WireGuard Reverse VPN-Tunnel erstellen

Es gibt 18 Antworten in diesem Thema, welches 4.008 mal aufgerufen wurde. Der letzte Beitrag () ist von baumgras04.

    Hallo zusammen,


    Ich bin seit kurzen an einem Glasfaser Anschluss angeschlossen und habe damit auch meine öffentliche IPv4 Adresse verloren, die ich für meinen VPN-Server genutzt habe.

    Mein erster Ansatz war, dass ganze dann einfach über IPv6 laufen zu lassen, jedoch bin ich an der Firewall der USG gescheitert.


    Nun probiere ich das ganze, wie hier erklärt umzusetzen. Es funktioniert jedoch nicht so, wie ich mir das vorstelle, der Tunnel steht nicht. Hierbei habe ich das Problem, dass ich nicht weiß woran es liegt, da keine Fehlermeldung oder ähnliches ausgegeben wird. Gibt es eine Möglichkeit eine konkrete Fehlermeldung zu bekommen?


    Wenn der Tunnel stehen sollte, wie kann ich dann auf mein VPN-Server Zuhause zugreifen? Kann ich einfach die IPv4 Adresse des VPS-Servers nehmen oder muss ich einen weiteren VPN-Server auf dem VPS-Server einrichten?


    Viele Grüße

    Hallo, was geben die Abfragen aus die ich Dir bereits mitgeteilt hatte.

    Vom VPS Server aus:


    Code
    sudo wg
    Code
    sudo ufw status
    Code
    sudo iptables -L -t nat -v
    Code
    sudo ping 192.168.4.2


    Zitat von baumgras04

    Wenn der Tunnel stehen sollte, wie kann ich dann auf mein VPN-Server Zuhause zugreifen?

    Hierzu ganz Wichtig!!!: Du baust hier keinen wireguard VPN Server, sondern einen Reverse Proxy Tunnel

    Der Traffic für die Ports die du auf dem VPS einrichtest werden 1:1 direkt an das Ziel geleitet, so als wäre dieser Rechner offen im Internet mit der IP4 des VPS


    -> Das hat absolut nichts mit einem VPN Server zu tun in dem man sich einwählt, legitimiert und dann Zugriff auf sein Netzwerk hat, dazu gibt es auch zahlreiche andere Anleitungen im Internet.


    Aber um es verständlich zu machen, ich nutze auch die Synology und dort den OpenVPN Server (ja irgendwann stelle ich das auch auf Wireguard um, aber es haben halt sehr viele bereits OpenVPN bei mir installiert). Über Wiredguard öffne ich per Tunnel die Ports 80, 443, 1194

    Per 80/443 gehe ich auf den Reverse Proxy der Synology und per 1194 auf den OpenVPN server wo man sich einwählt. -> Der Wireguard ist aber nur der Tunnel, kein VPN Zugang


    Noch ein Kommentar dazu ob man mehrere VPS Server benötigt: Ich habe auf dem einen VPS noch 2 weitere Wireguard Tunnel zu anderen Servern aufgebaut, wichtig hier: Man kann jeden Port nur einmal weiter leiten, in meinem Fall oben kann ich nicht den Port 80 nicht woanders hin umleiten. Ich nutze aber zb. den Port 7999 für einen GeoFence Server um im Smarthome die Anwesenheit zu tracken.

    Falls du den gleichen Port wieder verwenden möchtest brauchst du einen anderen VPS Server,

    ODER:

    Ich experimentiere gerade mit Netmaker, einfach mal googeln, ein Server der verschiedene Wireguard Tunnel und VPN Netzwerke aufbauen kann.

    4 Mal editiert, zuletzt von uboot21 ()

    Gefällt mir 1

    Lol, ich glaube ich habe in der Anleitung das pingen unterbunden, deshalb geht das nicht


    Der Tunnel sollte aber stehen, du solltest mit der IP4 über port 80 und port 443 auf deinem Zielserver ankommen.

    -> Hier noch einmal prüfen ob dein VPS Server eine eigene Firewall des Providers hat, das ist zb bei Ionos der fall und muss über die Server Konfiguration frei gegeben werden

    Das hast du richtig verstanden.

    Es ist jetzt glaub ich aber der Punkt wo ich fragen muss: Was möchtest du denn machen?


    Die Anleitung war dazu da sich über Port 80/443 zu einem Reverse Proxy server zu verbinden -> falls der dann auch vorhanden ist, sollte nun die "Leerseite" des Reverse proxy erscheinen, wenn du die IP des VPS eingeben hast, ansonsten jeder andere Webserver den du installiert hast auf Port 80 oder 443

    Ich habe auf dem Local-Server eine Leerseite, die ich im Heimnetz über Port 80 erreichen kann. Wenn ich die IPv4 Adresse des VPS Server nun in der Adresszeile eingebe erscheint leider nichts. Der Tunnel steht nicht.


    Zu der Frage was ich eigentlich machen möchte:

    Mein eigentliches Vorhanden war bzw. ist, meinem Heimnetz eine feste IPv4 Adresse zu geben, damit ich von außerhalb über eine OpenVPN/Wireguard Server auf mein Heimnetz zugreifen kann. Zuerst wollte ich mein Vorhaben über IPv6 umsetzen, daran bin ich jedoch gescheitet, weil ich die IPv6 Firewall der USG nicht angepasst bekommen habe. Zudem ist mir aufgefallen, dass das Netz in dem ich den VPN hauptsächlich nutzen würde nur IPv4 nutzt.

    Als ich auf diesen Artikel gestoßen bin, habe ich gedacht, damit könnte es funktionieren, wenn ich den Tunnel zwischen dem LOCAL- und dem VPS-Server aufbaue und zusätzlich auf LOCAL-Server einen OpenVPN-Server installiere, den ich dann über die IP des VPS-Server ansteuere. Ganz ins Heimnetz würde ich mit dem Tunnel ja nicht kommen.


    Ich hoffe jetzt kannst du mich ein bisschen besser verstehen und mein Vorhaben nachvollziehen.

    Zitat von baumgras04

    Was würde passieren, wenn einer der Publickeys falsch wäre? Käme dann eine Fehlermeldung?

    In dem Fall hätte sudo wg nicht den funktionierenden Tunnel angezeigt. -> Das kannst du auf der Gegenseite LOCAL Server Genauso testen


    Zitat von baumgras04

    Als ich auf diesen Artikel gestoßen bin, habe ich gedacht, damit könnte es funktionieren, wenn ich den Tunnel zwischen dem LOCAL- und dem VPS-Server aufbaue und zusätzlich auf LOCAL-Server einen OpenVPN-Server installiere, den ich dann über die IP des VPS-Server ansteuere. Ganz ins Heimnetz würde ich mit dem Tunnel ja nicht kommen.

    OK, jetzt verstehe ich es besser, es sollte alles so gehen wie du schreibst, so habe ich es auch am laufen.

    Folgende Frage ist noch offen:

    Firewall des VPS (auf der Hardwareseite des Providers) -> gibt es hier eine? weil auch hier müssen alle Ports, inkl dem 55107 frei gegeben sein.

    Okay, da bin ich erleichtert, dass mein Vorhaben umsetzbar sein sollte.


    Beim Provider des VPS-Servers (IONOS) habe ich in den Firewall-Richtlinien den Port 55107 (UDP) freigegeben.


    Wenn ich den LOCAL-Server mit der Abfrage "sudo wg" teste, kommt folgende Ausgabe:


    Ist es richtig, dass der "listening port 47554" ist? Müsste der nicht auch 55107 sein?

    Zitat von baumgras04

    Firewall-Richtlinien den Port 55107 (UDP) freigegeben.

    Zusätzlich muss auch Port 80 & 443 TCP dort eingegeben sein!

    Zitat von baumgras04

    Ist es richtig, dass der "listening port 47554" ist? Müsste der nicht auch 55107 sein?

    Das ist korrekt, es werden hier random ports ausgehandelt.

    Bist du die Anleitung noch mal durchgegangen?

    Das hier auch gemacht?

    Code
    sudo nano /etc/sysctl.conf

    Dort unten anhängen:

    Code

    Code
    net.ipv4.ip_forward=1

    Mit diesem Befehl die Weiterleitung aktivieren:


    Code

    Code
    sudo sysctl -p


    Hiermit kann das auch geprüft werden


    sudo sysctl --system

    Alles korrekt bis hier.

    Zitat von baumgras04

    Hier einmal die Ausgaben von den Abfragen:

    Sudo wg:

    Das Bild von deinem VPS Server, kommt da auch ein Handshake und wie viel übertragen wurde?

    Hier eine Ausgabe von mir:

    allowed ips: 192.168.4.2/32
    latest handshake: 40 seconds ago
    transfer: 9.62 GiB received, 2.01 GiB sent


    da sollte letzter Handshake stehen und auch eine Menge an Datentransfer

    Ne, bei dem Bild was ich oben angefügt habe, sieht man alles, was der VPS-Server asugibt, also auch kein "latest handshake".


    Langsam kann ich es mir auch echt nicht mehr erklären, woran es noch liegen könnte... Ich spiele jetzt schon mit dem Gedanken, einfach beides (Raspi und VPS-Server) komplett neu aufzusetzen und die Konfiguration von neu zu beginnen. Es wäre auch schade, wenn ich den Tunnel nicht zum laufen bringen könnte.

    Zitat von baumgras04

    was der VPS-Server asugibt, also auch kein "latest handshake".

    Dann tatsächlich noch einmal die Keys vergleichen, evtl. einfach neue Codes erzeugen und neu eingeben. darauf achten dass die Paare korrekt sind.

    In deinem zweiten Bild vom LOCAL Server sieht man das der Server Daten sendet, aber keine Antwort bekommt.

    Neue Keys kann ich einfach hiermit anfordern oder?

    "wg genkey | sudo tee -a /etc/wireguard/wg0.conf | wg pubkey | sudo tee /etc/wireguard/publickey"


    Und was ist mit den Private Keys, die sind ja in der Konfigurationsdatei schon da gewesen. Kann ich die sonst auch noch erneuern oder wäre das unnötig?

    Die Datei sollte mit den beiden Befehl aus der Anleitung gelöscht und neu mit dem private Key beschrieben werden, die Einstellungen am besten neu erstellen nach Anleitung