WireGuard VPS Server CGNAT - UniFi als Client - Heimnetzzugriff

lukasn20 · January 7, 2025 at 1:24 PM

Hallo liebe community, nachdem ich seit zwei Wochen einen Glasfaseranschluss bei der Deutschen Glasfaser besitze, stehe ich nun vor dem Problem, dass ich meine Heimnetz Dienste wie zum Beispiel die FritzFon App von unterwegs nicht mehr nutzen kann. Ebenso würde ich gerne von unterwegs auf meine FritzBox und mein NAS zugreifen. Hierfür habe ich bei Ionos bereits einen VPS Server gemietet, dort Wireguard installiert und mein UniFi Netzwerk als Client verbunden. Ebenso habe ich meinen Laptop und mein Telefon als Client anbinden können. jetzt stehe ich nun jedoch vor dem Rätsel, wie ich von meinem Mobil Geräten aus per VPN Tunnel auf mein UniFi Netzwerk zugreifen kann. Ich möchte nicht meinen Traffic über das VPN Routen. Ich möchte per VPN lediglich die Möglichkeit haben, wie oben bereits genannt, meine Heimnetzdienste zu nutzen. Ich hoffe ihr könnt mir da weiterhelfen. Ich bin in den Juni Firewall Regeln dort bisher nicht fündig geworden.

Viele Grüße,

Lukas

uboot21 · January 7, 2025 at 10:29 PM

Du erstellst auf dem Ionos einen zweiten wireguard Server.

Mit deinen clienten verbindest du dich mit diesem Ionos Server.

Je nach Einstellung dieses Client Wireguard Servers erlaubst du Geräten dort über allowed ip den Zugriff auf die ip in deinen Netzwerken zu Hause (entweder ganze Netze oder einzelne ip)

Auf der Ionos Konfiguration Webseite selber gibst du nur die Ports (UDP) der wireguard Server frei, sonst nichts

PS auf der unifi muss der Tunnel zum Ionos wireguard im Internet in und Internet local frei gegeben sein.

lukasn20 · January 8, 2025 at 8:50 AM

Vielen Dank schon mal für die Anregungen, jetzt stellt sich mir jedoch die Frage für was der erste Wireguard Server dann noch fungiert, wenn meine Clients im 2. Wireguard Server sind. Zusätzlich ist mein UniFi Netzwerk jedoch als Wireguard Client konfiguriert und ich finde leider keine Möglichkeit den Wireguard in den Firewall regeln als Quelle zu definieren. Vielen Dank schon mal für die Hilfe, ich hoffe ich komme hier irgendwie weiter

uboot21 · January 8, 2025 at 1:04 PM

Wireguard stellt Tunnel zur Verfügung, das sind geschützte Verbindungen in einem "eigenem" Netzwerkbereich, welche verschlüsselt über das Internet geleitet werden können.

Den Ionos Server wirst du Dir denke ich geholt haben, da du keine feste IP hast. Deshalb kannst du mit deinem Mobil Gerät als Client nicht direkt auf dein Unifi als Server verbinden.

Der Ionos Server baut also 2 Tunnel als Server mit fester IP4 auf, einmal den Tunnel von deiner Unifi zum Ionos Server, damit hat dein Unifi "quasi" eine feste IP bekommen und du kannst Verbindungen von außen da drüber leiten.

der Zweite Tunnel baut nun die Verbindung vom Mobil Gerät zu deinem Ionos auf und erstellt eine weitere Netzwerkverbindung.

Warum ich zb immer für jedes Gerät einen weiteren Tunnel aufbauen würde? Weil ich über die Allowed IP den Zugriff auf die IP bei Dir zu Hause blocken oder freigeben kann. z.b: Person A darf über den Wireguard Login mit dem Handy auf den Homeserver zugreifen. Person B darf mit Laptop zusätzlich auf die NAS zugreifen.

In der Firewall der Unifi musst du nur die 2 genannten Verbindungen öffnen (IONOS -> UNIFI), welche Netze über diese Verbindung gesteuert werden dürfen erstellst du in der Wireguard Config auf dem IONOS -> die allowed IP´s werden von Wireguard automatisch in IP Table Rules umgesetzt

lukasn20 · January 8, 2025 at 2:48 PM

Okay, also ich habe jetzt 2 laufende Wireguard Server. Im einen ist mein UniFi verbunden, mit dem anderen meine Clients, welche allowed ips muss ich nun wo eintragen, damit ich von meinem Wireguard Client Server mit IP (geändert) 99.76.112.12 auf meinen Wireguard UniFi Server mit IP (geändert) 34.69.110.60 zugreifen kann und zusätzlich auch auf die IP Adressen in meinem Heimnetzwerk mit Adressbereich 192.168.1.xxx von meinen Clients aus? Sorry falls ich mich hier ein wenig anstelle, ich bin komplett neu im Netzwerkbereich und habe seit meinem Umstieg auf Glasfaser ziemlich Probleme.

uboot21 · January 8, 2025 at 5:56 PM

Sorry, aber mangels Glaskugel und mangels Ahnung an Hand welcher Anleitung du was mit welchen Vorkenntnissen eingerichtet hast, fällt es sehr schwer konkrete Hilfe an Hand von 3 IP Adressen zu geben.

Ich habe hier mal eine Anleitung erstellt, welche dir eine gute Grundlage geben kann

https://github.com/uboot21/worksp…ireguard_Tunnel

Unten geb ich 2 Hinweise wie man Mobile Geräte verbindet, einmal mit einem Docker Programm und einmal unter dem Punkt

"Ohne Firezone ein Mobiles Gerät hinzufügen"

hinweise für die direkte Vorgehensweise, ich hoffe dies hilft Dir etwas weiter.

PS: Einmal muss dein Tunnel Ionos zu Unifi "ALLE" IP´s erhalten, damit der Tunnel weiß, was hinter dem Tunnel liegt.

In dem Server zum Mobilen Gerät dann nur die IP, welche du dem Mobilem Gerät ermöglichen möchtest

lukasn20 · January 8, 2025 at 8:53 PM

Vielen Dank schon mal für Anleitung, die hat mir sehr weiter geholfen, leider kann ich kein Gerät in meinem Heimnetz anpingen, nicht mal per SSH auf der Konsole meines VPS auf dem Wireguard für UniFi läuft. Die VPN Verbindung besteht jedoch. Ich hänge mal Screenshots von meinen Einstellungen an.

uboot21 · January 8, 2025 at 9:59 PM

der Tunnel scheint zu laufen, hier müssen nun 2 Firewall regeln eingestellt werden in der Unifi, einmal bei Internet in und eine bei Internet local.

Schau da nochmal in der Anleitung unter

## Setup Firewall

ein, ich hab das nochmal dort angepasst

lukasn20 · January 8, 2025 at 10:51 PM

Danke, auch die 2. Regel habe ich jetzt erstellt, leider funktioniert der Ping von meinem Server aus immer noch nicht. Die Firewall Regeln sehen jetzt so aus:

uboot21 · January 9, 2025 at 7:41 AM

Bei source kommt nicht die öffentliche IP des Wireguard rein, sondern die "interne", also zb 10.10.10.1

lukasn20 · January 9, 2025 at 12:00 PM

Danke, das war mein Problem, ich habe den Zugriff jetzt hinbekommen, auch von einem zusätzlichen Client (mein Laptop), sobald ich jetzt einen zusätzlichen Peer (einen 3.) hinzufügen möchte (mein iPhone), wird hier auch die Verbindung zu meinem Server aufgebaut, jedoch scheitert hier der Zugriff, Screenshots hänge ich an. *mit Zugriff meine ich ich kann mein Heimnetz nicht anpingen von meinem iPhone aus

uboot21 · January 9, 2025 at 1:09 PM

Bin jetzt eben lost, du hast mehrere Peers in einer Config untergebracht? Das ist laut Anleitung von Wireguard durchaus möglich, aber in meinem Setup anders beschrieben, ich kann hier nur support geben wenn ich mich mit dem Setup auskenne, bin kein Profi, alles auch nur mit Learning by doing zustande gekommen.

So steht es auch in meiner Anleitung, Jeder Wireguard Tunnel benötigt seine eigene Config Datei mit seinem eigenem Netzwerk Bereich.

Dort steht z.b. für den Unifi Tunnel der Netzwerkbereich 10.10.10.0/24 und für das Mobilgerät 10.10.11.0/24

Für den Fall das es mit Deinem Setup auch geht kann ich nur sagen:

Der Peer mit dem Anfang "dp" wurde der Zugriff auf dein Home Netz 192.168.1.0/24 erlaubt, den Peers mit dem Anfang "H8" und "IN" wurde er verboten. Vielleicht ist das Deine Lösung?

lukasn20 · January 9, 2025 at 2:22 PM

Der Peer mit dem Anfang "dp" ist mein UniFi Netzwerk, den anderen Peers, soll ich laut deiner Anleitung keine anderen allowed IPs geben. Ich habe eben eine zweite handy.config datei erstellt mit anderem Port und diesen auch in meiner Firewall freigegeben, leider lässt sich darüber kein Tunnel aufbauen, außerdem komme ich nicht darauf, wie ich mit den handy.config Tunnel im Terminal anzeigen lassen kann, über "wg show" sehe ich lediglich meine unifi.config

uboot21 · January 9, 2025 at 5:22 PM

Sorry, aber es steht deutlich in der Anleitung drin

Der dort abgebidete IP Bereich ist dem eigenem Bereich anzupassen

Quote

Zulässige IP´s wären hier jetzt die 10.10.11.0/24, !!!192.168.0.0/24 -> Hier die IP Netze der UDM Pro rein wodrauf zugegriffen werden darf!!!

MacMika · March 21, 2025 at 9:02 PM

Hallo,

ich hoffe, es ist ok, dass ich den Thread mitbenutze, da ich genau vor demselben Vorhaben stehe. Im Moment bin ich einfach total durcheinander und sehe den Wald vor lauter Bäumen nicht mehr. Ich hab deine Anleitung genutzt, aber manches vielleicht auch einfach nicht richtig verstanden.. Tut mir leid. Aktuell habe ich noch eine öffentliche IPv4, die aber in ein paar Monaten aufgrund vom Wechsel zur Deutschen Glasfaser verloren geht. Ich bin nur gerne vorbereitet und möchte nicht erst dann anfangen zu basteln, wenn die Umstellung erfolgt ist. Es soll dann praktisch nahtlos geschehen.

Ich nutze eine UDM Pro, einen Unraid Server, auf dessen Dienste ich auch zukünftig gerne zugreifen möchte. Zum einen läuft ein Pihole, Nextcloud, Authentik, Home Assistant, Plex, Matrix hinter einem Nginx Proxy Manager als Reverse Proxy. Zusätzlich kann ich von unterwegs über den Unifi Wireguard Server einen Tunnel aufbauen, um z.B. von Pihole unterwegs zu profitieren, oder um auf andere Geräte im Netzwerk von unterwegs zuzugreifen.

Das interne Netzwerk lautet: 10.0.0.0/24
Pihole läuft im Docker unter 10.0.0.20

Ich habe einen VPS bei Hetzner mit einer statischen IPv4 und IPv6 auf dem ich WGDashboard installiert habe, weil es sich tatsächlich damit übersichtlich und ordentlich einrichten lässt. Die Verbindung Unifi -> VPS und Handy -> VPS stehen und ich kann vom Handy aus auch darüber ins Internet. Jedoch komme ich nicht in mein Unifi Netzwerk, also werde ich wohl ein Problem mit dem Routing haben. Und da komme ich gerade nicht weiter und checke das einfach nicht.

Die iptables sehen bei wg0 so aus:

iptables -t nat -A POSTROUTING -o wg0 -j MASQUERADE; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -D POSTROUTING -o wg0 -j MASQUERADE; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

bei der Handyconfig so:

iptables -t nat -A POSTROUTING -o Handy -j MASQUERADE; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -D POSTROUTING -o Handy -j MASQUERADE; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

Anbei ein paar Fotos vom Setup.
Ich hoffe, ich habe alle Informationen zusammen. Sonst bitte gerne Bescheid sagen.

Würde mich über jede Hilfe freuen.

Viele Grüße
Michael

DoPe · March 22, 2025 at 2:43 PM

Hm also ich hab bei meinem VPS nix mit NAT in den iptables eingerichtet. Hab aber auch das Wireguard Template bei hetzner für meinen VPS genommen. Ich musste nach der kurzen Grundeinrichtung nur die Client Konfigs erstellen und dort ggf. hinter dem Client liegende Netze mit eintragen (damit das dann auch auf dem VPS bekannt und zum routen verwendet wird), NAT auf dem UCG Wireguard CLient für das Wireguard deaktivieren und die Firewall und policy based routing anpassen und das wars auch schon.

Ob Du ein routing Problem hast, müsstest Du mal auf dem VPS schauen ob es da in der Routing table eine route für das Heimnetz gib mit den verweis zu deinem wg Client von zuhause. Vielleicht passt das auch aber Die Firewall, das wg client NAT oder deine policy based routing regeln fehlen oder passen nicht.

MacMika · March 22, 2025 at 7:25 PM

danke schonmal. Kannst du mir vielleicht deine iptables posten, um die mal zu testen?

Gerade erstmal gemerkt, dass sich Netflix direkt verabschiedet hat, als ich die Policy bases rules scharfgeschaltet hatte. Habe jetzt zum testen einfach mal eine IP eines Dockers angegeben, um den vom VPS aus mal anzupingen.

Ist die Regel denn dann richtig, wenn ich vom Wireguard Tunnel auf eine feste Docker IP lenken möchte?

MacMika · March 22, 2025 at 7:51 PM

wie hast du das NAT auf dem Unifi beim Wireguard Clienten denn deaktiviert?

DoPe · March 23, 2025 at 9:45 AM

Prinzipiell sollten wir erstmal definieren was Du ganz genau vorhast. Man kann Standorte (Clients) vernetzen, darüber surfen (aus diversen Gründen, ich umgehe das bescheidene Telekom Peering so) und sicherlich gibt es noch andere Anwendungsfälle. Dann müsste man sich mal darüber austauschen wie die IP Netze jetzt genau vorhanden sind. Dazu zählt auch das Tunnelnetz von Wireguard. Es gibt hier leider einige Stolpersteine ... fehlende routen (ob statische oder policy based routen), NAT, Firewalls ... und wie gesagt, falls da auf dem VPS nix anderes sein sollte, dann kick das Teil und setz dir den VPS mit dem Wireguard Template auf. Wer weiß was da an dem VPS noch alles per Hand hingefrickelt werden muss, damit das Grundgerüst läuft.

Also die Regel fürs policy based routing ist für den ausgehenden Traffic zuständig. Du hast jetzt eingestellt, dass der Traffic vom Defaultnetz zur IP 10.0.0.69 durch den Wireguardtunnel erfolgen soll. Erscheint mir unsinnig ... die IP ist doch im Defaultnetz oder aber zumindest in einem lokalen Netz der Unifi?

Wenn alles korrekt konfiguriert ist, dann braucht man keine Weiterleitungen mit iptables um zwischen den am VPS angebundenen Wireguard Teilnehmern zu kommunizieren. Da reicht einfaches routing.

Netflix und Co. wird sehr sehr wahrscheinlich darüber nicht laufen ... man könnte ja so problemlos Accountsharing betreiben und das möchten die Streamingdienste nicht und haben auf unterschiedlichste Weisen dem ganzen einen Riegel vor geschoben. z.B. sind einfach zig IP Netze die zu Rechenzentren gehören geblockt, denn die sind niemals bei jemanden vor Ort in Nutzung.

Das NAT machst Du bei Settings - Routing - NAT klar. Aber obacht, im Prinzip ist das wie beim doppelten NAT (einmal auf dem VPS fürs Internet, und einmal im Unifi) sprich die routen müssen passen sonst geht gar nichts mehr. Hier mal wie ich es bei mir eingestellt habe. Das gilt für alle Protokolle, dessen Pakete über das Wireguard Client Interfaces geroutet werden, die aus dem Netzwerk Main-LAN kommen. Das Exlude unten ist wichtig, da damit eben das NAT für genau diese Pakete ausgeschlossen werden.

Dazu gibt es dann noch diverse policy based routing Einträge. Der wichtigste ist dieser. Der leitet alles was ins Internet geht vom Main-LAN über den Wireguardclient Tunnel. Sprich ich surfe also praktisch vom Main-LAN über den hetzner VPS. Mit anderen pbr Regeln hab ich dann zum Beispiel alles was an die Domain waipu.tv geht über das Interface WAN1 geroutet, da WaipuTV eben ähnlich wie Netflix Probleme macht mit der IP von hetzner.

MacMika · March 23, 2025 at 3:54 PM

Schomal vielen Dank für deine lange Nachricht! Habe den VPS jetzt zurückgesetzt und mit dem Wireguard Template neuinstalliert. Habe danach nur den Standardport von 51820 nach 55120 geändert und den IP-Bereich für den Tunnel nach 10.10.10.1/24 geändert.
Die Verbindung zwischen Unifi und VPS und Handy und VPS steht problemlos.

Mein Ziel ist folgendes:
Ich habe einen Unraid Server laufen, auf dem alle möglichen Dienste bereitgestellt werden. Bspw. Immich, Nextcloud, Home Assistant, Authentik als SSO usw. Diese Dienste sind alle erreichbar von außen über eine entsprechende Subdomain und dem Reverse Proxy mit Hilfe vom Nginx Proxy Manager, der aktuell auch als Docker auf Unraid läuft.

Ab und zu kommt es vor, dass ich mich von meinem Handy aus per VPN in mein Netz schalte, wenn ich z.B. auf den VU+ Receiver möchte und ein TV Programm sehen möchte, oder direkt auf den Unraid Server möchte, weil warum auch immer.

Den Zustand hätte ich auch gerne noch, wenn denn irgendwann meine öffentliche IPv4 abgeben muss.

Der IP Adressbereich meines internen Netzwerkes ist 10.0.0.0/24
Der Unraid Server hat eine feste IP: 10.0.0.3
Auf Unraid läuft ein PiHole Docker mit der festen IP: 10.0.0.20

Freue mich, wenn du mir helfen würdest.

Participate now!