Beiträge von uboot21

Hallo,

also meines wissens nach geht wireguard nicht direkt über IPv6, hab es auch vor langer Zeit schon aufgegeben.

Die Frage ist immer, was will man mit VPN. Über einen unsicheren öffentlichen WLAN Router gesichert surfen, Zugriff per Einwahl auf sein Netzwerk bekommen oder man hat ein kleines Homelab und möchte Anwendungen im Internet verfügbar machen. Ich verwende erstes und letztes.

Ich nutze auch nicht die Wireguard Funktion des Routers, Grund: Ich möchte individuell entscheiden welcher Zugang wohin Erlaubnis hat, das geht am besten noch immer direkt über die wg.conf und über einen Proxmox/Pi Server.

Um über meinen IPv6 Zugang erreichbar zu sein, nutze ich einen Reverse VPN Zugang mit einem IP4 Server im Internet, da ich ein recht großes setup habe, nutze ich verschiedene Möglichkeiten, ich stelle sie mal einfach vor:

Zugang1: Direkter Zugriff über eine DNS auf bestimmte Server mit nur einzeln frei gegebenen Ports. Über einen Ionos VSERVER (2€), dort läuft der Wireguard server, auf meinen Home Servern läuft der Wireguard client, der aktiv die Verbindung zum VServer aufbaut. Nur die entsprechenden Ports werden auch weiter geleitet. -> Anwendung zb. Active Backup Synchronisation über Synology über Internet

Zugang2: Über einen weiteren Vserver Zugang über Wireguard GUI und Tunnel zum Netzwerk in einen Proxmox Client. -> Hier experimentiere ich noch, weil ich über Zugang1 auch einen OpenVPN Server zur Synology reibungslos betreibe, da fehlt mir quasi noch der Bedarf das umstellen zu müssen.

Zugang3: Zugang über einen VServer mit Docker (5€) und installiertem NGINX Controller. Hier ist ein Wireguard Server installiert, verschiedene weitere Server (Oracle Cloud, Proxmox Server, Smarthome Server, Docker Server) bauen Multi VPN Verbindungen zu dem VServer auf. Je nach Server werden hier unterschiedliche Adressbereiche zur Freigabe gegeben, mal ganze Bereiche, mal nur einzelne IP aus meinem Netzwerk. Die Verteilung erfolgt hier über NGINX auf dem VServer, hier laufen 3 FQDN auf, diese werden mit Wildcard oder über Lets encrypt mit SSL versehen und dann je nach Anwendung an die einzelnen Server weiter geleitet.

Weiterhin möchte ich noch darauf hinweisen das es eine kostenlose Möglichkeit über Cloudflare gibt, hierzu muss man z.b. einen Docker laufen haben und eine FQDN komplett nach Cloudflare umleiten. Die entsprechenden Server werden dann mit SSL weiter geleitet.

Der Außenbereich verringert die sendeleistung, damit die AP nicht mehr so stark strahlen.

(Da es verboten ist über die Grundstücksgrenzen ohne Erlaubnis zu Funken reduziert dieser Modus die Strahlung)

Du musst auf jeden Fall den Innenbereich wählen um die Max. Sendeleistung zu bekommen.

Wenn du die Kanalbreite auf HT20 bzw HE40 heruntersetzt, verringerst du zwar den Durchsatz, erhöhst aber die Reichweite.

Evtl. Kann es auch sinnvoll sein, den 5ghz Bereich komplett auszuschalten, da der 2,4ghz auch viel weiter reicht. Gerade an der grenzfläche des machbaren versuchen die geräte sonst immer hin und her zu springen.

Generell empfiehlt sich für eine funkbrücke immer gebündelter Richtfunk, die LR sind dafür nicht geieignet, durch ihre größeren Antennen schaffen sie eine größere Fläche abzudecken, keine zielgerichtete Entfernung.

Zitat von suxus

Aktuell habe ich auf der UDM noch keine Stelle gefunden wo man sehen würde was genau geblockt wird, resp. für was müsste man eine Firewall Regel erstellen.

Wenn du keine Regel einstellst, ist erst einmal alles offen.

Wenn du dann eine Regel erstellst, solltest du auch wissen was diese macht, sonst bist du am Ende nur am Rätseln, das ist einmal sich damit beschäftigen, dann hat man das raus.

Eine Hilfe zu den Regeln zitiere ich mal hier, ansonsten ins Wiki schauen

Zitat

WAN IN (WAN eingehend)

Alles was vom Internet auf die WAN-Schnittstelle des Security Gateway kommt, ist WAN IN. Es kommt also Datenverkehr aus dem Internet zum Security Gateway. Ein Blick in die Regeln zeigt auch eventuelle Portweiterleitungen. Diese werden absichtlich und gewollt vom Internet in das private Netzwerk dahinter gelassen. Die Firewall prüft also, was kommt vom Internet auf das USG (die Firewall) und was soll damit passieren.

WAN OUT (WAN ausgehend)

Der Datenverkehr vom privaten Netzwerk ins Internet ist hier gemeint. Möchte ich zum Beispiel für alle Netzwerke dahinter den Port 22 für SSH blockieren, ist hier der richtige Ort. Allerdings heißt das auch, für wirklich alle Netzwerke dahinter.

WAN LOCAL (WAN lokal)

Hier sind keine Einstellungen nötig. Es betrifft die Services der Firewall selbst an der WAN Schnittstelle. Beispielsweise sind hier Regeln definiert, wenn ein VPN-Server auf dem USG eingerichtet wurde. Da kein weiteres Gerät im Netzwerk ein VPN-Server ist, wird es unter WAN LOCAL definiert.

LAN OUT (LAN ausgehend)

Einfach definiert, der Datenverkehr welcher aus den privaten Netzwerken geht. Ziel ist an der Stelle irrelevant, da es aus dem LAN gehend soll.

LAN IN (LAN eingehend)

Wenn Daten in die privaten Netzwerke gehen sollen, dann ist LAN IN der richtige Ort für Regeln. Übrigens ist es sinnvoll, hier die Regeln für die Netzwerke zu setzen, wenn etwas blockiert werden soll. Nutze ich nämlich LAN OUT, kann ich sehr wohl im gleichen Subnetz via SSH auf einen Rechner zugreifen, wenn ich das blockiert habe. Definiere ich die Regel hier, ist das nicht so.

LAN LOCAL (LAN lokal)

Der Datenverkehr der USG Firewall für die LAN-Schnittstelle, also alle lokalen privaten Netzwerke.

Analog dem LAN ist die Aussage für das Gastnetzwerk zu verstehen.

Alles anzeigen

Inter VLAN Blockaden oder Freigaben gehören somit ins "LAN IN"

Starte erstmal damit, du willst ja denke ich keine Geräte für den Internetzugang sperren. Auch sind eingehende WAN Regeln vorhanden womit alles was rein kommt gesperrt ist.

P.S: Mit deiner Regel Block Inter VLAN Routing hast du somit mal allen Transfer zwischen den Netzen blockiert. Wenn du das willst ist das OK, dann musst du vor dieser Regel ein paar Regeln für die Geräte erstellen welche mit "allow" freigegeben werden

Hi, also ein paar Dinge sollte man sich im Aufsetzen von verschiedenen VLAN immer bewusst sein.

Man richtet zwar die Netzwerke ein um diese gegenseitig abzusichern, aber es wird immer ausnahmen geben. Sei es der Smarthome Lautsprecher oder das Gateway oder der Datenserver NAS.

Die Frage ist also nicht welches du wohin freigeben sollst, sondern erstmal, welches Gerät gehört theoretisch in welches VLAN.

Für mich ist das der AppleTV der mit in das IOT Netz gehört, genau wie ein Smart TV oder ähnliches, allein von seinen Aufgaben her Smarthome Geräte zu steuern.

Das NAS ist bei Dir auch besser im Main Netzwerk aufgestellt, oder evtl. sogar ein eigenes Server VLAN oder dem Management VLAN (da kann man drüber diskutieren und hängt von der Komplexität ab).

Nachdem du deine Geräte verteilt hast, schaust du wer wohin Zugriff haben muss, also z.b. der Apple TV darf aus 77 auf das 88 oder besser nur auf das NAS. Dann dürfen alle Geräte aus dem 88 auch auf das Smarthome Netzwerk, dem 77er. Aber nicht unbedingt umgekehrt. Vielleicht sind noch ein paar Lautsprecher oder Medienserver dabei, evtl auch Drucker, die mögen es nicht abgeschottet zu sein, also gibt man denen volle Rechte.

Das Untergräbt keinesfalls das Sicherheitskonzept getrennter Netzwerke, allerdings kann man einem AppleTV schon mehr vertrauen als der Billig Kamera aus dem fernen Land wo Firmware Updates nie geplant waren.

Wichtig beim Setup: Dem gewolltem Treu bleiben, Ausnahmen schaffen um keine Funktionalität einzubüßen.

Bei mir sind 70 IP Adressen im IOT Netzwerk, darunter AppleTV, Apple HomePod, ein paar Alexas und und und. Bestimmte Geräte benötigen den Broadcast, einige arbeiten auch besser mit IPv6, andere sollte einfach isoliert sein. Da muss man die Firewall entsprechend den Anforderungen einstellen. Bei vielen Geräten hilft hier ungemein die IP und Port Gruppen Bildung. Wichtig ist sich vorher einen Plan zu machen.

Ich werfe mal diese Webseite in die Runde:

DNS over HTTPS (DoH) — Was ändert sich für den Nutzer? | My-IT-Brain

DOH hat nichts mit dem Router zu tun, es wird zwischen Anwendung (Browser) direkt aufgebaut. -> Hier liegt ja die größte Kritik an dem DOH, da Chrome einer der meistverwendeten Browser ist, könnte Google seine eigenen DNS Server hierfür verwenden und dann erst recht die Anwender tracken (was man ja mit pihole, unbound und Co verhindern möchte)

Generell finde ich das Thema ein wenig zu aufgebauscht, Pihole mit unbound ist schon eine gute sache, aber diese Anfragen dann noch zu verschlüsseln setzt ja voraus das jemand diesen Verkehr abfängt, also sein eigener Router (jemand im eigenen Netzwerk) oder die Switches des ISP (also der Provider) -> Auch die TLS verschlüsselung ändert ja nichts daran das der DNS Provider diese Anfrage sehen kann, auswertet und evtl. verwendet.

Das Verhalten eines DNS Leak Check ist an dieser Stelle völlig korrekt

Der Test zeigt dir deinen Provider an Hand einer Reverse DNS suche zu deiner ip an, nicht weil du den DNS Server nutzt.

Deine ip womit du surfst wird ja nie verschlüsselt, was verschlüsselt wird ist, welchen DNS Provider du nutzt, es geht ja nur um die Tatsache das man nicht sieht das du über zb Google suchst, du sucht ja über deinen local DNS, das ist korrekt.

Warum nutzt man unbound?: alleinig deshalb, damit einem DNS Provider (zb Google) es nicht möglich sein kann dein Verhalten im Zusammenhang mit deiner ip zu tracken.

Also vollkommen korrekt das du in deiner Ansicht dort nur Punkte siehst (dort stehen normalerweise die verwendeten DNS Provider), am Ende verbleibt aber immer noch deine ip welche dich und dein isp sichtbar machen, das würde nur verschwinden wenn du über VPN Zugang surfst.

Spaßeshalber kannst du den DNS mal manuell in deinem Rechner fix auf zb 8.8.8.8 setzen und den Test wiederholen, du wirst sehen es werden beim Check mindestens 4 involvierte Google Server angezeigt

Hi, ich nutze das Gastnetzwerk eigentlich nicht, da ich ein eigenes VLAN erstellt habe für Gäste.

Aber ich hab es mal kurz zum Testen aktiviert. Das aktivieren erstellt jede Menge Firewall regeln in Gast ip4, zusätzlich auch jede Menge in guest ipv6 -> ohne die jetzt einzeln durchgegangen zu sein unterscheiden diese sich aber voneinander, geh die mal durch. da es prädefinierte sind kann man die ja nicht löschen, aber evtl. ist da was bei, dass du extra mit allow hinzu fügen kannst damit die clients überhaupt IPv6 empfangen können.

Die Datei sollte mit den beiden Befehl aus der Anleitung gelöscht und neu mit dem private Key beschrieben werden, die Einstellungen am besten neu erstellen nach Anleitung

Zitat von baumgras04

was der VPS-Server asugibt, also auch kein "latest handshake".

Dann tatsächlich noch einmal die Keys vergleichen, evtl. einfach neue Codes erzeugen und neu eingeben. darauf achten dass die Paare korrekt sind.

In deinem zweiten Bild vom LOCAL Server sieht man das der Server Daten sendet, aber keine Antwort bekommt.

Alles korrekt bis hier.

Zitat von baumgras04

Hier einmal die Ausgaben von den Abfragen:

Sudo wg:

Das Bild von deinem VPS Server, kommt da auch ein Handshake und wie viel übertragen wurde?

Hier eine Ausgabe von mir:

allowed ips: 192.168.4.2/32
latest handshake: 40 seconds ago
transfer: 9.62 GiB received, 2.01 GiB sent

da sollte letzter Handshake stehen und auch eine Menge an Datentransfer

Bist du die Anleitung noch mal durchgegangen?

Das hier auch gemacht?

sudo nano /etc/sysctl.conf

Dort unten anhängen:

Code

net.ipv4.ip_forward=1

Mit diesem Befehl die Weiterleitung aktivieren:

Code

sudo sysctl -p

Hiermit kann das auch geprüft werden

sudo sysctl --system

Zitat von baumgras04

Firewall-Richtlinien den Port 55107 (UDP) freigegeben.

Zusätzlich muss auch Port 80 & 443 TCP dort eingegeben sein!

Zitat von baumgras04

Ist es richtig, dass der "listening port 47554" ist? Müsste der nicht auch 55107 sein?

Das ist korrekt, es werden hier random ports ausgehandelt.

Zitat von baumgras04

Was würde passieren, wenn einer der Publickeys falsch wäre? Käme dann eine Fehlermeldung?

In dem Fall hätte sudo wg nicht den funktionierenden Tunnel angezeigt. -> Das kannst du auf der Gegenseite LOCAL Server Genauso testen

Zitat von baumgras04

Als ich auf diesen Artikel gestoßen bin, habe ich gedacht, damit könnte es funktionieren, wenn ich den Tunnel zwischen dem LOCAL- und dem VPS-Server aufbaue und zusätzlich auf LOCAL-Server einen OpenVPN-Server installiere, den ich dann über die IP des VPS-Server ansteuere. Ganz ins Heimnetz würde ich mit dem Tunnel ja nicht kommen.

OK, jetzt verstehe ich es besser, es sollte alles so gehen wie du schreibst, so habe ich es auch am laufen.

Folgende Frage ist noch offen:

Firewall des VPS (auf der Hardwareseite des Providers) -> gibt es hier eine? weil auch hier müssen alle Ports, inkl dem 55107 frei gegeben sein.

Das hast du richtig verstanden.

Es ist jetzt glaub ich aber der Punkt wo ich fragen muss: Was möchtest du denn machen?

Die Anleitung war dazu da sich über Port 80/443 zu einem Reverse Proxy server zu verbinden -> falls der dann auch vorhanden ist, sollte nun die "Leerseite" des Reverse proxy erscheinen, wenn du die IP des VPS eingeben hast, ansonsten jeder andere Webserver den du installiert hast auf Port 80 oder 443

Lol, ich glaube ich habe in der Anleitung das pingen unterbunden, deshalb geht das nicht

Der Tunnel sollte aber stehen, du solltest mit der IP4 über port 80 und port 443 auf deinem Zielserver ankommen.

-> Hier noch einmal prüfen ob dein VPS Server eine eigene Firewall des Providers hat, das ist zb bei Ionos der fall und muss über die Server Konfiguration frei gegeben werden

Hallo, was geben die Abfragen aus die ich Dir bereits mitgeteilt hatte.

Vom VPS Server aus:

sudo wg

sudo ufw status

sudo iptables -L -t nat -v

sudo ping 192.168.4.2

Zitat von baumgras04

Wenn der Tunnel stehen sollte, wie kann ich dann auf mein VPN-Server Zuhause zugreifen?

Hierzu ganz Wichtig!!!: Du baust hier keinen wireguard VPN Server, sondern einen Reverse Proxy Tunnel

Der Traffic für die Ports die du auf dem VPS einrichtest werden 1:1 direkt an das Ziel geleitet, so als wäre dieser Rechner offen im Internet mit der IP4 des VPS

-> Das hat absolut nichts mit einem VPN Server zu tun in dem man sich einwählt, legitimiert und dann Zugriff auf sein Netzwerk hat, dazu gibt es auch zahlreiche andere Anleitungen im Internet.

Aber um es verständlich zu machen, ich nutze auch die Synology und dort den OpenVPN Server (ja irgendwann stelle ich das auch auf Wireguard um, aber es haben halt sehr viele bereits OpenVPN bei mir installiert). Über Wiredguard öffne ich per Tunnel die Ports 80, 443, 1194

Per 80/443 gehe ich auf den Reverse Proxy der Synology und per 1194 auf den OpenVPN server wo man sich einwählt. -> Der Wireguard ist aber nur der Tunnel, kein VPN Zugang

Noch ein Kommentar dazu ob man mehrere VPS Server benötigt: Ich habe auf dem einen VPS noch 2 weitere Wireguard Tunnel zu anderen Servern aufgebaut, wichtig hier: Man kann jeden Port nur einmal weiter leiten, in meinem Fall oben kann ich nicht den Port 80 nicht woanders hin umleiten. Ich nutze aber zb. den Port 7999 für einen GeoFence Server um im Smarthome die Anwesenheit zu tracken.

Falls du den gleichen Port wieder verwenden möchtest brauchst du einen anderen VPS Server,

ODER:

Ich experimentiere gerade mit Netmaker, einfach mal googeln, ein Server der verschiedene Wireguard Tunnel und VPN Netzwerke aufbauen kann.

SSH Client:

Tabby - a terminal for a more modern age

Tabby is a free and open source SSH, local and Telnet terminal with everything you'll ever need.

tabby.sh

Markdown Editor:

Obsidian

Obsidian: A knowledge base that works on local Markdown files.

obsidian.md

Beides Plattformübergreifend mit der Möglichkeit der Synchronisation

Hallo zusammen,

habe soeben ein neues WIKI hochgeladen #Sonstiges | Wireguard Reverse VPN Tunnel erstellen

(Falls das WIKI noch nicht freigeschaltet ist auch in meinem Blog)

Ich gebe zu, es ist schon ein spezielles Setup, aber ich glaube hier sind eine Menge Leute mit Home-Server, Proxmox, Docker und Co unterwegs.

Habe lange mit Wireguard getüftelt, selbst ist mein Zuhause nur über IPv6 zu erreichen (Deutsche Glasfaser) und die Anforderungen wachsen doch immer mehr an, also ist das nun ein mögliches Setup um per Wireguard ein Reverse VPN Tunnel aufzubauen.

Meine Frage nun an EUCH Alle:

Ich habe zu Hause keine Möglichkeit ein Fallback mit der UDM Pro zu testen, meiner Meinung nach sollte diese Setup den Homeserver trotzdem erreichbar halten, auch wenn Internet A ausfällt und Internet B die Verbindung aufbaut. Ich glaube das wäre auch für viele andere Interessant die auf Ausfallsicherheit Wert legen.

-> Ist das so? Kann das jemand bitte mal testen?

Der KeepAlive ist auf 25s eingerichtet, also spätestens nach einer halben Minute müssten die Server wieder erreichbar sein

Hallo,

Zum Testen kannst du auch mit einem kostenlosen Server starten, habe gestern die Anleitung dahingehend erweitert in dem ich auf einen Oracle Cloud Tier Server verweise.

Eine kurze Anleitung habe ich auf meiner Homepage My blog

Demnächst werde ich auch noch eine Anleitung für einen Reverse VPN wireguard Tunnel erstellen, mir fehlt im Moment noch die Zeit und ich bin noch ein wenig am Feilschen mit den besten Einstellungen