ComputerBase
Aktuelles

Wireguard setup

Z

ZuseZ3

Lt. Commander
Registriert
Jan. 2014
Beiträge
1.660
Aktuell nutze ich ein Fritzbox feature um mein eigenes Netzwerk und das meiner eltern per vpn zu verbinden.
Die Performance des FB VPN reicht aber nicht aus, weshalb ich auf wireguard umsteige.

So sieht mein setup aktuell aus:

Fritzbox 6591 bei meinen Eltern.
MyFritz adresse der art: abcdetwas.myfritz.net
Portweiterleitung von 51820 an 51820 auf der NAS.

//////////////////

NAS:

wg0.conf:
[Interface]
Address = 10.0.0.1/24
SaveConfig = true
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o enp8s0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o enp8s0 -j MASQUERADE
ListenPort = 51820
PrivateKey = asdf2345



android.conf:
[Interface]
PrivateKey = sdfg3456
Address = 10.0.0.2/32

[Peer]
PublicKey = werty34567
Endpoint = abcdetwas.myfritz.net:51820
AllowedIPs = 0.0.0.0/0, ::/0



ipv4 forwarding habe ich in /etc/sysctl.conf auf 1 gesetzt, entsprechend dieser Anleitungen:
https://www.missingremote.com/guide/2020/06/setup-wireguard-vpn-for-mobile-clients
https://serversideup.net/how-to-set-up-wireguard-vpn-server-on-ubuntu-20-04/
//////////////////

Ich habe nun die android.conf mittels qr in die android app uebertragen.
Leider konnte ich bisher nur 20KiB übertragen, aber noch nichts am Handy empfangen.
Ich vermute ich benutze myFritz falsch, wie kann ich das überprüfen?
An sich ist myFritz ja auch ein dyndns dienst?
 
so wie ich das sehe musst du auf der NAS config noch das android als peer eintragen mit AllowedIPs = 10.0.0.2/32

Code: 
[Peer]
PublicKey = PubkeyvomAndoird
AllowedIPs = 10.0.0.2/32
PersistentKeepalive = 25
 
  • Gefällt mir
Reaktionen: shag und ZuseZ3
Danke @Holzkopf das fehlt natürlich.
Ich bin aber gerade schwer verwundert, da ich das schon mehrfach eingetragen habe.
Ich habe es daher gerade nochmal explizit getestet, nach jedem
systemctl stop wg-quick@wg0.service
systemctl start wg-quick@wg0.service
wird es rausgelöscht. Das dürfte auch beim neustart aufgerufen werden, was wohl mein problem ist.

Ich habe es entsprechend dieser anleitung eingebunden.
Wie korrigiere ich dieses verhalten?
https://serversideup.net/how-to-set-up-wireguard-vpn-server-on-ubuntu-20-04/
 
mach mal das SaveConfig = true raus
alternativ musst du vorher das interface down nehmen config ändern und wieder starten

SaveConfig — if set to `true', the configuration is saved from the current state of the interface upon shutdown. Any changes made to the configuration file before the interface is removed will therefore be overwritten.
Zum Vergrößern anklicken....
 
  • Gefällt mir
Reaktionen: ZuseZ3
Danke, hatte zeitgleich nochmal die Anleitung bis zum Ende angesehen, wer lesen kann ist klar im vorteil.

wireguard funktioniert jetzt :)
 
  • Gefällt mir
Reaktionen: SR388 und Holzkopf
Von meinem Handy aus kann ich nun per vpn sofort auf die NAS bei meinen Eltern, das funktioniert wie gestern geschrieben.

Mein nächster Punkt ist nun den kompletten Fritzbox vpn tunnel zu ersetzen.
Aktuell werden übergreifende anfragen von mir (192.168.10.0/32) zu meinen Eltern (192.168.178.0/32) bzw. umgekehrt jeweils über das FB VPN automatisch weitergeleitet, die clients haben keine besondere config.

Das Ziel ist folgendes:
Jeder Zugriff (eines erlaubten Gerätes/von einem eingetragenen Peer) auf die NAS (192.168.178.123, lokale statische ip im netz meiner Eltern) aus meinem WLAN sowie LAN soll nun per wg erfolgen.
Jeder Zugriff (auch von eingetragenen Peers) auf eine andere Adresse in 192.168.178.0/32 soll blockiert werden / ins leere verlaufen.
Jeder Zugriff eines unbekannten Gerätes aus meinem WLAN oder LAN auf irgendein Gerät in 192.168.178.0/32 soll scheitern.
Jeder Zugriff eines Gerätes aus meinem WLAN oder LAN auf eine Adresse abseits 192.168.178.0/32 erfolgt nicht über wg.

Ich habe eine FB 4040 bei mir, welche ich schon länger überlege auf openWRT umzurüsten.
Danach würde sie WG beherschen, aber mir ist noch nicht ganz klar, wie ich dann weitermachen soll?
Kann mir jemand mal bitte eine kurze Richtungsanweisung geben?
Ich wünsche mir halt so wenig wie möglich pro Client konfigurieren zu müssen, abseits von dem speichern des private client keys.
 
Zusatzfrage, nach lesen von diesem Thread: https://www.reddit.com/r/WireGuard/comments/fpv7i1/changed_allowed_ips_clientside_to_split_tunnel/

Sehe ich es richtig, dass ich die folgenden beiden Zeilen so ersetzen kann, damit per wg nur auf die NAS bei meinen Eltern, aber nicht von dort aus wieder auf fremde Internet Adressen zugegriffen werden kann?

PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o enp8s0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o enp8s0 -j MASQUERADE
Nach :
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o enp8s0
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o enp8s0
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Don-DCH
Unifi Wireguard Server Config automatisch oder manuell erstellen
Antworten
1
Aufrufe
333
Bob.Dig
B
K
OpenWRT Router mit Wireguard Server hinter eine Fritzbox 7590AX
2
Antworten
38
Aufrufe
890
digitalfrost
D
V
Wireguard Server auf Asus Router mit IPv6 einrichten
Antworten
12
Aufrufe
1.214
Avenger84
Avenger84
R
Ubiquiti Cloud Gateway Ultra/Max - VPS Wireguard ersatz für virtualisierte pfSense?
Antworten
5
Aufrufe
494
runnerschreck92
R
Wassergekühlt
WireGuard VPN via Unifi Cloud Gateway -> Wie zugriff aufs lokale Netzwerk
Antworten
5
Aufrufe
755
Wassergekühlt
Wassergekühlt
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

Dieser Dialog konnte nicht vollständig geladen werden, eine Zustimmung gilt daher nur vorläufig. Blockiert ein Browser-Add-on Third-Party-Scripte?

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 175 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz