Eigenen VPN Server mit Wireguard einrichten

[Osprey]

Den Port für Wireguard wird in der /etc/wireguard/wg0.conf geändert.

 

[coolheizer]

Klasse, danke für die schnelle Antwort.
Könnte ich den Port 80 oder 443 nutzen, oder beißt sich das zuletzt irgendwie?

Edit:
Habe jetzt einfach Mal den 443 genommen, wird sich im nächsten Urlaub zeigen ob ich hiermit auf mein Netzwerk komme.

 

[szonic]

Hi Osprey, nachdem mein Pi zu Hause komplett abgestürzt ist, musste ich ihn neu aufsetzen, um wieder mein Heimnetz von Unterwegs zu erreichen.
Ich habe es ums verrecken nicht hinbekommen.
Dann viel mir dieser thread wieder ein, der mir schon damals super geholfen hat.
Leider funktioniert Dein Script nicht mit dem aktuellen Ubuntu.

Kannst du netterweise mal schauen woran das liegt? Meine Kenntnisse sind so mies, ich bekomme das nicht hin. :-(

Ich konnte zum Glück bei IONOS noch die Version 20.04 auswählen und nun löuft alles.

Für die Zukunft ist das sicherlich super hilfreich.

Danke und Grüße
szonic

 

[Osprey]

Danke für den Hinweis, schaue ich mir an.

VG Osprey

Edit 21.08 für Ubuntu 24.04 angepasst

 

[kulfon303]

hey Osprey,
seit paar tagen ist dein Skript down.
nun die frage... wirst deine arbeit noch irgendwann frei zugänglich machen?
hab ein mal benutzt und war 1A, vorher hab nicht bekommen tage/wochen lang portweiterleitung einzurichten trotzt mehreren Einleitungen
dein config hat mich um die welten voran gebracht
thx

 

[prisrak]

Der Osprey macht bis auf weiteres eine kurze Pause. Der script sollte wieder online sein.

 

[Alex]

Guten Abend,

Hab mich jetzt auch mal daran versucht, das How2 umzusetzen. wg show auf dem Server gibt folgendes aus:

Spoiler

interface: wg0
  public key: xxx
  private key: (hidden)
  listening port: 1366

peer: xxx
  preshared key: (hidden)
  endpoint: public IP:36731
  allowed ips: 10.xxx.11/32
  latest handshake: 1 minute ago
  transfer: 72.12 KiB received, 57.12 KiB sent

peer: hPs1280uVmYtQX2V+Z9/z/MZExD6f5CXJaeha6bjI2g=
  preshared key: (hidden)
  endpoint: 109.xxx:19879
  allowed ips: 10.xxx.12/32, 192.168.178.0/24
  latest handshake: 1 minute, 3 seconds ago
  transfer: 67.20 KiB received, 106.34 KiB sent

peer: Y51WfnW+DZlddGFIdquvHCvVp1xhaNVk12ym9YFGvW8=
  preshared key: (hidden)
  allowed ips: 10.xxx.10/32

peer: M1caEHfM7Sy9Sj8DDLI7jhTvDzGSrn8iQI5+x4+xGgc=
  preshared key: (hidden)
  allowed ips: 10.xxx.13/32

peer: C1HEP1jWyudqhH0rDaXvg45yPYnEqHHwvBV2tKGwiHs=
  preshared key: (hidden)
  allowed ips: 10.xxx.14/32

peer: 4OFEHRof7Dn7dv81z93qrx0oad5xBCOJJO3DsWI8RQ0=
  preshared key: (hidden)
  allowed ips: 10.xxx.15/32

Spoiler: /etc/wireguard/wg0.conf

# Hub configuration created on ubuntu on Thu Nov 14 14:35:03 UTC 2024
[Interface]
Address = 10.xxx.1/24
ListenPort = 1366
PrivateKey = xxx
SaveConfig = false
PostUp = iptables -t mangle -A POSTROUTING -p tcp --tcp-flags SYN,RST SYN -o ens6 -j TCPMSS --clamp-mss-to-pmtu
PostUp = ip6tables -t mangle -A POSTROUTING -p tcp --tcp-flags SYN,RST SYN -o ens6 -j TCPMSS --clamp-mss-to-pmtu
PostUp = iptables -t nat -A POSTROUTING -o ens6 -j MASQUERADE
PostUp = iptables -A FORWARD -i %i -j ACCEPT
PostUp = ip6tables -A FORWARD -i %i -j ACCEPT
PostDown = iptables -D FORWARD -i %i -j ACCEPT
PostDown = ip6tables -D FORWARD -i %i -j ACCEPT
PostDown = iptables -t nat -D POSTROUTING -o ens6 -j MASQUERADE
PostDown = iptables -t mangle -D POSTROUTING -p tcp --tcp-flags SYN,RST SYN -o ens6 -j TCPMSS --clamp-mss-to-pmtu
PostDown = ip6tables -t mangle -D POSTROUTING -p tcp --tcp-flags SYN,RST SYN -o ens6 -j TCPMSS --clamp-mss-to-pmtu
PostUp = sysctl -q -w net.ipv4.ip_forward=1
PostUp = sysctl -q -w net.ipv6.conf.all.forwarding=1
PostDown = sysctl -q -w net.ipv4.ip_forward=0
PostDown = sysctl -q -w net.ipv6.conf.all.forwarding=0

# 10: 10 > wgclient_10.conf
[Peer]
PublicKey = xxx
PresharedKey = xxx
AllowedIPs = 10.xxx.10/32

# 11: client1 > wgclient_client1.conf
#Linuxserver
[Peer]
PublicKey = xxx
PresharedKey = xxx
AllowedIPs = 10.xxx.11/32

# 12: client2 > wgclient_client2.conf
[Peer]
#HandyAlex
PublicKey = xxx
PresharedKey = xxx
AllowedIPs = 10.xxx.12/32, 192.168.178.0/24

Client 1 ist ein Linuxserver im lokalen Heimnetz. Client 2 ist mein Handy mit Wireguard-App.
Jetzt wollte ich testweise auf den Jellyfin Server auf Client 1 mit der lokalen IP 192.168.178.25 zugreifen, leider klappt das nicht.
Client 2-5 sind Platzhalter

 

[Osprey]

In deiner Fritzbox unter Heimnetz - Netzwerk - Netzwerkeinstellungen - ipv4routen das einstellen mit deinen Werten

Spoiler: ipv4routen

Du musst Regestriert sein, um das angehängte Bild zusehen.

• Das Gateway ist die ip deines WG Servers.
• UDP Port 1366 zum zum WG Server in der Fritzbox offen - (aber das hast du ja schon wie man im ersten Codetag sieht.
• Die externe ip fängt mit 109...an

   endpoint: 109.xxx:19879

  ist das ds-lite? Wenn DS-Lite solltest du dich mit ipv6 verbinden.

Schon probiert auf Jellyfin mit 10.xxx.11 statt 192.168.178.25 zu connecten?

 

[Alex]

Routing hab ich:

Du musst Regestriert sein, um das angehängte Bild zusehen.

Das Gateway ist die ip deines WG Servers

192.168.178.25 ist lokale WG Client 1

 

[Osprey]

Da muss die ip vom WG Server stehen.
Dein WG Server ist ja das Gateway das die ip 10.xxxx weiterroutet

 

[Alex]

Also so:

Du musst Regestriert sein, um das angehängte Bild zusehen.

Klappt aber noch nicht

 

[Osprey]

Nein, die ip welche dein WG Server von der Fritzbox bekommt. Das müsste 192.168.178.x sein

 

[Alex]

Ich hab's mal aufgemalt wie ich mir das vorstelle:

Spoiler

Du musst Regestriert sein, um das angehängte Bild zusehen.

Der VPS hat btw. 10.162.180.1 als IP.
Der VPS soll sowas wie eine Mittelschicht sein. Ich möchte von Außen (WAN) via VPS auf mein LAN zugreifen. Am besten auch noch so granular, dass jeder UUser nur auf bbestimmte IPs im LAN zugreifen darf

 

[Osprey]

okay, das du das über eine VPS routest, hast du nicht geschrieben. Dein Homeserver mit der 192.168.178.25 ist der Client1 richtig? Dann das am Client eingeben muss auch routen können. Das am Client 1 eingeben

sed -i '/net.ipv4.ip_forward=1/s/^#//g' /etc/sysctl.conf
sed -i '/net.ipv6.conf.all.forwarding=1/s/^#//g' /etc/sysctl.conf
iptables -t nat -A POSTROUTING -o wg0 -j MASQUERADE
iptables -A FORWARD -i wg0 -o $(arp -n -H ether | perl -ne 'print $1 if /(\S+\n)$/' | sort | uniq -c | grep -v Iface | sort -n | tail -1 | perl -pe 's/.* //') -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i $(arp -n -H ether | perl -ne 'print $1 if /(\S+\n)$/' | sort | uniq -c | grep -v Iface | sort -n | tail -1 | perl -pe 's/.* //') -o wg0 -j ACCEPT
netfilter-persistent save

Und die wg0.conf am VPS das korrigieren

# 11: client1 > wgclient_client1.conf
#Linuxserver
[Peer]
PublicKey = xxx
PresharedKey = xxx
AllowedIPs = 10.xxx.11/32, 192.168.178.0/24

Wenn nur auf bestimmte ip zugegriffen werden darf dann das am Server einstellen. Bsp. es soll nur auf 192.168.178.25, 192.168.178.26 und 192.168.178.27 zugegriffen werden

# 11: client1 > wgclient_client1.conf
#Linuxserver
[Peer]
PublicKey = xxx
PresharedKey = xxx
AllowedIPs = 10.xxx.11/32, 192.168.178.25/32, 192.168.178.26/32, 192.168.178.27/32

 

[Alex]

Die wg0.conf ist doch schon so, oder übersehe ich was?

# 11: client1 > wgclient_client1.conf
#Linuxserver
[Peer]
PublicKey = xxx
PresharedKey = xxx
AllowedIPs = 10.162.180.11/32, 192.168.178.0/24