NoPaste

(gelöst) VPN Wireguard

von scriptorius

SNIPPET_TEXT:
  1. (1) Ddclient Installation auf Server
  2. Bei desec.io einen dyndns account erstellt; dann:
  3.  
  4. # apt install curl -y
  5. # apt install ddclient -y
  6. > es erfolgt eine Abfrage, am Ende sollte es folgendermaßen konfiguriert sein:
  7.  
  8. # nano /etc/ddclient.conf
  9. >
  10. protocol=dyndns2
  11. usev6=if, if=enp3s0
  12. ssl=yes
  13. use=cmd, cmd='curl https://checkipv6.dedyn.io/'
  14. server=update6.dedyn.io
  15. login=xxx.dedyn.io
  16. password='***'
  17. xxx.dedyn.io
  18.  
  19. # nano /etc/default/ddclient
  20. >
  22. run_dhclient="false"
  24. run_ipup="false"
  26. run_daemon="true"
  28. daemon_interval="300"
  29.  
  30. # service ddclient restart
  31. # ddclient -force
  32.  
  33. # cd /root/
  34. # crontab -e
  35. >   # ganz unten einfügen
  36. 05 08 * * * /usr/sbin/ddclient --force
  37.  
  38. ---------------------------------------------
  39.  
  40. (2) Wireguard Installation
  41. # nano /etc/apt/sources.list.d/unstable.list
  42. >
  43. deb http://deb.debian.org/debian/ unstable main
  44.  
  45. # nano /etc/apt/preferences.d/limit-unstable
  46. >
  47. Package: *
  48. Pin: release a=unstable
  49. Pin-Priority: 90
  50.  
  51. # apt update
  52. # apt install wireguard --dry-run
  53. (etwas über 60 Pakete sollten es ; dann:)
  54. # apt install wireguard -y
  55.  
  56. ---------------------------------------------------
  57.  
  58. (3) Schlüssel erzeugen für Server-Konfiguration und den ersten Client (Smartphone)
  59. # cd /etc/wireguard
  60. # umask 077
  61. # wg genkey > server.key   # erstellen
  62. #  wg genkey > client1.key   # erstellen
  63. Server-Schlüssel:
  64. Geheim:
  65. # cat /etc/wireguard/server.key   # anzeigen
  66. # cat /etc/wireguard/server.key | wg pubkey   # anzeigen, muss nicht eigens erstellt werden
  67.  
  68. Client-Schlüssel:
  69. Geheim:
  70. # cat /etc/wireguard/client1.key   # anzeigen
  71. Öffentlich:
  72. # cat /etc/wireguard/client1.key | wg pubkey   # anzeigen, muss nicht eigen erstellt werden
  73.  
  74. -------------------------------------------------------------------
  75.  
  76. (4) Erstellen der Server- und Clientkonfigfiles
  77. Anfang: Server-Konfiguration auf Server
  78. # cat /etc/wireguard/server.key
  79. > angezeigten privaten Server-Schlüssel kopieren
  80.  
  81. # touch /etc/wireguard/wg0.conf
  82. # nano /etc/wireguard/wg0.conf
  83. >
  84. [Interface]
  85. Address = 10.66.66.1/24, fd42:42:42::1/64
  86. PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o enp3s0 -j MASQUERADE; ip6tables -A FORWARD -i wg0 -j ACCEPT; ip6tables -t nat -A POSTROUTING -o enp3s0 -j MASQUERADE
  87. PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o enp3s0 -j MASQUERADE; ip6tables -D FORWARD -i wg0 -j ACCEPT; ip6tables -t nat -D POSTROUTING -o enp3s0 -j MASQUERADE
  88. ListenPort = 51820
  89. PrivateKey = >privater Server-Schlüssel hier eintragen<
  90.  
  91. Client-Konfiguration auf Server:
  92. # mkdir /etc/wireguard/clients
  93. # touch /etc/wireguard/clients/client1.conf
  94.  
  95. # cat /etc/wireguard/client1.key
  96. # cat /etc/wireguard/server.key | wg pubkey
  97.  
  98. # nano /etc/wireguard/clients/client1.conf
  99. >
  100. [Interface]
  101. PrivateKey = >privater Client-Schlüssel<
  102. Address = 10.66.66.2/24, fd42:42:42::2/64
  103. DNS = 176.103.130.130,176.103.130.131
  104.  
  105. [Peer]
  106. PublicKey = >öffentlicher Server-Schlüssel<
  107. Endpoint = xxx.dedyn.io:51820
  108. AllowedIPs = 0.0.0.0/0, ::/0
  109.  
  110. Abschluss: Server-Konfiguration auf Server
  111. # nano /etc/wireguard/wg0.conf
  112. >   # unter [Interface] einfügen
  113. [Peer]
  114. PublicKey = >öffentlicher Client-Schlüssel<
  115. AllowedIPs = 10.66.66.2/32, fd42:42:42::2/128
  116.  
  117. ------------------------------------------------------
  118.  
  119. (5) Wireguard-Konfiguration auf server starten und Start automatisieren
  120. # chown -v root:root /etc/wireguard/wg0.conf
  121. # chmod -v 600 /etc/wireguard/wg0.conf
  122. # wg-quick up wg0
  123. # systemctl enable wg-quick@wg0.service
  124.  
  125. ANMERKUNG:
  126. Ab jetzt vor jeder Konfiguration:
  127. # wg-quick down wg0
  128. Nach jeder Konfiguration:
  129. # wg-quick up wg0
  130.  
  131. ----------------------------------------------------------
  132.  
  133. (6) Forwarding auf Server konfigurieren
  134. # touch /etc/sysctl.d/wireguard.conf
  135. # nano /etc/sysctl.d/wireguard.conf
  136. >
  137. net.ipv4.ip_forward=1
  138. net.ipv6.conf.all.forwarding=1
  139. # sysctl -p /etc/sysctl.d/wireguard.conf
  140. # sysctl --system
  141.  
  142. [Die folgenden Zeilen, die bereit oben in /etc/wireguard/wg0.conf eingefügt wurden sind für ein forwarding notwendig:
  143. PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o enp3s0 -j MASQUERADE; ip6tables -A FORWARD -i wg0 -j ACCEPT; ip6tables -t nat -A POSTROUTING -o enp3s0 -j MASQUERADE
  144. PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o enp3s0 -j MASQUERADE; ip6tables -D FORWARD -i wg0 -j ACCEPT; ip6tables -t nat -D POSTROUTING -o enp3s0 -j MASQUERADE]
  145.  
  146. ------------------------------------------------------
  147.  
  148. (7) In der fritzbox Route setzen
  149. Mögliche Route: fritzbox > Heimnetz > Netzwerk > Netzwerkeinstellungen > ipv4-Routen:
  150. 10.66.66.0   -   255.255.255.0   -   192.168.178.45
  151.  
  152. --------------------------------------------------
  153.  
  154. (8) Auf dem WG-Server die Rückroute setzen:
  155. # ip route add 192.168.178.0/24 via 10.66.66.1 dev wg0 mtu 1420
  156.  
  157. --------------------------------------------------
  158.  
  159. (9) QR-Coder für Smartphone-Client erzeugen
  160. # apt install qrencode -y
  161. # cat /etc/wireguard/clients/client1.conf | qrencode -t ansiutf8
  162.  
  163. -----------------------------------------------------
  164.  
  165. (10) DNS-Server auf dem WG-Server
  166. # apt install dnsutils
  167. # apt install unbound unbound-host -y
  168. # curl -o /var/lib/unbound/root.hints https://www.internic.net/domain/named.cache
  169. # chown unbound:unbound /var/lib/unbound/root.hints
  170. # nano /etc/unbound/unbound.conf
  171. >   # unten einfügen nach: include: "/etc/unbound/unbound.conf.d/*.conf"
  172. server:
  173.   num-threads: 4
  174.  
  175.   #Enable logs
  176.   verbosity: 1
  177.  
  178.   #list of Root DNS Server
  179.   root-hints: "/var/lib/unbound/root.hints"
  180.  
  181.   #Respond to DNS requests on all interfaces
  182.   interface: 0.0.0.0
  183.   max-udp-size: 3072
  184.  
  185.   #Authorized IPs to access the DNS Server
  186.   access-control: 0.0.0.0/0                 refuse
  187.   access-control: 127.0.0.1                 allow
  188.   access-control: 10.66.66.0/24         allow
  189.  
  190.   #not allowed to be returned for public internet  names
  191.   private-address: 10.66.66.0/24
  192.  
  193.   # Hide DNS Server info
  194.   hide-identity: yes
  195.   hide-version: yes
  196.  
  197.   #Limit DNS Fraud and use DNSSEC
  198.   harden-glue: yes
  199.   harden-dnssec-stripped: yes
  200.   harden-referral-path: yes
  201.  
  202.   #Add an unwanted reply threshold to clean the cache and avoid when possible a DNS Poisoning
  203.   unwanted-reply-threshold: 10000000
  204.  
  205.   #Have the validator print validation failures to the log.
  206.   val-log-level: 1
  207.  
  208. # systemctl disable systemd-resolved
  209. # systemctl stop systemd-resolved
  210. # systemctl enable unbound
  211. # systemctl start unbound
  212.  
  213. Unbound testen:
  214. # nslookup google.com 127.0.0.1
  215. # nslookup google.com 10.66.66.1
  216. # unbound-checkconf
  217.  
  218. ------------------------------------------------------------
  219.  
  220. (11) Firewall einrichten:
  221. Als # eingeben:
  222. iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
  223. iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
  224. iptables -A INPUT -p udp -m udp --dport 51820 -m conntrack --ctstate NEW -j ACCEPT
  225. iptables -A INPUT -s 10.66.66.0/24 -p tcp -m tcp --dport 53 -m conntrack --ctstate NEW -j ACCEPT
  226. iptables -A INPUT -s 10.66.66.0/24 -p udp -m udp --dport 53 -m conntrack --ctstate NEW -j ACCEPT
  227. iptables -A OUTPUT -p udp -m udp --sport 51820 -j ACCEPT
  228. iptables   -I   INPUT   -p   udp   --dport   51820   -j   ACCEPT
  229. iptables   -I   INPUT   -p   tcp   --dport   xxx   -j   ACCEPT   # xxx=ssh Port
  230.  
  231. ip6tables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
  232. ip6tables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
  233. ip6tables -A INPUT -p udp -m udp --dport 51820 -m conntrack --ctstate NEW -j ACCEPT
  234. ip6tables -A INPUT -s fd42:42:42::/64 -p tcp -m tcp --dport 53 -m conntrack --ctstate NEW -j ACCEPT
  235. ip6tables -A INPUT -s fd42:42:42::/64 -p udp -m udp --dport 53 -m conntrack --ctstate NEW -j ACCEPT
  236. ip6tables -A OUTPUT -p udp -m udp --sport 51820 -j ACCEPT
  237. ip6tables   -I   INPUT   -p   udp   --dport   51820   -j   ACCEPT
  238. ip6tables   -I   INPUT   -p   tcp   --dport   xxx   -j   ACCEPT   # xxx=ssh Port
  239. # apt install iptables-persistent
  240.  
  241. -----------------------------------------------------------
  242.  
  243. (12) Einen zweiten Client2 (Notebook) einrichten
  244. Wirguard auf Client2 installieren wie oben auf dem server:
  245. # nano /etc/apt/sources.list.d/unstable.list
  246. >
  247. deb http://deb.debian.org/debian/ unstable main
  248.  
  249. # nano /etc/apt/preferences.d/limit-unstable
  250. >
  251. Package: *
  252. Pin: release a=unstable
  253. Pin-Priority: 90
  254.  
  255. # apt update
  256. # apt install wireguard --dry-run
  257. (etwas über 60 Pakete sollten es ; dann:)
  258. # apt install wireguard -y
  259.  
  260. (12.1) Konfiguration auf Client2 erstellen
  261. # cd /etc/wireguard
  262. # umask 077
  263. #  wg genkey > client2.key   # erstellen
  264.  
  265.  
  266.  
  267. Client2-Schlüssel:
  268. Geheim:
  269. # cat /etc/wireguard/client2.key   # anzeigen
  270. # cat /etc/wireguard/client2.key | wg pubkey   # anzeigen, muss nicht eigens erstellt werden
  271.  
  272. # touch /etc/wireguard/wg0.conf
  273. # nano /etc/wireguard/wg0.conf
  274. >
  275. [Interface]
  276. PrivateKey = >privater Client2-Schlüssel<
  277. MTU = 1420   # bei ipv6 mindestens 1280
  278. Address = 10.66.66.3/24, fd42:42:42::3/64
  279. DNS = 176.103.130.130,176.103.130.131
  280.  
  281. [Peer]
  282. PublicKey = >öffentlicher Server-Schlüssel<
  283. Endpoint = xxx.dedyn.io:51820
  284. AllowedIPs = 0.0.0.0/0, ::/0
  285.  
  286. Abschluss: Server-Konfiguration auf Server > neuen peer für client2 erstellen
  287. # nano /etc/wireguard/wg0.conf
  288. >   # unter ersten [Peer] einfügen
  289. [Peer]
  290. PublicKey = >öffentlicher Client2-Schlüssel<
  291. AllowedIPs = 10.66.66.3/32, fd42:42:42::3/128
  292.  
  293. wireguard auf client2 starten mit:
  294. # chown -v root:root /etc/wireguard/wg0.conf
  295. # chmod -v 600 /etc/wireguard/wg0.conf
  296. # wg-quick up wg0
  297. # systemctl enable wg-quick@wg0.service
  298.  
  299. ANMERKUNG:
  300. Ab jetzt vor jeder Konfiguration:
  301. # wg-quick down wg0
  302. Nach jeder Konfiguration:
  303. # wg-quick up wg0

Quellcode

Hier kannst du den Code kopieren und ihn in deinen bevorzugten Editor einfügen. PASTEBIN_DOWNLOAD_SNIPPET_EXPLAIN

Verlinken

URL: alles markieren
https://nopaste.debianforum.de/40932

BBCode: alles markieren
[NP]40932[/NP]

LATEST_SNIPPETS