Wireguard VPN auf Ubuntu Server mit Android / I OS Client

[golfy]

Hallo Osprey,

Ionos Server - Standort vom VPS S kannst du Deutschland oder USA wählen.

Worfür ist der Server erforderlich, wenn eine Fritz!Box Wireguard unterstützt?

 

[Osprey]

- Du bist bist zu einem gewissen Punkt anonym im Netz unterwegs weil die Verbindungen über den VPS gehen.
- Falls du ds-lite hast, kannst du trotzdem dein Heimnetz über den VPS erreichen.

 

[elmorki]

Hallo und frohes neues Jahr zusammen.

Vielen Dank für die Anleitung hier. Nun funktioniert auch bei mir die Verbindung zum VPS und dann zu meinem Heimnetzwerk. Ein Stolperstein war bei mir noch die statische Route in der Fritzbox.

Es hat sich dennoch für mich eine Frage ergeben. Gibt es die Möglichkeit, einigen Clients die Verbindung zu meinem Heimnetzwerk zu untersagen, so dass ich beispielsweise einen Client habe der lediglich auf über VPN auf das Internet zugreifen kann und ein anderer kann auf mein Heimnetzwerk zugreifen?

Grüße
Morki

 

[Osprey]

Lies nochmal Beitrag #18

 

[elmorki]

Hallo!
Ja hatte meinen Beitrag schon bearbeitet! Daran hatte es gelegen und es funktioniert nun Kannst Du vielleicht trotzdem etwas dazu sagen, wie ich bestimmten Clients nur die Nutzung des Internets erlaube und den Zugriff auf mein Heimnetzwerk untersage?

 

[Osprey]

Prima!
In der wg0 Config des Server in der Clientsektionen bei AllowedIPs lässt du das Heimnetzwerk weg wenn der nicht drauf zugreifen soll.

 

[elmorki]

Hi,
das habe ich bereits versucht . trotz der Konfiguration ist es dem Client möglich , auf das Heimnetzwerk zuzugreifen .

so sieht die client-config auf dem server aus :

# Client
[Peer]
PublicKey =...
PresharedKey = d3m1nk7B...
AllowedIPs = 10.66.66.2/32
PersistentKeepalive = 20

auch wenn ich bei allowed nur 10.66.66.2 eintrage ändert sich am Zugriff leider nichts .

 

[Osprey]

Oh sorry hatte das falsch verstanden. Überprüfe die [PEER] wg0.conf beim Client im Heimnetzwerk. Ist das ein Pi mit Ubuntu Zuhause?

 

[elmorki]

nein das ist raspian auf dem pi zuhause ! was meinst du mit client conf am pi? da ist ja nur der vps als peer hinterlegt ?!

 

[Osprey]

Und was steht dort als AllowedIPs? Bei mir steht 0.0.0.0 sodass alle VPN Clients sich mit dem Heimnetzwerk verbinden können.

 

[elmorki]

achso. dort ist allowedips = 10.66.66.0/24 eingetragen

 

[Osprey]

Und das musst du ändern auf die ip die drauf dürfen. Im Moment darf jeder Client drauf mit der ip 10.66.66.*

 

[elmorki]

Super ! Es funktioniert! Auf die Idee hätte ich auch selbst kommen können! An dieser Stelle mal ein dickes Danke an Dich für die Anleitung und die schnelle Hilfestellung!

 

[coolheizer]

Ich bekomme es einfach nicht hin, bin schon am verzweifen.

Versuche so viele deteils wie möglich zu geben damit eine Hilfe erleichtert wird:

Mein Vorhaben: Da Glasfaser vor der Tür steht, und bei ds-Lite mein VPN der Frizbox somit nicht mehr funktioniert, habe ich bei IONOS einen Server gemietet, um wie vorher gewohnt sämtlliche Geräte in meinem Netzwerk von außerhalb zu erreichen.

Meine Geräte: Raspberry mit Raspios-Buster(191.168.178.34), Fritzbox 7490(191.168.178.1), IONOS Server(217.160.47.444)<<Abgeänerte IP

Deine Anleitung auf dem Server(IONOS) angewendet, anschlließend wg0.conf leicht abgeändert:

Spoiler

# Hub configuration created on localhost on Wed 28 Jul 2021 10:48:45 AM UTC
[Interface]
Address = 10.82.7.1/24
ListenPort = 51820
PrivateKey = OLiLRkI6mOxxxxxx
SaveConfig = false
MTU = 1280
PostUp = iptables -t mangle -A POSTROUTING -p tcp --tcp-flags SYN,RST SYN -o ens192 -j TCPMSS --clamp-mss-to-pmtu
PostUp = ip6tables -t mangle -A POSTROUTING -p tcp --tcp-flags SYN,RST SYN -o ens192 -j TCPMSS --clamp-mss-to-pmtu
PostUp = iptables -t nat -A POSTROUTING -o ens192 -j MASQUERADE
PostUp = iptables -A FORWARD -i %i -j ACCEPT
PostUp = ip6tables -A FORWARD -i %i -j ACCEPT
PostDown = iptables -D FORWARD -i %i -j ACCEPT
PostDown = ip6tables -D FORWARD -i %i -j ACCEPT
PostDown = iptables -t nat -D POSTROUTING -o ens192 -j MASQUERADE
PostDown = iptables -t mangle -D POSTROUTING -p tcp --tcp-flags SYN,RST SYN -o ens192 -j TCPMSS --clamp-mss-to-pmtu
PostDown = ip6tables -t mangle -D POSTROUTING -p tcp --tcp-flags SYN,RST SYN -o ens192 -j TCPMSS --clamp-mss-to-pmtu
PostUp = sysctl -q -w net.ipv4.ip_forward=1
PostUp = sysctl -q -w net.ipv6.conf.all.forwarding=1
PostDown = sysctl -q -w net.ipv4.ip_forward=0
PostDown = sysctl -q -w net.ipv6.conf.all.forwarding=0

# 10: 10 > wgclient_10.conf
[Peer]
PublicKey = dMzl4YZxxxxxxx
PresharedKey = /gJDY+xxxxxxx
AllowedIPs = 0.0.0.0/0

# 11: Android > wgclient_Android.conf
[Peer]
PublicKey = LWYRzIxxxxxxxx
PresharedKey = /gJDY+ayIxxxxx
AllowedIPs = 0.0.0.0/0

Den Port habe ich auf Standart (51820), (Portfreigabe bei IONOS UDP 51820)geändert sowie AllowedIPs = 0.0.0.0/0 damit sämtliche Geräte darauf zugreifen können.
Mit dem Handy bekomme ich es auch hin auf den Server zu kommen (in WireGuard (Handy app) musste ich nach dem Scannen(QR-Code-Import) den Port auf 51820 ändern.
Bei AllowedIPs = 0.0.0.0/0 scheint dann auch der Fehler zu liegen, nachdem ich mit "systemctl start wg-quick@wg0.service" den Dienst starte ist kein Zugriff vom Pc aus, auf den IONOS server mehr möglich (Putti sowie SFTP).
Mit dem Handy geht es über den Tunnel allerdings, nachdem ich die wg0.conf umbenenne und den Server neu starte, kann ich dann auch wieder mit Putti sowie SFTP vom Rechner arbeiten.

Auf dem Raspberry ist ebenfalls Wireguard installliert, was ich allderdings hier eintragen muss? Keine Ahnung.

Hoffe mir kann geholfen werden, muss wenn die Verbindung irgendwann mal zwischen IONOS und Raspberry steht der QR-Code vom Raspberry oder von IONOS hergestellt werden?

 

[Osprey]

schau dir mal Beitrag #4 an

Eigenen VPN Server mit Wireguard einrichten

Guten Morgen zusammen, habe mal ein kurzes Script geschrieben das einen Wireguard Server auf Ubuntu/Debian einrichtet mit 5 Clients und den entsprechenden iptables Regeln um zu Routen. Das ganze Script ist hier Automatische Installation: sudo wget https://neutrinobox.de/wireguard.sh sudo...

www.digital-eliteboard.com