Ich stelle mir gerade die Frage, wo ich die 0.0.0.0/0 eintragen muss.
Das muss im Client unter "allowed IPs" stehen. Andere Einträge als diesen brauchst Du dann auch nicht mehr, denn 0.0.0.0 ist eine default route und bedeutet "jeglicher Datenverkehr".
Das muss im Client unter "allowed IPs" stehen. Andere Einträge als diesen brauchst Du dann auch nicht mehr, denn 0.0.0.0 ist eine default route und bedeutet "jeglicher Datenverkehr".
Hi, das klappt schonmal soweit, dass ich jetzt immer noch auf mein Heimnetzwerk komme. Aber leider habe ich keine Verbindung mehr ins Internet. Gehe ich recht in der Annahme, dass ich im UDR noch weitere Einstellungen machen muss?
Da ich selber Firezone für den VPN Mobil Zugang nutze, lass es mich heute/morgen einmal selber für mich einrichten und testen.
(Trial and Error funktioniert am besten wenn mans selber macht)
Wie ich verstehe, benötigt die Box also den Internetzugang über die IP bei Dir zu Hause, da muss ich ein wenig probieren. Der VPN Client ist nicht wirklich hübsch in der Unifi, es muss von dort ja nicht nur in dein Netzwerk geroutet werden, sondern direkt ins internet. hier muss dann auch auf der Unifi Seite etwas angepasst werden
OK, Schritt 1 war recht simpel, deshalb hier eine Schritt für Schritt Anleitung:
(Da ich andere Netzwerke, Namen und Ports verwende, bitte Austauschen)
auf der VPS im Verzeichnis /etc/wireguard/ wechseln
nano handy1.conf
Code einfügen (Keys anpassen)
Address = 10.11.11.1/24
ListenPort = 55200
PrivateKey = <VPS-Private-Key>
# NAT & Forwarding
PostUp = iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
PostUp = iptables -A FORWARD -i handy1 -j ACCEPT; iptables -A FORWARD -o handy1 -j ACCEPT
PostDown = iptables -D FORWARD -i handy1 -j ACCEPT; iptables -D FORWARD -o handy1 -j ACCEPT
PublicKey = <Handy-Public-Key>
AllowedIPs = 10.11.11.2/32
strg & x, speichern y, dann starten mit:
sudo systemctl start wg-quick@handy1 && sudo systemctl enable wg-quick@handy1
Wireguard auf VPS läuft, dann im Handy (ich habe apple) den Wireguard clienten laden, ich habe hier ein printscreen, es müssen auch hier keypaare erstellt werden und in den Dateien verteilt werden -> Falls hier Probleme sind, bitte melden
Verbindung starten (nicht vergessen WLAN auszuschalten 😉)
Der Internet Verkehr geht über die VPS, das Netzwerk ist erreichbar!
Folgende Punkte teste ich später, muss heute arbeiten, probier aber mal ob evtl. das Geofence von deiner Box mit der IP in Deutschland auch zurecht kommt.
Internetverbindung über die IP deines Internetzuganges zu Hause
Hi, die Schlüssel hatte ich ja alle schon erstellt.
Hier meine Einstellungen auf dem Handy:
Leider klappt es immer noch nicht.
Komme auf mein Heimnetz, habe aber jetzt gar kein Internet mehr. Daher der Verdacht, dass ich auf der Unifi Box noch was einstellen muss.
um das zu prüfen, was sagt denn ein
dig google.de
auf dem VPS Server?
Was bedeutet "Ich habe gar kein Innternet mehr"?
P.S.: der fehler lag ja im Wireguard auf dem VPS, dass der nicht gestarte ist, läuft der jetzt?
Display Moreum das zu prüfen, was sagt denn ein
dig google.de
auf dem VPS Server?
Was bedeutet "Ich habe gar kein Innternet mehr"?
P.S.: der fehler lag ja im Wireguard auf dem VPS, dass der nicht gestarte ist, läuft der jetzt?
Sorry,
mit "ich habe kein Internet mehr", bedeutet, dass ich die VPN Verbindung aufgebaut hatte und dann mit dem Handy kein INternet mehr hatte.
Ich konnte ganz normal auf mein Netzwerk zugreifen, aber nicht ins Internet. Ich wollte über ipv64.net prüfen, welche IP Adresse ich hatte und das ging nicht.
Daher hatte ich die Vermutung, das ich bis auf den UDR gekommen bin, aber der mich nicht in das Internet geroutet hatte.
Mit dem Schritten die ich oben gezeigt habe, kommst du eigentlich ohne Probleme mit dem handy auf den VPS.
Dh. du surfst dann mit der IP des VPS, du kommst dann weiter mit dem Tunnel zur Unifi und auf deine Netzwerk Geräte
So hab ich es zumindest selbst eingerichtet gehabt und es funktioniert, hab es aber wieder gelöscht, da ich firezone benutze.
Vorher hab ich aber noch versucht den Internetverkehr über die unifi zu leiten, das scheitert aber an der unifi selber -> der VPN Cient liegt in der "External Zone", ich habe es weder über firewall oder routing regeln noch mit NAT Einstellungen hinbekommen direkt von der unifi ins internet zu routen.
Was aber gehen würde: Wenn du einen kleinen Server zu hause hast, damit eine Wireguard Verbindung zum VPS aufzubauen, über diesen Tunnel gelangst du auf den Server zu hause und von dort ins Internet. Evtl. hat jemand einen anderen Workaround wie man den Traffic nicht nur ins Netzwerk, sondern auch auf den WAN Port routen kann.
Hi, die Frage in die Gemeinde, hat jemand eine Idee, wie der Traffic nicht nur ins Heimnetz, sondern auch ins Internet (über den WAN) geleitet werden kann?
Danke euch
Grüße an Alle
Ich möchte dem armen uboot nicht die ganze Zeit auf den Sack gehen deshalb versuche ich es mal in der großen Runde!
Mein Vorhaben wäre über den VPS/VPN ganz einfach in mein Netzwerk zu kommen. Und im besten Fall über den VPS das Internet laufen lassen - hört sich doch ganz einfach an, oder?
Ich bin trotzdem am verzweifeln. Wenn jemand Lust mat mir zu helfen würde ich gerne mal meine Configs hochladen vielleicht ist es echt nur ein kleiner Fehler.
Bisher kann ich vom VPS die Wireguard Clients anpingen. Die Clients können sich auch untereinander anpingen. Ich konnte sogar die Clients aus dem Heimnetz aus anpingen. (Vermutlich hab ich mit dem AllowedIP wieder was verstellt)
Von den VPN Clients ist auch möglich das DM Pro Webinterface zu öffnen aber weiter komme ich einfach nicht in mein Netzwerk.
Im Prinzip möchte ich nur über das Webinterface hinüber in mein schönes kleines Netzwerk 
Viele Grüße
Wenn Du von den Wirgard Clients bereits über den VPS auf das Webinterface der UDM kommst (mit welcher IP der UDM geht das? einer LAN IP der UDM oder der Wireguard Tunnel IP der UDM?) dann sieht das ja schonmal ganz gut aus ...
Dann sind folgende Fehlerquellen denkbar ...
Es fehlt in der UDM eine Firewallregel, die den Traffic aus dem Wireguard Tunnel in die Internen Netze lässt. Du müsstest prinzipiell schon eine Regel erstellt haben, die den Zugriff auf das Gateway selbst zulässt. Die sehen ziemlich gleich aus, sind aber 2 völlig verschiedene Dinge.
Möglicherweise fehlt aber auch auf dem VPS eine Route für die IP Netze hinter der UDM und der VPS routet alles was eigentlich via Wireguard zur UDM muss, einfach direkt ins Internet, wo es natürlich verworfen wird.
Und falls noch nicht geschehen, kann es nicht schaden, in der UDM für den Wireguard Client das NAT zu deaktivieren.
Ich nehme jetzt mal mein Handy Client mit der VPN IP 10.0.0.2 und gehe auf die VPN IP der Unifi mit der 10.0.0.1.
Mein Netz welches ich im Heimnetz erreichen möchte ist 10.0.8.0/22.
Mangels Ahnung habe ich noch keine Router für die IP Netze hinter der UDM eingerichtet oder einrichten können.
der VPN nennt sich wg0 und die Internet Verbindung ens6
Falls mir jemand sagen kann wie man die schreibt und wo man sie einfügt wäre ich sehr dankbar
Mit den sparsamen Infos wird Dir vermutlich niemand helfen können. Da muss dann etwas mehr an infos her ...
Was hast Du bisher eingerichtet? Wo und auf was für einem OS läuft der VPS? Konfiguration mit einer GUI oder per ssh in den Konfigdateien? usw.
Was hast Du denn für ein Tunnelnetz für Wireguard in Verwendung?!? So aus dem Bauch heraus hätte ich ja vermutet, dass die 10.0.0.1 die Wireguard IP auf dem VPS, also der Wireguardserver ist.
Ansonsten wäre ggf. ein eigenes neues Thema gut, sonst bist Du mindestens der 3. der hier in diesem Thema sein Problem schildert. Das Thema ist so schon völlig undurchsichtig geworden, weil unterschiedliche Aufgabenstellungen und Lösungsansätze durcheinander gepostet wurden.
Vielleicht lässt es sich ja tatsächlich klären ansonsten schreibe ich morgen ein neues Thema.
Der VPS ist von IONOS mit Ubunto 24.04 installiert. GUI habe ich leider nicht also alles per SSH.
Bisher habe ich
- WGDashboard installiert also Wireguard
- die entsprechenden Ports am VPS freigeben damit ich von außen drauf komme
- 3 VPN Clients eingerichtet
Unifi, Smartphone, Notebook - Diese drei VPN Clients können sich auch untereinander anpingen.
- Firewall auf Unifi wie hier beschrieben "Internet in" und "Internet lokal" eingerichtet
10.0.0.1 > IP von Unifi auf dem VPS per VPN
10.0.0.2 > IP Smartphone auf VPS per VPN
10.0.0.3 > IP Notebook auf VPS per VPN
Heimnetz hinter der Unifi 10.0.8.0/22 welches erreicht werden soll. Gerne kann ich morgen ein paar Screenshots machen ich bin aber leider nicht zuhause.
Für den Überblick ist das denke ich völlig richtig, auch ich bin gerade Lost mit den (sich ziemlich ähnlich) anhörenden Netzwerken von Dir:
Bitte auf dem VPS einmal
ip addr
sudo wg
angeben. Auf der UDM Pro einmal die Übersicht der Netzwerke und den Inhalt der VPN Client eingabe. Dann ein Screenshot der Policy based Rules und der Static Rules. Von der Firewall einmal das Internet In und das Internet Local.
Also eins kann ich schonmal sagen, das bekommen wir hin, alles kein Hexenwerk, aber man vertut sich leicht mit den "Allowed" Adressen oder den Routen.
Mein Problem in meinem Setup liegt auf anderer Hand, die UDM Pro kann maximal 8 VPN Clients erstellen, dann ist schluss. Ich meshe also die VPS im Internet untereinander und muss dann über mehrere Hops zu den Servern routen. Am besten macht man sich dann eine Excel Tabelle mit den Daten oder legt sich eine Verzeichnisstruktur mit allen Servern an, wo man die Konfig Dateien, die Keys und alles ablegt, ich pflege in allen Wireguard Konfigurationen auch immer (mit # am Anfang) Kommentare ein, wo ich alle Server mit den IP der Netzwerk Karte und den IPs der WG mit den Ports aufliste, so kommt man nicht durcheinander, insbesondere bei der Firewall des VPS Providers ist das immer wieder ein Showstopper den man leicht vergisst und sich wundert, das die Verbindung nicht zu Stande kommt.
Ich denke ich werde meinen VPN nicht so riesig werden lassen. Aber das mit der Excel ist eine gute Idee.
Unifi Wireguard Config
[Interface]
PrivateKey = 6Hi
Address = 10.0.0.1/32
MTU = 1420
DNS = 1.1.1.1
[Peer]
PublicKey = Mv
AllowedIPs = 10.0.8.0/22
Endpoint = 195.xx.xxx.xx:51820
PersistentKeepalive = 21
PresharedKey = eC
Entferntes Notebook Config
[Interface]
PrivateKey = KAeE
Address = 10.0.0.3/32
MTU = 1412
DNS = 10.0.10.145
[Peer]
PublicKey = MvX
AllowedIPs = 10.0.0.0/24, 10.0.8.0/22
Endpoint = 195.xx.xxx.xx:51820
PersistentKeepalive = 21
PresharedKey = cIu
OK, deinVPS hat 3 Peers, du erlaubst mit Allowed IP aber nur den Traffic innerhalb des 10.0.0.0/24 Netzwerkes
PS: Du brauchst hier nicht die /32 eingeben, weil sonst kannst du auch untereinander nicht kommunizieren, hier gehört in den 10.0.0.3 Peer folgendes rein:
10.0.0.3/32, 10.0.8.0/22 (Falls Auf Nas Zugriff sein soll auch: 10.1.1.0/29)
Stelle Dir die Allowed IP so vor, als würdest du Routen anlegen, du sagst dem Ausgang des Tunnels bzw. dem Eingang zum nächstem Tunnel wohn es umgeleitet werden darf, wenn du auf dem VPS also nicht eingibst, dass es auf dein zu Hause darf, wird der weg nicht gesetzt.
PS: Man kann durchaus mit verschieden Peers zu einem Wireguard Tunnel arbeiten, als Tipp nutze ich aber als Basisi immer unterschiedliche Tunnel. Heisst 1 Tunnel vom VPS zu der Unifi (zb. 10.0.0.0) und einen seperaten Tunnel für den Zugang von Ausserhalb zu dem Tunnel mit einem anderen Port (z.b. 10.1.0.0) -> Das hat erstmal keinen besonderen Vorteil, aber es sorgt für mehr Überblick wenn man Tunnel hinzufügt.
PS2: Sorry für die vielen Korrekturen, aber es fällt mir immer mehr auf: Auf der Unifi darf da nicht das eigene Netz stehen (AllowedIPs = 10.0.8.0/22) hier muss auf jeden Fall AllowedIPs = 10.0.0.0/24 rein.
Ich habe es soweit angepasst aber ich komme weiterhin nicht ins Heimnetz.
Vielleicht sind meine Firewall Regeln auch nicht richtig?
Diese PostUp und PostDow befehle brauche ich nicht? Mit den iptables habe ich noch gar nichts gemacht...
Danke für deine Hilfe! Die Netze werde ich bei Gelingen dann nochmal trennen so wie du es vorschlägst.
[Interface] UNIFI
PrivateKey = 6Hi
Address = 10.0.0.1/32
MTU = 1420
DNS = 1.1.1.1
[Peer]
PublicKey = MvX
AllowedIPs = 10.0.0.0/24
Endpoint = 195.xx.xxx.xx:51820
PersistentKeepalive = 25
PresharedKey = eCA
[Interface] Notebook
PrivateKey = sBn
Address = 10.0.0.3/32
MTU = 1420
DNS = 1.1.1.1
[Peer]
PublicKey = MvX
AllowedIPs = 10.0.0.3/32, 10.0.8.0/22
Endpoint = 195.xx.xxx.xx:51820
PersistentKeepalive = 25
Don’t have an account yet? Register yourself now and be a part of our community!
