ComputerBase Menü
Aktuelles

Wireguard VPN Hetzner

D

den221

Gast
Hallo, ich hoffe, ich bin hier im richtigen Bereich und es findet sich jemand, der freundlicherweise helfen kann.

Folgende Ausgangslage:
Ich habe bei Hetzner einen Dedicated Server ersteigert und habe Windows Server 2022 als Add-on bestellt und darauf installiert bekommen. Auf dem Server soll 24/7 eine Automation einer Radio-Sendesoftware mit Stereotool laufen. Das heißt, 24/7 muss die Verbindung bzw. der Server stehen.

Mein Ziel: Nur ich soll mit meiner Heim-IP vom Laptop (und ggf. später einem zweiten anderen Gerät) über Remotedesktopverbindung und VPN-Adresse auf den Server kommen.

Wireguard habe ich mithilfe von WS4W eingerichtet und der Tunnel steht - aber ein einloggen über RDP ist nicht möglich und es ist auch kein Netzwerk verfügbar.

RDP Port und UDP Port sind abgeändert worden.

In der Windows Firewall habe ich die bisherigen RDP-Regeln deaktiviert. Und folgende angelegt:
1.) RDP über Port ...:
Protkokoll-Typ: TCP
unter Bereich - Lokale IP: 10.10.0.1; Remote-IP: 10.10.0.2

2.) Wireguard über UDP ...:
Protokoll-Typ: UDP
unter bereich - Lokale IP: beliebig, Remote-IP: beliebig

WS4W auf dem Server sieht so aus (schlechte Bildquali, weil ich momentan nur über die Konsole reinkomme):

1756052919684.png


allowedips bei server configuration: 10.10.0.2/32
gesendet/empfangen funktioniert

auf dem Laptop:

Schnittstelle:
Status: aktiv
public key: ...
Eingangsport: ... immer unterschiedlich
Adressen: 10.10.0.2/32
DNS: 8.8.8.8, 1.1.1.1

Teilnehmer:
public key: ...
Geteilter Schlüssel: aktiviert
Erlaubte IPs: 10.10.0.1/32
Endpunkt: Server-IP: mein gewählter UDP Port
persistentkeepalive: 25
Letzter Schlüsseltausch: funktioniert, vor ... minuten/sekunden
Übertragen: 2,75 KiB empfangen, 10,41 KiB gesendet

Einloggen würde ich mich auf dem Laptop bei Remotdesktopverbindung: 10.10.0.1:mein gewählter RDP Port

Die Hetzner-Firewall sieht so aus:

1756053074330.png

bei #1 ist Quell-IP meine Heim-IP/32. Ziel-Port ist der individuell gewählte UDP Port.

Was ich bisher geschafft habe ist nur, dass ich über RDP mit dem abgeänderten Port reinkomme ohne Netzwerkprobleme und entsprechender Firewall-Regelung bei Windows und Hetzner (hier jetzt nicht mehr zu sehen). Aber die Wireguard-Geschichte will mir einfach nicht gelingen. Auf meinem vorherigen Strato vServer war dies kein Problem.

Auf dem Laptop geht ping 10.10.0.1 nicht.

Hat jemand Ideen? Ich bin verzweifelt ... Danke vielmals!
 
Zuletzt bearbeitet von einem Moderator:
Schon einmal Tailscale probiert?
Da musst du nichts großartig einrichten und basiert auch auf WireGuard.
Nutzt du einen Router mit WireGuard? Dann kannst du einfach den VPS dorthin verbinden.
Beide Sachen sind unabhängig von einer Firewall.

Alternativ einfach Ristdesk nutzen.
 
Habe mich absichtlich für Wireguard entschieden, weil ich das für am sichersten halte.

Nein, kein Router mit Wireguard.
 
den221 schrieb:
weil ich das für am sichersten halte.
Zum Vergrößern anklicken....
Tailscale hat ja den Vorteil, dass sich die Clients zum Relay-Server verbinden und basiert auch auf WireGuard.

den221 schrieb:
Nein, kein Router mit Wireguard.
Zum Vergrößern anklicken....
Damit hättest du eine ähnliche Verbindung geschaffen

den221 schrieb:
bei #1 ist Quell-IP meine Heim-IP/32.
Zum Vergrößern anklicken....
Da es sich um die Firewall handelt, kannst du da doch nicht deine interne IP angeben. Da kommt deine externen rein. Oder noch besser 0.0.0.0 für alle, da sich die IPs ändern werden.. Das Gleiche gilt auch für die WireGuard Configs. Du bist ja nicht im gleichen Netzwerk!

Aus Interesse, um welche Software handelt es sich genau?
 
snoogans schrieb:
Aus Interesse, um welche Software handelt es sich genau?
Zum Vergrößern anklicken....
Das ist die Hetzner Firewall aus deren Weboberfläche, die ist vor den Server geschaltet und wird in deren Infrastruktur ausgeführt und läuft unabhängig des Servers.
 
@Mojo1987
den221 schrieb:
Auf dem Server soll 24/7 eine Automation einer Radio-Sendesoftware mit Stereotool laufen.
Zum Vergrößern anklicken....
Die Software, die 24/7 laufen soll.
Ergänzung ()

snoogans schrieb:
Da es sich um die Firewall handelt, kannst du da doch nicht deine interne IP angeben. Da kommt deine externen rein. Oder noch besser 0.0.0.0 für alle, da sich die IPs ändern werden.. Das Gleiche gilt auch für die WireGuard Configs. Du bist ja nicht im gleichen Netzwerk!
Zum Vergrößern anklicken....
Die Firewall-Regel für RDP kannst du auch löschen, da du über WireGuard verbunden bist.
Um deinen Server zu erreichen, musst du nur WireGuard freigeben!
 
Zuletzt bearbeitet von einem Moderator:
Was geht denn nicht?
Nur aus Interesse hast du auch 0.0.0.0/0 im Server angegeben?
Firewall ausschalten, bis WireGuard läuft. Danach aktivieren und testen.
Das siehst du, in welche Richtung der Fehler geht.
 
allowedips bei Server configuration bei WS4W ist 10.10.0.1/24.
address = 10.10.0.0/32
 
snoogans schrieb:
Glaube ich noch nicht
Zum Vergrößern anklicken....
Warum nicht? Er sagt der Tunnel steht und es laufen Pakete rüber.
"Übertragen: 2,75 KiB empfangen, 10,41 KiB gesendet"

Warum sollte er 0.0.0.0/0 angeben?

@den221 Ich schätze mal der Fehler ist, dass du /32 IPs genommen hast, fällt mir gerade erst auf. Nimm mal 10.10.0.1/24 (oder /30 o.ä.) und 10.10.0.2/24 als IPs. Bei allowed IPs kannst du aber theoretisch weiterhin mit den /32 arbeiten.

Wenns immer noch nicht geht, am besten mal beide Wireguard Configs komplett hier reinposten als Code-Block.
 
  • Gefällt mir
Reaktionen: den221
gaym0r schrieb:
Warum nicht?
Zum Vergrößern anklicken....
gaym0r schrieb:
Warum sollte er 0.0.0.0/0 angeben?
Zum Vergrößern anklicken....
Weil das 100 % funktionieren muss! Wenn das alles funktioniert, dann die Firewall, danach die anderen Änderungen. Wenn es denn klemmt, weiß man sofort, welche Änderung falsch ist.

Ich würde immer vom Minimum anfangen und nicht alle möglichen Einstellungen ändern und aktivieren, erst recht nicht, wenn man nicht weiß, was man da macht.
 
Ich hab's, danke euch. Ich musste im Server bei IPEnableRouter eine "1" setzen. RDP-Login auf dem Laptop ist nun nur noch möglich mit: "VPN-IP : mein gewählter RDP Port" mit der Heim-IP, die in der Hetzner-Firewall festgelegt ist. Netzwerk läuft.

Haltet ihr die jetzigen Hetzner-Firewall-Einstellungen für sicher genug?
#1 ist weiterhin als quell-IP meine Heim-IP mit /32, einfach als zusätzliche Sicherheitsschicht (muss ich halt dann immer ändern, wenn mein Provider mir eine andere IP zuteilt, aber das macht mir nix).

1756072804797.png
 
den221 schrieb:
1.) RDP über Port ...:
Protkokoll-Typ: TCP
unter Bereich - Lokale IP: 10.10.0.1; Remote-IP: 10.10.0.2

2.) Wireguard über UDP ...:
Protokoll-Typ: UDP
unter bereich - Lokale IP: beliebig, Remote-IP: beliebig
Zum Vergrößern anklicken....
Wenn RDP über TCP läuft, dann muss WG konsequenterweise auch über TCP laufen.

Des Weiteren ist es nicht sinnvoll, eingehende und(!) ausgehende Regeln zu definieren und dabei 0.0.0.0/0 zu verwenden. Wenn ich mich nicht täusche, genügen die eingehenden Regeln aus.
 
Tobias0 schrieb:
Wenn RDP über TCP läuft, dann muss WG konsequenterweise auch über TCP laufen.
Zum Vergrößern anklicken....
WireGuard kann nicht über TCP betrieben werden, sondern nur über UDP. Ich weiß nicht, was du meinst.
 
den221 schrieb:
Haltet ihr die jetzigen Hetzner-Firewall-Einstellungen für sicher genug?
Zum Vergrößern anklicken....
Wofür brauchst du eingehend Regel 2 und 3? Ich würde sie wenigstens deaktivieren. Über welchen Port willst du den Dienst ausgehend betreiben? Nur diesen würde ich dann auch freigeben.

den221 schrieb:
#1 ist weiterhin als quell-IP meine Heim-IP mit /32, einfach als zusätzliche Sicherheitsschicht
Zum Vergrößern anklicken....
Das ist nicht nötig, und ob es eine Sicherheitsschicht ist, mag ich auch bezweifeln. Ich würde das für alle IPs erlauben. Ansonsten müsste ja jeder VPN-User Angst haben, nur weil ein Bot eventuell anklopft … Das haben Router auch nicht!

Da würde ich mir mehr um Windows Gedanken machen. Du kannst auch noch eine Domain (TLD) oder DynDNS dazwischen einrichten/umleiten, oder wie sollen andere deinen Stream oder was immer du vorhast erreichen?
 
Zuletzt bearbeitet von einem Moderator:
  • Gefällt mir
Reaktionen: Tobias0
den221 schrieb:
WireGuard kann nicht über TCP betrieben werden, sondern nur über UDP. Ich weiß nicht, was du meinst.
Zum Vergrößern anklicken....
RDP verwendet auch UDP. Deine Beschreibung war falsch.

Wie @snoogans schon geschrieben hat, dürfte eher hier Windows das schwächste Kettenglied sein.

Aber da keine Antworten auf Rückfragen mehr kommen, bin ich hier raus.
 
Tobias0 schrieb:
Wenn RDP über TCP läuft, dann muss WG konsequenterweise auch über TCP laufen.
Zum Vergrößern anklicken....
Das ist natürlich absoluter Humbug und würde Wireguard ziemlich nutzlos machen.
Tobias0 schrieb:
Des Weiteren ist es nicht sinnvoll, eingehende und(!) ausgehende Regeln zu definieren und dabei 0.0.0.0/0 zu verwenden.
Zum Vergrößern anklicken....
Weil? In dem Fall würde es ohnehin nur auf eine IP matchen, also egal.
snoogans schrieb:
Wofür brauchst du eingehend Regel 2 und 3? Ich würde sie wenigstens deaktivieren.
Zum Vergrößern anklicken....
Dann würde nichts mehr gehen. Das ist keine stateful Firewall.
snoogans schrieb:
Das ist nicht nötig, und ob es eine Sicherheitsschicht ist, mag ich auch bezweifeln.
Zum Vergrößern anklicken....
Natürlich ist es eine zusätzliche Sicherheitsschicht, warum auch nicht? Jemand der gar nicht erst eine Verbindung aufbauen kann, kann auch keine eventuell vorhandenen Lücken in der dahinterliegenden Software ausnutzen.
Tobias0 schrieb:
Aber da keine Antworten auf Rückfragen mehr kommen, bin ich hier raus.
Zum Vergrößern anklicken....
Auf welche Rückfragen sollte er dir Antworten?
 
  • Gefällt mir
Reaktionen: den221
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

A
Hetzner Cloud Server mit Wireguard VPN und fester IP geeignet für Server zuhause?
Antworten
5
Aufrufe
3.343
Andy81
A
TP555
Fritzbox WireGuard VPN 2. Subnetz nicht errechbar!
2 3
Antworten
41
Aufrufe
1.449
redjack1000
R
P
Probleme mit WireGuard VPN
Antworten
9
Aufrufe
1.500
papete
P
Brati23
Wireguard VPN: Fritzbox 7490 -> Zyxel -> Internet -> Fritzbox 7490
Antworten
3
Aufrufe
840
Brati23
Brati23
M
auf Wireguard VPN an DS-lite von anderem WLan Zugreifen?!?
Antworten
5
Aufrufe
623
hildefeuer
H
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz