Habe jetzt nicht alles durch, aber seit wann braucht Wireguard explizit IPV6? Ich hänge an einer Vodafone Standleitung mit fester IP, die keine IPV6 Unterstützung hat. Wireguard klappt komplett störungsfrei inkl. vergabe einer anderen IP als die der Standleitung.
IPv6 am UDMPro und Deutscher Glasfaser die 100ste... bin am verzweifeln...
-
- Privat
- UDM
- Dream Machine Pro (UDM-Pro)
- offen
- Misux
Es gibt 109 Antworten in diesem Thema, welches 10.944 mal aufgerufen wurde. Der letzte Beitrag () ist von uboot21.
-
-
Dann lies mal alles durch. Das ist nicht das Thema.
-
funktioniert im Übrigen auch die Firezone Oberfläche ohne Freigabe von Port 443
Vorsicht, das ist nicht ganz richtig, wenn du docker -ps eingibst, siehst du das 3 Container gestartet werden, einmal die Oberfläche, dann eine Postgres Datenbank und Caddy, ein Reverse Proxy Container, welcher sich auch um die Sicherheit kümmert und bei Let´s encrypt ein Zertifikat besorgt, damit eine SSL Verbindung zustande kommt. Es kann sein, dass du nun Zugriff hast, aber das kann nicht der Sicherheitsgedanke sein, das Port 80 automatisch auf einen sicheren port 443 umgeleitet wird.
Dann lieber die Porst schliessen wenn nicht benötigt und öffnen wenn man sie dann mal braucht
-
seit wann braucht Wireguard explizit IPV6
Es geht hier um Nutzer, welche KEINE fest IP4 haben, sondern nur eine IPv6.
Die Lösung zeigt wie man sich dann mit einer kleinem Virtuellem Server im Internet für 1€ im Monat eine feste IP4 mit Standleitung nach sein zu Hause aufbaut.
-
Bin grad mal wieder etwas doof...
ZitatFüge die IP / DNS deines VPS ein, gebe den Port (55121) ein und gebe MTU 1280 ein, DNS Server die gleichen wie im anderem Setup.
Wo bekomme ich denn den DNS NAmeserver her von meinem VPS?
-
Vorsicht, das ist nicht ganz richtig, wenn du docker -ps eingibst, siehst du das 3 Container gestartet werden, einmal die Oberfläche, dann eine Postgres Datenbank und Caddy, ein Reverse Proxy Container, welcher sich auch um die Sicherheit kümmert und bei Let´s encrypt ein Zertifikat besorgt, damit eine SSL Verbindung zustande kommt. Es kann sein, dass du nun Zugriff hast, aber das kann nicht der Sicherheitsgedanke sein, das Port 80 automatisch auf einen sicheren port 443 umgeleitet wird.
Dann lieber die Porst schliessen wenn nicht benötigt und öffnen wenn man sie dann mal braucht
Dafür muss kein Port nach außen geöffnet sein. Ich habe nur noch die 2 UDP Ports geöffnet, keinen Port 80. Das Zertifikat habe ich selbst. Das benötige ich nicht von Letsencrypt. Die Umleitung auf die richtige IP (Wireguard IP des VPS) übernimmt der lokale DNS Server.
-
DNS NAmeserver her von meinem VPS
Beim DNS Provider Deines Vertrauen 😉
ES gibt sehr viele Provider, wenn du aber bei Ionos einen VPS hast, kannst du dort auch eine Domain für 1,30€ pro Monat bekommen.
Falls du mehr brauchst, gibt es auch günstigere Anbieter
-
Das benötige ich nicht von Letsencrypt
Das hast du nicht geschrieben, das du deinen Lokalen DNS Server nimmst und keine DNS Provider.
Ich schrieb ja bereits, dass wenn man die Ports schliesst, man von innen auf den Server kommt.
Dann sollte die Einstellung in der Firezone aber angepasst werden, da Caddy hier die anfragen übernimmt. Da sind die settings etwas anders
-
Ich schrieb "eigenen DNS Server". Egal. Nicht wichtig. Caddy passe ich noch an. Das sollte das kleinste Problem sein und es macht auch so erstmal nichts kaputt. Grundsätzlich funktioniert es so. Der Rest ist Finetuning. Danke nochmal.
-
Beim DNS Provider Deines Vertrauen 😉
ES gibt sehr viele Provider, wenn du aber bei Ionos einen VPS hast, kannst du dort auch eine Domain für 1,30€ pro Monat bekommen.
Falls du mehr brauchst, gibt es auch günstigere Anbieter
Ach, langsam kapiere ichs...
Ich habe ja Webhosting... Kann quasi einen CNAME auf die IP des VPS erstellen und dann den CNAME nutzen anstatt der IP? Richtig?
-
UNd wieder habe ich Probleme....
Habe zwar eine Verbindung, aber ein Ping klappt nicht...
Also eine Frage:
Bei der FirewallKonfiguration...
ZitatEs empfiehlt sich 2 Profile Anzulegen, einmal für die IP der Wireguard Adresse auf dem VPS
Ist das die Adresse die ich in der WIreguard Config unter Interface: Adress = angeben soll?? Also wie im Beispiel 10.10.10.1?
-
Also wie im Beispiel 10.10.10.1?
JA, genau das steht da:
einmal für die IP der Wireguard Adresse auf dem VPS => 10.10.10.1
dann eine Gruppe mit den IP Netzwerken oder einzelnen IP für Geräte auf die über Wireguard zugegriffen werden darf => Netzwerke in deinem Heimnetz
Man muss aber nicht mit Profilen arbeiten, kannst die auch direkt in der Firewall angeben. In meinen Firewall Einstellungen arbeite ich aber gerne mit Profilen, mein Mesh besteht auf insgesamt 12 Adressen, da ist es einfacher Profile zu ändern, als sich jedesmal die Firewall zu durchsuchen
-
Jaaa, habs hinbekommen...
Jetzt kämpfe ich mich durch die smartphone geschichte... fürs handy muss man je eine neue .conf erstellen auf dem VPS...So hab ich es verstenden...
Und dafür auch neue Keys erstellen.. oder? aber da muss dann handy und nicht unifi stehen oder?
-
Vorsicht, das ist nicht ganz richtig, wenn du docker -ps eingibst, siehst du das 3 Container gestartet werden, einmal die Oberfläche, dann eine Postgres Datenbank und Caddy, ein Reverse Proxy Container, welcher sich auch um die Sicherheit kümmert und bei Let´s encrypt ein Zertifikat besorgt, damit eine SSL Verbindung zustande kommt. Es kann sein, dass du nun Zugriff hast, aber das kann nicht der Sicherheitsgedanke sein, das Port 80 automatisch auf einen sicheren port 443 umgeleitet wird.
Dann lieber die Porst schliessen wenn nicht benötigt und öffnen wenn man sie dann mal braucht
Rein aus Interesse: Wenn du Port 80 schließt, wie funktioniert das dann bei dir mit dem automatischen Aktualisieren des Zertifikats?
-
Ey, das geht so nicht... Ihr battelt euch hier mit eurem Fachwissen und Fachbegriffen und ich fahre hier dreirad neben euch her und versuche das einfachste hinzubekommen...
-
Jaaa, habs hinbekommen...
Jetzt kämpfe ich mich durch die smartphone geschichte... fürs handy muss man je eine neue .conf erstellen auf dem VPS...So hab ich es verstenden...
Und dafür auch neue Keys erstellen.. oder? aber da muss dann handy und nicht unifi stehen oder?
uboot21 hat die Doku mittlerweile um diesen Schritt erweitert.
-
Rein aus Interesse
Wie gesagt nutze ich die Ports 80 & 443 garnicht, mein Setup ist nochmal komplett anders. Es gibt einen eigenen BareMetal Server bei Hetzner, welcher mit Traefik Wildcard Zertifikate für 3 Domains erzeugt und die Anfragen dann innerhalb des Mesh Netzwerkes an den Zugangsserver leitet.
Ich habe hier mal ein kleines Schaubild wie die Server untereinander vernetzt sind.
hat die Doku mittlerweile um diesen Schritt erweitert.
JA, ihr macht mich fertig , komme garnicht nach das Dingen von "offenen Fragen" zu befreien
-
Hmm... ich kriege es irgendwie nicht hin die App ins leben zu rufen:
erst: alles unify gegen david getauscht...
Code(umask 077 && printf "PrivateKey= " | sudo tee /etc/wireguard/privatekey_handy > /dev/null) && wg genkey | sudo tee -a /etc/wireguard/privatekey_handy | wg pubkey | sudo tee /etc/wireguard/publickey_handy && sudo cat /etc/wireguard/privatekey_handy && sudo touch /etc/wireguard/handy.conf
Dann
So hatte ich alle Schlüssel neu..
Habe auf dem VPS eine handy.conf erstellt.
und nach Anleitung(hoffentlich) befüllt... An sich wie die unifi.conf nur mit anderen ips (außer der vps server ip) und anderen Keys.
soweit doch ok?
Die handy.conf:
Code
Alles anzeigen[Interface] PrivateKey= PrivateKey den ich für handy erzeugt habe ListenPort = 55121 Address = 172.20.110.1/32 # Standard Routing # Die Netzwerkkarte eth0 muss ausgetauscht werden gegen die Netzwerkkarte des V> PostUp = iptables -t nat -A POSTROUTING -o handy -j MASQUERADE PostDown = iptables -t nat -D POSTROUTING -o handy -j MASQUERADE PostUp = iptables -t nat -A POSTROUTING -o ens6 -j MASQUERADE PostDown = iptables -t nat -D POSTROUTING -o ens6 -j MASQUERADE [Peer] PublicKey = key aus der App den ich kopiert habe AllowedIPs = 172.20.110.0/24,192.168.191.0/24,192.168.90.0/24,192.168.120.0/24,192.168.110.0/24,192.168.60.0/24,192.168.70.0/24
-
Ein paar Punkte,
PrivateKey = Hier kommt immer der Private Key des Gerätes selber rein, also des VPS (immer merken, Private Keys verlassen nie das Gerät, Public Keys gehen auf Reisen)
Die beiden Regeln mit der Netzwerkkarte des VPS kann du weglassen
CodePostUp = iptables -t nat -A POSTROUTING -o ens6 -j MASQUERADE PostDown = iptables -t nat -D POSTROUTING -o ens6 -j MASQUERADE
Der Rest sollte Stimmen, ich gehe davon aus, dass dieses Netzwerk für dein Handy nicht das gleiche ist wie der des Tunnels zur Unifi (172.20.110.0/24)
-