[Anleitung] WireGuard mit WireGuard-UI auf Proxmox
-
@einstein2002 Habe auch da noch einen Benutzer angelegt.
Als der Tipp mit dem Benutzer kam. Hat aber auch nichts gebracht
-
Nicht wundern, hab die Dienste gestoppt denke so bootet der schneller, die starte ich später wieder alle.
Auf der Übersicht Seite und unter Info bekomme ich alle Daten angezeigt.
Auf dem Reiter Info nichts.
-
@einstein2002 natürlich musst du den Haken bei sudo setzen
-
@crunchip Okay, hab ich eben gemacht.
Hatte ich auch schon versucht, es kam dann aber keine Verbindung zustande. Ich schau was passiert. -
@einstein2002 sagte in [Anleitung] WireGuard mit WireGuard-UI auf Proxmox:
Habe auch da noch einen Benutzer angelegt.
Das hat mit dem Benutzer nichts zu tun.
In der Instanz wird der user von deinem lxc eingetragen -
@crunchip Mit sudo angehakt bleibt dieser Status
Es kommen auch keine Datenpunkte
Jetzt bin ich komplett raus welcher USER die Ursache dafür sein könnte.
Zur Zeit habe ich folgende user am laufenim lxc gibt es den USER : michael mit sudo rechten und einem passwort
Im iob gibt es seit vorhin einen USER : michael der ist in der Admin Gruppe mit drin.In der Instanzeinstellung für wireguard habe ich es so eingestellt
In den PUBLIC-KEY-ÜBERSETZUNGEN habe ich die Daten aus dem WIREGUARD UI ganz unten Status Connected Peers
Habe ich den Namen und den Key eingegeben wie sie dort im UI zu finden sind.
Hoffe ich habe mich halbwegs vernünftig ausgedrückt.
-
@einstein2002
ein log hiervon2022-06-03 13:44:50.545 - info: wireguard.0 (176077) Retrieving WireGuard status from host [michael] on address [192.168.36.239] 2022-06-03 13:46:50.546 - info: wireguard.0 (176077) Retrieving WireGuard status from host [michael] on address [192.168.36.239] 2022-06-03 13:48:50.546 - info: wireguard.0 (176077) Retrieving WireGuard status from host [michael] on address [192.168.36.239] 2022-06-03 13:50:44.547 - info: host.ioBroker stopInstance system.adapter.wireguard.0 (force=false, process=true) 2022-06-03 13:50:44.548 - info: host.ioBroker stopInstance system.adapter.wireguard.0 send kill signal 2022-06-03 13:50:44.548 - info: wireguard.0 (176077) Got terminate signal TERMINATE_YOURSELF 2022-06-03 13:50:44.548 - info: wireguard.0 (176077) Clearing interval for host [michael] 2022-06-03 13:50:44.549 - info: wireguard.0 (176077) terminating 2022-06-03 13:50:44.549 - info: wireguard.0 (176077) Terminated (ADAPTER_REQUESTED_TERMINATION): Without reason 2022-06-03 13:50:45.088 - info: host.ioBroker instance system.adapter.wireguard.0 terminated with code 11 (ADAPTER_REQUESTED_TERMINATION) 2022-06-03 13:50:47.592 - info: host.ioBroker instance system.adapter.wireguard.0 started with pid 213962 2022-06-03 13:50:48.025 - info: wireguard.0 (213962) starting. Version 1.2.1 in /opt/iobroker/node_modules/iobroker.wireguard, node: v14.19.1, js-controller: 4.0.23 2022-06-03 13:50:48.032 - info: wireguard.0 (213962) There is 1 wireguard host to monitor. 2022-06-03 13:50:48.032 - info: wireguard.0 (213962) Started 120 seconds monitoring interval for host [michael] 2022-06-03 13:52:48.032 - info: wireguard.0 (213962) Retrieving WireGuard status from host [michael] on address [192.168.36.239] 2022-06-03 13:54:48.032 - info: wireguard.0 (213962) Retrieving WireGuard status from host [michael] on address [192.168.36.239] -
@thomas-braun und genau da häng ich wieder fest?
Wo meinst du muss ich den anlegen oder eintragen??
Der ist doch schon angelegt oder nicht?
Ich hab den nicht auf dem Schirm. Keine Ahnung was du meinst. -
Von Proxmox hab ich wenig bis gar keine Ahnung. Ist mir zu schwierig.
-
@thomas-braun Alles gut.
Stand jetzt, Info Adapter deinstalliert und neu installiert, ohne Veränderung, es werden keine Daten geholt.
Wireguard mit sudo angehakt, keine Verbindung mit dem Gerät oder Dienst, ohne sudo haken wird die Verbindung mit Gerät oder Dienst nach einiger Zeit hergestellt.
Ansonsten läuft alles andere.Wer auch immer eine Lösung hat, ich bin gerne dazu bereit einiges zu Testen.
Dankeschön an alle
-
@einstein2002 dann mal ne generelle Frage, hast du das im docker laufen, gibt ja zwei Varianten der Installation
-
@crunchip Nein, läuft NICHT im Docker!
Ist als CT direkt erstellt.
Ich setzte gerade mal ein neues LXC CT auf um darauf zu testen.
Brauche aber noch etwas Zeit.Ich schreibe sobald das system mit iob am start ist.
-
@crunchip ich glaub ich hab es gefunden,
wenn ich unter proxmox auf die container consoloe gehe, mich als root einlogge dann komm ich drauf. Mache ich das unter Putty mit den gleichen Daten dann wird mir der Zugang verweigert.
Mit dem Benutzer michael geht beides.
SSH und SUDO sind installiert.
Was ist denn das jetzt wieder?? -
@einstein2002 sagte in [Anleitung] WireGuard mit WireGuard-UI auf Proxmox:
Was ist denn das jetzt wieder??
root darf sich nicht von extern auf die Kiste einloggen. Sicherheitsrisiko.
Deswegen wird ein Versuch abgelehnt. Und Nein, das stellt man nicht um. -
@thomas-braun Macht Sinn
-
@thomas-braun Dann hab ich jetzt auch überhaupt keine Idee mehr.
Hab ein komplett neues iob aufgesetzt und genau das gleiche.
Dann mach ich jetzt einen Haken dran und das Thema ist durch!
Dann geht das nicht mit dem Adapter. -
@einstein2002 doch das geht, laeuft ja hier und bestimmt woanders auch
Denke, du hast dir da irgendwo was mit den Rechten vergeigt gehabt..
-
@einstein2002 sagte in [Anleitung] WireGuard mit WireGuard-UI auf Proxmox:
Hab ein komplett neues iob aufgesetzt
Was aufgesetzt?
Halte dich doch an die Anleitung der Reihe nach, da wo Unklarheiten sind, nachfragen
Vieles kann man allerdings auch aus dem Thread herauslesen -
@crunchip ich habe mir zum Test eben gerade ein neuen LXC mit DEBIAN 11 erstellt. Updates gemacht einen neuen User michael mit sudo rechten eingerichtet, die Zeitzone umgestellt.
Dann iobroker neu installiert
Und dann wireguard adapter installiert.
Gleicher Fehler. -
@crunchip könnte darin mein Fehler liegen?
Das ist aus der Anleitung.I highly recommend the use of sudoers under Linux!
These security hints rely mainly on linux since it's security system is more complex than the windows one. On a Windows server you'll simply need to use an administrative user. Since the wg command (which is executed to grab the state of WireGuard) requires administrative permissions, think well of what you are doing here and how you configure the user you place in config. To protect these credentials as well as possible both - username and password - are encrypted.
Basically there are three ways to execute the command:
use an administrative user (root or similar). This will work but expose your entire server in case the credentials get lost/stolen.
use of SetUID-Bit: By setting this bit (as far as I understood) each and every user is allowed to execute the flagged file with administrative privileges without needing any password. This includes hackers. So setting this bit on the wg command exposes the entire wg-command with all it's power. If you like to do so execute chmod u+s /usr/bin/wg as an administrator.
use of sudoers: From my perspective, the most secure way is to set up a new simple user with basic privileges and add a simple line to the sudoers file which allows this user to execute the needed command without entering a password - and ONLY THIS command. Please refer to the documentation of your distribution for proper information on editing the sudoers file and using visudo. The screenshot below shows what needs to be added to the file. wireguard-monitoring-user is the user of your choice. The rest needs to be exactly like you see.
#iobroker.wireguard adapter
wireguard-monitoring-user ALL=NOPASSWD:/usr/bin/wg show all dump
This setting allows the <wireguard-monitoring-user> on ALL hosts to execute the wg show all dump command from the directory /usr/bin/ (may need to be changed on your distribution) without needing a passwordMuss da noch etwas umgestellt werden??
