Wireguard in eine Richtung dropen

Diese Webseite finanziert sich ausschließlich durch freiwillige Spenden. Dank der Unterstützung unserer Nutzer können wir die Inhalte werbefrei und unabhängig anbieten. Jetzt Unterstützen

    Mahlzeit zusammen,
    folgendes Szenario:
    Zuhause im Büro steht mein UDR als WG Server (10.8.0.1)
    In der Werkstatt (entfernter Ort) habe ich einen GL-Inet Router (192.168.55.1) als WG Client (10.8.0.2) eingebunden, läuft soweit so gut.
    Nun wäre mein Ziel das ich vom Büro (A) in das Netz der Werkstatt (B) zugreifen kann aber nicht anders rum.
    Habe hier Sicherheitsbedenken, falls den Router jemand klaut hätte er theoretisch Zugriff in mein Netz.
    In der config von B kann ich natürlich festlegen "AllowedIPs = 0.0.0.0/0" -> kein Zugriff auf 10.8.0.0/24
    Das ist mir aber bisschen zu unsicher, löst man bestimmt mit Firewall regeln?
    Nur bin nich hier ehrlich gesagt nicht sehr Fit und blick da auch nicht ganz durch, kann mir jemand weiterhelfen?

    Quote from Woun

    In der config von B kann ich natürlich festlegen "AllowedIPs = 0.0.0.0/0" -> kein Zugriff auf 10.8.0.0/24
    Das ist mir aber bisschen zu unsicher, löst man bestimmt mit Firewall regeln?

    Öhmm das verstehe ich nicht ... Mit allowed ips kannst Du den Zugriff erlauben, zum verbieten für einzelne IP Bereiche eher ungünstig. Weiterhin vermute ich mal, dass 10.8.0.0/24 das Wireguard Tunnelnetz ist. Das auszuklammern führt zu keiner VPN mehr. Wie sind die IP Bereiche der beteiligten Netzwerke?

    Werkstatt ist offenbar 192.168.55.0/24 und wie ist das Netzwerk der UDR aus dem Du auf das Werkstattnetz möchtest?

    Die Firewall am besten auf Zonenbasierte Firewall umstellen. Man kann die Regeln sehr fein anpassen. Ganz einfach wäre das folgende unten. Aus dem Netz zur Werkstatt ist alles erlaubt und aus der Werkstatt in dein Netz dürfen nur Antwortpakete. Ich hoffe ich hab mich da jetzt so trocken nicht vertan :)

    In der Firewall sind die Regelfelder Zeile VPN und Spalte Internal sowie Zeile Internal und Spalte VPN interessant.

    Bei Internal -> VPN ist glaube ich erstmal alles erlaubt. Das wäre die Richtung UDR zum Büro. Das soll ja erhalten bleiben wie es jetzt ist.

    Bei VPN -> Internal erstellst Du eine Regel die alles dropt so wie folgende, die muss nachher als letztes in der Reihenfolge stehen (vor der eigentlichen alles erlauben Regel mit dem Schloss) Bei Server wählst Du den Namen des Wireguard Servers der UDR!

       

    Dann nochmal eine Regel erstellen wie die eben erstellte mit folgenden Unterschieden:

    Bei Action -> Allow statt Block

    Bei Connection State -> Return Traffic statt All

    Diese Regel muss dann über der zuerst erstellten stehen. Nicht wundern, auf dem Bild ist die erlauberegel etwas anders. geht hier nur um die Reihenfolge.

    Danke für deine schnelle Antwort,

    Quote from DoPe

    Werkstatt ist offenbar 192.168.55.0/24 und wie ist das Netzwerk der UDR aus dem Du auf das Werkstattnetz möchtest?

    Genau, Werkstatt 192.168.55.1 und Büro der UDR 192.168.1.1

    Ich hab vorhin auf die neue Ansicht umgestellt, daher sieht alles bissl anders aus, aber vielen Dank für deinen Ansatz, hier habe ich jetzt direkt was zu testen :)

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login