Telekom LTE – WireGuard ausgehend über UDP/53 blockiert?

[syhm]

Mir ist aufgefallen, dass an meinem Telekom Mobil Vertrag WireGuard-Pakete über UDP/53 ausgehend blockiert werden und nicht am Ziel ankommen, während normale DNS-Anfragen (UDP/53) problemlos an meinen Serever weitergeleitet werden.

Ich habe den Test zusätzlich mit einer Telefonica SIM gemacht, dort funktioniert es ohne Probleme.

Kann dies jemand verifizieren (ich weiß, WireGuard und UDP/53 ist ein ungewöhnliches Setup)?

 

[Sykehouse]

Das könnte auch einfach ein Rate Limit zur Eindämmung von DDoS Attacken sein, das dich da als Beifang erwischt.

 

[syhm]

Ja ich gehe auch davon aus, dass dies nicht explizit auf Wireguard auf UDP/53 angesetzt ist, sondern eher um zbs. DNS-Amplification-Attacken zu verhindern.

 

[JumpingCat]

Kann es bestätigen. Habe es gerade getestet.

 

[till69]

WireGuard-Pakete über UDP/53

Sinn? Zweck? Ganz allgemein: keine gute Idee

 

[syhm]

@till69 An bestimmten Hotspots die ich nutze, ist außer TCP 80/443 und UDP 53 ausgehend alles zu. Ich bevorzuge UDP für WireGuard daher Port 53.

 

[till69]

ist außer TCP 80/443

Für diese Fälle gibts OpenVPN, bzw. manchmal geht auch UDP auf diesen Ports.

und UDP 53 ausgehend alles zu

UDP 123 auch zu?

 

[h00bi]

oder einfach 2 WireGuard Server betreiben bzw. auf 2 Ports lauschen lassen (falls das geht)

 

[syhm]

@till69 Ja OpenVPN per 80/443/TCP geht, allerdings ist VPN über TCP immer so eine sache. Da leidet die Peformance schon stark. Der WireGuard Tunnel läuft auf einem kleinen OpenWRT Router, da ist WireGuard mit UDP die bessere Wahl.

@h00bi Mit entsprechenden DNAT ist der WireGuard Server zusätzlich zu UDP/51820 auf UDP/53 erreichbar.

Es funktioniert auch alles soweit, konnte heute am Hotspot entsprechend testen und die Verbindung wird ohne Probleme aufgebaut.

Ich war beim testen nur total verwirrt als gar keine Pakete über Telekom (Mobil) am Server ankamen. @JumpingCat Danke nochmal für die Bestätigung.