(gelöst) VPN Wireguard
-
- Beiträge: 180
- Registriert: 20.02.2004 18:52:14
Re: VPN Wireguard
Ja, ok, kann ich machen.
Jetzt mal nur so zum allgemeinen Verständnis:
Wenn ein "Handshake" erfolgt, steht doch der Tunnel, folglich müsste der Client dann "Teil" des virtuellen Netzes sein, richtig?
Dann muss ich doch innerhalb des virtuellen Netzes, den Server anpingen können, oder?
Jetzt mal nur so zum allgemeinen Verständnis:
Wenn ein "Handshake" erfolgt, steht doch der Tunnel, folglich müsste der Client dann "Teil" des virtuellen Netzes sein, richtig?
Dann muss ich doch innerhalb des virtuellen Netzes, den Server anpingen können, oder?
Re: VPN Wireguard
Nur wenn dein Routing nach dem Starten von Wireguard auch korrekt ist, ansonsten läuft das Routing natürlich falsch.scriptorius hat geschrieben:05.12.2019 15:02:43Jetzt mal nur so zum allgemeinen Verständnis:
Wenn ein "Handshake" erfolgt, steht doch der Tunnel, folglich müsste der Client dann "Teil" des virtuellen Netzes sein, richtig?
Dann muss ich doch innerhalb des virtuellen Netzes, den Server anpingen können, oder?
-
- Beiträge: 180
- Registriert: 20.02.2004 18:52:14
Re: VPN Wireguard
Hier fehlt mir das Verständnis, kannst Du das genauer erklären?
- unitra
- Beiträge: 638
- Registriert: 15.06.2002 21:09:38
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: 127.128.129.130
Re: VPN Wireguard
Um den Fehler näher einzugrenzen wäre es hilfreich die Ausgaben von undzu untersuchen.
Und zwar. Die Verbindung vom Mobilclient funktioniert.
1) Am Client bevor die Verbindung aufgebaut wurde
2) Am Server bevor die Verbindung aufgebaut wurde
3) Am Client nachdem die Verbindung erfolgreich aufgebaut wurde
4) Am Server nachdem die Verbindung aufgebaut wurde.
Die obigen Punkte noch einmal 1 - 4 am Client an dem die Verbindung fehlschlägt.
Code: Alles auswählen
iproute2
Code: Alles auswählen
traceroute
Und zwar. Die Verbindung vom Mobilclient funktioniert.
Code: Alles auswählen
ip link
Code: Alles auswählen
ip -6 route
2) Am Server bevor die Verbindung aufgebaut wurde
3) Am Client nachdem die Verbindung erfolgreich aufgebaut wurde
4) Am Server nachdem die Verbindung aufgebaut wurde.
Die obigen Punkte noch einmal 1 - 4 am Client an dem die Verbindung fehlschlägt.
scriptorius hat geschrieben:05.12.2019 20:04:01Hier fehlt mir das Verständnis, kannst Du das genauer erklären?
-
- Beiträge: 180
- Registriert: 20.02.2004 18:52:14
Re: VPN Wireguard
Danke für Deine Hilfsbereitschaft.
Ich komme hier zu keinem Ergebnis.
Die "Android-Client" kann ich mit Hilfe der app gut konfigurieren, das funktioniert.
Mein "Notebook-Client" funktioniert hinten und vorne nicht.
Schade, das sollte (zumindest in der Theorie) eigentlich ja ganz einfach sein, ist es scheinbar nicht.
Ich bin momentan zu genervt, um mich damit jetzt noch weiter zu beschäftigen.
Mal sehen, vielleicht komme ich noch mal dazu, wenn das ganze offiziell stable ist ...
Ich komme hier zu keinem Ergebnis.
Die "Android-Client" kann ich mit Hilfe der app gut konfigurieren, das funktioniert.
Mein "Notebook-Client" funktioniert hinten und vorne nicht.
Schade, das sollte (zumindest in der Theorie) eigentlich ja ganz einfach sein, ist es scheinbar nicht.
Ich bin momentan zu genervt, um mich damit jetzt noch weiter zu beschäftigen.
Mal sehen, vielleicht komme ich noch mal dazu, wenn das ganze offiziell stable ist ...
Re: VPN Wireguard
Warum nimmst Du dann nicht einfach OpenVPN? Das funktioniert mit Clients mit Windows, Linux, Android, Mac..... und zwar absolut stabil, Ich nutze das mittlerweise seit 10 Jahren.... und noch nie mit Problemen.
-
- Beiträge: 180
- Registriert: 20.02.2004 18:52:14
Re: VPN Wireguard
Ehrlich gesagt habe ich davor zu großen Respekt.
Ich habe mir mal unterschiedliche Installationsanleitungen angesehen und die sind doch sehr komplex.
Hohe Komplexibilität in der Konfiguration bringt ja eine relativ hohe Fehlerwahrscheinlichkeit mit sich. Bei Wireguard hatte ich die Hoffnung, das einigermaßen hinzubekommen.
Ich bin hier nicht "vom Fach", also ich habe das nicht gelernt oder gar studiert.
Ich "ziehe mir das nebenbei rein", als Hobby sozusagen
Ich habe mir mal unterschiedliche Installationsanleitungen angesehen und die sind doch sehr komplex.
Hohe Komplexibilität in der Konfiguration bringt ja eine relativ hohe Fehlerwahrscheinlichkeit mit sich. Bei Wireguard hatte ich die Hoffnung, das einigermaßen hinzubekommen.
Ich bin hier nicht "vom Fach", also ich habe das nicht gelernt oder gar studiert.
Ich "ziehe mir das nebenbei rein", als Hobby sozusagen
Re: VPN Wireguard
Nun ja... eigentlich ist die Einrichtung selber gar nicht so kompliziert. Ich empfinde das sogar eher als einfach. Was es kompliziert macht, ist die Notwendigkeit wissen zu müssen, wie man ein solches Netzwerk absichert. Aber genau das gilt auch exakt 1:1 für jedes andere generische Netzwerk mit Zugängen über das Internet in ein eigentlich isoliertes privates Netzwerk... auch für Wireguard. Wenn Du auf ein einfach zu handhabendes HowTo reingefallen bist, ist nichts anderes passiert, als das Du auf ein unzureichendes HowTo reingefallen bist, was Dir das zur Sicherung Deines privaten Netzwerkes notwendige Sachwissen vorenthält. Einfaches Abschreiben ohne zu wissen, was man abschreibt, enthält keinerlei Sicherheit. Nicht das Programm ist kompliziert, sondern das drumrum.scriptorius hat geschrieben:06.12.2019 22:41:58Ehrlich gesagt habe ich davor zu großen Respekt.
Ich habe mir mal unterschiedliche Installationsanleitungen angesehen und die sind doch sehr komplex.
-
- Beiträge: 180
- Registriert: 20.02.2004 18:52:14
Re: VPN Wireguard
Zudem kommt, dass ich mir meistens bei solchen "Installations-Projekten" für meinen Anwendungsfall eine Anleitung aus mehreren Anleitungen "zusammen basteln" musste.
Und da fehlt mir oft das Hintergrundwissen um die Zusammenhänge und Verbindungen, damit ich die richtigen Schlüsse ziehe.
(Dann muss man in Foren immer dämliche Fragen stellen )
Im Moment ist meine Frustrationsgrenze ziemlich niedrig.
In ein paar Wochen beschäftige ich mich aber noch mal mit dem Thema VPN.
Und da fehlt mir oft das Hintergrundwissen um die Zusammenhänge und Verbindungen, damit ich die richtigen Schlüsse ziehe.
(Dann muss man in Foren immer dämliche Fragen stellen )
Im Moment ist meine Frustrationsgrenze ziemlich niedrig.
In ein paar Wochen beschäftige ich mich aber noch mal mit dem Thema VPN.
-
- Beiträge: 180
- Registriert: 20.02.2004 18:52:14
Re: VPN Wireguard
Hallo,
ich konnte es doch nicht lassen. Ich hatte das Gefühl zu nahe am Ziel zu sein.
Letztlich habe ich eine funktionierende Konfiguration gefunden.
Ein paar Sachen musste ich gegenüber dem ersten Versuch s.o. abändern; Stichworte:
- Firewall
- Client2-Konfiguration
- DNS-Server aufsetzen
- Ich musste den (Standard-) Port 51820 nehmen, da Client2 die route automatisch so setzt (?)
... um nur ein paar zu nennen.
Dies ist jetzt meine funktionierende Konfiguration:
http://nopaste.debianforum.de/40932
Die hat mich ein paar graue Haare gekostet.
Also von "mal eben" einen VPN-Server, weil so einfach, aufsetzen, ist diese Geschichte auf jeden Fall ziemlich weit entfernt.
Zumindest dann, wenn man nicht jeden Tag zu tun hat ...
ich konnte es doch nicht lassen. Ich hatte das Gefühl zu nahe am Ziel zu sein.
Letztlich habe ich eine funktionierende Konfiguration gefunden.
Ein paar Sachen musste ich gegenüber dem ersten Versuch s.o. abändern; Stichworte:
- Firewall
- Client2-Konfiguration
- DNS-Server aufsetzen
- Ich musste den (Standard-) Port 51820 nehmen, da Client2 die route automatisch so setzt (?)
... um nur ein paar zu nennen.
Dies ist jetzt meine funktionierende Konfiguration:
http://nopaste.debianforum.de/40932
Die hat mich ein paar graue Haare gekostet.
Also von "mal eben" einen VPN-Server, weil so einfach, aufsetzen, ist diese Geschichte auf jeden Fall ziemlich weit entfernt.
Zumindest dann, wenn man nicht jeden Tag zu tun hat ...
-
- Beiträge: 180
- Registriert: 20.02.2004 18:52:14
Re: (gelöst) VPN Wireguard
P.S.: ... selbstverständlich ist das hier mit Sicherheit nicht "der Weisheit letzter Schluss". Das kann man mit Sicherheit noch effizienter und eleganter lösen.
Für Hinweise und Verbesserungen bin ich natürlich dankbar.
Für Hinweise und Verbesserungen bin ich natürlich dankbar.
-
- Beiträge: 180
- Registriert: 20.02.2004 18:52:14
Re: (gelöst) VPN Wireguard
Ein kleiner Nachtrag:
Das mit der Firewall löst man besser so in dieser Reihenfolge:
Das mit der Firewall löst man besser so in dieser Reihenfolge:
Code: Alles auswählen
(11) Firewall einrichten:
Als # eingeben:
apt install ufw
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 51820 -m conntrack --ctstate NEW -j ACCEPT
iptables -A INPUT -s 10.66.66.0/24 -p tcp -m tcp --dport 53 -m conntrack --ctstate NEW -j ACCEPT
iptables -A INPUT -s 10.66.66.0/24 -p udp -m udp --dport 53 -m conntrack --ctstate NEW -j ACCEPT
iptables -A OUTPUT -p udp -m udp --sport 51820 -j ACCEPT
ip6tables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
ip6tables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
ip6tables -A INPUT -p udp -m udp --dport 51820 -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A INPUT -s fd42:42:42::/64 -p tcp -m tcp --dport 53 -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A INPUT -s fd42:42:42::/64 -p udp -m udp --dport 53 -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A OUTPUT -p udp -m udp --sport 51820 -j ACCEPT
ufw allow xxx/tcp # xxx = ssh Port
ufw allow 51820/udp
ufw enable
apt install iptables-persistent -y
systemctl enable netfilter-persistent
netfilter-persistent save
-
- Beiträge: 180
- Registriert: 20.02.2004 18:52:14
Re: (gelöst) VPN Wireguard
Mir ist ein Fehler aufgefallen:
Die Konfiguration von unbound muss folgendermaßen aussehen:
... 6 Zeilen müssen unten hinzugefügt werden.
Außerdem muss bei der Client1- und Client2-Konfiguration natürlich der DNS-Server der eigene Server sein, also:
DNS = 10.66.66.1
Die Konfiguration von unbound muss folgendermaßen aussehen:
Code: Alles auswählen
(10) DNS-Server auf dem WG-Server
[...]
# nano /etc/unbound/unbound.conf
> # unten einfügen nach: include: "/etc/unbound/unbound.conf.d/*.conf"
server:
num-threads: 4
#Enable logs
verbosity: 1
#list of Root DNS Server
root-hints: "/var/lib/unbound/root.hints"
#Respond to DNS requests on all interfaces
interface: 0.0.0.0
max-udp-size: 3072
#Authorized IPs to access the DNS Server
access-control: 0.0.0.0/0 refuse
access-control: 127.0.0.1 allow
access-control: 10.66.66.0/24 allow
#not allowed to be returned for public internet names
private-address: 10.66.66.0/24
# Hide DNS Server info
hide-identity: yes
hide-version: yes
#Limit DNS Fraud and use DNSSEC
harden-glue: yes
harden-dnssec-stripped: yes
harden-referral-path: yes
#Add an unwanted reply threshold to clean the cache and avoid when possible a DNS Poisoning
unwanted-reply-threshold: 10000000
#Have the validator print validation failures to the log.
val-log-level: 1
#Minimum lifetime of cache entries in seconds
cache-min-ttl: 1800
#Maximum lifetime of cached entries
cache-max-ttl: 14400
prefetch: yes
prefetch-key: yes
Außerdem muss bei der Client1- und Client2-Konfiguration natürlich der DNS-Server der eigene Server sein, also:
DNS = 10.66.66.1