VPN Tunnel VPS <-> Unifi Express 7

Hallo,

nachdem mir mit meinem Problem gestern beim Aufbau meines neuen Netzwerkes so schnell und gut weitergeholfen wurde habe ich direkt noch eine Anschlussfrage.

Ich habe einen VPS mit fester IPv4 Adresse und möchte über diesen eine Wireguard VPN Verbindung in mein lokales Netzwerk einrichten.

Hier mal was ich bisher eingerichtet habe:

VPS

• Wireguard installiert
• Port 55120 UDP in der Firewall geöffnet
• /etc/sysctl.conf angepasst

# Enable IPv4 packet forwarding
net.ipv4.ip_forward=1

# Enable Proxy ARP (https://en.wikipedia.org/wiki/Proxy_ARP)
net.ipv4.conf.all.proxy_arp=1

# Disable IPv6 packet forwarding
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1

• sysctl neugestartet: sudo sysctl -p && sudo sysctl --system
• Wireguard Keys erzeugt mit wg genkey
• Neue Wireguard Config angelegt: nano /etc/wireguard/wg0.conf

[Interface]
PrivateKey= Generierter Private Key
ListenPort = 55120
Address = 10.10.10.1/32

# Standard Routing
PostUp     = iptables -t nat -A POSTROUTING -o wg0 -j MASQUERADE
PostDown   = iptables -t nat -D POSTROUTING -o wg0 -j MASQUERADE
PostUp     = iptables -t nat -A POSTROUTING -o ens6 -j MASQUERADE
PostDown   = iptables -t nat -D POSTROUTING -o ens6 -j MASQUERADE

[Peer]
PublicKey = <Public Key Unifi Express 7>
AllowedIPs = 10.10.10.2/32,192.168.0.0/16

# iPhone
[Peer]
PublicKey = <iphone_publickey>
AllowedIPs = 10.10.10.3/32

# MacBook Pro
[Peer]
PublicKey = <macbookpro_publickey>
AllowedIPs = 10.10.10.4/32

• Wireguard Server gestartet: sudo systemctl start wg-quick@wg0 && sudo systemctl enable wg-quick@wg0

Unifi Express 7

• Neuen VPN Client erstellt
• Private und Public Key eingetragen (generiert)
• Tunnel IP = 10.10.10.2 und Netmask 32
• Server Address = IP des VPS
• Port = 55120
• Public Server Key = Key des VPS
• Pre-Shared Key = leer
• Primary DNS server = Erstmal 1.1.1.1 zum testen
• Client gestartet

Test

• Auf dem VPS sehe ich via sudo wg das eine Verbindung existiert
• Ping in das lokale Netzwerk vom VPS aus klappt nicht
• Verbinde ich einen der Peers habe ich auch keine Internetverbindung

Ich nehme an das mir hier noch ein Routing/Firewall Regeln fehlen auf Unifi Seite? Bin mir nicht sicher was ich noch wo eintragen muss damit es klappt. Ich habe die Zonenbasierte Firewall aktiv. Allerdings der Einfachkeit halber aktuell keinerlei Regeln angelegt, um da anderweitige Probleme auszuschließen. Mein VPN Client hängt in der External Zone.

Für eure Hilfe wäre ich sehr dankbar!

Ok, ich habe nun eine Konfiguration bei der es funktioniert. Ich habe mich kurz hingesetzt und versucht selber auf die Lösung zu kommen was da noch fehlt. Ich hab jetzt eine Static Route eingetragen und eine entsprechende Firewall Regel von External nach Internal erzeugt. Kann jemand von euch vielleicht mal drüber schauen, ob ich hier irgendeinen Unsinn verzapft habe? Arbeite mich gerade in das Thema ein und will ungern jetzt eine Riesen Sicherheitslücke aufmachen gerade bei dem VPN Thema. Anbei Screenshots von meiner erzeugten Static Route und der Firewall Regel, alles oben beschriebene ist weiterhin so gültig.

EDIT: Ich hab die Regel noch angepasst, das nur Dest. Ports offen sind die ich benötige. Dennoch wäre eine kurze Rückmeldung, ob man das so machen kann gut oder ob ich hier einen Riesenbock geschossen habe.

Vielen Dank!

Super danke, ja ich hab die Regel weiter eingeschränkt. Ich wollte nur eine kurze Rückmeldung, ob ich irgendwo was übersehen oder total falsch konfiguriert habe und jetzt mein Netz der Welt zugänglich gemacht habe 😁 Gerade bei der External Zone möchte ich da vorsichtig sein.