Wireguard mit dyn.DNS

Avenger84

Lt. Commander
Registriert
Feb. 2008
Beiträge
1.458
Hallo,
momentan habe ich zwei Netzwerke dauerhaft miteinander verbunden, da Netzwerk a) momentan noch eine feste IPv4 hat kein Problem.
Demnächst wird Glasfaser gelegt und es gibt nur noch eine dyn. IPv6.
Ist soweit kein Problem, nur nach einer Zwangstrennung löst Wireguard die dyn IPv6 nicht wieder neu auf - die Verbindung wird nicht wiederhergestellt.

Dazu habe ich folgende Lösungen gefunden:
1. https://github.com/pvcbe/systemd-wireguard-refresh
2. https://www.tech-blogger.net/wireguard-peer-ip-check/

Nutzt die einer von euch ?

Aus Lösung 2 irritiert mich:
Ein Nachteil: sollten mehrere Peers vorhanden sein, klappt dieser Ansatz nicht so einfach – dann müsste man erst einmal den richtigen Peer per Regex ermitteln, um dann dort die entsprechenden Daten auszulesen.

Neben der "Netzwerkbrücke" habe ich noch mehr Peers, nämlich Mobilgeräte die sich gelegentlich einwählen.
 
Ich würde vermutlich einfach für 2-3€/Monat n Cloud VPS als Statische Gegenstelle benutzen, auf die sich dann beide Heimnetze verbinden
 
  • Gefällt mir
Reaktionen: Raijin
Kann mir einer sagen ob ich das skript hier nur in Zeile 26+27 anpassen muss ?

Link
 
Avenger84 schrieb:
Kann mir einer sagen ob ich das skript hier nur in Zeile 26+27 anpassen muss ?
Link

In diesem Script müssen keinerlei Änderungen vorgenommen werden.

Das Script muss lediglich dem Pfad zur WireGuard-Config als Parameter regelmäßig aufgerufen werden.
Dieses Script sollte man in bestimmten Intervallen automatisch ausführen lassen,
damit Änderungen der IP-Adressen der WireGuard-Peers automatisch ermittelt und dann in die aktuell laufende WireGuard-Config übertragen werden.

Wie das Script zu benutzen ist, kannst du sehr gut unter folgendem Link nachlesen:
https://wiki.archlinux.org/index.php/WireGuard

Ziemlich weit unten im Abschnitt "Tips and tricks" unterhalb der Überschrift
"Endpoint with changing IP" wird erläutert wie man das Script benutzen kann.
 
Ebrithil schrieb:

Was halt in den typischen Anwendungen völlig egal ist. Ping 0.5 vs 1.5ms? Bei nem typischen DSL/Kabelanschluss wo 15-20ms normal sind? Oder beim Throughput? wo 5-40 Mbit Upload normal sind? Außerdem wurde bei dem Test OpenVPN ohne Hardwarebeschleunigung getestet. Völlig an der Realität vorbei ... schöne Marketing Grafiken.
 
Geht hier nicht um OpenVPN <-> Wireguard Diskussion.

P.S. ich habe 100MBit/s Upload.

@Datax ok danke, habe mehrere Peers ist das egal ?
 
Avenger84 schrieb:
Geht hier nicht um OpenVPN <-> Wireguard Diskussion.

P.S. ich habe 100MBit/s Upload.

@Datax ok danke, habe mehrere Peers ist das egal ?

Was meinst du genau mit "Peers"? Hast du mehrere WireGuard-Clients oder auch mehrere WireGuard-Server? Letztere werden in der WireGuard-Sprache als so genannte "Endpoints" bezeichnet.

In deinem Eröffnungspost hast du von einem einzigen WireGuard-Server gesprochen,
ich vermute mal, dass es also um genau EINEN Endpoint geht.

Das Script funktioniert, wenn ich das richtig verstanden habe,
wenn man in der Client-Config EINEN Endpoint (also einen WireGuard-Server) eingetragen hat.

Du könntest das Script also z.B. einfach auf den einzelnen WireGuard-Clients benutzen.

Wenn ein WireGuard-Client mehrere Endpoints/WireGuard-Server in seiner Config eingetragen hat,
dann funktioniert es vermutlich nicht. Ich beziehe mich auch nur auf die Infos, die ich auf der genannten Seite gefunden habe. Bin selbst auch kein großer Scripting-Experte ;).

"Luckily, wireguard-tools provides an example script /usr/share/wireguard-tools/examples/reresolve-dns/reresolve-dns.sh, that parses WG configuration files and automatically resets the endpoint address."

Es wird von "endpoint address" gesprochen, vermutlich funktioniert das Script also wie angedeutet nur mit einem Endpoint.
 
2 Server, die miteinander verbunden sind.
Server a) hat Server b) als Endpoint drin stehen.

die restlichen Peers sind "Street Warrior" ;) also diese wählen sich auf Server a) oder b) ein.

Ich probiere es mal aus
 
  • Gefällt mir
Reaktionen: Datax
@Avenger84 Und? Stehe vor der selben Herausforderung. Meine Frau ist schon recht genervt, dass sie jeden Morgen das VPN am Smartphone einmal reconnecten muss und wäre über eine (einfache) Lösung echt dankbar.
 
Ich weiß nicht, ob es klug ist, dafür einen 2 Jahre alten Thread auszugraben. Das Thema wird regelmäßig diskutiert, das letzte mal ist kaum eine Woche her. Aktuelle Informationen helfen dir vermutlich eher weiter.

Was ist denn das für ein Anschluss, dass es jeden Tag eine neue IP gibt? Das ist ja heute eher unüblich. Prüfe das noch mal, bevor du andere Dinge probierst.
 
sudo touch wg.sh
sudo nano wg.sh

--------------------------------------------------------------------------------------------------

#!/bin/bash

cip=$(wg show wg0 endpoints | grep -E "xyzxyz" | grep -E -o "([0-9]{1,3}[\.]){3}[0-9]{1,3}")
echo "$cip"
digIP=$(dig +short xyzxyz.dynv6.net) # Die Adresse des Peers muss angepasst werden
echo "$digIP"
if [ "$digIP" != "$cip" ]
then
echo "Daten sind anders"
/usr/sbin/service wg-quick@wg0 restart

else
echo "Daten sind gleich"
#nichts zu tun
fi

--------------------------------------------------------------------------------------------------

sudo chmod +x wg.sh (ausführbar machen)
sudo ./wg.sh (testen)
sudo crontab -e (alle 10min ausführen)

*/10 * * * * ./wg.sh >/dev/null 2>&1

statt xyz kommen die ersten ~8 Zeichen des betreffenden Peers (Publickey) rein und natürlich die passende dynv6.
 
  • Gefällt mir
Reaktionen: Xechon
Den Service neuzustarten ist natürlich die harte Tour, und ggf. kontraproduktiv für andere Clients, die noch verbunden sind. Es gibt ja auch Aufrufe, die IP eines Kommunikationspartners gezielt zu aktualisieren.
 
riversource schrieb:
Ich weiß nicht, ob es klug ist, dafür einen 2 Jahre alten Thread auszugraben. Das Thema wird regelmäßig diskutiert, das letzte mal ist kaum eine Woche her. Aktuelle Informationen helfen dir vermutlich eher weiter.

Was ist denn das für ein Anschluss, dass es jeden Tag eine neue IP gibt? Das ist ja heute eher unüblich. Prüfe das noch mal, bevor du andere Dinge probierst.
Ich habe alle 24h Stunden einen kurzen Disconnect. VDSL. Kannte ich von meiner Fritzbox auch nicht. Seitdem ich allerdings den Speedport von der Telekom habe, ist das so. Daher brauche ich dafür eine Lösung. Im Netz habe ich zwar ein Script gefunden, allerdings weiß ich nicht, wie man das ausführt. Und den einzigen Thread, den ich auf anhieb via Google angezeigt bekommen habe, war eben dieser hier.
 
Xechon schrieb:
Seitdem ich allerdings den Speedport von der Telekom habe, ist das so. Daher brauche ich dafür eine Lösung.
Das ist doch diese Datenschutz Einstellung im Speedport. Kann man einfach umstellen auf Stufe 0, 1 und 2 oder so. Jedenfalls hat die Telekom keine 24 Stunden Zwangstrennung, sondern eine 180 Tage Zwangstrennung. War der erste Suchtreffer bei Google.
 
riversource schrieb:
Den Service neuzustarten ist natürlich die harte Tour, und ggf. kontraproduktiv für andere Clients, die noch verbunden sind. Es gibt ja auch Aufrufe, die IP eines Kommunikationspartners gezielt zu aktualisieren.
und der wäre?
 
@riversource leider nicht. Steht bei mir schon seit beginn auf Stufe 0. Mag die IPv6 betreffen. IPv4 wird aber anscheinend schon getrennt. Evtl. hat das mit o2 zu tun, allerdings habe ich seit Jahren o2 nur eben erst seit diesem Jahr den Speedport wg. Wifi 6.
 
@Avenger84:
Code:
wg set <interface> peer <public_key> endpoint <IP-Addr>
Es gibt übrigens in den offiziellen Wireguard Tools direkt ein passendes Script dafür.

Xechon schrieb:
Evtl. hat das mit o2 zu tun
Wieso denn jetzt plötzlich O2? Du schreibst doch oben von Telekom ...
Wenn es wirklich direkt ein O2 Vertrag ist: Die haben auch keine Zwangstrennung mehr. Da muss noch irgendwas in deiner Konfiguration falsch sein.
 
Zuletzt bearbeitet:
@riversource nope. ich schrieb von einem Telekom Speedport - nicht von einem Telekom-Vertrag. Ich habe bei ddnss (meinem DynDNS-Anbieter) mal manuell meine IPv6 eingetragen. Eventuell hilft das ja.
 
Zurück
Oben