Wireguard Zugriff auf interne Server erlauben

[WeichtierCC]

Hallo,
ich würde gerne aufgrund der besseren Performance von Wireguard auf OpenVPN auf Wireguard umsteigen, und habe mir jetzt auf meiner KVM nen Wireguard Server installiert der soweit auch funktioniert, um sicherer zu Surfen. Installiert wurde er mit dem Github Script von angristan.
Das Problem ist nun, dass ich gerne auf den SSH und internen Webserver zugreifen würde (OpenVPN bis jetzt unter der .1er IP erreichbar). Ich kriege es aber mit den Tutorials die ich bis jetzt gesehen habe nicht hin, dass ich den SSH und Webserver die ebenfalls auf der KVM liegen erreichen kann (Pingbar war die .1er IP, jedoch waren SSH und Webserver nicht über .1 erreichbar).
Auf dem KVM ist das jetzt nicht dramatisch, da der eigentlich nur für sicheres Surfen in öffentlichen WLANs etc. ist, und um auf meine anderen Server zuzugreifen wo die Firewall Zugriff auf wichtige Dienste nur von der VPN IP rein lässt, jedoch habe ich Zuhause auch noch einen Pi bei dem momentan noch der OpenVPN Service läuft. Dort muss die externe Verbindung vollen Zugriff auf alle Geräte im Netzwerk bekommen (z.B. Homeserver, Fritzbox, Rechner etc.), damit ich immer spontan Zugriff von der Schule etc. auf Daten habe.

Bis jetzt konnte ich den Tutorials nur entnehmen, dass ich in der sysctl.conf das Ip Forwarding aktivieren soll, da alles andere bis auf die Subnets schon so wie beschrieben installiert war. Hat leider nicht funktioniert, das zu aktivieren.

LG

 

[Avenger84]

Mein erstes Wireguard habe ich nach dieser Anleitung eingerichtet: Link (läuft Zuhause und auf der Arbeit jeweils auf einem RaspPi).

sudo nano /etc/sysctl.conf

hier IPv4 Fw aktivieren

Falls IPv6 für dich interessant ist mal diese Anleitung anschauen: Link
Da ist auch eine Konfig bei.

Wenn das nicht hilft, stell mal deine Konfig hier rein.

 

[WeichtierCC]

@Avenger84 Ip Forwarding habe ich wie gesagt schon aktiviert. Für v4 und v6.
Mir ist aufgefallen, dass ich mit dem Handy alles auf der 1er IP erreichen kann, mit den Windows Rechnern aber leider immernoch nicht.
Serverconfig (wg0.conf):

[Interface]
Address = 192.168.219.1/24,fd42:42:42::1/64
ListenPort = 51506
PrivateKey = ***
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE; ip6tables -A FORWARD -i wg0 -j ACCEPT; ip6tables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE; ip6tables -D FORWARD -i wg0 -j ACCEPT; ip6tables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
PublicKey = ***
PresharedKey = ***
AllowedIPs = 192.168.219.11/32,fd42:42:42::2/128

[Peer]
PublicKey = ***
PresharedKey = ***
AllowedIPs = 192.168.219.12/32,fd42:42:42::2/128

[Peer]
PublicKey = ***
PresharedKey = ***
AllowedIPs = 192.168.219.13/32,fd42:42:42::2/128

und eine Clientconfig (diese ist jetzt die .11er IP für den Laptop):

[Interface]
PrivateKey = ***
Address = 192.168.219.11/24, fd42:42:42::2/64
DNS = 192.168.219.1, 8.8.8.8

[Peer]
PublicKey = ***
PresharedKey = ***
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = ***.***.***.***:51506

Keys und die externe IP hab ich zensiert.

 

[WeichtierCC]

@Avenger84 ok mein Fehler. Es funktioniert garnicht generell auf dem Handy. Mir ist gerade durch Zufall aufgefallen, dass es an der UFW liegt. Habe daran jetzt garnicht gedacht, da es mit OpenVPN bis jetzt auch immer funktioniert hat (da OpenVPN wohl anders gearbeitet hat idk).

 

[Avenger84]

Einen Fehler habe ich in der config entdeckt: jeder Peer kriegt die gleiche IPv6: fd42:42:42::2/128 das solltest du noch ändern.
UFW und idk sagt mir leider nix.

Mit meiner config kann ich alles im Netzwerk erreichen, sowohl vom Handy als auch vom Laptop.

https://ipv6-test.com/ zeigt mir dann " SLAAC: yes" die MAC vom Raspberry.

Im Moment noch nicht wichtig, aber man kann von einem reinen IPv4 Netzwerk somit IPv6 im Internet erreichen.

 

[WeichtierCC]

Danke für den Tipp mit der v6! Werde ich gleich ändern.
UFW ist einfach die Abkürzung für "Uncomplicated Firewall", und ist wie der Name schon sagt eine Firewall, für Linux.
IDK bedeutet einfach i dont know

Jetzt funktioniert ja auch alles, und ich kann andere Geräte zumindest momentan im virtuellen KVM Netzwerk erreichen.
LG

 

[snaxilian]

UFW ist auch nur nen Frontend für iptables aber speichert die Regeln an anderer Stelle als es "plain iptables" macht. Daher kann es zu Konflikten kommen wenn man beides mischt.

 

[WeichtierCC]

Achso, das mit den Konflikten wusste ich nicht. Dann werd ich die Befehle in der wg0 Config auch noch auf ufw umstellen.