[WG] zusätzliche "allowed-ips" über die GUI eintragen?

Es gibt 6 Antworten in diesem Thema, welches 2.126 mal aufgerufen wurde. Der letzte Beitrag () ist von Callahan.

    Hallo,


    gibt es eine Möglichkeit über die GUI für eine Wireguard Verbindung zusätzliche Subnetzte einzutragen, die über die Verbindung erreichbar sind (allowed-ips)? Momentan trage ich dies per wg über die Console nach. Nachteil ist natürlich, dass das mit jedem Reboot wieder weg ist und ich neu eintragen muss.


    wg set wgsrv1 peer <PUBLIC_KEY> allowed-ips 10.0.20.3/32,10.0.10.0/24


    Hintergrund: Es geht um eine Site-to-Site Verbindung zwischen einer UDM SE (mit 3.x & network 7.4.x) und einem OpenWRT Router. 10.0.20.0/24 ist das wireguard Netz und 10.0.10.0/24 das lokale Netz hinter dem OpenWRT Router. Das 20er Subnetz ist natürlich automatisch immer konfiguriert, aber das 10er muss ich händisch nachtragen.

  • Zum Hilfreichsten Beitrag springen

    Leider habe ich bisher noch keine Möglichkeit gefunden.

    Vielleicht als alternative Frage: Wie kann ich denn bei der UDM SE ein eigenes Script zum Boot hinterlegen, und so den wg set Befehl nach jedem Neustart auszuführen. Gibt es eine Möglichkeit, so dass das Script nach Update der 'Network' Komponente (bzw. sogar UnifiOS) noch da ist?

    Ja, ein (Reboot- und Update-resistentes) Startscript wäre auch ok. Ich bin aber immer noch "erstaunt", daß solche Grundsettings nicht einfach in der GUI konfigurierbar sind.

    (Bei handelt es sich bei mir übrigens um UnifiOS 3 auf einer UXG-Pro.)

    • Hilfreich

    Beides Möglich, bei der 1.x Firmware mit dem Container wahr das schwer da bei jeden reboot das Image neu geladen wurde.

    Da musste man noch von hinten durch die Brust, über CronJobs, sich einen weg basteln.


    Ab 2.x ist das kein Thema mehr. Normales systemd script an üblicher stelle. Das ist reboot und bisher updatesicher.


    z.B in aller schnelle:


    /etc/systemd/system/myScript.service


    das ganze mit einem „systemctl enable myscript“ dem System bekannt machen und sich freuen.

    evt. ist zu Ausführungszeitpunkt beim booten aber zu früh. Da würde ich schauen ob ich dann dann

    Eher ein myscript.timer setze das dann erst 1-2min nach Systemstart ausgeführt wird.


    Oder du rufst ein script auf das in einer schleife nen Ping auf ein ziel im Tunnel macht und

    dann schaut ob die Route schon eingetragen ist...


    das ist dann eurer Kreativität überlassen...





    Einmal editiert, zuletzt von gierig ()

    Danke 1 Gefällt mir 1

    Ich hab das jetzt mit dem Service versucht, das hat aber nicht funktioniert (Eintrag wurde nicht gesetzt).

    Dann ich habe ich es einfach mal mit einem Eintrag in der Crontab versucht:


    Code
    @reboot sleep 60 && /usr/bin/wg set wgsrv1 peer <PUBLIC_KEY> allowed-ips 10.0.0.0/16


    Damit scheint es zu funktionieren, allerdings musste ich die 60 Sekunden Sleep davorsetzen. Bin aufs nächste Update gespannt, Reboots funktionieren damit.


    Mit der Verzögerung würde es wahrschelnlich auch mit der Service-Variante funktionieren. Hab aber im Moment nicht die Zeit, rauszufinden, wie das funktioniert. Wenn ich mal die Muse habe, schau ich mir das nochmal an, bisher belasse ich es bei der Quick&Dirty-Variante :smiling_face:


    gierig Danke für die Anregungen :thumbs_up:



    Zitat von swag

    Bin mir nicht sicher was Du genau freischalten möchtest. Unfi erlaubt doch das anlegen externe Netze um sie z.B. im Switch verwalten zu können.

    Diese können ja dann auch in zum für die Firewall und das Routing verwendet werden. Evt steh ich ja auf dem Schlauch aber ist das evt eine Möglichkeit

    Es geht um erlaubte Netze innerhalb des Wireguard-Tunnels. Die tauchen in der GUI nirgendwo auf.