da kann deine Fritzbox dann als OpenVPN Server laufen, da brauchst du dann keinen LXC.
Das ist leider nicht ganz korrekt - die Fritten können kein OpenVPN im Server-Mode. Dazu benötigt man einen dahinterliegenden Server/Dienst.
Ich installiere mir OpenVpn in nem Container und nehme dafür meine neue öffentliche IP Adresse her dann füge ich einen Benutzer hinzu den ich auch in der Fritzbox hinzufüge und dann sollte die Verbindung über den OpenVpn zur Fritzbox klappen?
Es gibt grundsätzlich 2 Arten von VPN:
1) von innen nach außen
2) rekursiv: von außen nach innen
Szenario 1
Hier wird der Traffic von Geräten
im LAN seitens eines Servers/Firewall über eine
nach außen aufgebaute VPN-Verbindung geroutet. Das können dann bspw. diese ganzen kommerziellen Anbieter wie NordVPN & Co. sein, für die man Geld auf den Tisch legen muss. Dazu muss aber einiges an Konfiguration erfolgen, wie schon diverse Vorredner schrieben. Bedeutet: der Traffic muss in einer Firewall, die hinter der FritzBox liegt, per Regel durch diesen Tunnel "gezwängt" oder umgeleitet werden. Diese Regeln können dann noch diversifiziert werden. Also grundsätzlich soll alles an Traffic von innen nach außen durch den Tunnel oder nur bestimmte Endgeräte, welche sich im LAN befinden. Meist lässt man dann die Firewall selbst die Verbindung zum VPN-Anbieter aufbauen. Die Gegenstellen im Internet (Web- oder Mailserver, FTP, etc.) "sehen" dann immer nur die IP des VPN-Anbieters, wenn Deine Endgeräte mit ihnen kommunizieren, jedoch nicht die IP Deines Internetanschlusses. Das würde dann in gewisser Form zur Anonymisierung beitragen. Im jetzigen Zustand sehen alle Gegenstellen die IP-Adresse Deines Internetanschlusses, wenn Endgeräte aus dem Netzwerk Verbindungen nach außen aufbauen.
Szenario 2
Ist für den Zugriff
von außen in das eigene LAN gedacht. Betreibst Du diverse Server/Dienste im Netz (NAS, Medienserver, whatever) und möchtest von außen darauf zugreifen, ohne Deine Firewall für jeden pöhsen Deppen zu öffnen, ist das über VPN sicher(er) zu realisieren. Dazu benötigst Du dann einen LXC mit dem gewünschten VPN-System (OpenVPN, Wireguard, etc.) und einen DynDNS (dynamischen DNS) Account bei einem der zahlreichen Anbieter (meistens kostenlos), wie
@Dunuin schon bemerkte. Auf dem VPN-Server im LAN wird dann für jedes Endgerät, welches einen Zugriff erhalten soll, ein Profil/Account erstellt - quasi ein Ausweis. Damit die Endgeräte später die VPN-Verbindung aufbauen können, muss in der Fritte einmalig eine Portfreigabe für den LXC/VPN-Server erstellt werden. Im default mode nutzt OpenVPN 1194/UDP, Wireguard 51820/UDP, usw. Durch diesen Port wird dann die Verbindung der Endgeräte zum Server hergestellt. Dieser "leitet" dann wiederum die Anfragen an die anderen Geräte im LAN weiter. Die Verbindung von außen nach innen ist verschlüsselt, also nicht im Klartext einseh- oder abfangbar.
Der DynDNS Account bzw. die dazugehörige Adresse muss in der Fritte eingetragen werden. Dies ist nur dafür da, um unter der immer gleichen Adresse erreichbar zu sein (bspw.: katzenklo.dyndns.net). Wenn Dein Anschluss keine statische IP hat, wechselt die bekanntermaßen alle 24h. Beim IP-Wechsel oder Zwangstrennung durch den Anbieter macht die Fritte dann nichts weiter, als diesem DnyDNS Dienstanbieter zu sagen: ey, ich hab jetzt 90.123.100.5 als IPv4 bekommen. Der DynDNS Anbieter kennt nun die IP Deiner Fritte und wenn man dann den zuvor registrierten Namen aufruft (bpsw. für die VPN-Verbindung), wird man automatisch zur korrekten IP Deiner Fritte geleitet. Welchen Namen und welchen Anbieter Du für DynDNS auswählst, ist letztendlich egal.
