Gäste WLAN über Wiregaurd VPN Service - klappt mit Anbieter A, aber nicht mit B

Es gibt 5 Antworten in diesem Thema, welches 527 mal aufgerufen wurde. Der letzte Beitrag () ist von DoPe.

    Hallo,


    für das Gäste WLAN an einer Schule schieben wir zur rechtlichen Absicherung den gesamten Traffic des Gäste WLANs über einen VPN Anbieter nach draussen. Bisher läuft das über OpenWRT mit einem Wireguard Client, der sich mit einem VPN Service verbunden hat. Funktioniert super, hat nie Probleme gemacht.

    Demnächst wird der Router durch ein Cloud Gateway Ultra abgelöst.

    An der Stelle war ich sehr beeindruckt, wie einfach die Konfiguration mit Unifi ist (kein Vergleich zu OpenWRT):
    Wiregurad_Client.conf vom VPN Anbieter importieren, Traffic Rule setzen ( ... "alles von vLAN XX -> VPN Service) und fertig.

    Jetzt das mekrwürdige
    Wenn ich das o.g. Setup im UCG mit einem Account von Azire VPN mache, läuft das.
    Wenn ich das Setup im UCG mit einem Account von Surfshark genau so mache, dann läuft das nicht.
    Wenn ich die Surfshark Konfig in einen Windows Client starte, funktioniert das auch.

    Bei den tests war natürlich war immer nur 1 Traffic Rule und der dazu passende VPN Client aktiv.

    Im GUi finde ich keine aussagekräftigen Logs.

    Irgendwelche Ideen, woran das liegen kann oder wie ich der Sache auf den Grund gehen kann ?

    Viele Grüße,


    Supa

  • Zum Hilfreichsten Beitrag springen

    Kurzes Googeln deutet darauf hin, dass es mit Wireguard und Surfshark Probleme mit der MTU gibt. hat Surfshark wohl etwas runtergesetzt und UDN mag das nicht anpassen. So als kurze Zusammenfassung nach Überfliegen diverser Treffer.


    Inwiefern sichert eigentlich die Verwendung von irgendeinem xbeliebigen VPN Anbieter was rechtlich ab?

    Vielen Dank, ich ja auch schon immer fleissig am suchen, habe aber noch nichts gefunden, was das Probem löst.


    Zitat von DoPe

    Inwiefern sichert eigentlich die Verwendung von irgendeinem xbeliebigen VPN Anbieter was rechtlich ab?

    Weil die sichtbare public IP der Clients nicht unsere IP von unserem Provider ist, sondern die vom VPN Service. Wenn da jemand anklopft und Daten haben will, gibts halt nix.

    • Hilfreich
    Zitat von Supaman

    Vielen Dank, ich ja auch schon immer fleissig am suchen, habe aber noch nichts gefunden, was das Probem löst.


    Weil die sichtbare public IP der Clients nicht unsere IP von unserem Provider ist, sondern die vom VPN Service. Wenn da jemand anklopft und Daten haben will, gibts halt nix.

    Das ist aber keine rechtliche Absicherung ... bestenfalls erschwert es der Abmahnindustrie die Arbeit so sehr, dass sie darauf verzichten. Geht es um wirklich kriminelle Angelegenheiten dann mahlen die Mühlen der Ermittlungsbehörden, wenn auch sehr langsam.


    Für das Problem gibt es keine Lösung. Die MTU bei Unifi ist fest auf 1420 was der Standard MTU von Wireguard entspricht. Steht denn in der Surfshark Config irgendwas zur MTU drin? Da müsste dann MTU= xxxx vorhanden sein.

    Ich sags mal so: um für den normalen Wahnsinn (Filesharing, unangemessene Wortwahl in Social Media Portalen etc.) ins leere laufen zu lassen, scheint es bisher gut funktioniert zu haben. Lt. meinem Vorgänger läuft das in der Art seit 5+ Jahren, ohne das es jemals irgendwie Ärger gegeben hat. Absolute Sicherheit gibt es natürlich nicht, aber man kann die Hürde für die Datenauskunft mit wenig Aufwand etwas höher legen.

    In der Surfshark Wireguard conf steht nichts von MTU Size. Ich hatte das auch mal manuelle dazu geschrieben, hatte aber keinen Effekt.

    Das kKönnte auch was mit mss clamping zu tun haben:
    https://community.ui.com/quest…-89c7-870fcf759c85?page=2

    Da werde dann aber nicht mehr weiter rum frickeln, dann nehme ich lieber einen VPN Anbieter der out-of-the-box funktioniert.

    Das liegt in jedem Fall an Paketgrößen und wilder Fragmentierung wie es aussieht. Ich hatte auch schon einen Fall, da war über Wireguard von einem Mobilfunk Client nix zu wollen in Sachen SMB. Musste ich auch rumprobieren mit der MTU bis es passte. Kommt halt auf den Weg ins Netz an und was da in was gekapselt wird, IPv4 oder v6 und und und.


    Probleme mit mss-clamping kenne ich eher so wie da im Threat ... manche Webseiten wollen nicht oder auch mal irgendnen Protokoll wie SIP.