Wireguard sauber abschotten

ZuseZ3

Lt. Commander
Registriert
Jan. 2014
Beiträge
1.659
Ich habe mich aufgrund der nicht ausreichenden vpn performance der FB dazu entschieden auf wireguard umzusteigen.
Mittelfristig soll vermutlich ein eigener Pi4 bei meinen Eltern das vpn regeln, erstmal möchte ich wireguard zum testen auf der selbstbau NAS meiner Eltern betreiben. Um Wireguard von Nextcloud zu trennen, würde ich es als docker image nutzen.

Die FB soll anfragen auf dem Wireguard port demnach an die NAS weiterleiten.
Dort lauscht der Host auf dem entsprechenden Port und leitet entsprechend an den Wireguard container weiter.

Ich würde mich dabei nach dieser Anleitung richten.
https://codeopolis.com/posts/installing-wireguard-in-docker/

Bisher habe ich den vpn service der FB genutzt, musste also selbst nichts freigeben.
Zur Sicherheit wollte ich daher kurz nachfragen, ob das setup irgendwelche Angriffslücken hat, die ich beachten muss?
Praktisch sollte ein Angriff so doch nur schwer möglich sein?
 
Wireguard von Nextcloud trennen? Die haben aber mal sowas von nix miteinander zu tun. Ergibt für mich null Sinn. Wahrscheinlich baust du dir mit dem Container sogar noch irgendwelche Lücken ein.

Wireguard ist ein Kernel-Modul. Da Docker den gleichen Kernel wie der Host nutzt, macht es keinen Unterschied ob Wireguard nun im Container ist oder nicht. Wireguard hat auch keine laufenden Prozesse, d.h. dein Docker Container führt ein Skript aus (wg-quick) und das wars...

Ich würde empfehlen Wireguard nach dem offiziellem Install-Guide zu installieren. https://www.wireguard.com/install/
Sollte deine Distri noch kein Wireguard haben, einfach aus den Sourcen bauen: https://www.wireguard.com/compilation/

Mir sind keine Lücken in Wireguard bekannt. Entweder man hat die Schlüssel und kommt rein, oder eben nicht.
 
Wenn du es dann final auf einem Raspberry Pi unter Raspberry Pi OS nutzen willst, kannst du einfach PIVPN nutzen, das ist auch super einfach und gut dokumentiert.
 
  • Gefällt mir
Reaktionen: ZuseZ3
@Art Vandelay
Danke für den Hinweis, tatsächlich war das anfänglich ein Backup, da ich mich unwohl gefühlt habe einen Port direkt an die NAS weiterzuleiten.
Tatsächlich habe ich mich aber jetzt ein wenig an wg gewöhnt und zusätzlich ufw aktiviert, wodurch ich ein etwas besseres Gefühl bekommen habe.
Ich denke ich werde daher auf den Pi verzichten, zumindest so lange wie ich WoL nicht auf meiner NAS zum laufen bekomme.

Ich habe nun übrigends mein split-tunnel zum laufen bekommen und habe nun den Fritzbox Tunnel rausgenommen.
Die Performance beim runterladen eines 6GB Zip Files läuft nun mit 5MB/s statt 700KB/s etwa 7 mal so schnell.
Genauere tests habe ich nicht durchgeführt, aber ich schätze nextcloud limitiert dort. Da werde ich von nun an weiterforschen, hier bin ich fertig.
Das Latenzupgrade ist ähnlich beeindruckend. Während ich davor nach jedem klick 1-2 Denksekunden hatte, was beim ordner durchklicken nerfte, habe ich nun ähnlich wie bei normalen Webseiten direkt das Ergebnis.
 
Zuletzt bearbeitet:
Zurück
Oben