WireGuard VPS Server CGNAT - UniFi als Client - Heimnetzzugriff

    Theoretisch müsste das gehen. Du müsstest auf dem VPS eine Portweiterleitung einrichten. Das geht mit iptables, sind glaube ich nur 2 Regeln. Gemacht hab ich das aber selbst auch noch nicht, bin kein Fan von Dienste ins Internet freigeben ... insbesondere RDP ist n ziemliches Sicherheitsloch auch wenns nicht auf dem Default Port läuft.

    Im Prinzip hast Du mit dem VPS und der UDM dahinter eine identische Situation zu einer Fritzbox und der UDM dahinter. Das heißt, Du hasst entweder doppeltes NAT (wenn der WG Client der UDM NAT an hat) oder eben nur einmal NAT auf dem VPS (dann ist NAT beim WG Client der UDM aus und auf dem VPS gibts die statischen Routen für das/die Netz/e der UDM. Portweiterleitungen gehen in der UDM nur auf den WAN Ports wenn ich nicht irre. Also müsstest Du dann die Umleitung direkt auf die IP der Windows VM legen und natürlich die Firewall anpassen.

    Ne, stimmt schon. Hast Recht mit RDP freigeben. Brauche das auch nicht mehr allzu oft und dafür kann ich auch eben kurz VPN aktivieren. Dann ist das sauber.

    Stimmt, die UDM kann auch nur eine Portweiterleitung auf die WAN Ports


    Jetzt wollte ich noch einem Tablet einen VPN Zugang verpassen und habe fix ein Profil erstellt und in die App gescannt. Handshake ist da, alles gut. Aber kein Internet und kein Ping ins Heimnetz. Habe jetzt über ein Diagnosetool auf dem Tablet festgestellt, dass es per IPv6 ins Netz geht, obwohl es eine IPv4 vom Mobilfunkanbieter zugewiesen bekommen hat. Könntest du mir da vielleicht noch helfen? Müsste doch dann unter Allowed IPs noch einen Eintrag bei dem Peer des Tablets machen, oder?

    Vergleiche mal auf der VPS Wireguard Oberfläche dein Handy und das Tablett. Die sollten identisch sein außer halt die 10.10.10.x die zählt einen hoch. Evtl. hast Du beim Tablett auch IPv6 mit bei stehen, irgendwo muss ja die IPv6 her kommen.

    Also alles was da an allowed-IPs beim Handy ist muss exakt so auch beim Tablett sein, nicht mehr aber auch nicht weniger. Und ggf. musst Du noch die Firewall in der UDM anpassen, falls nicht das ganze Wireguard Tunnelnetz ins interne LAN darf bisher.

    Hallo zusammen,
    da der Eintrag noch offen ist schreibe ich hier mal meinen aktuellen Stand.

    Der Server bei IONOS ist angelegt und wireguard ist installiert.
    Die Verbindung zwischen meinem UDR7 und dem VPS steht auch.
    Jetzt wollte ich nach der Anleitung von uboot21 die Verbindung zum Handy herstellen.
    Mir ist nur nicht ganz klar, wie bzw. wo ich da wieder einsteigen muss.
    Laut der Anleitung bei ## Setup VPS Client. Dann muss ich also wireguard nochmals installieren???
    Ich bin bei Keys erzeugen erneut eingestiegen und habe dort dann "unifi" geändert.
    Leider führte dies nicht zu dem gewünschten Erfolg.

    Daher meine Frage, muss ich wireguard ein zweites mal installieren, oder wo ist der richtige Einsprung?

    Ziel ist es am Schluss, dass ich mich mit meinem Wohnwagen (Router im Wohnwagen) zuhause über wireguard verbinde und so auch im Ausland ganz normal Netflix & waipu usw. benutzen kann.
    Ferner natürlich auch von überall mit dem Handy auf mein Netzwerk usw. zugreifen kann.

    Wie gesagt, vielleicht könntet ihr mir Starthilfe beim erstellen der zweiten Tunnelverbindung geben?


    Danke schonmal vorab


    Thunder

    Wireguard kannst Du nur einmal installieren. Man kann mehrere Instanzen auf unterschiedlichen Ports zu verschiedenen Zwecken starten z.B. einmal als Server und einmal als Client (wobei Wireguard das nicht wirklich unterscheidet).

    Keine Ahnung was für eine Anleitung gemeint ist. Aber wenn Du mit verschiedenen Clients zusammen arbeiten willst, macht eine zweite Instanz eher keinen Sinn. Mit was konfigurierst Du denn das Wireguard - mit shell und text editor??? Im Prinzip müsstest Du jetzt ja eine Wirguardkonfiguration mit einem peer haben. Das entspricht dann einem Client. Du benötigst jetzt entsprechend für den Client ein neues Schlüsselpaar und in der Konfiguration des VPS einen zusätzlichen peer Abschnitt mit den korrekten Schlüsseln. Die Clientkonfig kann kopiert werden, Schlüssel anpassen und die Tunnel IP anpassen. Dann sollte das schon klappen mit der zweiten Verbindung.

    Netflix und Co. muss allerdings nicht beim VPS ins Internet geroutet werden, sondern bei Dir Zuhause ... die IPs der Rechenzentren sind in der Regel geblacklistet ...

    Hi,

    danke für die schnelle Antwort.
    Für die zweite Verbindung habe ich folgende Config erstellt:

    Wenn ich AllowedIPS frei lasse klappt es auch nicht.
    Bevor ich die Konfig erstellt hatte, habe ich ein weiteres Keypaar für die Konfig handydirk erstellt.

    Wenn ich als nächstes den Server starten will, kommt folgende Fehlermeldung:


    Mir sagt das leider nichts.

    Quote from Thunder

    Für die zweite Verbindung habe ich folgende Config erstellt:

    Hallo Dirk,

    in der handydirk.conf, lass mal die 2 Zeilen weg, welche auf eth0 routen

    PostUp     = iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

    PostDown   = iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

    (diese müssen raus)

    Setup

    Router: UDM Pro

    Switch: USW-Aggregation, USW-PRO-24-POE, USW-MAX-24-POE, USW-Pro-8-PoE, US-8-POE-150W, 5x Unifi Flex Mini

    WiFi: 1 x AP-U6-Enterprise, 2 x AP-U6-LR, 2x AP-Nano-HD

    Kamera: 6x G3 Flex, 2x G5 Turret Ultra, G4 Doorbell pro, G3 Instant

    Firmware: Aktuell - release candidate

    Server: 2x Synology, 1x NAS Flash, 2x Proxmox Server, 5x Ionos VServer, 1x Oracle Cloud Tier, 1x Hetzner Bare metal

    Provider: IPv6 Deutsche Glasfaser (IP4->VPS->Wireguard Reverse VPN Tunnel->UDMPro IPv6), AllInkl Domain & Web

    Blog: https://web.andrejansen.de/home-lab/

    Hi uboot21,
    danke für den Hinweis, aber leider auch ohne Erfolg.

    Vielleicht hier nochmal die Reihenfolge, in welcher ich den wireguard Server erstellt habe.

    Das erste Interface wurde genau nach der Beschreibung erstellt.

    Der läuft auch:

    Danach habe ich versucht das zweite Interface zu erstellen.
    Gestartet habe ich mit der Erstellung der Schlüssel, da in diesem Schritt das erste mal der neue Name (aus unifi wurde handydirk) abgefragt wurde.
    Hier ist jetzt die Frage, ob ich vielleicht einen Schritt vorher noch hätte machen müssen.
    Nach der Änderung von gerade, sieht das Interface wie folgt aus:

    Leider ist die Fehlermeldung gleich.

    Der Port 55121 ist auch auf dem IONOS Server freigegeben.

    Was sagt die ausgabe

    sudo wg

    falls der wireguard läuft musst du ihn erst stoppen bevor du ihn wieder aktivierst, ich mache das eigentlich immer mit einer einzelnen Zeile wo ich den wireguard stoppe, deaktiviere, starte und aktiviere (da ist man sicher das er immer korrekt gestoppt und gestartet wurde):

    Für die unifi konfiguration wäre das wie folgend (tausche unifi mit handydirk aus)

    sudo systemctl stop wg-quick@unifi && sudo systemctl disable wg-quick@unifi && sudo systemctl start wg-quick@unifi && sudo systemctl enable wg-quick@unifi 


    P.S: Du hast nichts vergessen, es sieht auch alles gut aus 😃

    Setup

    Router: UDM Pro

    Switch: USW-Aggregation, USW-PRO-24-POE, USW-MAX-24-POE, USW-Pro-8-PoE, US-8-POE-150W, 5x Unifi Flex Mini

    WiFi: 1 x AP-U6-Enterprise, 2 x AP-U6-LR, 2x AP-Nano-HD

    Kamera: 6x G3 Flex, 2x G5 Turret Ultra, G4 Doorbell pro, G3 Instant

    Firmware: Aktuell - release candidate

    Server: 2x Synology, 1x NAS Flash, 2x Proxmox Server, 5x Ionos VServer, 1x Oracle Cloud Tier, 1x Hetzner Bare metal

    Provider: IPv6 Deutsche Glasfaser (IP4->VPS->Wireguard Reverse VPN Tunnel->UDMPro IPv6), AllInkl Domain & Web

    Blog: https://web.andrejansen.de/home-lab/

    Mache ich vielleicht einen Gedankenfehler?
    ich habe erst beide Interfaces gestoppt.
    Dann erst handydirk gestartet und es hat funktioniert.
    Danach wollte ich dann das unifi Interface starten und dann funktionierte dieses nicht mehr.

    Hier mal der Screen:

    Dann den wire

    guard Client auf dem Handy gestartet und er verbindet sich:

    Ein Ping auf den UDR7 geht aber leider ins leere.

    Müsste ich nicht beide Interface bei "sudo wg" angezeigt bekommen?

    ich. bin gerade unterwegs, nimm mal bitte die 192.168.178.0 aus dem handydirk raus

    Setup

    Router: UDM Pro

    Switch: USW-Aggregation, USW-PRO-24-POE, USW-MAX-24-POE, USW-Pro-8-PoE, US-8-POE-150W, 5x Unifi Flex Mini

    WiFi: 1 x AP-U6-Enterprise, 2 x AP-U6-LR, 2x AP-Nano-HD

    Kamera: 6x G3 Flex, 2x G5 Turret Ultra, G4 Doorbell pro, G3 Instant

    Firmware: Aktuell - release candidate

    Server: 2x Synology, 1x NAS Flash, 2x Proxmox Server, 5x Ionos VServer, 1x Oracle Cloud Tier, 1x Hetzner Bare metal

    Provider: IPv6 Deutsche Glasfaser (IP4->VPS->Wireguard Reverse VPN Tunnel->UDMPro IPv6), AllInkl Domain & Web

    Blog: https://web.andrejansen.de/home-lab/

    Hi, das war der Fehler, es klappt.

    Komme über den VPN mit dem Handy ins Internet, auf den UDR und auf die Homematic.
    Allerdings sagt waipu, dass ich mich nicht im Heimnetz befinde. Muss ich hier noch was machen?
    DoPe schrieb:

    Quote from DoPe

    Netflix und Co. muss allerdings nicht beim VPS ins Internet geroutet werden, sondern bei Dir Zuhause ... die IPs der Rechenzentren sind in der Regel geblacklistet ...

    Das verstehe ich nicht so ganz.
    Ich verstehe meine aktuelle Konfig jetzt so, das ich mit meinem Handy über den VPS auf mein Heimnetz zugreife und darüber in das Internet gehe, oder mache ich hier einen Gedankenfehler und muss noch weitere Einstellungen vornehmen?

    Quote from DoPe

    Ruf doch einfach mal eine webseite auf, die die von dir verwendete ip anzeigt.

    heise.de/ip oder ipv64.net dann siehst du wo du ins internet geroutet wirst.

    Entweder IP von Zuhause, vom VPS oder vom Mobilfunk.

    Danke für den Tip. Es ist nicht die IP meines VPS und nicht die IP Adresse, welche meinem UDR zugewiesen wurde. Daher gehe ich davon aus, das ich über das Handy ins Netz gehe.
    Wenn ich ehrlich bin, verstehe ich es nicht. Bin davon ausgegangen, dass ich, wenn ich auf dem Handy wireguard einschalte, das Handy auch über den Tunnel ins Netz Internet geht.

    für den Internet Transfer musst du unter Allowed IP die 0.0.0.0/0 eintragen

    Man muss halt immer wissen was man möchte, der VPN Tunnel ist ja hauptsächlich dafür da um auf das Heimnetz zu kommen, oft will man ja nicht den kompletten Traffic über das netzwerk leiten.

    Setup

    Router: UDM Pro

    Switch: USW-Aggregation, USW-PRO-24-POE, USW-MAX-24-POE, USW-Pro-8-PoE, US-8-POE-150W, 5x Unifi Flex Mini

    WiFi: 1 x AP-U6-Enterprise, 2 x AP-U6-LR, 2x AP-Nano-HD

    Kamera: 6x G3 Flex, 2x G5 Turret Ultra, G4 Doorbell pro, G3 Instant

    Firmware: Aktuell - release candidate

    Server: 2x Synology, 1x NAS Flash, 2x Proxmox Server, 5x Ionos VServer, 1x Oracle Cloud Tier, 1x Hetzner Bare metal

    Provider: IPv6 Deutsche Glasfaser (IP4->VPS->Wireguard Reverse VPN Tunnel->UDMPro IPv6), AllInkl Domain & Web

    Blog: https://web.andrejansen.de/home-lab/

    OK, wenn du das internet nicht nur zum vps, sondern bis nach hause durchreichen möchtest, muss auch die regel wieder rein:

    iptables -t nat -A POSTROUTING -s 10.10.11.0/24 -o eth0 -j MASQUERADE

    (glaub ich zumindest, ich nutze sowas absoulut nicht)

    Setup

    Router: UDM Pro

    Switch: USW-Aggregation, USW-PRO-24-POE, USW-MAX-24-POE, USW-Pro-8-PoE, US-8-POE-150W, 5x Unifi Flex Mini

    WiFi: 1 x AP-U6-Enterprise, 2 x AP-U6-LR, 2x AP-Nano-HD

    Kamera: 6x G3 Flex, 2x G5 Turret Ultra, G4 Doorbell pro, G3 Instant

    Firmware: Aktuell - release candidate

    Server: 2x Synology, 1x NAS Flash, 2x Proxmox Server, 5x Ionos VServer, 1x Oracle Cloud Tier, 1x Hetzner Bare metal

    Provider: IPv6 Deutsche Glasfaser (IP4->VPS->Wireguard Reverse VPN Tunnel->UDMPro IPv6), AllInkl Domain & Web

    Blog: https://web.andrejansen.de/home-lab/

    OK, das hat alles strubbelig gemacht und ich kam via terminal gar nicht mehr auf den Server.
    Ich hatte das Handy Interface wie folgt geändert:

    die 0.0.0.0/0 bei AllowedIPs scheint den Zugang zu schießen und ich musste das Interface über den Terminal bei IONOS stoppen.

    Ich stelle mir gerade die Frage, wo ich die 0.0.0.0/0 eintragen muss.
    In dem Interface auf dem VPS oder vielleicht in dem Client auf dem Handy, da ich auf dem handy, wenn ich ipv64.net eingebe, die IP meines Mobilfunkanbieters bekomme.

    Quote from uboot21

    für den Internet Transfer musst du unter Allowed IP die 0.0.0.0/0 eintragen

    Man muss halt immer wissen was man möchte, der VPN Tunnel ist ja hauptsächlich dafür da um auf das Heimnetz zu kommen, oft will man ja nicht den kompletten Traffic über das netzwerk leiten.

    Hallo uboot21, du hast schon recht. Eigentlich reicht es, vor allem mit dem Handy, nur das Heimnetz zu erreichen und der Internettraffic geht normal über das Mobilfunknetz.
    Allerdings haben wir im Wohnwagen einen MWR_5550 laufen, welcher früher immer mit der Fritzbox via wireguard verbunden war. Dadurch konnten wir den Geofence umgehen und waipu, 1&1 TV und Netflix funktionierte. Genau das ist auch wieder mein Taget bis zu den Sommerferien 8).

    Aktuell probiere ich halt alles mit dem Handy aus, da es komplizierter ist den MWR_5550 einzurichten (ist halt im Wohnwagen).
    Das Interface für den Wohnwagen habe ich auch schon erstellt und auch im MWR eingerichtet. Der Zugriff auf das Heimnetz funktioniert auch.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login