(gelöst) VPN Wireguard

[scriptorius]

Ja, ok, kann ich machen.

Jetzt mal nur so zum allgemeinen Verständnis:
Wenn ein "Handshake" erfolgt, steht doch der Tunnel, folglich müsste der Client dann "Teil" des virtuellen Netzes sein, richtig?
Dann muss ich doch innerhalb des virtuellen Netzes, den Server anpingen können, oder?

[bluestar]

Jetzt mal nur so zum allgemeinen Verständnis:
Wenn ein "Handshake" erfolgt, steht doch der Tunnel, folglich müsste der Client dann "Teil" des virtuellen Netzes sein, richtig?
Dann muss ich doch innerhalb des virtuellen Netzes, den Server anpingen können, oder?

Nur wenn dein Routing nach dem Starten von Wireguard auch korrekt ist, ansonsten läuft das Routing natürlich falsch.

[scriptorius]

Hier fehlt mir das Verständnis, kannst Du das genauer erklären?

[unitra]

Um den Fehler näher einzugrenzen wäre es hilfreich die Ausgaben von

Code: Alles auswählen

iproute2

und

Code: Alles auswählen

 traceroute 

zu untersuchen.
Und zwar. Die Verbindung vom Mobilclient funktioniert.

Code: Alles auswählen

ip link

Code: Alles auswählen

ip -6 route

1) Am Client bevor die Verbindung aufgebaut wurde
2) Am Server bevor die Verbindung aufgebaut wurde
3) Am Client nachdem die Verbindung erfolgreich aufgebaut wurde
4) Am Server nachdem die Verbindung aufgebaut wurde.

Die obigen Punkte noch einmal 1 - 4 am Client an dem die Verbindung fehlschlägt.

Hier fehlt mir das Verständnis, kannst Du das genauer erklären?

[scriptorius]

Danke für Deine Hilfsbereitschaft.
Ich komme hier zu keinem Ergebnis.
Die "Android-Client" kann ich mit Hilfe der app gut konfigurieren, das funktioniert.
Mein "Notebook-Client" funktioniert hinten und vorne nicht.
Schade, das sollte (zumindest in der Theorie) eigentlich ja ganz einfach sein, ist es scheinbar nicht.
Ich bin momentan zu genervt, um mich damit jetzt noch weiter zu beschäftigen.
Mal sehen, vielleicht komme ich noch mal dazu, wenn das ganze offiziell stable ist ...

[TomL]

Ich komme hier zu keinem Ergebnis.

Warum nimmst Du dann nicht einfach OpenVPN? Das funktioniert mit Clients mit Windows, Linux, Android, Mac..... und zwar absolut stabil, Ich nutze das mittlerweise seit 10 Jahren.... und noch nie mit Problemen.

[scriptorius]

Ehrlich gesagt habe ich davor zu großen Respekt.
Ich habe mir mal unterschiedliche Installationsanleitungen angesehen und die sind doch sehr komplex.
Hohe Komplexibilität in der Konfiguration bringt ja eine relativ hohe Fehlerwahrscheinlichkeit mit sich. Bei Wireguard hatte ich die Hoffnung, das einigermaßen hinzubekommen.
Ich bin hier nicht "vom Fach", also ich habe das nicht gelernt oder gar studiert.
Ich "ziehe mir das nebenbei rein", als Hobby sozusagen

[TomL]

Ehrlich gesagt habe ich davor zu großen Respekt.
Ich habe mir mal unterschiedliche Installationsanleitungen angesehen und die sind doch sehr komplex.

Nun ja... eigentlich ist die Einrichtung selber gar nicht so kompliziert. Ich empfinde das sogar eher als einfach. Was es kompliziert macht, ist die Notwendigkeit wissen zu müssen, wie man ein solches Netzwerk absichert. Aber genau das gilt auch exakt 1:1 für jedes andere generische Netzwerk mit Zugängen über das Internet in ein eigentlich isoliertes privates Netzwerk... auch für Wireguard. Wenn Du auf ein einfach zu handhabendes HowTo reingefallen bist, ist nichts anderes passiert, als das Du auf ein unzureichendes HowTo reingefallen bist, was Dir das zur Sicherung Deines privaten Netzwerkes notwendige Sachwissen vorenthält. Einfaches Abschreiben ohne zu wissen, was man abschreibt, enthält keinerlei Sicherheit. Nicht das Programm ist kompliziert, sondern das drumrum.

[scriptorius]

Zudem kommt, dass ich mir meistens bei solchen "Installations-Projekten" für meinen Anwendungsfall eine Anleitung aus mehreren Anleitungen "zusammen basteln" musste.
Und da fehlt mir oft das Hintergrundwissen um die Zusammenhänge und Verbindungen, damit ich die richtigen Schlüsse ziehe.
(Dann muss man in Foren immer dämliche Fragen stellen )

Im Moment ist meine Frustrationsgrenze ziemlich niedrig.
In ein paar Wochen beschäftige ich mich aber noch mal mit dem Thema VPN.

[scriptorius]

Hallo,

ich konnte es doch nicht lassen. Ich hatte das Gefühl zu nahe am Ziel zu sein.
Letztlich habe ich eine funktionierende Konfiguration gefunden.
Ein paar Sachen musste ich gegenüber dem ersten Versuch s.o. abändern; Stichworte:

- Firewall
- Client2-Konfiguration
- DNS-Server aufsetzen
- Ich musste den (Standard-) Port 51820 nehmen, da Client2 die route automatisch so setzt (?)

... um nur ein paar zu nennen.
Dies ist jetzt meine funktionierende Konfiguration:

http://nopaste.debianforum.de/40932

Die hat mich ein paar graue Haare gekostet.
Also von "mal eben" einen VPN-Server, weil so einfach, aufsetzen, ist diese Geschichte auf jeden Fall ziemlich weit entfernt.
Zumindest dann, wenn man nicht jeden Tag zu tun hat ...

[scriptorius]

P.S.: ... selbstverständlich ist das hier mit Sicherheit nicht "der Weisheit letzter Schluss". Das kann man mit Sicherheit noch effizienter und eleganter lösen.
Für Hinweise und Verbesserungen bin ich natürlich dankbar.

[scriptorius]

Ein kleiner Nachtrag:
Das mit der Firewall löst man besser so in dieser Reihenfolge:

Code: Alles auswählen

(11) Firewall einrichten:
Als # eingeben:
apt install ufw
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 51820 -m conntrack --ctstate NEW -j ACCEPT
iptables -A INPUT -s 10.66.66.0/24 -p tcp -m tcp --dport 53 -m conntrack --ctstate NEW -j ACCEPT
iptables -A INPUT -s 10.66.66.0/24 -p udp -m udp --dport 53 -m conntrack --ctstate NEW -j ACCEPT
iptables -A OUTPUT -p udp -m udp --sport 51820 -j ACCEPT

ip6tables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
ip6tables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
ip6tables -A INPUT -p udp -m udp --dport 51820 -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A INPUT -s fd42:42:42::/64 -p tcp -m tcp --dport 53 -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A INPUT -s fd42:42:42::/64 -p udp -m udp --dport 53 -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A OUTPUT -p udp -m udp --sport 51820 -j ACCEPT
ufw allow xxx/tcp   # xxx = ssh Port
ufw allow 51820/udp
ufw enable
apt install iptables-persistent -y
systemctl enable netfilter-persistent
netfilter-persistent save

[scriptorius]

Mir ist ein Fehler aufgefallen:
Die Konfiguration von unbound muss folgendermaßen aussehen:

Code: Alles auswählen

(10) DNS-Server auf dem WG-Server
[...]
# nano /etc/unbound/unbound.conf
>   # unten einfügen nach: include: "/etc/unbound/unbound.conf.d/*.conf"
server:
  num-threads: 4
 
  #Enable logs
  verbosity: 1
 
  #list of Root DNS Server
  root-hints: "/var/lib/unbound/root.hints"
 
  #Respond to DNS requests on all interfaces
  interface: 0.0.0.0
  max-udp-size: 3072
 
  #Authorized IPs to access the DNS Server
  access-control: 0.0.0.0/0                 refuse
  access-control: 127.0.0.1                 allow
  access-control: 10.66.66.0/24         allow
 
  #not allowed to be returned for public internet  names
  private-address: 10.66.66.0/24
 
  # Hide DNS Server info
  hide-identity: yes
  hide-version: yes
 
  #Limit DNS Fraud and use DNSSEC
  harden-glue: yes
  harden-dnssec-stripped: yes
  harden-referral-path: yes
 
  #Add an unwanted reply threshold to clean the cache and avoid when possible a DNS Poisoning
  unwanted-reply-threshold: 10000000
 
  #Have the validator print validation failures to the log.
  val-log-level: 1

  #Minimum lifetime of cache entries in seconds
  cache-min-ttl: 1800

  #Maximum lifetime of cached entries
  cache-max-ttl: 14400
  prefetch: yes
  prefetch-key: yes

... 6 Zeilen müssen unten hinzugefügt werden.
Außerdem muss bei der Client1- und Client2-Konfiguration natürlich der DNS-Server der eigene Server sein, also:
DNS = 10.66.66.1