Beiträge von uboot21

Dann empfehle ich einen VPS als "Wireguard Gateway", die Rechte richtest du quasi in den Wireguard Files ein mit allowed IP´s

Wichtig beim Meshing -> Die IP Netzwerke dürfen nicht identisch sein, sprich das Netzwerk deiner Eltern darf nicht identisch sein mit dem Netzwerkbereich des Kollegen sein -> Was beim generellem Einsatz von der Volks AVM Fritzbox schon schwierig ist, hier müssten Netzwerkbereich erst einmal geändert werden.

Was du als Gerät / Server brauchst ist Abhängig davon was an der Gegenstelle vorhanden ist um sich mit dem VPS zu verbinden

-> Das was dieses Setup ja erst seit 2-3 Monaten attraktiv macht ist die Tatsache dass die Software auf zb einer UDM Pro ein Wireguard Client Setup erlaubt

-> Sprich der VPS läuft als Wireguard Server, wo sich dann komplette "Netze" in Form der UDM Pro, oder ein Handy oder einzelner PC über ein Wireguard Programm auf den VPS einloggt. Also entweder komplette Netzwerkbereich dauerhaft oder einzelne PC/Handy nach Login

Das Setup ohne Wireguard Server Oberfläche (zb Firezone) ist auch möglich, hier wird aber schon etwas Kenntnis in dem Setup von Wireguard Dateien verlangt, alles beide in dem zuvor geteiltem Beitrag umgesetzt mit 2 verschiedenen Usern.

Ob die Fritzbox auch so komfortabel eine Verbindung zu einem Wireguard Server aufbauen kann, weiß ich mangels Fritzbox leider selber nicht, ich gehe aber mal davon aus das diese das auch kann

Hallo Plen,

dieser Beitrag beschäftig sich damit genau sowas über einen VPS aufzubauen, einfach mal durchlesen.

Thema

IPv6 am UDMPro und Deutscher Glasfaser die 100ste... bin am verzweifeln...

Hallo.

Ich bin wirklich am verzweifeln... Versuche seit gestern früh die UDMP an meinem DG Anschluss mit originalem ONT UND ipv6 zum laufen zu bringen...

An sich geht soweit alles auch das internet rennt... ABER ich bekomme kein ipv6 von außen... Ich kann also kein Wireguard und keine freigaben durchführen...

Hat vielleicht jemand einen Tipp der wirklich das teil dazu bringt und mir ipv6 liefert?

Habe tausende beiträge gelesen aber irgendwie bringen die mich nicht weiter...

Habe auch gelesen das die…

Misux

10. März 2024

Bei kostenlosen angeboten (es gibt auch ein oracle free tier) sollte man beachten das die Programme auch alle darauf laufen, hier wird gerne mal eine cpu eines ARM Prozessors kostenlos vergeben.

Auch sind die Traffic Durchsätze und Limits zu beachten, nicht jede Transfermenge ist kostenlos

Ohne hier Werbung zu machen kann ich den VPS von Ionos mit 1€ pro Monat empfehlen, der neue von denen bietet unbegrenzten Traffic mit bis zu 1000mbit/s an.

Ich habe selber mehrere VPS zu einem Mesh verbunden, es gibt unterschiedliche Szenarien die man hiermit umsetzen kann, zb. einen VPN Server auf einem VPS aufsetzen und die Daten so ins eigene Netz routen, man kann aber auch feste Ports des VPS öffnen und direkt zu einem Gerät in deinem Netzwerk routen -> zb für den Aufbau eines eigenen Webservers / Reverse Proxy Servers.

Die möglichkeiten sind sehr vielfältig und man sollte vorher genau überlegen was man eigentlich erreichen möchte und welche Variante welche Vorteile bietet bevor man einfach loslegt. Wenn man zb auf einem VPS einen VPN Server über Docker laufen lassen möchte empfehle ich zumindest die nächst größere Variante eines VPS. Ziel bei allem ist es aber über eine feste IP4 direkt ansprechbar zu sein.

Am Ende ist es eine Frage von Routing zwischen den Netzen.

Das kann man durchaus sehr sicher aufbauen, einmal eingestellt reicht es zb. dem VPS nur 2 UDP Wireguard Ports frei zu geben, Zugriff auf das SSH erfolgt dann nur noch getunnelt über ein Wireguard netz und nicht mehr über einen offenen SSH Port

Ich kenne das Prinzip von IP64.net nicht, aber wenn es ähnlich funktioniert wie feste-ip.net, dann kann es sein dass der Dienst nur mit TCP funktioniert und nicht mit UDP (für Wireguard).

Falls eine Verbindung zustande kommt mit wireguard ist darauf zu achten dass die Verbindung bei in UND out ein paar kb transfer anzeigt. Wireguard zeigt immer an das die Verbindung besteht, wenn da bei einer Verbindung 0 steht, ist diese NICHT zustande gekommen.

Das kannst du machen, ich kenne mich allerdings nicht mit FritzBox aus.

Was ich mit Statik Route meine:

Du hast der UDMPRo ja die Ports von dem VPS eingetragen, aber dein Netzwerk kennt ja den IP Bereich der Eltern nicht.

Dazu musst du keine Dynamic Route in der UDM Pro für den VPS einrichten, sondern der UDM eine Statik Route, dass er den Netzbereich deiner Eltern hinter dem Netzbereich deiner VPS findet.

Zitat von Misux

Ein Reverseproxy ist eingerichtet der von Https 443 auf localhost

Das habe ich verstanden -> aber warum bitte leitest du Port 66464 an den Reverse Proxy weiter ?????

Deshalb hab ich dir die Anleitung des Reverse Proxy von Synology als Link hinzugefügt !!!

Dann bitte leite such 80/443 an die Synology weiter wie ich dir in mehreren posts auch schreibe, sonst kann auch ich dir hier nicht helfen

EinReverse Proxy funktioniert wie bei Synology angegeben nur auf 80/443, nicht wie DU versucht auf einen anderen Port.

Ich glaub du bringst hier Dinge durcheinander, oder ich versteh nicht genau was du willst, weil erst willst du Videos abspielen, dann WebDAV benutzen. Das sind alles unterschiedliche Anforderungen und Lösungen.

WebDAV wirst du nicht über Reverse Proxy ansprechen

Erweitert | DSM - Synology Knowledge Center

Wenn du direkt auf WebDAV gehst, dann mach das mit Angabe des Ports über den vps, nix mit Tricks von hinten durch die Brust.

PS. Nachtrag:

Man richtet keine Dateisystem Freigaben über Internet direkt ein, weder Samba, WebDAV oder nfs Freigaben, das kann man machen wenn man viel Ahnung davon hat was man tut, aber so sieht es scheinbar nicht aus.

Richte einen Zugang auf den filebrowser der Synology ein, oder einem mediaserver oder einer anderen gehosteten Seite die dafür spezialisiert ist, aber Dateisystem ohne VPN Zugang geht garnicht

Nachtrag2: was du allerdings machen kannst, den VPN Zugang auf die Synology nutzen und über den wireguard Zugang der vps Tunneln, dann können sich deinen Eltern über zb das OpenVPN der Synology direkt dort einbinden. Aber dazu müsstest du OpenVPN kennen

Zitat von Misux

Also bräuchte ich an der UDM gar keine Portöffnung mehr machen UND auf dem Mediaplayer auch keinen Wireguard erstellen...?

Genau, das würde dann über den VPS und den vorhandenen Tunnel laufen und es muss nichts an der UDM Pro geändert werden (dann ist Port 80/443 aber für den VPS oder andere Geräte über diesen Tunnel nicht mehr verfügbar)

Ausschnitt aus der Anleitung; (Das müsste dann mit Port 80/443 gemacht werden

# Zusätzlich feste Ports direkt an einen Server weiterleiten
#### Forward zu einem Server 192.168.0.230 (Beispiel) mit PORT 1234 (Beispiel)
#### Öffne auf dem VPS den gewünschten Port in der Firewall 1234 (Beispiel)
#### in dem Wireguard Konfiguration unifi.conf auf dem VPS hinzuzufügen
#### ens6 ist die Netzwerkkarte des VPS und entsprechend zu ändern (z.b. ETH0, etc...)
#### Wichtig: Das Endgerät ist für die Sicherheit verantwortlich, da alle anfragen an die IP4 des VPS direkt an den Server weitergeleitet werden

```
PostUp = iptables -A FORWARD -i ens6 -o unifi -p tcp --syn --dport 1234 -m conntrack --ctstate NEW -j ACCEPT
PostUp = iptables -A FORWARD -i unifi -o ens6 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
PostUp = iptables -t nat -A PREROUTING -i ens6 -p tcp --dport 1234 -j DNAT --to-destination 192.168.0.230
PostUp = iptables -t nat -A POSTROUTING -o unifi -p tcp --dport 1234 -d 192.168.0.230 -j SNAT --to-source 192.168.0.230
PostDown = iptables -D FORWARD -i ens6 -o unifi -p tcp --syn --dport 1234 -m conntrack --ctstate NEW -j ACCEPT
PostDown = iptables -D FORWARD -i unifi -o ens6 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
PostDown = iptables -t nat -D PREROUTING -i ens6 -p tcp --dport 1234 -j DNAT --to-destination 192.168.0.230
PostDown = iptables -t nat -D POSTROUTING -o unifi -p tcp --dport 1234 -d 192.168.0.230 -j SNAT --to-source 192.168.0.230
```

Zitat von Misux

Brauche tatsächlich eine "Normale" Freigabe unter öffnen eines Ports (443) für ein Gerät.

Auch das beschreibe ich in meiner Anleitung, du kannst feste Ports in der VPS nach aussen hin öffnen (80/443) und diese durch deinen Tunnel direkt zu dem Endgerät (zb. Synology) durchleiten. Alles was dann auf Port 80/443 an der IP des VPS ankommt wird prompt durch den Wireguard Tunnel an die Synology geleitet.

-> Die Synology ist dann natürlich für die Sicherheit zuständig, hier bietet sich der Reverse Proxy der Synology an, mit automatischer Umleitung des Port 80 auf 443 und LEts Script Zertifikaten mit automatischem Update (ist wirklich einfach in der Synology und läuft stabil)

Über den Reverse Proxy verteilst du dann die Anfragen auf die IP intern oder im Netzwerk

Zitat von Misux

für meinen bestimmten Zweck die Wireguard Verbindung einfach zu langsam mit ca 4MB/sek.

Die VPS bei Ionos, zumindest die neuen haben eine Transferrate von 1000mbit, die älteren von 400mbit -> Das läuft bei mir auch sehr gut, auch wenn man nicht ans maximum kommt, habe ich verbidungen mit mindestens 100-200mbit

-> Bist du dir bei deinem Problem denn sicher das dein Upload zu Hause das auch schafft? Ich hab dein Setup nicht mehr ganz vor Augen, aber gerade bei Tunneln sollte der eigene Upload auf sehr hoch sein.

Wenn du in die Firewall der UDM Pro gehst, dann auf -> InterneV6 IN

Dort siehst du 3 Standard Regeln,

Allow Established related (also die gewollte Antwort wenn du per IPv6 raus gehst)

Drop invalid traffic

Drop all other traffic

Damit ist IPV6 standardmäßig deaktiviert, es sei denn du hast dort zusätzliche Regeln

Oder, Falls du Zugriff von Außerhalb hast, prüfe das nochmal, ich vermute das du dabei über Wireguard innerhalb deines Netzwerkes verbunden warst, oder das doch das WLAN noch aktiviert war als du es getestet hast.

An Hand von Beispielen fehlt mir aber die Zauberkugel um da den Fehler zu finden, schicke mir sonst eine Nachricht mit der David.conf und nem printscreen deiner Handy Einstellung

Fehler gefunden

Warum hast du in beiden conf die gleiche Tunnel ip drin stehen?

172.23.120.0/24

Oben hatte ich gefragt ob du auch zwei unterschiedliche verwendest

Zitat von Misux

Hmm... in der app wird mir unten datentransfer angezeigt, aber nur gesendet...

Dann steht die Verbindung nicht, Ports frei gegeben in Ionos und/oder VPS?

Die Logout Zeit des ssh? Warum sollte man die ändern wollen, das sollte in der sshd_config möglich sein

Zu deinem Auszug, die Verbindung des Netzes David ist nicht zu Stande gekommen,

Hast du die Verbindung auf dem Handy aktiviert? Was wird dort angezeigt ?

Zu dem ersten: Es gibt keine Logout Zeit, du musst am Handy die Verbindung manuell trennen.

Es kann auch zu Problemen führen wenn du aus deinem eigenem Netzwerk heraus über den wireguard Tunnel wieder in dein Netzwerk willst, benutze zum testen also ein fremdes wlan oder das Mobilfunk Netz

In den Einstellungen gibt es nur eine keepalive Zeit, die sorgt dafür das die verbindu Nicht getrennt wird

Zu dem zweiten: das ist korrekt, die udmpro ist der Client, also gehören diese Adressen in die conf auf dem vps zu diesem tunnel. Die andere Verbindung ist das Handy der Client und dann käme höchstens diese in die conf des zweiten Tunnel, aber mangels fester ip und weil es nicht nötig ist, bleibt es hier leer

Ich empfehle hier mal einschlägige Literatur zu wireguard, da es hier einige Grundsatz Lücken gibt

Ich schau mir Das morgen mal an, die ip deines Netzwerkes gehören nämlich nur im Handy unter Allowed ip, nicht auf dem vps.

Kann sein das ich das falsch zusammen geschrieben habe aus der Erinnerung heraus.

Also dein heimnetz gehört in die allowed ip des Handy, im vps geht das natürlich nicht, die ip können ja nicht auf 2 Tunnel verweisen.

Frage wäre noch: vom vps kommst du auf dein heimnetz?

Auf dem. Handy in der App steht in der Anleitung unter anderem:

- Füge die IP / DNS deines VPS ein, gebe den Port (55121) ein und gebe MTU 1280 ein, DNS Server die gleichen wie im anderem Setup.

-> Der Endpunkt ist die IP/DNS des Servers mit : Port dahinter

Private Key wir auf dem Gerät selber erzeugt,

also auf dem VPS der Private Key verbleibt in der .conf Datei,

der Private Key des Handy wird in dem Wireguard Programm erzeugt und verbleibt dort (den kannst du dort nichtmal auslesen)

Die Public Keys tauscht du aus, der Public Key des VPS kommt ins Handy und der Public Key des Handy kommt in die VPS

Ein paar Punkte,

PrivateKey = Hier kommt immer der Private Key des Gerätes selber rein, also des VPS (immer merken, Private Keys verlassen nie das Gerät, Public Keys gehen auf Reisen)

Die beiden Regeln mit der Netzwerkkarte des VPS kann du weglassen

PostUp     = iptables -t nat -A POSTROUTING -o ens6 -j MASQUERADE
PostDown   = iptables -t nat -D POSTROUTING -o ens6 -j MASQUERADE

Der Rest sollte Stimmen, ich gehe davon aus, dass dieses Netzwerk für dein Handy nicht das gleiche ist wie der des Tunnels zur Unifi (172.20.110.0/24)

Zitat von skippa78

Rein aus Interesse

Wie gesagt nutze ich die Ports 80 & 443 garnicht, mein Setup ist nochmal komplett anders. Es gibt einen eigenen BareMetal Server bei Hetzner, welcher mit Traefik Wildcard Zertifikate für 3 Domains erzeugt und die Anfragen dann innerhalb des Mesh Netzwerkes an den Zugangsserver leitet.

Ich habe hier mal ein kleines Schaubild wie die Server untereinander vernetzt sind.

Zitat von skippa78

hat die Doku mittlerweile um diesen Schritt erweitert.

JA, ihr macht mich fertig , komme garnicht nach das Dingen von "offenen Fragen" zu befreien

Zitat von Misux

Also wie im Beispiel 10.10.10.1?

JA, genau das steht da:

einmal für die IP der Wireguard Adresse auf dem VPS => 10.10.10.1

dann eine Gruppe mit den IP Netzwerken oder einzelnen IP für Geräte auf die über Wireguard zugegriffen werden darf => Netzwerke in deinem Heimnetz

Man muss aber nicht mit Profilen arbeiten, kannst die auch direkt in der Firewall angeben. In meinen Firewall Einstellungen arbeite ich aber gerne mit Profilen, mein Mesh besteht auf insgesamt 12 Adressen, da ist es einfacher Profile zu ändern, als sich jedesmal die Firewall zu durchsuchen