Posts by uboot21

Ja, ich nutze meinen pihole damit, aber bitte immer einen zusätzlichen mit angeben, wenn bei dir zu hause mal internet ausfällt (meist im Urlaub - lach), dann hast du auch von deinem VPS oder Handy kein Internetzugang mehr

Dann empfehle ich auch hier meine Anleitung und richte eine zweite Wireguard Verbindung ein mit anderem Port, diese ist nur für Handy zum VPN, die andere Verbindung ist vom VPN zur Unifi

-> Das behält die Übersicht, auch wenn du mehrere VPN (Laptop, etc) hinzufügen möchtest.

Und immer dran Denken, auf dem Gerät müsse alle IP welche von dort aus erreichbar sein sollen in Allowed Ip -> Auch wenn es mit mehreren Hopps dahinter liegt

Ja genau, sind die mit Komma getrennt?

das wäre dann

AllowedIPs = 10.0.0.2/32, 10.0.8.0/22

Du hast die Peers ausgeschwärzt, ich gehe mal davon aus, dass die UDM Pro die 10.0.0.2 ist, oder?

Der VPS wäre die 10.0.0.1 -> Warum hast du aus dem Peer zur UDM Pro die 10.0.8.0/22 raus genommen ? Dann geht es auch nicht, die Route ist nicht gelegt.

Quote from uboot21

Dann mal testen ob du vom VPS ein Gerät im Default netzwerk anpingen kann

Der Ping vom VPS auf ein Gerät im Default Netzwerk geht?

Am besten nochmal hier dran ausrichten:

workspace/1_Infrastruktur/7_Unifi_Wireguard_Tunnel at master · uboot21/workspace

Öffentliche Portainer Stacks . Contribute to uboot21/workspace development by creating an account on GitHub.

github.com

Dann mal testen ob Verbindung in der Unifi Grün ist und ob wg auf dem VPS traffic in beide Richtungen zum Unifi anzeigt.

Dann mal testen ob du vom VPS ein Gerät im Default netzwerk anpingen kann, wenn das geht, gehen wir weiter

-> Bitte auch noch einmal die Ausgabe von

sudo wg

Lan In wird nicht benötigt bei der Firewall.

Aber jetzt seh ich was anderes, du hast in deiner wg0.conf als interface die 10.0.0.0/24 eingetragen -> Das ist ein Netzwerk hier gehört eine IP rein.

Also zb auf dem VPS die 10.0.0.1, auf der Unifi die 10.0.0.2 usw.

Deshalb meinte ich letztens, ich baue mir für alle Verbindungen eigene Tunnel, dann kommt man mit den IP`s nicht durcheinander

OK, dann muss ich nochmal fragen ob du dich an meine Anleitung gehalten hattest oder nicht, weil die Einstellungen in der:

/etc/sysctl.conf und die PostUp/PostDown Regeln auf dem VPS sollten schon gegeben sein?

Wir konzentrieren uns erst einmal auf die Verbindung von der VPS in dein Heimnetz.

Die Firewall sieht erstmal gut aus, ich nutze die Zone basierte, aber aus der erinnerung heraus ist das korrekt.

OK, deinVPS hat 3 Peers, du erlaubst mit Allowed IP aber nur den Traffic innerhalb des 10.0.0.0/24 Netzwerkes

PS: Du brauchst hier nicht die /32 eingeben, weil sonst kannst du auch untereinander nicht kommunizieren, hier gehört in den 10.0.0.3 Peer folgendes rein:

10.0.0.3/32, 10.0.8.0/22 (Falls Auf Nas Zugriff sein soll auch: 10.1.1.0/29)

Stelle Dir die Allowed IP so vor, als würdest du Routen anlegen, du sagst dem Ausgang des Tunnels bzw. dem Eingang zum nächstem Tunnel wohn es umgeleitet werden darf, wenn du auf dem VPS also nicht eingibst, dass es auf dein zu Hause darf, wird der weg nicht gesetzt.

PS: Man kann durchaus mit verschieden Peers zu einem Wireguard Tunnel arbeiten, als Tipp nutze ich aber als Basisi immer unterschiedliche Tunnel. Heisst 1 Tunnel vom VPS zu der Unifi (zb. 10.0.0.0) und einen seperaten Tunnel für den Zugang von Ausserhalb zu dem Tunnel mit einem anderen Port (z.b. 10.1.0.0) -> Das hat erstmal keinen besonderen Vorteil, aber es sorgt für mehr Überblick wenn man Tunnel hinzufügt.

PS2: Sorry für die vielen Korrekturen, aber es fällt mir immer mehr auf: Auf der Unifi darf da nicht das eigene Netz stehen (AllowedIPs = 10.0.8.0/22) hier muss auf jeden Fall AllowedIPs = 10.0.0.0/24 rein.

Für den Überblick ist das denke ich völlig richtig, auch ich bin gerade Lost mit den (sich ziemlich ähnlich) anhörenden Netzwerken von Dir:

Bitte auf dem VPS einmal

ip addr

sudo wg

angeben. Auf der UDM Pro einmal die Übersicht der Netzwerke und den Inhalt der VPN Client eingabe. Dann ein Screenshot der Policy based Rules und der Static Rules. Von der Firewall einmal das Internet In und das Internet Local.

Also eins kann ich schonmal sagen, das bekommen wir hin, alles kein Hexenwerk, aber man vertut sich leicht mit den "Allowed" Adressen oder den Routen.

Mein Problem in meinem Setup liegt auf anderer Hand, die UDM Pro kann maximal 8 VPN Clients erstellen, dann ist schluss. Ich meshe also die VPS im Internet untereinander und muss dann über mehrere Hops zu den Servern routen. Am besten macht man sich dann eine Excel Tabelle mit den Daten oder legt sich eine Verzeichnisstruktur mit allen Servern an, wo man die Konfig Dateien, die Keys und alles ablegt, ich pflege in allen Wireguard Konfigurationen auch immer (mit # am Anfang) Kommentare ein, wo ich alle Server mit den IP der Netzwerk Karte und den IPs der WG mit den Ports aufliste, so kommt man nicht durcheinander, insbesondere bei der Firewall des VPS Providers ist das immer wieder ein Showstopper den man leicht vergisst und sich wundert, das die Verbindung nicht zu Stande kommt.

Mit dem Schritten die ich oben gezeigt habe, kommst du eigentlich ohne Probleme mit dem handy auf den VPS.

Dh. du surfst dann mit der IP des VPS, du kommst dann weiter mit dem Tunnel zur Unifi und auf deine Netzwerk Geräte

So hab ich es zumindest selbst eingerichtet gehabt und es funktioniert, hab es aber wieder gelöscht, da ich firezone benutze.

Vorher hab ich aber noch versucht den Internetverkehr über die unifi zu leiten, das scheitert aber an der unifi selber -> der VPN Cient liegt in der "External Zone", ich habe es weder über firewall oder routing regeln noch mit NAT Einstellungen hinbekommen direkt von der unifi ins internet zu routen.

Was aber gehen würde: Wenn du einen kleinen Server zu hause hast, damit eine Wireguard Verbindung zum VPS aufzubauen, über diesen Tunnel gelangst du auf den Server zu hause und von dort ins Internet. Evtl. hat jemand einen anderen Workaround wie man den Traffic nicht nur ins Netzwerk, sondern auch auf den WAN Port routen kann.

um das zu prüfen, was sagt denn ein

dig google.de

auf dem VPS Server?

Was bedeutet "Ich habe gar kein Innternet mehr"?

P.S.: der fehler lag ja im Wireguard auf dem VPS, dass der nicht gestarte ist, läuft der jetzt?

OK, Schritt 1 war recht simpel, deshalb hier eine Schritt für Schritt Anleitung:

(Da ich andere Netzwerke, Namen und Ports verwende, bitte Austauschen)

auf der VPS im Verzeichnis /etc/wireguard/ wechseln

nano handy1.conf

Code einfügen (Keys anpassen)

Address = 10.11.11.1/24

ListenPort = 55200

PrivateKey = <VPS-Private-Key>

# NAT & Forwarding

PostUp = iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

PostDown = iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

PostUp = iptables -A FORWARD -i handy1 -j ACCEPT; iptables -A FORWARD -o handy1 -j ACCEPT

PostDown = iptables -D FORWARD -i handy1 -j ACCEPT; iptables -D FORWARD -o handy1 -j ACCEPT

PublicKey = <Handy-Public-Key>

AllowedIPs = 10.11.11.2/32

strg & x, speichern y, dann starten mit:

sudo systemctl start wg-quick@handy1 && sudo systemctl enable wg-quick@handy1

Wireguard auf VPS läuft, dann im Handy (ich habe apple) den Wireguard clienten laden, ich habe hier ein printscreen, es müssen auch hier keypaare erstellt werden und in den Dateien verteilt werden -> Falls hier Probleme sind, bitte melden

Verbindung starten (nicht vergessen WLAN auszuschalten 😉)

Der Internet Verkehr geht über die VPS, das Netzwerk ist erreichbar!

Folgende Punkte teste ich später, muss heute arbeiten, probier aber mal ob evtl. das Geofence von deiner Box mit der IP in Deutschland auch zurecht kommt.

Internetverbindung über die IP deines Internetzuganges zu Hause

Da ich selber Firezone für den VPN Mobil Zugang nutze, lass es mich heute/morgen einmal selber für mich einrichten und testen.

(Trial and Error funktioniert am besten wenn mans selber macht)

Wie ich verstehe, benötigt die Box also den Internetzugang über die IP bei Dir zu Hause, da muss ich ein wenig probieren. Der VPN Client ist nicht wirklich hübsch in der Unifi, es muss von dort ja nicht nur in dein Netzwerk geroutet werden, sondern direkt ins internet. hier muss dann auch auf der Unifi Seite etwas angepasst werden

OK, wenn du das internet nicht nur zum vps, sondern bis nach hause durchreichen möchtest, muss auch die regel wieder rein:

iptables -t nat -A POSTROUTING -s 10.10.11.0/24 -o eth0 -j MASQUERADE

(glaub ich zumindest, ich nutze sowas absoulut nicht)

für den Internet Transfer musst du unter Allowed IP die 0.0.0.0/0 eintragen

Man muss halt immer wissen was man möchte, der VPN Tunnel ist ja hauptsächlich dafür da um auf das Heimnetz zu kommen, oft will man ja nicht den kompletten Traffic über das netzwerk leiten.

ich. bin gerade unterwegs, nimm mal bitte die 192.168.178.0 aus dem handydirk raus

Was sagt die ausgabe

sudo wg

falls der wireguard läuft musst du ihn erst stoppen bevor du ihn wieder aktivierst, ich mache das eigentlich immer mit einer einzelnen Zeile wo ich den wireguard stoppe, deaktiviere, starte und aktiviere (da ist man sicher das er immer korrekt gestoppt und gestartet wurde):

Für die unifi konfiguration wäre das wie folgend (tausche unifi mit handydirk aus)

sudo systemctl stop wg-quick@unifi && sudo systemctl disable wg-quick@unifi && sudo systemctl start wg-quick@unifi && sudo systemctl enable wg-quick@unifi 

P.S: Du hast nichts vergessen, es sieht auch alles gut aus 😃

Quote from Thunder

Für die zweite Verbindung habe ich folgende Config erstellt:

Hallo Dirk,

in der handydirk.conf, lass mal die 2 Zeilen weg, welche auf eth0 routen

PostUp     = iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

PostDown   = iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

(diese müssen raus)

Ich habe mir gerade heute von einem Bekannten eine Halterung drucken lassen.

Evtl. ist das eine Idee für Dich.

https://www.printables.com/model/888889-u…-or/collections