skatehouse
(Themenstarter)
Anmeldungsdatum: 9. April 2024
Beiträge: 29
|
lubux schrieb: skatehouse schrieb: Dann müsste ich doch wahrscheinlich den Server zu einer DynDNS und den client dann zur dyn connecten lassen, oder?
Ja. Aber, wenn der Server an einer FritzBox ist, kannst Du auch den v4-dyndns-Client der FritzBox (oder den MyFritz-Dienst von AVM) benutzen. Wenn Du die WireGuard-Peers über _natives_ IPv6 verbindest, musst Du auf dem Server einen IPv6-fähigen dyndns-Client (z. B. ddclient oder gleichwertig) benutzen.
Was ich komplett vergessen habe zu erwähnen: Ich hatte noch ein Script vom VPN Dienst ausgeführt. Da sieht man, dass nur das bestehende interne Netzwerk hinterlegt ist. Kann man da einfach das 2. dazupacken? #!/bin/bash
# IPtables firewall script for a local pc - dropping all traffic if not going trough www.nVpn.net
# allows traffic inside local area network
# special rules for UPnP and Multicast discovery
# the variable "your_hostname_or_ip" is by default outcomnmented, but if you want to strictly disallow every traffic except to/from your hostname/IP then you can do so
# and the script will automatically adjust the IPtables rules accordingly
firewall="sudo `which iptables`"
local_ip_range="192.168.0.1/24"
local_interface="ens18" #enter your local interface (usually eth0 or eth1 and so on - you can find it using "ifconfig")
virtual_ip_range="10.0.0.0/8"
virtual_interface="tun0" #virtual interface where the VPN goes through (find out with "ifconfig")
vpn_connect_protocol="udp" #protocol shown in your "Username.ovpn" file (options are udp or tcp)
vpn_connect_port="1194" #connect_port is the port shown in your "Username.ovpn" file (1194 or 443 and so on..)
#---------------------------------------------------------------
# incase you want to restrict your firewall to ONLY allow access to your VPN IP/your hostname
# you will have to outcomment below and provide your hostname "uXXXXX.nvpn.to" or alternatively your VPN IP!
# the "your_hostname_or_ip" variable is an array, meaning you can as well add more than one hostname/IP so for example your_hostname_or_ip=("uXXXXXX.nvpn.to 188.15.21.201")
#---------------------------------------------------------------
#your_hostname_or_ip=("uXXXXXX.nvpn.to")
#---------------------------------------------------------------
# Remove old rules and tables
#---------------------------------------------------------------
echo "Deleting all old iptables rules..."
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
echo "Setting up the new rules..."
#---------------------------------------------------------------
# Allow all local connections via loopback
#---------------------------------------------------------------
$firewall -A INPUT -i lo -j ACCEPT
$firewall -A OUTPUT -o lo -j ACCEPT
#---------------------------------------------------------------
# Allow Multicast for local network
#---------------------------------------------------------------
$firewall -A INPUT -p igmp -s $local_ip_range -d 224.0.0.0/4 -i $local_interface -j ACCEPT
$firewall -A OUTPUT -p igmp -s $local_ip_range -d 224.0.0.0/4 -o $local_interface -j ACCEPT
#---------------------------------------------------------------
# UPnP uses IGMP multicast to find media servers
# Accept IGMP broadcast packets.# Send SSDP Packets
#---------------------------------------------------------------
$firewall -A INPUT -p igmp -s $local_ip_range -d 239.0.0.0/8 -i $local_interface -j ACCEPT
$firewall -A OUTPUT -p udp -s $local_ip_range -d 239.255.255.250 --dport 1900 -o $local_interface -j ACCEPT
#---------------------------------------------------------------
# Allow all bidirectional traffic from your firewall to the local area network
#---------------------------------------------------------------
$firewall -A INPUT -j ACCEPT -s $local_ip_range -i $local_interface
$firewall -A OUTPUT -j ACCEPT -d $local_ip_range -o $local_interface
#---------------------------------------------------------------
# Allow all bidirectional traffic from your firewall to the
# virtual private network
#---------------------------------------------------------------
$firewall -A INPUT -i $virtual_interface -j ACCEPT
$firewall -A OUTPUT -o $virtual_interface -j ACCEPT
|
skatehouse
(Themenstarter)
Anmeldungsdatum: 9. April 2024
Beiträge: 29
|
Glaube aber so ganz verstanden ist das noch nicht. Ich erkläre nochmal kurz den Aufbau: Zuhause Fritzbox mit PC und der "Server" steht hier in der Ecke.
Server und NUR der Server hat Verbindung zu einem VPN Dienst.
Fritzbox ist per IPSec (nun mit WireGuard) mit einer anderen Fritzbox verbunden. Somit kommt Netzwerk A (meins) auf Netzwerk B (Eltern) und umgekehrt.
Von Netzwerk B komme ich auf alle Geräte in meinem Netzwerk - nur nicht auf den Server....bzw die VM des Servers. Weg A: Irgendwas auf der VM unterbindet dass man da drauf kommt, weil es vielleicht eine IP ist, die nicht der IP des heimischen Netzwerks entspricht. Es ist bestimmt eine Kleinigkeit die irgendwo den Wurm reingebracht hat.
Weg B: Wireguard Server aufsetzen und dann per Wireguard direkt auf den Server cvonnecten. Das würde aber vorraussetzen, dass auch auf allen Client Geräten WireGuard laufen muss.
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 14193
|
skatehouse schrieb: ... Das würde aber vorraussetzen, dass auch auf allen Client Geräten WireGuard laufen muss.
Ja, so wie ich oben schon geschrieben habe. ... und btw., eine VM ist auch nur ein Client im WireGuard-VPN.
|
skatehouse
(Themenstarter)
Anmeldungsdatum: 9. April 2024
Beiträge: 29
|
und unter openvpn kann man nicht einfach den port intern öffnen und ich brauche das ganze wireguard zeugs nicht?
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 14193
|
skatehouse schrieb: und unter openvpn kann man nicht einfach den port intern öffnen und ich brauche das ganze wireguard zeugs nicht?
Mit OpenVPN ist es z. Zt. nicht so einfach und unkompliziert wie mit WireGuard, WG-peers zu verbinden. Man sollte aber wissen was WireGuard ist und wie es funktioniert.
|
skatehouse
(Themenstarter)
Anmeldungsdatum: 9. April 2024
Beiträge: 29
|
lubux schrieb: skatehouse schrieb:
Ja, so wie ich oben schon geschrieben habe. ... und btw., eine VM ist auch nur ein Client im WireGuard-VPN.
Das hat mich jetzt völlig aus dem Leben gehauen ☺
Hattest Du nicht gesagt die VM soll Server sein?
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 14193
|
skatehouse schrieb: Hattest Du nicht gesagt die VM soll Server sein?
Warum muss deiner Meinung nach, die VM der WG-Server sein? Wenn Du den Zugang bzw. das Routing in die VM konfigurieren kannst, kann auch die VM als WG-Server konfiguriert sein bzw. fungieren.
|
skatehouse
(Themenstarter)
Anmeldungsdatum: 9. April 2024
Beiträge: 29
|
Na wenn es nicht die VM sein soll, welches Gerät denn dann?
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 14193
|
skatehouse schrieb: ..., welches Gerät denn dann?
In deinem 1. Beitrag hast Du u. a. auch geschrieben:
habe einen Ubuntu Server zuhause
|
skatehouse
(Themenstarter)
Anmeldungsdatum: 9. April 2024
Beiträge: 29
|
lubux schrieb: skatehouse schrieb: ..., welches Gerät denn dann?
In deinem 1. Beitrag hast Du u. a. auch geschrieben:
habe einen Ubuntu Server zuhause
Ja...damit meinte ich die VM
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 14193
|
skatehouse schrieb: Ja...damit meinte ich die VM
Welches Betriebssystem hat der Host?
|
skatehouse
(Themenstarter)
Anmeldungsdatum: 9. April 2024
Beiträge: 29
|
Das Oberding ist Proxmox //www.proxmox.com/en/proxmox-virtual-environment/features: Und in Proxmox kann man dann so viele Container und VM erstellen wie man möchte.
Wird dann auch n Debian sein. Aber darauf rumzufingern lass ich besser. Du meinst vielleicht dass der der Host WG Server sein soll.....
Ich nutze das nur zur Verwaltung und für schnelle Backups. Ich brauche keine VPN Verbindung für andere Dinge bei mir.
Nur die VM soll eine zu einem externen Dienst haben.
Daher möchte ich auch nicht alle Geräte jetzt mit Wireguard ausstatten, nur damit sie mit der VM kommunizieren können.
Habe die beiden Firtzboxen nun spasseshalber statt mit IPSec mit Wireguard über das Myfritz verbunden. Das ging schnell...und auch das Handy hält von draussen komplett seine Verbindung, wobei es bei IPSec immer abgebrochen ist.....aber wie gesagt Ich brauche Zugriff auf die VM von meinen Eltern aus....und ein paar andere Geräte auch....das ging trotz OpenVPN auf dem Raspberry immer.....jetzt wo ich auf so einen Mini PC umgezogen bin geht es nicht mehr - und wie Du merkst bin ich kein iptables oder openvpn guru....das lief out of the box wenn die beiden fritten verbunden waren....und ich verstehe einfach nicht, warum es nicht mehr geht.
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 14193
|
skatehouse schrieb: Daher möchte ich auch nicht alle Geräte jetzt mit Wireguard ausstatten, nur damit sie mit der VM kommunizieren können.
Von alle Geräte war nicht die Rede. Es geht nur um die Geräte, die mit der VM kommunizieren sollen/müssen.
EDIT: Siehe auch: https://wiki.ubuntuusers.de/WireGuard/Client-Server_Architektur/#Sternnetz-mit-Vermittlung
|
skatehouse
(Themenstarter)
Anmeldungsdatum: 9. April 2024
Beiträge: 29
|
lubux schrieb: skatehouse schrieb: Daher möchte ich auch nicht alle Geräte jetzt mit Wireguard ausstatten, nur damit sie mit der VM kommunizieren können.
Von alle Geräte war nicht die Rede. Es geht nur um die Geräte, die mit der VM kommunizieren sollen/müssen.
EDIT: Siehe auch: https://wiki.ubuntuusers.de/WireGuard/Client-Server_Architektur/#Sternnetz-mit-Vermittlung
Irgendwie ist es halt "doppelt gemoppelt" Verbindung steht ....nur 2 Geräte kommen nicht auf die VM und die richte ich nun nochmal extra ein und brauche zusätzlich auch noch ne dyndns
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 14193
|
skatehouse schrieb: Kann die Eltern Fritzbox dann nicht auch der client sein und die VM der Server?
Mir ist es noch nicht gelungen (AVM-)WireGuard auf der FritzBox so zu konfigurieren (egal ob Client oder Server) und zu benutzen, wie das z. Zt. mit WireGuard unter Linux/OpenBSD/FreeBSD/Windows/Android/iOS/etc., z. Zt. möglich ist.
|