Beiträge von uboot21

Zitat von Misux

Also wie im Beispiel 10.10.10.1?

JA, genau das steht da:

einmal für die IP der Wireguard Adresse auf dem VPS => 10.10.10.1

dann eine Gruppe mit den IP Netzwerken oder einzelnen IP für Geräte auf die über Wireguard zugegriffen werden darf => Netzwerke in deinem Heimnetz

Man muss aber nicht mit Profilen arbeiten, kannst die auch direkt in der Firewall angeben. In meinen Firewall Einstellungen arbeite ich aber gerne mit Profilen, mein Mesh besteht auf insgesamt 12 Adressen, da ist es einfacher Profile zu ändern, als sich jedesmal die Firewall zu durchsuchen

Zitat von skippa78

Das benötige ich nicht von Letsencrypt

Das hast du nicht geschrieben, das du deinen Lokalen DNS Server nimmst und keine DNS Provider.

Ich schrieb ja bereits, dass wenn man die Ports schliesst, man von innen auf den Server kommt.

Dann sollte die Einstellung in der Firezone aber angepasst werden, da Caddy hier die anfragen übernimmt. Da sind die settings etwas anders

Zitat von Misux

DNS NAmeserver her von meinem VPS

Beim DNS Provider Deines Vertrauen 😉

ES gibt sehr viele Provider, wenn du aber bei Ionos einen VPS hast, kannst du dort auch eine Domain für 1,30€ pro Monat bekommen.

Falls du mehr brauchst, gibt es auch günstigere Anbieter

Zitat von Chantalle

seit wann braucht Wireguard explizit IPV6

Es geht hier um Nutzer, welche KEINE fest IP4 haben, sondern nur eine IPv6.

Die Lösung zeigt wie man sich dann mit einer kleinem Virtuellem Server im Internet für 1€ im Monat eine feste IP4 mit Standleitung nach sein zu Hause aufbaut.

Zitat von skippa78

funktioniert im Übrigen auch die Firezone Oberfläche ohne Freigabe von Port 443

Vorsicht, das ist nicht ganz richtig, wenn du docker -ps eingibst, siehst du das 3 Container gestartet werden, einmal die Oberfläche, dann eine Postgres Datenbank und Caddy, ein Reverse Proxy Container, welcher sich auch um die Sicherheit kümmert und bei Let´s encrypt ein Zertifikat besorgt, damit eine SSL Verbindung zustande kommt. Es kann sein, dass du nun Zugriff hast, aber das kann nicht der Sicherheitsgedanke sein, das Port 80 automatisch auf einen sicheren port 443 umgeleitet wird.

Dann lieber die Porst schliessen wenn nicht benötigt und öffnen wenn man sie dann mal braucht

Ich kenne Dein Setup natürlich nicht, insbesondere irgendwelche "komischen" Firewall Rules auf der UDM PRo, zb LAN Local Regeln oder andere Regeln welche Dir verbieten aus diesem VLAN wo du dich befindest heraus zu kommen. Generell sollte die Verbindung in beide Richtungen gehen. Das sollte auch per PING funktionieren, wenn das geht, dann wird auch die SSH Verbindung gehen, sonst ist etwas nicht richtig eingestellt.

Zitat von Misux

Weil will nicht bei mir und ich muss erstmal verstehen ob ich die IP überhaupt richtig. vergeben habe...

Ja, sieht ja gut aus, die IP des Tunnels ist im private Range und dein Netzwerk zu Hause wäre dann der Bereich 192.168.191.1 - 192.168.191.254

Die IP muss aus folgendem Grund da rein, Wireguard muss ja wissen was "Hinter dem Tunnel" verfügbar ist.

Er richtet also vollautomatisch einen IPTABLE eintrag an, das kannst du zb prüfen mit "ip route list", da siehst du welche Adressen über welche Netzwerkkarte geleitet werden,

Zitat von skippa78

Gibt es eine Beispielconfig für fail2ban Firezone Login?

Als Tipp:

Ich hatte in der Anleitung schon erwähnt nach der Installation den Port 22 in der Ionos Einstellung nicht mehr frei zu geben, wenn du deine Geräte eingerichtet hast, kannst du dann auch Port 80/443 im Ionos herausnehmen.

Per SSH kannst du dich dann immer noch mit der IP des Tunnels verbinden (wie in meinem Beispiel mit ssh [email protected]), nur die Webseite wirst du intern nicht aufrufen können.

Das ist das sicherste Prinzip für die VPS, du hast NUR noch die 2 UDP Wireguard Ports offen nach aussen.

Für den Fall das du aus deinem Unifi Netzerk auf die IP des Wireguard kommen möchtest musst du auch eine "Traffic Route" Weiterleitung einrichten, zb das Netzwerk 10.10.10.0/24 oder die IP 10.10.10.1/32 unter IP eintragen und als Interface wählst du den Tunnel zum VPS.

Noch eine Zusatz Info. Man kann mit diesem setup wunderbar ganze Netzwerke miteinander verbinden, alle Netzwerke müssen in Traffic Route rein, alle Netzwerke die weiter weg sind als 1 Hop (also das übernächste Netzwerk) müssen unter static Route hinzugefügt werden mit der IP des Tunnels (in dem Fall 10.10.10.2)

Zitat von Misux

Sollen die genaus sein wie in der Anleitung oder sind das die die in der UDM als TunnelIP angegeben sind?

Die 10.10.10.x ist der Tunnel selber und muss auf der UDM und auf der VPS eingestellt sein, VPS mit 1 am Ende UDM Pro mit 2 am Ende

Die hinter dem Komma können alle Netzwerke rein, auf welche du zugreifen möchtest vom VPS aus. Hier kannst du auch ALLE privaten Netzwerke frei geben, da du einzel Freigaben für Geräte dann über die Firezone ändern kannst

Zitat von skippa78

Es läuft mit der LAN-Out Regel.

LAN OUT kann ja nur bedeuten, dass du die VLAN untereinander geblockt hast, die Einstellung muss dann so sein als wärest du aus dem Management VLAN in andere VLAN rein

Hallo Skippa78

2 Möglichkeiten,

- die IP Range deines Netzwerkes zu Hause muss auch in Firezone eingestellt sein

- Hast du den Part gelesen mit der Firewall Einstellung in der UDM Pro?

P.S.: Wenn du die Firewall bei Ionos selber eingestellt hast, erübrigt sich eine Software Firewall auf der VPS, hier wäre Fail2BAN sinnvoller (Sonst sucht man sich kaputt wenn man Ports öffnen möchte und diese in den verschiedensten Firewalls geblockt hat

Die Firewall stellst du in den Einstellungen bei Ionos ein, das hat nichts mit dem Ubuntu zu tun. Falls du mit Firewall die Software UFW auf Ubuntu meinst, pass dort auf, dass du dich nicht aussperrst und den Port 22 aus versehen blockst

Wie gesagt, wenn du bei Ionos ok klickst, zeigt der Halbkreis den Status an, da brauchst du nicht drauf warten

P.S: habe es gerade bei Ionos getestet, 26 Sekunden waren alle Einstellungen geändert.

Zitat von Misux

VPS gelöscht habe ist das ding seit 2,5 Stunden am löschen

Naja, mal ein Refresh im Browser machen und dann neu versuchen, das einstellen der Firewall dauert 40-60 Sekunden, dann sollte es umgesetzt sein, da braucht man auch nicht drauf warten und muss auch nicht bei zusehen, das macht der auch im Hintergrund weiter

Zitat von Misux

Tunnel IP = 10.10.10.2

Das ist die IP des Wireguard Netzes, korrekt, bitte benutze aber nur Adressen aus dem privatem Netzwerk Bereich, keine öffentlichen

Die Ausgabe ist korrekt, es zeigt dir ja die eingestellten Daten an:

net.ipv4.ip_forward = 1
net.ipv4.conf.all.proxy_arp = 1
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1

Du kannst hier übrigens auch IPv6 komplett ausschalten in dem du beo ipv6 =0 setzt

Auch das geht mit meinem oben genantem Wiki.

Ich nutze es z.b. um Port 5001 meiner Synology direkt weiterzuleiten, aber Achtung, dann ist das Endgerät für die Sicherheit zuständig.

Man muss auch nicht umbedingt die Software Firezone installieren, man kann auch einfach für jedes Endgerät einen eigenen Wireguard zugang machen, ist etwas aufwendiger.

Falls du Webseiten zb weiterleiten möchtest, empfehle ich einen Reverse Proxy (NGinx Reverse Proxy oder Treafik) auf dem VPS zu installieren, hier leitest du deine DNS um auf interne Adressen in deinem Netz.

Ganz ehrlich, DYNDNS geht nur wirklich subotptimal, ich kenne nur wenige DYNDNS Provider die auch IPv6 können und das Netzwerk ist hier sehr oft zu sehr IP4 -> Was nämlich NICHT geht. Wenn ein User kein IPv6 hat kann er mit seinem IP4 nicht auf deine Seiten zugreifen und es gibt leider immer noch Handyprovider die nur mit IP4 arbeiten, damit ist IPv6 für mich an der Stelle gestorben.

Hallo Misux, du hast in all deinen Vermutungen Recht und bauchst Dir keine Sorgen machen das deine IPv6 mal weg ist oder nicht

die Technik die du verwendest um die UDM Pro mit dem VPS server zu verbinden nennt sich Reverse VPN Tunnel. Da die IP4 deiner VPS sich nie ändert ist es völlig egal was deine IP zu hause macht. wenn du dann auf der VPS bist tunnelst du alles komplett in dein Netzwerk. Auf dem VPS bleibt am Ende nur 2 Wireguard Ports offen und es besteht kein Sicherheitsrisiko.

Von extern verbindest du dich mit einer zweiten Wireguard Verbindung auch auf deiner VPS, die Daten werden komplett in dein Netzwerk zu Hause getunnelt.

Ähnliches erreichst du auch mit Cloudflare wenn du dort einen Zero Trust reverse Proxy tunnel z.b zu einem Linux Server oder Docker aufbaust. Allerdings ist der Cloudflare Tunnel dann gut wenn du zb auf Webseiten oder Docker Seiten zugreifen möchtest. Der Wireguard Tunnel ist um deine eigenen Geräte geschützt in dein Netzwerk tunneln möchtest ohne öffentlichen Zugriff

Die vps hat ja ip4 mit eigener festen Adresse.

Ich hatte es einige Zeit mit IPv6 am laufen, fast 2 Jahre, tolles Setup, stabil, immer die gleiche IPv6.

Dann fingen ein paar Störungen im DG Netzwerk an mit Ausfällen (war irgendwo was kaputt gegangen im Netz. Danach bekam ich jedesmal eine neue IPv6 Adresse, heißt, alle meine DNS Umleitungen umsetzen auf die neue etc. Da ich Hochverfügbarkeit benötige und das ja jedesmal dann ausfällt wenn man es nicht braucht, entschied ich mich dazu auf einen Reverse VPN Tunnel zu setzen.

Der hat auch einen weiteren Vorteil, ich habe Internet fallback auf eine andere Internet Verbindung-> da hilft dr auch die beste IPv6 nichts, wenn du zwischen 2 Anbietern springst hast du jedesmal eine andere ip. Mit dem Wechsel auf einen ip4 vps bin ich immer erreichbar, entweder per Login oder über einen Reverse Proxy Server auf meine Webserver zu Hause

Bei mir zeigt er es an mit https://ipv6-test.com/, was möglich ist (zumindest früher), habe ich hier mal beschrieben vor einiger Zeit.

#Sonstiges | Externer Zugriff über IPv6 aufs Netzwerk - ubiquiti - Deutsches Fan Forum

Wie gesagt, mit der neuen Firmware empfehle ich den Wireguard Clienten, ich habe mal eine Schnelle Anleitung hier gemacht:

workspace/1_Infrastruktur/7_Unifi_Wireguard_Tunnel/README.md at master · uboot21/workspace

Öffentliche Portainer Stacks . Contribute to uboot21/workspace development by creating an account on GitHub.

github.com

Also ich nutze für die Verbindung zum VPS eine einfache Wireguard verbindung.

Meine UDM Pro wird als Wireguard client eingerichtet und der Wireguard Server auf dem IONOS wird manuell eingerichtet (Wireguard Port auf der VPS in der Firewall frei geben)

Den Zungang zum VPS von aussen mit meinen Mobilen Geräte mache ich mit einem Docker Firezone Server (eine Mini Anleitung habe ich in meinem noch nicht fertigem Github beschrieben: https://github.com/uboot21/wor…/PortainerStacks/firezone)

Eine Anleitung für den Wireguard Tunnel zum VPS habe ich noch nicht fertig, die Anleitung im Github sollte mit einem Hetzner Baremetal Server inkl Proxmox, PFSense als wireguard Server erstellt werden.

Bevor ich fertig wurde hab ich mich umentschieden und einen Baremtall Docker Server aufgebaut und verbinde alle Internet Server mit einem Wireguard Mesh System untereinander. Hier gibt es im Setup der UDM Pro ein paar Punkte zu beachten, insbesondere was die Traffic Routes und die Static Routes betrifft. Auch die Firewall will "Extra" eingerichtet werden, da Unifi das meiner Meinung nach falsch umsetzt.

Aber eine einfache Wireguard Verbindung zu einem Server ist simple mit ein paar Basic wireguard Grundkenntnissen möglich.

2a00:6020 ist die Startadresse von Deutsche Glasfaser, das ist korrekt

-> das ist aber nicht die Adresse bei eth8, mit welcher du von aussen erreichbar bist.

Unter WAN musst du IPv6 mit DHCPV6 einrichten

Du musst unter Netzwerke (für jedes Netzwerk) IPv6 aktivieren

Dann bekommst du die Ipv6 Subnetze unter br0 angezeigt

Danach sollte jedes deiner Geräte in diesen Netzwerken eine IPv6 bekommen, von aussen kannst du dich (Nach freigabe in der Firewall) direkt mit jedem Gerät verbinden, zb. einem Wireguard server.

PS1: Auch wenn die IPv6 erstmal statisch aussieht, kann es sein, dass sich diese nach Störungen im Netz trotzdem erneuert

PS2: Wechsel nicht die Geräte (also mal kurz ne Fritzbox anschliessen), Glasfaser braucht ein Gerät, wenn du es wechseln möchtest kann das sehr langwierig werden (wie du richtig gemacht hast mit reset, lange Zeit nicht am Netz, etc. )

PS3: Ich nutze am Ende nun doch IP4 und baue eine Wireguard Verbindung zu einem z.b. IONOS VPS Server für 1€ im Monat auf, Das Unifi Gateway kann hier wunderbar per wireguard Client darauf zugreifen, über den VPS Server kannst du dank fester IP4 immer zugreifen.

Jedes Netzwerk