WireGuard hinter Gateway

Es gibt 5 Antworten in diesem Thema, welches 3.245 mal aufgerufen wurde. Der letzte Beitrag () ist von Tuxtom007.

    Hallo zusammen,


    nach langer Zeit melde ich mich nun einmal wieder...

    Ich hab mir jetzt mal 2 Pi's geholt und Wireguard nach der Anleitung von Dennis drauf geklatscht. (Ein 3 B+ und ein 4 B)


    sudo wg gibt auf beiden nun folgendes aus:

    Code: Side 1
      public key: <pubkey>
  private key: (hidden)
  listening port: 40731

peer: <privkey>
  endpoint: <dyndns-address-side-2>:51820
  allowed ips: <private subnet side 2>/24
  transfer: 0 B received, 8.53 KiB sent
  persistent keepalive: every 25 seconds
    Code: Side 2
      public key: <pubkey>
  private key: (hidden)
  listening port: 51820

peer: <privkey>
  allowed ips: <private subnet side 1>/24
  persistent keepalive: every 25 seconds

    Die Routen in der FritzBox auf Seite 1, sowie im USG auf Seite 2 sind eingetragen. Leider komme ich jedoch nicht auf die andere Seite. :frowning_face: Was mache ich falsch? Muss ich noch Portweiterleitungen einrichten, bzw. Ports öffnen? Davon will ich ja eigentlich weg...


    Ich hoffe hier kann mir nocheinmal jemand weiterhelfen und wünsche Grüße

    Climbingflo :smiling_face:

    Hallo nochmal in die Runde,


    hat keiner von euch eine Idee, wo mein Problem liegen könnte?

    kleinp: Hatten Sie nicht eine Site to Site Wireguard Verbindung aufgebaut?


    Als kleiner Nachtrag: Side2 holt sich die DynDNS Adresse per ddclient von Strato.


    Viele Grüße nochmals

    climbingflo

    Einmal editiert, zuletzt von climbingflo ()

    Moin,


    nein, leider liegen die PIs noch hier. Hatte noch keine Zeit...


    In einem anderen VPN Thread hat einer dokumentiert, wie man den Verbindungsaufbau mitloggen kann.

    Leider finde ich den Thread auf die Schnelle nicht...

    Mir egal, wer Dein Vater ist! Wenn ich hier angel`, wird nicht übers Wasser gelaufen!!

    Hallo,

    Zitat von climbingflo

    Die Routen in der FritzBox auf Seite 1, sowie im USG auf Seite 2 sind eingetragen. Leider komme ich jedoch nicht auf die andere Seite. :frowning_face: Was mache ich falsch? Muss ich noch Portweiterleitungen einrichten, bzw. Ports öffnen? Davon will ich ja eigentlich weg...

    Was hast du den an Routen abgelegt auf den beiden Seiten ?


    Du brauchts auf den Gateway ein Port-forwarding. 51820/udp auf die Ziel-IP deines Pi's wo Wireguard läuft.


    Ich nutze WireGuard auch nur vom Handy aus, auf dem UDMPro ist auch genau das nur eingerichtet mit der IP meines Linux-Containers auf Proxmox, worauf Wireguard läuft.

    Grund ist der selbe, ich hab das auf der UDMPro nicht zum laufen bekommen - mit erstellen des Linux-Containers lief das so nach 20min. :smiling_face:

    Zitat von Tuxtom007

    Du brauchts auf den Gateway ein Port-forwarding. 51820/udp auf die Ziel-IP deines Pi's wo Wireguard läuft.

    Darauf kannst Du natürlich nicht verzichten, climbingflo , da Du ja das VPN-Gateway hinter dem Router und nicht auf dem Router betreibst.

    Ich habe auf meinem USG ebenso den WireGuard-Port auf den entsprechenden Server im VLAN weitergeleitet - komme von außen rein.

    Mit tail -f /var/log/syslog | grep -i "wireguard:" kann ich das auch schön im Log beobachten. Konfiguriert habe ich das so:

    Code
    $ sudo modprobe wireguard
$ echo module wireguard +p | sudo tee /sys/kernel/debug/dynamic_debug/control
    Zitat von razor

    Darauf kannst Du natürlich nicht verzichten, climbingflo , da Du ja das VPN-Gateway hinter dem Router und nicht auf dem Router betreibst.

    Ich habe auf meinem USG ebenso den WireGuard-Port auf den entsprechenden Server im VLAN weitergeleitet - komme von außen rein.

    Leider werden wir von Unifi ja dazu gezwungen, Wireguard hinter der UDM / USG zu betreiben.


    Selbst AVM wird in Zukunft Wireguard auf ihre FritzBoxen zur Verfügung stellen und auch auf meiner OPNSense wird Wireguard ( einfach das Paket übers Menü mitinstallliert ) direkt laufen - das ist der saubere Weg.


    Zumindest auf der UDMPRo wäre es kein Problem, Wireguard als alternativen VPN zu nutzen, Community-Projekte haben das ja bereits möglich gemacht.

    Vorteil von Wireguard ist nun mal die einfache und schnelle Einrichtung Server- und vor allem Clientseitig und der läuft stabil und performant.