wireguard auf dem USG3 ?

Es gibt 24 Antworten in diesem Thema, welches 13.424 mal aufgerufen wurde. Der letzte Beitrag () ist von razor.

    ich möchte VPN über wireguard machen. Natürlich gibt es eine Anleitung im Netz. Dazu soll ich mir eine Datei erzeugen, um das alles Updatesicher zu machen: config.gateway.json

    Wo erzeuge ich sie? Auf dem USG oder auf dem Contoller (Installiert auf Raspberry). Die soll stehen unter /usr/lib/unifi/data/sites/default/ - nur das Verzeichnis gibt es bei mir auf beiden Geräten nicht. Bei /usr/lib/unifi/data/ hört es auf. Soll ich jetzt den Rest selber anlegen? Wer kann mir da helfen.

    Gruß

    Der Unterschied zwischen Mensch und Affe: Affen geben ihr Wissen nicht weiter. Es gibt auch ein Umkehrschluss: Menschen die ihr Wissen nicht weitergeben sind ...:winking_face:

    • Offizieller Beitrag

    Moin Fummelbude ,

    am einfachsten lädst Du einen Raumplan über den Controller (Web-GUI) hoch. Damit werden dann die notwendigen Verzeichnisse erstellt. Dein Problem ist auch sehr gut HIER beschrieben - und gelöst.


    Ich empfehle vor dem Upload der Datei diese HIER zu validieren. Falls es Syntaxfehler gibt wird die Datei nicht "aktzeptiert": der Upload klappt natürlich (einfacher Dateitransfer), aber die Konfiguration wird nicht geladen und kann zu mind. einem Reboot des USG führen.


    Verlinke doch gern die erwähnte Anleitung in Deinem ersten Post. Ist vielleicht auch für andere interessant.

    Natürlich gebe ich die Links weiter. Den interessanten Ansatz finde ich bei den Batterieprolemen und den Handys


    WireGuard + UniFi
    Setting up a wireguard VPN instance on my UniFi Security Gateway
    graham.hayes.ie


    Releases · Lochnair/vyatta-wireguard
    Contribute to Lochnair/vyatta-wireguard development by creating an account on GitHub.
    github.com

    wie ihr bestimmt merkt, bin ich mit dem Thema neu dran. Aber razor meinst Du die Grundrisseinstellungen per google-Maps API-Key?

    oder wo genau.

    Oft finden sich die Antworten wenn man nur lange genug klickt ;-). Ich habs gefunden unter (links)Karte und dann (obenlinks) von Topologie auf Grundriss. Da kann man auch Dateien hochladen ohne google, und siehe da, es wird ein Verzeichnis /usr/lib/unifi/data/sites/default/ angelegt. Bin mal gespannt wie es weiter geht...

    und ja es ist ein Verzeichnis im Controller und nicht im USG.

    Der Unterschied zwischen Mensch und Affe: Affen geben ihr Wissen nicht weiter. Es gibt auch ein Umkehrschluss: Menschen die ihr Wissen nicht weitergeben sind ...:winking_face:

    2 Mal editiert, zuletzt von razor () aus folgendem Grund: Ein Beitrag von Fummelbude mit diesem Beitrag zusammengefügt.

    Haha 1

    Hai,

    es geht weiter. Zunächst auf einem Ras-PI "wireguard" eingerichtet und die Portweiterleitung auf dem USG installiert. Ich muss sagen, dass ich bisher noch kein schnelleres VPN gesehen habe. Ebenfalls vom Handy läuft es super und stabil. So, jetzt möchte ich Clients in ihrem Wirkungskreis beschänken. Anstatt auf mein komplettes Netzwerk den Zugriff über 0.0.0.0/0

    Code
    #Server
[Peer3]
PublicKey = <insert server_public.key>
Endpoint = meineInternet-IP :51820
AllowedIPs = 0.0.0.0/0, ::/0
#PersistentkeepAlive = 25

    zu ermöglichen kann ich ja eine spezielle IP vorgeben z.B. AllowedIPs = 192.168.22.7 . Das klappt auch alles. Nur diese IP-kann dann erreicht werden.


    Alles toll, nur meine Kollegen/Firmenpartner sind nicht blöde und kennen google ;-). Die ändern die Zeile wieder in 0.0.0.0 zurück und können so wieder alles sehen. Ich habe keine Lust alle Geräte über ein Login laufen zu lassen, wie z.B. meine vu+. Gibt es eine Möglichkeit mit "wireguard" die Manipulation zu verhindern? Es wäre doch besser, wenn auf dem Server die IPs freigegeben werden, die der Client erreichen kann.

    Wenn es geht, habe ich anscheinend etwas nicht komplett verstanden. Kann einer helfen, hat einer Erfahrung?

    Gruß

    Der Unterschied zwischen Mensch und Affe: Affen geben ihr Wissen nicht weiter. Es gibt auch ein Umkehrschluss: Menschen die ihr Wissen nicht weitergeben sind ...:winking_face:

    Gefällt mir 1

    Hi,

    du hast doch in der erstellten config.gateway.json sicher auch eine Firewall-Gruppe für das Wireguard-Interface festgelegt?

    Dann kannst du in der Firewall konfigurieren, welche IPs im LAN für den entfernten Wireguard-Client erreichbar sind.


    Wenn noch Fragen sind, suche ich mal meine Config raus.

    Hallo zusammen,


    ich habe auf meinem USG3 WireGuard installiert. Quelle und Anleitung: https://github.com/WireGuard/w…/EdgeOS-and-Unifi-Gateway

    Die WireGurad Configs habe ich mir hiermit erzeugt: https://www.wireguardconfig.com/

    Ich kann erfolgreich vom Handy oder PC eine Wiregaurd Verbindung zum USG aufbauen.

    Allerdings komme ich aus dem WireGuard Subnetz 192.168.31.0/24 keine Verbindung in mein normales privates Subnetz 192.168.11.0/24.

    Mit dem PC bekomme ich auch kein Internet, am Android Handy funktioniert dies und ich habe auch die WAN IP des USGs.

    Ich habe schon ein wenig mit den Firewall Regeln im Unifi Controller experimentiert, allerdings ohne Erfolg.


    Ziel ist es, dass aus beiden Netzen 192.168.11.0/24 und 192.168.31.0/24 alles untereinander erreichbar ist. Jemand eine Idee?


    Hier meine Configs:


    config.gateway.json


    Client1 config:

    Code
    [Interface]
Address = 192.168.31.2/24
ListenPort = 51820
PrivateKey = ***Private-Key-Peer1***

[Peer]
PublicKey = ***Public-Key-Server***
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = user123.goip.de:51820

    Einmal editiert, zuletzt von Leitner1 ()

    Danke 1

    Probleme sind gelöst, es lag nur an der Config der Clients :smiling_face:

    Ich habe im Unifi Controller WebIf alle von mir definierten Firewall Regeln und Routen wieder entfernt. An der config.gateway.json habe ich nichts mehr geändert, wie oben gepostet.

    Beim Windows Client habe ich unter [Interface] die Zeile "DNS = 192.168.31.1" hinzugefügt, daraufhin hat das Internet funktioniert. Damit im eigenen WLAN die lokal IPs erreichbar sind, habe ich unter AllowedIPs noch das eigene Subnetz hinzugefügt.

    Code
    [Interface]
Address = 192.168.31.2/24
ListenPort = 51820
PrivateKey = ***Private-Key-Peer1***
DNS = 192.168.31.1

[Peer]
PublicKey = ***Public-Key-Server***
AllowedIPs = 192.168.11.0/24, 0.0.0.0/0, ::/0
Endpoint = user123.goip.de:51820


    Bei Android funktioniert komischer Weise jetzt auch alles - ohne die zusätzlichen Einträge.

    Einmal editiert, zuletzt von Leitner1 ()

    Danke 1
    Zitat von Leitner1

    Hier meine Configs:

    In der config.gateway.json fehlt der Interface Abschnitt. Die sollte so eigentlich nicht funktionieren.


    Wie sieht es denn mit der Performance aus?


    Ich bekommen bei mir nur wenige kilobyte Durchsatz wenn ich mich über mein Android phone verbinde. Wenn ich allderings mein Iphone verwende bekomme ich 35mbit in download.

    Einmal editiert, zuletzt von smoki3 ()

    Zitat von smoki3

    In der config.gateway.json fehlt der Interface Abschnitt. Die sollte so eigentlich nicht funktionieren.

    Stimmt du hast recht, der ganze Abschnitt "wireguard" müsste unter "interfaces" stehen. Ich habe noch andere Sachen in der config.gateway.json konfiguriert, da war wohl unaufmerksam beim raus löschen hier fürs Forum. Habs oben korrigiert.


    Zitat von smoki3

    Wie sieht es denn mit der Performance aus?

    Ich bekommen bei mir nur wenige kilobyte Durchsatz wenn ich mich über mein Android phone verbinde. Wenn ich allderings mein Iphone verwende bekomme ich 35mbit in download.

    Mit Android über WLAN oder 4G bekomme ich ca. 25-26 MBit im Download und Uplaod (Handy: Google Pixel 3a)

    Habe ein S2S-VPN mit einem kleinen USG und wir können jetzt meinen Upload (knapp 50MBit/s) dicht machen. Vorher mit dem eingebauten OpenVPN gab es ca. 10MBit/s.

    Kümmere mich nach meinem Urlaub wieder um die WireGuard-USG-Integration.

    Hallo Leute,

    ich habe Wireguard auf meinem Proxmox Server installiert. Über Handy läuft alles ohne Probleme. Mit Win Clint komme ich ins Internet aber nicht auf mein lokales Netzwerk. Kann mir jemand sagen wieso das so ist? Wieso geht es am Handy?


    Gruß

    Grüss euch


    Ich wäre euch für ein paar Tips dankbar, komme da irgendwie nicht weiter.

    Ich habe mittlerweile auch sehr viele Beiträge durch zu dem Thema und habe leider noch Probleme:

    Ich habe einen Cloudkey und einen USG. Ich möchte mit meinem Galaxy S22+ mittels VPN auf mein LAN zugreifen.

    Habe das wireguard package installiert und auch das config.gateway.json auf dem Controller hinterlegt. Ich kann mit dem Handy eine

    Verbindung zum Server aufbauen, allerdings habe ich keinen Zugriff auf das Internet oder irgendeinem Rechner im LAN. Ich will es für 5 clients einrichten.

    Auf dem USG sagt mir sudo wg show:

    Hier das config.gateway.json:


    Android Client Config:

    Code
    [Interface]
PrivateKey = XX
Address = 192.168.7.2/24
DNS = 192.168.1.1

[Peer]
PublicKey = XX
Endpoint = xxxx:51820
AllowedIPs = 0.0.0.0/0, ::/0

    Wenn ich verbinde, klappt die Verbindung:

    Im Unifi hat er zwar die WAN_Local rule angelegt, die Network group musste ich aber manuell anlegen..?

    Das Netzwerk scheint allerdings nicht in den Netzwerken auf.



    Hab ich irgendetwas übersehen?


    dank euch schon mal für die Hilfe

    lg

    Erich

    Moin hundsmiachn ,


    Deine Bilder funktionieren nicht. Bitte aktualisiere Deinen Beitrag für weitere / bessere Hilfe.


    Cheers.

    Dein VPN Netz auf der USG ist 192.168.6.0/24 und in der Wireguard Config 192.168.7.0/24!?

    Ok, nein das sollte kein Problem sein. Hast du evtl die Möglichkeit Wireguard irgendwo anders zu installieren?