IPv6 am UDMPro und Deutscher Glasfaser die 100ste... bin am verzweifeln...

Es gibt 109 Antworten in diesem Thema, welches 5.049 mal aufgerufen wurde. Der letzte Beitrag () ist von uboot21.

    Habe jetzt nicht alles durch, aber seit wann braucht Wireguard explizit IPV6? Ich hänge an einer Vodafone Standleitung mit fester IP, die keine IPV6 Unterstützung hat. Wireguard klappt komplett störungsfrei inkl. vergabe einer anderen IP als die der Standleitung.

    UDM SE // USP-RPS // USW-Aggregation // USW-Enterprise-24-PoE // U6-Mesh // APC USV // TC4400 Cable
    QNAP TVS-682T@6700T, 64 GB RAM, Raid-6, 10TB, 20GbE LAG per SFP+
    QNAP TS-439 Pro II+, 2 GB RAM, Raid-6, 10 TB, 2GbE LAG

    Zitat von skippa78

    funktioniert im Übrigen auch die Firezone Oberfläche ohne Freigabe von Port 443

    Vorsicht, das ist nicht ganz richtig, wenn du docker -ps eingibst, siehst du das 3 Container gestartet werden, einmal die Oberfläche, dann eine Postgres Datenbank und Caddy, ein Reverse Proxy Container, welcher sich auch um die Sicherheit kümmert und bei Let´s encrypt ein Zertifikat besorgt, damit eine SSL Verbindung zustande kommt. Es kann sein, dass du nun Zugriff hast, aber das kann nicht der Sicherheitsgedanke sein, das Port 80 automatisch auf einen sicheren port 443 umgeleitet wird.

    Dann lieber die Porst schliessen wenn nicht benötigt und öffnen wenn man sie dann mal braucht

    Zitat von Chantalle

    seit wann braucht Wireguard explizit IPV6

    Es geht hier um Nutzer, welche KEINE fest IP4 haben, sondern nur eine IPv6.

    Die Lösung zeigt wie man sich dann mit einer kleinem Virtuellem Server im Internet für 1€ im Monat eine feste IP4 mit Standleitung nach sein zu Hause aufbaut.

    Bin grad mal wieder etwas doof...


    Zitat

    Füge die IP / DNS deines VPS ein, gebe den Port (55121) ein und gebe MTU 1280 ein, DNS Server die gleichen wie im anderem Setup.

    Wo bekomme ich denn den DNS NAmeserver her von meinem VPS?

    Zitat von uboot21

    Vorsicht, das ist nicht ganz richtig, wenn du docker -ps eingibst, siehst du das 3 Container gestartet werden, einmal die Oberfläche, dann eine Postgres Datenbank und Caddy, ein Reverse Proxy Container, welcher sich auch um die Sicherheit kümmert und bei Let´s encrypt ein Zertifikat besorgt, damit eine SSL Verbindung zustande kommt. Es kann sein, dass du nun Zugriff hast, aber das kann nicht der Sicherheitsgedanke sein, das Port 80 automatisch auf einen sicheren port 443 umgeleitet wird.

    Dann lieber die Porst schliessen wenn nicht benötigt und öffnen wenn man sie dann mal braucht

    Dafür muss kein Port nach außen geöffnet sein. Ich habe nur noch die 2 UDP Ports geöffnet, keinen Port 80. Das Zertifikat habe ich selbst. Das benötige ich nicht von Letsencrypt. Die Umleitung auf die richtige IP (Wireguard IP des VPS) übernimmt der lokale DNS Server.

    Zitat von Misux

    DNS NAmeserver her von meinem VPS

    Beim DNS Provider Deines Vertrauen 😉

    ES gibt sehr viele Provider, wenn du aber bei Ionos einen VPS hast, kannst du dort auch eine Domain für 1,30€ pro Monat bekommen.

    Falls du mehr brauchst, gibt es auch günstigere Anbieter

    Zitat von skippa78

    Das benötige ich nicht von Letsencrypt

    Das hast du nicht geschrieben, das du deinen Lokalen DNS Server nimmst und keine DNS Provider.

    Ich schrieb ja bereits, dass wenn man die Ports schliesst, man von innen auf den Server kommt.

    Dann sollte die Einstellung in der Firezone aber angepasst werden, da Caddy hier die anfragen übernimmt. Da sind die settings etwas anders

    Zitat von uboot21

    Beim DNS Provider Deines Vertrauen 😉

    ES gibt sehr viele Provider, wenn du aber bei Ionos einen VPS hast, kannst du dort auch eine Domain für 1,30€ pro Monat bekommen.

    Falls du mehr brauchst, gibt es auch günstigere Anbieter

    Ach, langsam kapiere ichs...


    Ich habe ja Webhosting... Kann quasi einen CNAME auf die IP des VPS erstellen und dann den CNAME nutzen anstatt der IP? Richtig?

    UNd wieder habe ich Probleme....


    Habe zwar eine Verbindung, aber ein Ping klappt nicht...

    Also eine Frage:


    Bei der FirewallKonfiguration...

    Zitat

    Es empfiehlt sich 2 Profile Anzulegen, einmal für die IP der Wireguard Adresse auf dem VPS

    Ist das die Adresse die ich in der WIreguard Config unter Interface: Adress = angeben soll?? Also wie im Beispiel 10.10.10.1?

    Zitat von Misux

    Also wie im Beispiel 10.10.10.1?

    JA, genau das steht da:

    einmal für die IP der Wireguard Adresse auf dem VPS => 10.10.10.1

    dann eine Gruppe mit den IP Netzwerken oder einzelnen IP für Geräte auf die über Wireguard zugegriffen werden darf => Netzwerke in deinem Heimnetz


    Man muss aber nicht mit Profilen arbeiten, kannst die auch direkt in der Firewall angeben. In meinen Firewall Einstellungen arbeite ich aber gerne mit Profilen, mein Mesh besteht auf insgesamt 12 Adressen, da ist es einfacher Profile zu ändern, als sich jedesmal die Firewall zu durchsuchen




    Jaaa, habs hinbekommen... :grinning_face_with_smiling_eyes:


    Jetzt kämpfe ich mich durch die smartphone geschichte... fürs handy muss man je eine neue .conf erstellen auf dem VPS...So hab ich es verstenden...

    Und dafür auch neue Keys erstellen.. oder? aber da muss dann handy und nicht unifi stehen oder?

    Zitat von uboot21

    Vorsicht, das ist nicht ganz richtig, wenn du docker -ps eingibst, siehst du das 3 Container gestartet werden, einmal die Oberfläche, dann eine Postgres Datenbank und Caddy, ein Reverse Proxy Container, welcher sich auch um die Sicherheit kümmert und bei Let´s encrypt ein Zertifikat besorgt, damit eine SSL Verbindung zustande kommt. Es kann sein, dass du nun Zugriff hast, aber das kann nicht der Sicherheitsgedanke sein, das Port 80 automatisch auf einen sicheren port 443 umgeleitet wird.

    Dann lieber die Porst schliessen wenn nicht benötigt und öffnen wenn man sie dann mal braucht

    Rein aus Interesse: Wenn du Port 80 schließt, wie funktioniert das dann bei dir mit dem automatischen Aktualisieren des Zertifikats?

    Zitat von Misux

    Jaaa, habs hinbekommen... :grinning_face_with_smiling_eyes:


    Jetzt kämpfe ich mich durch die smartphone geschichte... fürs handy muss man je eine neue .conf erstellen auf dem VPS...So hab ich es verstenden...

    Und dafür auch neue Keys erstellen.. oder? aber da muss dann handy und nicht unifi stehen oder?

    uboot21 hat die Doku mittlerweile um diesen Schritt erweitert.

    Zitat von skippa78

    Rein aus Interesse

    Wie gesagt nutze ich die Ports 80 & 443 garnicht, mein Setup ist nochmal komplett anders. Es gibt einen eigenen BareMetal Server bei Hetzner, welcher mit Traefik Wildcard Zertifikate für 3 Domains erzeugt und die Anfragen dann innerhalb des Mesh Netzwerkes an den Zugangsserver leitet.

    Ich habe hier mal ein kleines Schaubild wie die Server untereinander vernetzt sind.



    Zitat von skippa78

    hat die Doku mittlerweile um diesen Schritt erweitert.

    JA, ihr macht mich fertig :smiling_face_with_sunglasses: , komme garnicht nach das Dingen von "offenen Fragen" zu befreien :grinning_squinting_face:

    Hmm... ich kriege es irgendwie nicht hin die App ins leben zu rufen:


    erst: alles unify gegen david getauscht...

    Code
    (umask 077 && printf "PrivateKey= " | sudo tee /etc/wireguard/privatekey_handy > /dev/null) && wg genkey | sudo tee -a /etc/wireguard/privatekey_handy | wg pubkey | sudo tee /etc/wireguard/publickey_handy && sudo cat /etc/wireguard/privatekey_handy && sudo touch /etc/wireguard/handy.conf


    Dann

    Code
    sudo cat /etc/wireguard/privatekey_handy && sudo cat /etc/wireguard/publickey_handy

    So hatte ich alle Schlüssel neu..


    Habe auf dem VPS eine handy.conf erstellt.

    und nach Anleitung(hoffentlich) befüllt... An sich wie die unifi.conf nur mit anderen ips (außer der vps server ip) und anderen Keys.


    soweit doch ok?


    Die handy.conf:

    Einmal editiert, zuletzt von Misux ()

    Ein paar Punkte,


    PrivateKey = Hier kommt immer der Private Key des Gerätes selber rein, also des VPS (immer merken, Private Keys verlassen nie das Gerät, Public Keys gehen auf Reisen)


    Die beiden Regeln mit der Netzwerkkarte des VPS kann du weglassen

    Code
    PostUp     = iptables -t nat -A POSTROUTING -o ens6 -j MASQUERADE
PostDown   = iptables -t nat -D POSTROUTING -o ens6 -j MASQUERADE

    Der Rest sollte Stimmen, ich gehe davon aus, dass dieses Netzwerk für dein Handy nicht das gleiche ist wie der des Tunnels zur Unifi (172.20.110.0/24)

    Nee, beim unifi.conf ist es dann beispielhaft so:


    Code
    [Interface]
ListenPort = 55120
Address = 172.20.111.1/32
[Peer]
AllowedIPs = 172.20.111.0/24,192.168.191.0/24,192.168.90.0/24,192.168.120.0/24,192.168.110.0/24,192.168.60.0/24,192.168.70.0/24

    und fürs handy dann so:


    Code
    [Interface]
ListenPort = 55121
Address = 172.20.110.1/32

[Peer]
AllowedIPs = 172.20.110.0/24,192.168.191.0/24,192.168.90.0/24,192.168.120.0/24,192.168.110.0/24,192.168.60.0/24,192.168.70.0/24