Posts by uboot21

Du leitest den Port 7777 zur UDM Pro durch, also zur 192.168.0.1

-> das hatte ich woanders schon einmal gesagt, man kann den VPN Port nicht zum Router/Gateway umleiten

Du musst den Port also zu deinem Server direkt umleiten, also falls das zb ein Server ist auf der Maschine 192.168.0.100 -> dann musst du das im routing eintragen, damit es direkt dorthin umgeleitet wird.

P.S: Bedenke, wenn du ports im Internet öffnest, muss das Endgerät den Schutz übernehmen, das Gerät ist auf diesem Port mit der IP deines VPS offen

Also doch ein VPS dazwischen, dann bleibt meine erste Aussage bestehen!

Woher soll der VPS wissen wo sich deine bitwarden DNS (wie auch immer sie heisst) befindet.

Also im Handy im Wireguard Tunnel die CONF datei erweitern um:

DNS = <IP-Adresse-des-DNS-Servers>

(Unterhalb des Private Key)

Im Wireguard Programm kann man aber auch den DNS server vorgeben, hier deinen DNS-Server Eintragen, welcher deine interne DNS kennt

Er hat sich halt unglücklich ausgedrückt.

Seine Angabe "Bitwarden.meineDNS.de" suggeriert eine "externe" Adresse, es müsste eher "Bitwarden.MeinName.lokal" heissen, damit man es versteht.

Das kann man zusammen mit VPN machen, aber man muss natürlich ein DNS server verwenden, welcher auch Bitwarden.MeinName.lokal kennt, sonst trägt man einfach anstatt Bitwarden.MeinName.lokal die IP ein, und nutzt nur diese, dann braucht man auch kein reverse Proxy mehr.

OK, dein Zitat von mir verweist auf die Anleitung mit dem VPS von mir, weil das eine schliesst das andere ja nicht aus.

Woher soll der VPN denn deine interne DNS auflösen können, also auch da sind die Lösungen identisch:

1) Gebe dem Gerät deinen internen DNS Server mit, der auch intern genutzt wird (also nicht 1.1.1.1 oder was du im VPN eingestellt hast, sondern dein DNS Server, welchen du auch intern nutzt.

2) Warum nutzt du nicht die IP, diese sollte sich bei deiner Synology ja nicht ständig ändern, IP können direkt angesprochen werden.

Ich bin mir nicht sicher ob ich es richtig verstanden habe, du greifst mit bitwarden über (Bitwarden.meineDNS.de) auf deinen Passwort Manager zu.

Warum willst du dann zusätzlich über VPN einen Tunnel aufbauen, Bitwarden ist somit ja von überall erreichbar?

Wenn das aber aus verschiedenen Gründen gewollt ist, dann kann das mit diesem Setup schon mal schief gehen, es gibt aber 2 Ansätze:

1) Du kannst, wenn du in deinem Netzwerk auch ein pihole hast, die externe Webseite in deinem Netzwerk auf die IP umleiten.

2) Die Geräte die sich über die Domain verbinden richtest du im Bitwarden auch so ein. Die Geräte die VPN aufbauen richtest du mit der IP ein -> Du musst dann dem Bitwarden über die Konfig noch mitgeben, über welche Domain / DNS die Verbindung erlaubt ist, weil nur die dort konfigurierten sind möglich.

Ein komplett anderer Ansatz wäre über einen zero trust Cloudflare Tunnel, im Grunde ist das auch ein reverse DNS tunnel, mit diesem geht es aber trotzdem.

Eine weitere Alternative wäre die VPN Verbindung über einen zweiten Ionos Server (oder anderen VPS) zu erstellen.

Das Problem ist wahrscheinlich: Dein Bitwarden.meineDNS.de verweist auf den VPS, wenn du mit VPN in den VPS gehst und dort die IP Auflösen möchtest, müsste der VPS selber kommen (also localhost)

!! Wobei mir hier einfällt, das kannst du auf dem VPS testen, gib dort mal

dig Bitwarden.meineDNS.de 

ein und schaue wonach er auflöst, du könntest dann in der /etc/hosts die Domain Bitwarden.meineDNS.de auf die lokale IP der Synology eingebem, das wäre ein Versuch wert der wahrscheinlich genauso gut geht (aber da ich Dein Setup nicht genau kenn müsstest du es Probieren)

Alles klar, falls es so ist, dann ist es noch einfacher.

Jedem Tunnel wird die Erlaubnis mitgegeben wohin er am Ende darf, diese Routen werden automatisch gesetzt durch Wireguard!

Wenn also im Handy nicht nur der VPS und das Heimnetz eingetragen wird, fügt man dort auch die 0.0.0.0/0 hinzu.

Aber Achtung, der komplette Traffic des Handy geht bei Verwendung des VPN dann über den VPS

Quote from DoPe

Da fehlt auf dem Linux vernutlich das iptables Zeug fürs Nat. Ich erinnere mich recht schwach dran, das Du da entsprechende Konfigurationsparameter für mit angegeben hattes, finde aber nichtmal das Thema so richtig wieder

Genau so Habe ich es verstanden, er will mit dem handy über die IP von zu hause!

Genau das wird mit 0.0.0.0 erledigt, was aber momentan seitens unifi nicht möglich ist!

Der Routing kommt an der UCG an und wird mit der eingehenden Netzwerkschnittstellle NUR in Netzwerk rein geleitet. Es fehlt hier die Möglichkeit und interne Funktion von unifi das routing direkt aufs WAN zu schicken.

Evtl. hat jemand eine Lösung dazu oder unifi hat dies mit einen der vielen Fixes mittlerweile geregelt. Für mich ist dieses Szenario meist nicht nötig, da ich wenn, dann mit der IP des VPS ins internet gehe (Ohne Angabe von 0.0.0.0 im Tunnel VPS<-> UCG)

Generell muss auf dem VPS dies eingestellt sein, das sollte aber immer:

sudo nano /etc/sysctl.conf

Unten anhängen:

# Enable IPv4 packet forwarding
net.ipv4.ip_forward=1

# Enable Proxy ARP (https://en.wikipedia.org/wiki/Proxy_ARP)
net.ipv4.conf.all.proxy_arp=1

# Disable IPv6 packet forwarding
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1

Da bin ich 😃

Das Thema hatten wir hier schon einmal genau so.

Eben damit ich es verstehe und korrekt verstanden habe: Du willst dich von ausserhalb über die vps ins heimnetz verbinden, was auch scheinbar klappt wie ich gelesen habe.

Nun willst du mit der IP der UCG Ultra ins Internet surfen?

Das hatte letztens schon jemand, weil er glaub ich um etwas zu streamen mit der ip von zu hause ins internet wollte.

Dazu müsste dem Tunnel der Verbindung VPS<->UCG Ultra die allowed IP 0.0.0.0/0 mitgegeben werden

-> Aber das scheint nicht zu gehen, da der Tuunel der Unifi am Eingang nur ins Heimnetz routet und nicht direkt nach draussen wieder (so habe ich es getestet und selber nicht hin bekommen, vielleicht hat jemand anders es geschafft)

-> Was aber geht: Den Tunnel nicht mit der UCG zum VPS verbinden, sondern von einem Server aus deinem Netzwerk (Proxmox, Server, Raspberry pi, ..) mit dem VPS, dann den Traffic des VPS über diesen Server routen und von dort aus über 0.0.0.0 wieder ins internet. Das geht und hab ich auch schon einmal getestet.

Ja, ich nutze meinen pihole damit, aber bitte immer einen zusätzlichen mit angeben, wenn bei dir zu hause mal internet ausfällt (meist im Urlaub - lach), dann hast du auch von deinem VPS oder Handy kein Internetzugang mehr

Dann empfehle ich auch hier meine Anleitung und richte eine zweite Wireguard Verbindung ein mit anderem Port, diese ist nur für Handy zum VPN, die andere Verbindung ist vom VPN zur Unifi

-> Das behält die Übersicht, auch wenn du mehrere VPN (Laptop, etc) hinzufügen möchtest.

Und immer dran Denken, auf dem Gerät müsse alle IP welche von dort aus erreichbar sein sollen in Allowed Ip -> Auch wenn es mit mehreren Hopps dahinter liegt

Ja genau, sind die mit Komma getrennt?

das wäre dann

AllowedIPs = 10.0.0.2/32, 10.0.8.0/22

Du hast die Peers ausgeschwärzt, ich gehe mal davon aus, dass die UDM Pro die 10.0.0.2 ist, oder?

Der VPS wäre die 10.0.0.1 -> Warum hast du aus dem Peer zur UDM Pro die 10.0.8.0/22 raus genommen ? Dann geht es auch nicht, die Route ist nicht gelegt.

Quote from uboot21

Dann mal testen ob du vom VPS ein Gerät im Default netzwerk anpingen kann

Der Ping vom VPS auf ein Gerät im Default Netzwerk geht?

Am besten nochmal hier dran ausrichten:

workspace/1_Infrastruktur/7_Unifi_Wireguard_Tunnel at master · uboot21/workspace

Öffentliche Portainer Stacks . Contribute to uboot21/workspace development by creating an account on GitHub.

github.com

Dann mal testen ob Verbindung in der Unifi Grün ist und ob wg auf dem VPS traffic in beide Richtungen zum Unifi anzeigt.

Dann mal testen ob du vom VPS ein Gerät im Default netzwerk anpingen kann, wenn das geht, gehen wir weiter

-> Bitte auch noch einmal die Ausgabe von

sudo wg

Lan In wird nicht benötigt bei der Firewall.

Aber jetzt seh ich was anderes, du hast in deiner wg0.conf als interface die 10.0.0.0/24 eingetragen -> Das ist ein Netzwerk hier gehört eine IP rein.

Also zb auf dem VPS die 10.0.0.1, auf der Unifi die 10.0.0.2 usw.

Deshalb meinte ich letztens, ich baue mir für alle Verbindungen eigene Tunnel, dann kommt man mit den IP`s nicht durcheinander

OK, dann muss ich nochmal fragen ob du dich an meine Anleitung gehalten hattest oder nicht, weil die Einstellungen in der:

/etc/sysctl.conf und die PostUp/PostDown Regeln auf dem VPS sollten schon gegeben sein?

Wir konzentrieren uns erst einmal auf die Verbindung von der VPS in dein Heimnetz.

Die Firewall sieht erstmal gut aus, ich nutze die Zone basierte, aber aus der erinnerung heraus ist das korrekt.

OK, deinVPS hat 3 Peers, du erlaubst mit Allowed IP aber nur den Traffic innerhalb des 10.0.0.0/24 Netzwerkes

PS: Du brauchst hier nicht die /32 eingeben, weil sonst kannst du auch untereinander nicht kommunizieren, hier gehört in den 10.0.0.3 Peer folgendes rein:

10.0.0.3/32, 10.0.8.0/22 (Falls Auf Nas Zugriff sein soll auch: 10.1.1.0/29)

Stelle Dir die Allowed IP so vor, als würdest du Routen anlegen, du sagst dem Ausgang des Tunnels bzw. dem Eingang zum nächstem Tunnel wohn es umgeleitet werden darf, wenn du auf dem VPS also nicht eingibst, dass es auf dein zu Hause darf, wird der weg nicht gesetzt.

PS: Man kann durchaus mit verschieden Peers zu einem Wireguard Tunnel arbeiten, als Tipp nutze ich aber als Basisi immer unterschiedliche Tunnel. Heisst 1 Tunnel vom VPS zu der Unifi (zb. 10.0.0.0) und einen seperaten Tunnel für den Zugang von Ausserhalb zu dem Tunnel mit einem anderen Port (z.b. 10.1.0.0) -> Das hat erstmal keinen besonderen Vorteil, aber es sorgt für mehr Überblick wenn man Tunnel hinzufügt.

PS2: Sorry für die vielen Korrekturen, aber es fällt mir immer mehr auf: Auf der Unifi darf da nicht das eigene Netz stehen (AllowedIPs = 10.0.8.0/22) hier muss auf jeden Fall AllowedIPs = 10.0.0.0/24 rein.

Für den Überblick ist das denke ich völlig richtig, auch ich bin gerade Lost mit den (sich ziemlich ähnlich) anhörenden Netzwerken von Dir:

Bitte auf dem VPS einmal

ip addr

sudo wg

angeben. Auf der UDM Pro einmal die Übersicht der Netzwerke und den Inhalt der VPN Client eingabe. Dann ein Screenshot der Policy based Rules und der Static Rules. Von der Firewall einmal das Internet In und das Internet Local.

Also eins kann ich schonmal sagen, das bekommen wir hin, alles kein Hexenwerk, aber man vertut sich leicht mit den "Allowed" Adressen oder den Routen.

Mein Problem in meinem Setup liegt auf anderer Hand, die UDM Pro kann maximal 8 VPN Clients erstellen, dann ist schluss. Ich meshe also die VPS im Internet untereinander und muss dann über mehrere Hops zu den Servern routen. Am besten macht man sich dann eine Excel Tabelle mit den Daten oder legt sich eine Verzeichnisstruktur mit allen Servern an, wo man die Konfig Dateien, die Keys und alles ablegt, ich pflege in allen Wireguard Konfigurationen auch immer (mit # am Anfang) Kommentare ein, wo ich alle Server mit den IP der Netzwerk Karte und den IPs der WG mit den Ports aufliste, so kommt man nicht durcheinander, insbesondere bei der Firewall des VPS Providers ist das immer wieder ein Showstopper den man leicht vergisst und sich wundert, das die Verbindung nicht zu Stande kommt.

Mit dem Schritten die ich oben gezeigt habe, kommst du eigentlich ohne Probleme mit dem handy auf den VPS.

Dh. du surfst dann mit der IP des VPS, du kommst dann weiter mit dem Tunnel zur Unifi und auf deine Netzwerk Geräte

So hab ich es zumindest selbst eingerichtet gehabt und es funktioniert, hab es aber wieder gelöscht, da ich firezone benutze.

Vorher hab ich aber noch versucht den Internetverkehr über die unifi zu leiten, das scheitert aber an der unifi selber -> der VPN Cient liegt in der "External Zone", ich habe es weder über firewall oder routing regeln noch mit NAT Einstellungen hinbekommen direkt von der unifi ins internet zu routen.

Was aber gehen würde: Wenn du einen kleinen Server zu hause hast, damit eine Wireguard Verbindung zum VPS aufzubauen, über diesen Tunnel gelangst du auf den Server zu hause und von dort ins Internet. Evtl. hat jemand einen anderen Workaround wie man den Traffic nicht nur ins Netzwerk, sondern auch auf den WAN Port routen kann.

um das zu prüfen, was sagt denn ein

dig google.de

auf dem VPS Server?

Was bedeutet "Ich habe gar kein Innternet mehr"?

P.S.: der fehler lag ja im Wireguard auf dem VPS, dass der nicht gestarte ist, läuft der jetzt?