Wireguard bidirektional einrichten

[Avenger84]

Hallo,

ich möchte gern meine Wireguard VPN Verbindung von beiden Seite aus nutzen, dazu habe ich etwas gemalt (siehe Bild)

bis zum Win10 Client habe ich es schon geschafft mit "iptables -t nat -A POSTROUTING -o wg0 -j MASQUERADE" wobei man mir @Raijin sagte, das wäre nicht ganz so gut, ich sollte statt NAT eine richtige Route konfiguieren. Aber hier bräuchte ich Hilfe bei den "iptables".

In FritzBox A ist eine feste Route hinterlegt Netzwerk 192.168.99.0 zur IP Adresse des Raspberry.

Ich will aber mit 192.168.74.x Anfragen durch den Raspberry VPN Tunnel in das dahinter liegende Netz kommen.

In der FB A eine feste Route 192.168.74.0 zur IP des Raspberry kann ich einrichten, aber dieser kann nichts anfangen mit der Adresse und müsste sie weiterleiten zu der bestimmten VPN IP (99.3).

Jetzt die Frage wie ich das hin kriege

In Wireguard kann man noch einrichten dass die Verbindung permanent besteht mit keep alive, das wird vermutlich auch nötig sein oder ?

MfG

Ergänzung (8. Oktober 2019)

Habe gerade das gefunden was meiner Fragstellung ähnelt:

Nun erstellen wir die Server Konfig:
$ nano /etc/wireguard/wg0.conf

1. [Interface]
2. Table = off
3. Address = 172.16.100.1/24
4. PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE; ip route add 192.168.178.0/24 via 172.16.100.1 mtu 1420
5. PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
6. ListenPort = <Gewünschter Server Port>
7. PrivateKey = <Server Private Key einfügen>
8. 
   
9. # Raspberry Pi Heimnetz
10. [Peer]
11. PublicKey = <Public Key Raspberry>
12. AllowedIPs = 0.0.0.0/0
13. 
    
14. # ... weitere Clients einfügen

Die Konfiguration erhält in der Form oben den privaten Adressbereich 172.16.100.0 welcher dann das Netz des VPN wird. Auszufüllen sind nun noch die entsprechenden Felder mit den Private- und PublicKeys.

Entscheidend dafür, dass das lokale Netzwerk hinter FritzBox später über den VPN Tunnel erreichbar ist, ist das setzen einer Route im vServer, welche ins Netz der Fritzbox führt. Damit die Route immer vorhanden ist, wird diese über die VPN Config mit dem Befehl ‚PostUp‘ gesetzt.
Wichtig ist, dass in der Route das korrekte Netz der FritzBox gesetzt ist!

Quelle:
https://blog.janl1.de/fritzbox-heimnetzzugriff-durch-wireguard/

--> ip route add 192.168.178.0/24 via 172.16.100.1 mtu 1420

ist das der Befehl den ich brauche? bin nur gerade nicht sicher ob PostUp oder Down

--------------------------------------------------------------

Das ist meine wg0.conf

[Interface]
Address = 192.168.99.1/24
ListenPort = ***
PrivateKey = ***
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
[Peer]
PublicKey = ***
AllowedIPs = 192.168.99.2/32
[Peer]
PublicKey = ***
AllowedIPs = 192.168.99.3/32

 

[till69]

Ganz abgesehen von Deinen Routing Problemen würde ich für eine Site2Site Verbindung eher IPsec, OpenVPN oder Softether empfehlen. Wireguard ist z.B. prima um vom Handy ins Heimnetz zu kommen.
Wenn 10Mbit/s reichen kann man auch das VPN der Fritzbox nehmen.

Zu beachten ist auch dass auf RasPi und Win10 das Routing in den Standard Einstellungen NICHT aktiv ist.

 

[Avenger84]

Problem ist ja IPSec.
Habe es geschafft eine bidirektionale Verbindung per Synology NAS aufzubauen, jedoch bricht die irgendwann ab, manchmal nach 30min, manchmal nach 19h. Verbindet sich automatisch wieder aber dann habe ich keinen Zugriff mehr, erst wenn ich manuell trenne und wiederverbinde wieder.
alles andere ist zu lahm, will schon die 100MBit/s schaffen.

 

[till69]

Problem ist ja IPSec

Mit welchem Client zur NAS? 30min oder 19h klingt nach unterschiedlichen Key-Lifetimes, also in der Regel eine Config Sache.

100Mbit? Wieviel Upload haben denn die Anschlüsse von Box A und B ?

 

[snaxilian]

Warum packst du nicht in das 192.168.74.0/24 Netz auch einen Raspi und machst dann ein site-to-site VPN mit wireguard?

 

[Avenger84]

Upload A 100mbits, dowload B 100mbits.

Im Synology VPN Server kann man nix tiefer konfigurieren bzw. konnte mir da niemand weiterhelfen.

Doppel Raspberry Lösung würde ich gern umgehen wenn es mit ein paar Routen Einträgen geht.

 

[till69]

Im Synology VPN Server kann man nix tiefer konfigurieren bzw. konnte mir da niemand weiterhelfen.

Dann muss der RasPi Client halt richtig eingestellt werden:
https://github.com/hwdsl2/setup-ips...gure-linux-vpn-clients-using-the-command-line

Wichtig sind die richtigen Werte für: (als Beispiel 8 bzw 1 Stunde)

ikelifetime=8h
keylife=1h

 

[Avenger84]

So nachdem ich es endlich geschafft habe einen bidirektionalen Tunnel aufzubauen will ich kein neues Thema eröffnen.
Für eine virtuelle Maschine (auf Win10) suche ich eine möglichst kleine, platzsparende und bedienerfreundliche Linux Distribution, die ich nur für Wireguard nutze.

Laut Wireguard.com geht es bei folgenden Distributionen sehr einfach:
Ubuntu Eoan
Debian
Red Hat Enterprise Linux / CentOS
Mageia
OpenSUSE
Arch
Alpine
Gentoo
Exherbo
OpenWRT

(1-3 Zeilen kopieren + einfügen fertig)

und noch ein paar mehr, siehe wireguard.com.

Habe vorhin Debian getestet und es hat mich schon ein wenig genervt was das alles abgefragt und installiert hat. Wireguard wollte erst nicht wegen "CD Rom fehlt", da musste ich noch was manuell anpassen.
Jedenfalls läuft der Wireguard Tunnel so bidirektional.

Raspian Strech auf´m Raspberry war da wesentlich einfacher.
Ich brauche auch keine Spiele und Programme...

 

[Avenger84]

Hallo,
heute wollte ich Wireguard auf Debian Buster (auf Hyper V) installieren nun steht auf wireguard.com:
Debian [module, tools – v0.0.20190913 – out of date]
und es lässt sich auch nicht installieren.
Gestern war es noch grün und auf Debian Strech ließ es sich installieren.

Kann mir Jemand sagen ob Wireguard generell nicht auf Buster läuft oder ob Wireguard vielleicht kurz überarbeitet wird und morgen wieder installierbar ist ?!

 

[Avenger84]

Auf Debian 9 (Strech) lässt es sich noch einwandfrei installieren.

Ich habe es jetzt geschafft eine bidirektionale Verbindung herzustellen.

Der Win10 Client ist allerdings Debian 9 virtualisiert in Hyper V

Wenn Jemand eine Anleitung benötigt bin ich gerne bereit zu helfen, im Anhang die Konfig: