VPN Konfiguration bei DS-Lite Anschluss mit Hilfe eines VPS

BadC0de · May 28, 2024 at 8:26 AM

Hallo zusammen,

ich habe folgendes Szenario:

DSL-Lite Anschluss bei M-net (sprich, keine öffentliche IPv4 Adresse)
Provider-FritzBox als Modem
UCG Ultra hinter der FritzBox
VPS Server mit eigener statischen IPv4 Adresse und Domain, Wireguard Installation

Erreichen möchte ich folgendes:

Ich möchte mit meinen mobilen Endgeräten (Smartphone oder Tablet) eine VPN Verbindung ins Heimnetz aufbauen, um dann auf interne Ressourcen zugreifen zu können (HomeAssistant, Kamera, Nutzung meines pihole DNS Servers). Bisher erledige ich das per Wireguard auf der FritzBox.

Meine Idee dazu ist, dass ich zwischen dem VPS und dem UCG eine VPN Verbindung mit Wireguard aufbaue und somit das UCG immer erreichen kann. Jetzt fehlt mir noch das letzte Stückchen. Wie bekomme ich die Verbindung zu den Endgeräten hin? Wie muss ich die WG Verbindung im UCG einrichten?

Vielleicht gehe ich das auch komplett verkehrt an, und ihr könnt mich wieder auf die richtige Spur bringen?

Danke für eure Anregungen und Ideen.

Stef

uboot21 · May 28, 2024 at 12:59 PM

Hi, ich kenne die UCG Ultra jetzt nicht, aber gehe mal davon aus, dass es wie die meine UDM Pro funktioniert.

Den VPS richtest du als Wireguard Server ein, ich gehe davon aus, dass die die Funktionsweise bekannt ist.

In deiner UCG Ultra richtest du unter VPN einen Wireguard Clienten an. Dieser verbindet sich mit dem VPS Server.

Den Public Key der UCG trägst du im Wireguard File des VPS ein und den Public Key des VPS trägst du in der UCG ein.

Wichtig damit alles funktioniert:

- Wenn du vom VPS in dein Netzwerk routen möchtest, in der Firewall der UCG den Internet Eingang freischalten für die IP der VPS und der Wireguard IP des VPS (sind ja 2 verschieden wenn du Wireguard aufsetzt)

- Wenn du aus deinem Netzwerk zum VPS routen möchtest, dann musst du unter statische Routen oder Variable Routen die Wireguard IP des VPS und die echte IP des VPS dort Eintragen (Falls du ein Mesh aus mehreren Servern verwenden möchtest, dann gehören hier alle IP die hinter dem VPS kommen auch rein)

- Auf dem VPS kannst du zb einen Wireguard Server für mobile Clients einrichten, diese sollen dann zum Wireguard Tunnel (UCG <-> VPS) geroutet werden. das musst du mit im Setup des zweiten Wireguard Servers auf der VPS mit aufnehmen (sprich die IP der Rechner oder das ganze Netzwerk, welches zu Hause erreicht werden soll, muss mit in das externe Wireguard Setup aufgenommen werden. Dies kannst du auch individuell pro Client erstellen.

Falls du zb. Webseiten über dein VPS ins Netzwerk routen möchtest -> zb Port 80/443 auf einem Server zu Hause für Reverse Proxy, dann musst du auf dem VPS ein statischen Routing aufsetzen, dies kannst du mit Befehlen (up & Down) direkt in der Wireguard Konfiguration mit aufnehmen

uboot21 · May 28, 2024 at 6:32 PM

P.S.: Ich habe mal vor einiger Zeit eine Art Anleitung in Github veröffentlicht:

Tunnel VPS zum Unifi:

https://github.com/uboot21/worksp…ireguard_Tunnel

Dort wird auch der "per Hand" eingerichtete Zugang vom Handy zum VPS angedeutet, alternativ auch mit Oberfläche/Zugang zum VPS per Wireguard für Handy etc:

https://github.com/uboot21/worksp…ezone/README.MD

BadC0de · June 1, 2024 at 9:56 PM

uboot21 : Besten Dank. Ich werde mich du durchkämpfen, auch wenn ich im Moment noch a bisserl erschlagen bin.

Im ersten Step werde ich lediglich den Surftraffic von mobilen Clients über das UCG leiten.

Den Zugriff auf lokale Ressourcen über VPN gehe ich dann an, wenn Schritt eins erfolgreich eingerichtet ist.

niederrheinr · October 14, 2024 at 7:38 PM

Hallo uboot21 ,

vielen Dnak für die Infos in diversen Threads und natürlich Deine Anleitungen, mit deren Hilfe ich mir heute einen ionos-VPS mit Wireguard aufgesetzt habe.
Nun habe ich eine Frage: nach der Installation von Firezone zeigt mir diese:

Quote

Firezone 0.7 has reached EOL status. See our README for more information about upgrading to 1.x.

Siehst Du hier ein Problem bzw. wie gehst Du damit um?

Danke!

uboot21 · October 14, 2024 at 8:43 PM

Ein Problem sehe ich hier noch nicht, aus folgendem Grunde:

Die Oberfläche selber ist nur aus dem internem Wireguard Netzwerk erreichbar, sie wird auch nur benötigt um "Schnell und Einfach" neue Geräte einzubinden. Von ausserhalb kann man sie nicht erreichen, daher gibt es kaum ein Sicherheitsrisiko, das Wireguard basiert ja nicht auf der Webseite, der Firezone Docker erweitert nur die Wireguard Files komfortabel.

Falls du die Oberfläche nicht nutzen möchtest, ich habe die Anleitung auch mit einer manuellen Installation angegeben, das ist auch einfach möglich und so oft hat man ja auch nicht "neue" Geräte

niederrheinr · October 14, 2024 at 11:52 PM

Quote from uboot21

Ein Problem sehe ich hier noch nicht, aus folgendem Grunde:
Die Oberfläche selber ist nur aus dem internem Wireguard Netzwerk erreichbar, sie wird auch nur benötigt um "Schnell und Einfach" neue Geräte einzubinden. Von ausserhalb kann man sie nicht erreichen, daher gibt es kaum ein Sicherheitsrisiko, das Wireguard basiert ja nicht auf der Webseite, der Firezone Docker erweitert nur die Wireguard Files komfortabel.

Guter Punkt, klingt plausibel.

Leider habe ich es noch nicht geschafft, Firezone über den Tunnel aus dem Heimnetz zu erreichen, aber das wäre dann natürlich eine gute Sache, einfach alle Ports außer Wireguard zu schließen!

Ich muss aber eh noch etwas basteln ... auch der Zugriff von einem iPhone auf isn das Heimnetz klappt noch nicht, mit den Firewall-Regeln der UDM SE bin ich einfach zu unerfahren. Aber was klappt ist die Wireguard-Verbindung von mobil zum VPS und der Tunnel von der UDM SE zum VPS.

uboot21 · October 15, 2024 at 5:58 AM

Das erreichen des wireguard Servers hatte ich in der Anleitung auch drin, dazu müssen statische routings eingerichtet werden, damit die ‚Wireguard IP‘ deinem Netzwerk bekannt ist.

Wichtig: du rufst den vps dann nicht mit der öffentlichen ip auf, sondern mit deren in wireguard vergebenen IP

Ich glaube bei Firezone musst du in einer der Dateien zur Einstellung auch die IP/Domain angeben aus welcher dieser erreichbar sein soll

Aber auch wenn du es nicht schaffst:

Öffne in den ionos Einstellungen den Port 80/443, verwalte deine Geräte über Firezone und schließe anschließend die Ports wieder, so oft braucht man es nicht

niederrheinr · October 15, 2024 at 9:16 AM

Zunächst schon einmal vielen Dank für Deine schnelle Antwort und auch Deine ausführlichen Erklärungen in anderen Threads - ich bin lange genug in Foren unterwegs um zu wissen, dass das nicht selbstverständlich ist!

External Content beta.ubiquiti-networks-forum.de

Content embedded from external sources will not be displayed without your consent.

Daher will ich es auch nicht über Gebühr strapazieren und habe erstmal die Anleitungen gelesen.

Wahrscheinlich habe ich da einen Verständnisfehler. Du schreibst:

Quote

Um sich aus dem Unifi Netzerk auf die IP des Wireguard zu verbinden, muss man eine "Traffic Route" Weiterleitung einrichten in der UDM Pro, zb das Netzwerk 10.10.10.0/24 oder die IP 10.10.10.1/32 unter IP eintragen und als Interface wählt man den Tunnel zum VPS aus.

Ich habe die EInrichtung exakt nach Deiner Anleitung gemacht und sehe auch auf dem VPS bei "ip addr" unter "unifi:" die 10.10.10.1/32.

Diese wäre dann ja mein Ziel in der Traffic Route, korrekt?

Also habe ich diese wie im Screenshot eingerichtet. Ich muss meine Aussage auch korrigieren: ich erreiche aus dem Heimnetz die 10.10.10.1, zumindest bekomme ich einen Ping.

Aber wie kann ich nun die Web-Oberfläche von Firezone aufrufen? https://10.10.10.1 bzw. http://10.10.10.1 liefern mir SSL-Fehler ...

uboot21 · October 15, 2024 at 12:58 PM

Ich bin jetzt nicht so tief bei Dir im Thema drin, aber ich habe 2 Routings eingerichtet, das hat evtl. auch was mit meinem Speziellem Setup zu tun, weil man sonst aus einigen VLAN trotzdem nicht zum Ziel kommt (PS: Ich habe ein Mesh Netzwerk wo teilweise mehrere Hops nötig sind um ein Ziel zu erreichen, als Wireguard hinter Wireguard)

In dem Screenshot hast du das Policy based Routing gewählt, hier gebe ich das ganze Netz an, also zb /24, weil man nie weiß was hinten noch dran hängt.

Ich gehe davon aus das bei dir der entfernte Server 10.10.10.1 ist und deine UDM hat die 10.10.10.2 (ich frag nur deshalb, nicht das man das verwechselt, ist schnell passiert und ich spreche aus Erfahrung)

Zusätzlich lege ich eine static Route an:

Distance = 1

Destination Network: 10.10.10.1/32

Type = Next Hop

Next Hop = 10.10.10.2/32

Ich weiß das jetzt nicht genau ob diese wirklich nötig ist, oder nur in meinem Setup, aber schaden tut sie nicht

PS: Nachtrag: SSL Fehler können auch an der Einstellung im Firezone liegen, hier muss man angeben unter welcher Adresse die Seite erreichbar sein soll (also nicht die externe IP, sondern die interne -> Müsste ich sonst zu Hause mal schauen, weiß ich nicht auswendig im Moment

Participate now!