwegs über das eigene Modem abrufen
Teil 8: Exportfunktion nutzen
Teil 9: Update durchführen
Teil 10: Das Rundum-sorglos-Backup
Teil 11: Mail-Abruf mit vielen Extras
Teil 12: Mein Alltag mit Paperless-ngx
Teil 13: Ein Quanten-Code für das Papier-Archiv
FORUM für Fragen eröffnet
Teil 14: Automatisierte Ablage auf Speicherpfaden
Teil 15: Neue Funktion für das Verbinden und Trennen von Dokumenten