Wireguard VPN Hetzner

[und tschüss]

Natürlich ist es eine zusätzliche Sicherheitsschicht, warum auch nicht? Jemand der gar nicht erst eine Verbindung aufbauen kann, kann auch keine eventuell vorhandenen Lücken in der dahinterliegenden Software ausnutzen.

Das kannst du so sehen, ich sehe das nicht so. Auch ein höherer Port bringt erst einmal mehr Zeit für Portscanner, mehr aber nicht. Hetzner bietet extra in diesem Paket unterschiedliche Sicherheitsmaßnahmen. Dazu kommt noch, dass zufällig gerade die letzte IP auch von einem Bot benutzt werden kann. Dazu musst du noch die Anwendung herausfinden und die Keys umgehen. Ich halte das schon für eine gewagte Theorie, das zu überwinden. Des Weiteren würde ich bei solcher Angst auch nicht auf das „neue“ WireGuard setzen, sondern auf ein VPN mit Industriestandard. Wenn das immer noch nicht ausreicht, dann müsste man diese Regel schon deaktivieren, anstatt eine alte IP stehenzulassen. Ich sehe das wie bei einem MAC-Filter im WLAN: Kann man machen, um sein Gewissen zu beruhigen, muss man aber nicht. Angreifer wird das aber nicht aufhalten.

Weiterhin will der TE ja scheinbar sowieso seinen Dienst irgendjemandem anbieten und muss sowieso einen Port öffnen. Somit ist es nur eine Frage der Zeit, bis es zu einem Problem kommen könnte. Dass er daraus aber so ein Geheimnis macht, muss ich davon ausgehen, dass nicht alles legal ist? Dazu kommen noch die hohen monatlichen Kosten von ca. 70 € zzgl. der anderen Kaufsoftware. Dann wird es wohl kein Hobbyprojekt sein. Dass der TE sich extra für diese Frage am Sonntagabend angemeldet hat, hat auch irgendwie einen komischen Geschmack. Ich mag mich zwar irren, aber irgendwie finde ich das ein bisschen komisch.

Ich musste im Server bei IPEnableRouter eine "1" setzen.

Das Problem ist ja gelöst. Ich konnte das Problem hier nicht nachstellen. Leider schreibt der TE nicht, wo diese Option zu setzen ist. Bei Windows oder bei Hetzner. Meine Testinstallation funktionierte bei einer einfachen und erweiterten Einrichtung von WS4W. Somit bin ich raus. Bis dann …

 

[den221]

Weiterhin will der TE ja scheinbar sowieso seinen Dienst irgendjemandem anbieten und muss sowieso einen Port öffnen.

Ich muss nur auf den Server, um die Automation zu verwalten / anzuschmeißen für den Dauerbetrieb. Das hatte ich auch eingangs geschrieben.

Die anderen (unverschämten) Einlassungen und haltlosen Mutmaßungen lasse ich unkommentiert.

Ergänzung (25. August 2025)

Leider schreibt der TE nicht, wo diese Option zu setzen ist.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\IPEnableRouter

 

[und tschüss]

Das erklärt und dann soll der Server für sich alleine arbeiten, ohne dass einer diesen "Radiosendeservice" nutzt? Du fragst, wie deine Firewall besser eingerichtet werden kann, machst aber ein Geheimnis über die Verwendung. Warum sollte man eine Automation anschmeißen? Verwalten sehe ich ja noch ein. Der Rest sollte doch automatisch erfolgen. Ich finde das alles ein bisschen komisch.

Wie auch immer, ist mir egal. Es läuft ja, wie du willst.

 

[den221]

Auf dem Server läuft die Sendesoftware für den Audiostream, Audioprocessing (StereoTool) plus BUTT - was ist daran nicht zu verstehen oder in deinen Augen "illegal"? Insbesondere ST verbraucht derart viel Ressourcen, das der Betrieb auf dem vorherigen Strato vServer mit vCPU nicht mehr ordnungsgemäß möglich war.

 

[till69]

Wenn RDP über TCP läuft, dann muss WG konsequenterweise auch über TCP laufen

Wenn man sowas raushaut, sollte man bei Wireguard Themen evtl. lieber nichts schreiben

 

[Tobias0]

Das ist natürlich absoluter Humbug und würde Wireguard ziemlich nutzlos machen.

Lies vielleicht mal meinen Beitrag #19, bevor du so etwas von dir gibst.

 

[und tschüss]

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\IPEnableRouter

https://docs.hetzner.com/de/robot/dedicated-server/windows-server/windows-server-subnet/

Ich brauchte das bei meiner Testinstanz nicht. Allerdings habe ich auch alles Grün bei WS4W gehabt, im Gegensatz zu deiner Einstellung. Gerade die NAT benötigt ja auch HyperX, wie von Hetzner angesprochen. Ich hatte die Screenshots schon fertig, aber wegen deiner „gelöst“-Aussage von der Veröffentlichung abgesehen. Trotzdem könnte der Hetzner-Link ja noch einem anderen User nützlich sein.

Meine Einrichtung:

Im Server nur RDP-Verbindung zugelassen
RDP und Ping vom Client möglich.

 

[Tobias0]

Wenn man sowas raushaut, sollte man bei Wireguard Themen evtl. lieber nichts schreiben

Die Beschreibung des TE war falsch. Außerdem reagiert TE nicht auf Rückfragen. Es ist also sinnlos, hier noch etwas zu schreiben. Von daher: Tolles Sicherheitskonzept, was sich der TE überlegt hat.^^

 

[till69]

Die Beschreibung des TE war falsch

Irrelevant, wenn man Wireguard über TCP laufen lassen will, hat man WG schlicht nicht verstanden.
VPN über TCP geht z.B. mit OpenVPN.

bin ich hier raus

Gute Idee

 

[den221]

Was genau soll denn nun an meinen Wireguard- bzw. Hetzner-Firewall-Einstellungen falsch sein? Hier werden einfach Behauptungen aufgestellt, ohne diese fundiert zu begründen.

 

[Tobias0]

Redundante, also sich überschneidende Regeln sind für euch also kein Problem, schon verstanden.

 

[gaym0r]

@Tobias0
Welche Regeln sind denn redundant? Du musst hier schon etwas deutlicher werden, weil für mich sind da keine Regeln redundant.

 

[Tobias0]

Du hast doch vorhin noch eine dicke Klappe gehabt, und jetzt auf einmal Nachfragen stellen? 🤨

#1 und #2 müssen weg, wofür sollen die gut sein? Danach könnte #3 auch weg, da keinen Effekt.

Du willst eingehende, aber nicht ausgehende Ports verbieten.

 

[den221]

#1 und #2 müssen weg, wofür sollen die gut sein? Danach könnte #3 auch weg, da keinen Effekt.

Die von dir gezeigten ausgehenden Regeln waren so vorkonfiguriert durch Hetzner. #1 und #2 sind "discard", bewirken also nichts, ja. Es tut aber auch niemanden weh, wenn ich sie nicht rauslösche.