UDM Pro SE + Wireguard + Glasfaser, VPN rein über IPv6

Es gibt 20 Antworten in diesem Thema, welches 4.678 mal aufgerufen wurde. Der letzte Beitrag () ist von swag.

    Hallo zusammen,

    aktuell nutze ich Tailscale für den VPN, wollte mich aber mal mit Wireguard beschäftigen.

    So, da ich einen Glasfaseranschluss habe, besitze ich nur eine öffentliche IPv6 Adresse, IPv4 fällt flach, außer ich würde das auf IPv6 tunneln.

    Also habe ich zunächst meine 20aa aus der eth 8 vom Controller genommen und die als Subdomain angelegt auf freedns.


    Jetzt meine Frage, ich versuche unter Teleport dort einen AAAA Name anzugeben, das scheint nicht zu funktionieren. die native IPv6 klappt auch nicht.

    Kann wireguard über die UI nur ipv4? wie könnte ich es trotzdem schaffen einen VPN aufzubauen? Oder muss ich ganz von der UDM weg und einen Pi oder Proxmoxcontainer für Wireguard installieren?


    Vielen Dank für eure Unterstützung.

    Hallo,


    also meines wissens nach geht wireguard nicht direkt über IPv6, hab es auch vor langer Zeit schon aufgegeben.

    Die Frage ist immer, was will man mit VPN. Über einen unsicheren öffentlichen WLAN Router gesichert surfen, Zugriff per Einwahl auf sein Netzwerk bekommen oder man hat ein kleines Homelab und möchte Anwendungen im Internet verfügbar machen. Ich verwende erstes und letztes.

    Ich nutze auch nicht die Wireguard Funktion des Routers, Grund: Ich möchte individuell entscheiden welcher Zugang wohin Erlaubnis hat, das geht am besten noch immer direkt über die wg.conf und über einen Proxmox/Pi Server.

    Um über meinen IPv6 Zugang erreichbar zu sein, nutze ich einen Reverse VPN Zugang mit einem IP4 Server im Internet, da ich ein recht großes setup habe, nutze ich verschiedene Möglichkeiten, ich stelle sie mal einfach vor:

    Zugang1: Direkter Zugriff über eine DNS auf bestimmte Server mit nur einzeln frei gegebenen Ports. Über einen Ionos VSERVER (2€), dort läuft der Wireguard server, auf meinen Home Servern läuft der Wireguard client, der aktiv die Verbindung zum VServer aufbaut. Nur die entsprechenden Ports werden auch weiter geleitet. -> Anwendung zb. Active Backup Synchronisation über Synology über Internet

    Zugang2: Über einen weiteren Vserver Zugang über Wireguard GUI und Tunnel zum Netzwerk in einen Proxmox Client. -> Hier experimentiere ich noch, weil ich über Zugang1 auch einen OpenVPN Server zur Synology reibungslos betreibe, da fehlt mir quasi noch der Bedarf das umstellen zu müssen.

    Zugang3: Zugang über einen VServer mit Docker (5€) und installiertem NGINX Controller. Hier ist ein Wireguard Server installiert, verschiedene weitere Server (Oracle Cloud, Proxmox Server, Smarthome Server, Docker Server) bauen Multi VPN Verbindungen zu dem VServer auf. Je nach Server werden hier unterschiedliche Adressbereiche zur Freigabe gegeben, mal ganze Bereiche, mal nur einzelne IP aus meinem Netzwerk. Die Verteilung erfolgt hier über NGINX auf dem VServer, hier laufen 3 FQDN auf, diese werden mit Wildcard oder über Lets encrypt mit SSL versehen und dann je nach Anwendung an die einzelnen Server weiter geleitet.


    Weiterhin möchte ich noch darauf hinweisen das es eine kostenlose Möglichkeit über Cloudflare gibt, hierzu muss man z.b. einen Docker laufen haben und eine FQDN komplett nach Cloudflare umleiten. Die entsprechenden Server werden dann mit SSL weiter geleitet.

    Einmal editiert, zuletzt von uboot21 ()

    Oh ha,

    also ne kleinen Server bei netcup hatte ich mal, der mir ne Tunnel von ipv4 auf ipv6 gemacht hat. Das ging dann durch bis zur VM wo openvpn installiert war.

    Nun ist es aber so, dass ich via mpbil IPv6 habe, da dachte ich mir, soll wohl irgendwie gehen und da hänge ich jetzt.


    Grundsätzlich bräuchte ich es für 2 Dinge.

    1. Privat, also iobroker steuern, programmieren.


    2. Zugriff auf die Windows VM's um dort einiges ausprobieren fürs Geschäft.

    Geschäftlich, also da müssten 3 Laptops und 2 Standorte verbunden werden, damit Zugriff auf die Wawi stattfinden kann.


    Naja, da dachte ich halt, Wireguard auf der UDM und gut is.


    Falls aber der bessere Weg wäre, auf dem Proxmox ne wireguard installation zu machen, dann würde ich den Weg einschlagen.

    Zitat von plen

    der mir ne Tunnel von ipv4 auf ipv6 gemacht hat.

    Der Vorteil von einem Reverse VPN Tunnel ist, das du keine IPv6 benötigst und keine Firewall öffnen musst.

    Auch wenn sich deine IPv6 ändert oder du mit einem Failover den Provider änderst, bleibt die Verbindung bestehen.

    Ohne groß zu Google, also dann doch ne wireguard auf ne vserver worauf sich die wireguard Client aufschalten? Also mobil, Haus 1 und Haus 2?

    Und der vserver koppelt das irgendwie alles?


    Danke schon mal im voraus für deine Tipps.

    na toll, jetzt wollte ich mein Projekt des VPN über IPv6 an der deutschen glasfaser mal wieder in betrieb nehmen.

    Zur Zeit nutze ich noch Tailscale, ja gingt einfach und läuft, aber nativ auf der UDM Pro SE wäre schöner.

    Ich habe mir mal bei ipv64 eine Domain angelegt, dort soll die UDM die IPv6 updaten.

    Die sieht dann so aus.

    2a00:6020:xxxx:xx::xxx

    die steht auch so im ui unter internet. Das sollte dann wohl die von der UDM sein.


    Dann bin ich unter VPN/VPN Server gegangen und hab einen Wireguard gemacht und einen Client angelegt und dort unter use alternate Address for clients hab ich dann die domain eingetragen.


    Den QR Code gescannt und ich glaube, der hat sich auch verbunden über ipv6, aber das iphone hat kein Internet und interne Geräte sind auch nicht erreichbar.

    Lade ich die config Datei mal runter, steht als Endpoint die domain:51821 drin.

    Muss ich die austauschen mit der IPv6 vom der UDM?


    Oder muss ich irgendwas anderes noch machen, damit sich das olle Iphone sich mit meinen Netwerk verbindet? IPV6 habe ich mobil.


    Gruß und besten Dank für eure Unterstützung.

    Ich bräuchte wirklich ein wenig Hilfe. Ich bin zwar nicht ganz der noob aber es reicht aus, das ich es nicht hinbekomme. Vielleicht einer dabei der eine ähnliche Konstellation hat?

    Ich kenne das Prinzip von IP64.net nicht, aber wenn es ähnlich funktioniert wie feste-ip.net, dann kann es sein dass der Dienst nur mit TCP funktioniert und nicht mit UDP (für Wireguard).

    Falls eine Verbindung zustande kommt mit wireguard ist darauf zu achten dass die Verbindung bei in UND out ein paar kb transfer anzeigt. Wireguard zeigt immer an das die Verbindung besteht, wenn da bei einer Verbindung 0 steht, ist diese NICHT zustande gekommen.

    Den IP64.net hab ich nur als Dyndns der mir die ipv6 auflöst von der Glasfaser.

    Das scheint auch soweit alles zu klappen laut log, aber irgendwo liegt der Hund noch begraben.

    Kann jemand mit den Logs was anfangen? hat die Dreammachine auch logs vom Wireguard server?

    Ok, ich checks irgendwie nicht oder ich krieg es nicht ans laufen.

    Mal ne frage im Raum, was wäre, wenn ich einen Wireguard Server bei Amazon miete oder so?

    VPN solution built with WireGuard® by TurnKey Linux

    Die kleinste Maschine mit 512mb Ram wäre kostenlos.

    Könnte man damit einen Mittelsmann aufbauen?

    Also die UDM sowie mein Iphone verbinden sich mit dem Server und leitet das ganze dann weiter ?


    Gruß

    Hallo Plen,

    dieser Beitrag beschäftig sich damit genau sowas über einen VPS aufzubauen, einfach mal durchlesen.

    Thema
    IPv6 am UDMPro und Deutscher Glasfaser die 100ste... bin am verzweifeln...
    Hallo.

    Ich bin wirklich am verzweifeln... Versuche seit gestern früh die UDMP an meinem DG Anschluss mit originalem ONT UND ipv6 zum laufen zu bringen...

    An sich geht soweit alles auch das internet rennt... ABER ich bekomme kein ipv6 von außen... Ich kann also kein Wireguard und keine freigaben durchführen...

    Hat vielleicht jemand einen Tipp der wirklich das teil dazu bringt und mir ipv6 liefert?

    Habe tausende beiträge gelesen aber irgendwie bringen die mich nicht weiter...

    Habe auch gelesen das die…
    Misux


    Bei kostenlosen angeboten (es gibt auch ein oracle free tier) sollte man beachten das die Programme auch alle darauf laufen, hier wird gerne mal eine cpu eines ARM Prozessors kostenlos vergeben.

    Auch sind die Traffic Durchsätze und Limits zu beachten, nicht jede Transfermenge ist kostenlos

    Ohne hier Werbung zu machen kann ich den VPS von Ionos mit 1€ pro Monat empfehlen, der neue von denen bietet unbegrenzten Traffic mit bis zu 1000mbit/s an.

    Ich habe selber mehrere VPS zu einem Mesh verbunden, es gibt unterschiedliche Szenarien die man hiermit umsetzen kann, zb. einen VPN Server auf einem VPS aufsetzen und die Daten so ins eigene Netz routen, man kann aber auch feste Ports des VPS öffnen und direkt zu einem Gerät in deinem Netzwerk routen -> zb für den Aufbau eines eigenen Webservers / Reverse Proxy Servers.

    Die möglichkeiten sind sehr vielfältig und man sollte vorher genau überlegen was man eigentlich erreichen möchte und welche Variante welche Vorteile bietet bevor man einfach loslegt. Wenn man zb auf einem VPS einen VPN Server über Docker laufen lassen möchte empfehle ich zumindest die nächst größere Variante eines VPS. Ziel bei allem ist es aber über eine feste IP4 direkt ansprechbar zu sein.

    Am Ende ist es eine Frage von Routing zwischen den Netzen.

    Das kann man durchaus sehr sicher aufbauen, einmal eingestellt reicht es zb. dem VPS nur 2 UDP Wireguard Ports frei zu geben, Zugriff auf das SSH erfolgt dann nur noch getunnelt über ein Wireguard netz und nicht mehr über einen offenen SSH Port

    Ah ok, sowas hatte ich glaube ich mal eingerichtet, damals hatte ich noch ne kleinen vps von netcup. Lief eigentlich soweit ganz gut, solange die IPv6 sich nicht geändert hatte bei der Glasfaser, ist aber auch schon 4Jahre her oder so. Das Grundsätzliche Problem scheint ja weiterhin zu sein, dass ich zu Hause keine öffentliche IPv4 habe. geht es denn auch grundsätzlich nicht mit IPv6? IPv6 haben ich durchgehend, und die gegenüber auch.

    Vielleicht im Urlaub nicht, aber das wäre noch zweitrangig.


    Naja, was brauche ich Grundsätzlich?


    - Unterwegs in mein Netzwerk kommen um auf verschiedene Container in Proxmox zu gelangen.

    - Einen weiteren VPN zu meinen Eltern, um dort mal Hilfestellung zu geben.

    - noch einen vpn um zu meinen Kollegen zu kommen, auch dort per remote Hilfestellung geben bei Kleinigkeiten.

    - Schwiegerelten wären dann die nächsten sowie Geschwister.


    VPN´s untereinander sollte nicht gehen, mein Kollege sollte nicht anders rum in das VPN meiner Eltern.

    Alle hätten im besten Fall Unifi Gateways im Einsatz. Bei meinen Kollegen läuft ebenfalls ne UDM Pro Se, bei meinen Eltern aktuell noch ne Fritte, die soll aber getauscht werden gegen das neue Cloud Gateway Ultra, sind ja nicht so teuer.

    Cloudkey 2 läuft bereits bei denen für die Cams.

    die Fritzbox kann glaub ich auch Wireguard Client machen.


    Webserver oder sonst was wird nicht gebraucht.

    Am besten wäre es, wenn ich im Wireguard Client App den passenden VPN anwähle und das komplette Netzwerk des gegenüber sehe, so als wäre ich bei dem gegenüber im Netzwerk.


    Gruß und schon mal vielen Lieben dank für deine Unterstützung.

    Dann empfehle ich einen VPS als "Wireguard Gateway", die Rechte richtest du quasi in den Wireguard Files ein mit allowed IP´s

    Wichtig beim Meshing -> Die IP Netzwerke dürfen nicht identisch sein, sprich das Netzwerk deiner Eltern darf nicht identisch sein mit dem Netzwerkbereich des Kollegen sein -> Was beim generellem Einsatz von der Volks AVM Fritzbox schon schwierig ist, hier müssten Netzwerkbereich erst einmal geändert werden.


    Was du als Gerät / Server brauchst ist Abhängig davon was an der Gegenstelle vorhanden ist um sich mit dem VPS zu verbinden

    -> Das was dieses Setup ja erst seit 2-3 Monaten attraktiv macht ist die Tatsache dass die Software auf zb einer UDM Pro ein Wireguard Client Setup erlaubt

    -> Sprich der VPS läuft als Wireguard Server, wo sich dann komplette "Netze" in Form der UDM Pro, oder ein Handy oder einzelner PC über ein Wireguard Programm auf den VPS einloggt. Also entweder komplette Netzwerkbereich dauerhaft oder einzelne PC/Handy nach Login

    Das Setup ohne Wireguard Server Oberfläche (zb Firezone) ist auch möglich, hier wird aber schon etwas Kenntnis in dem Setup von Wireguard Dateien verlangt, alles beide in dem zuvor geteiltem Beitrag umgesetzt mit 2 verschiedenen Usern.


    Ob die Fritzbox auch so komfortabel eine Verbindung zu einem Wireguard Server aufbauen kann, weiß ich mangels Fritzbox leider selber nicht, ich gehe aber mal davon aus das diese das auch kann

    Ok, den thread bin ich gerade am studieren :smiling_face:

    Aktuell habe ich zu Hause ein DHCP bereich von 10.10.10.X, bei meinen Kollegen 192.168.50.X, meinen Eltern 192.168.10.X

    Ändern kann ich es trotzdem noch, das sollte das kleinste Problem sein.

    Die meisten Gegenstellen werden aber zukünftig ne unifi Gateway erhalten, somit sollten die Clients recht schnell einbunden sein, wenn ich den VPS am laufen habe.

    Mal gucken wie weit ich so komme, ansonsten melde ich mich noch mal, denke das wird auch zeitnah passieren :smiling_face:



    Update:

    Was ich noch fragen wollte. Wenn ich einen VPS habe und mich mit dem Netzwerk von meinen Kollegen verbinden kann. Kann ich auch einen Client anlegen für das Iphone von meinen Kollegen damit er auch mobil in sein Netzwerk kommt, aber nicht in meinen oder von meinen Eltern? Denke schon, da ich ja später in der Config angeben, welcher Client wohin darf, oder?


    Update2:

    Was macht denn firezone? Ist das nur ne grafische Oberfläche um die Netzwerkbereiche und Clientconfig als QR oder so bereitzustellen?

    2 Mal editiert, zuletzt von plen ()

    swag besten Dank schon mal.

    als wenn ich die config runterlade, statt QR Code, dann erhalte ich folgendes. Ich denke auch, dass die Verbindung irgendwie halbwegs zustande kommt.

    Fehlt da denn noch was an der config für den Client. Nur zur Info, an den Firewalls der UDM Pro SE habe ich noch nichts gemacht, da müsste ich mich erst mal einlesen wie das da alle funktioniert.Bei meinen Glück würde ich wahrscheinlich alles offen legen ins Netz :smiling_face:


    Den VPS muss ich aber auch noch mal testen, würde aber gerne erst mal so anfangen, dass überhaupt irgendwas erst mal geht.


    Code
    [Interface]
PrivateKey = xxxxxxxxxxxxxxxxxxxxxxxxx
Address = 192.168.3.3/32
DNS = 192.168.3.1

[Peer]
PublicKey = xxxxxxxxxxxxxxxxxxxxxxxxxx
AllowedIPs = 192.168.3.1/32,192.168.3.3/32,0.0.0.0/0
Endpoint = xxxxxxxx.ipv64.net:51821

    ,0.0.0.0/0 bei

    AllowedIPs = 192.168.3.1/32,192.168.3.3/32,0.0.0.0/0

    schickt den gesamten Traffic Deines Handys zur SE. Also auch die Web Seiten die Du aufrufst. Das möchtest Du vermutlich nicht.

    Evt erstmal nur die internen Netze z.B. 192.168.3.1/24 oder 192.168.1.1/16


    Versuche auch mal ob Du nach dem Verbindungsaufbau einen Ping zur 192.168.3.1 bekommst. Dann weißt Du das die Verbindung selber funktioniert. WG schickt dann die IPv4 Pakete über den IPv6 Tunnel und dann in der SE wieder über IPv4


    Ich kann auch gerne bei Gelegenheit mal schauen welche Regeln ich bei mit eingetragen hab. Ich meine die Freigabe der SE wird automatisch angelegt aber bei den internen Netzen hab ich es nicht mehr im Kopf



    Das gleich alles durchgeschoben wird wäre mir erst mal egal, wenn es denn überhaupt klappen würde.

    Also, wenn ich die Config nehmen, die als QR dargestellt wird und ich mich verbinde, dann kann ich die 192.168.3.1 nicht anpingen.

    Mein Hauptnetz hat 10.10.10.0, da kann ich aber ebenfalls nichts anpingen.

    Verstehe ich es denn richtig, dass die 192.168.3.0/24 das VPN Netz ist? Ist die 192.168.3.1 das virtuelle Gateway vom VPN? Da müsste der Ping ja auf jedenfall erst mal klappen bevor es weiter geht.

    Ich weiß nur nicht, ob ich vielleicht ich irgendwas in der firewall einstellen muss.

    Das wäre meine Vermutung aber Du bekommst es auf der UI Network/VPN/VPN Server und Deiner WG Konfiguration genau angezeigt. (Gateway IP / Broadcast IP und IP Range)

    Die Handy app zeigt es nicht an bzw. nur teilweise wenn Du auf manuelle Einstellungen klickst. (Gateways IP)


    Die Gateway IP sollte auch von den internen Netzen per ping erreichbar sein.

    Du solltest Dich per WG Client auch aus Deinem Internen Netz mit dem WG Server verbinden können. Fall Du ein Doppeltes Nat hast mußt Du aber dazu die server IP in der Client Konfiguration überschreiben. oder Tunneleinstellung kopieren und dort überschreiben.


    Wenn die Verbindung zustande kommt solltest Du den Client auch als VPN Gerät ind er Clientübersicht angezeigt bekommen.


    Eine Kontrolle auf den Client / Client APP ist aber auch möglich:

    Die WG Clients zeigen Dir aus übertragene Bytes an. Allerdings das es eine UDP Verbindung ist steht die Verbindung erst wenn dort empfangene Bytes angezeigt werden.


    Ich habe bei eine Internet local rule für den WG Client, die wurde aber automatisch angelegt.

    Also, hier meine neuste Erkenntnis.

    Ich habe an dem Wg Server sowie Client (iPhone) nichts geändert.

    Befinde ich mich im wlan zu Hause (10.10.10.x) ohne wg am iPhone aktiv zu haben, so kann ich die 192.168.3.1 anpingen.

    Aktiviere ich wg am iPhone und befinde mich immer noch im wlan, dann kann ich ebenfalls 192.168.3.1 anpingen. In der App zeigt er mir auch Client 1 aktiv an als VPN.

    Soweit scheint alles zu klappen, solange ich intern im wlan bin.

    Deaktiviere ich wlan, kann ich nichts mehr anpingen.

    Erklären kann ich mir das nicht, da der Server ja immer noch die Adresse von ip64.net auflöst auf die öffentliche ipv6 der Glasfaser.


    Doppeltes NAT dürfte ich nicht haben, mein Genexis ist im Bridgemode und die udm manage alles.