[Anleitung] WireGuard mit WireGuard-UI auf Proxmox
@malz1902 gibt Gerüchte und wohl auch Messungen wobei die FB Lösung was den Durchsatz betrifft langsamer war. Ich schreibe „war“ weil es damals Beta Versionen der FB Software war.
Heute müsste mal mal testen
Alles klar, ich werd das mal testen. Wenn der Speed gleich ist spricht was dafür/dagegen es über die FB laufen zu lassen oder über nen eigenen WireGuar Server?
@malz1902 kenne das handling auf der FB mit aktueller FW nicht.
Kann man easy mehrere Clients anlegen und verwalten?
Vorteil wenn auf FB —> keine Portweiterleitung nötig.
Vorteil bei eigenem Server: falls erforderlich update einfach und schnell möglich. Bei FB auf AVM angewiesen. Ob das bei WG aber oft vorkommt sei mal dahin gestellt.
ja kannst da ganz leicht Clients anlegen -
@malz1902 ok.
Dann muss ich bei Gelegenheit mal Durchsatz Messungen machen und vergleichen.
Könnte ich mir auch eine VM sparen.
Durchsatz hängt wohl auch davon ab wie viele Clients man für was nutzt.
Wenn man mehrere hat sind die Leistungsreserven in der FB wahrscheinlich schneller erreicht als auf der Proxmox VM, bzw. kann man da "leichter" upgraden.
Soweit ich das in der jetzigen Laborversion sehe kann man clients nicht automatisiert suspenden.
Anfangs war auch eine Site-2-Site Verbindung in der Laborversion vorgesehen. Das würde für die FB sprechen da man keine Routingregeln selber anlegen muss. Aktuell ist die Option in meiner Laborversion aber nicht mehr enthalten. -
@wendy2702 Ich habe WireGuard nun auf der Fritzbox laufen. Vorteile: Keine VM mehr, kein Port-Forwarding, sehr leichte Administrierbarkeit.
Das läuft sehr stabil, ich habe bisher keine Probleme gehabt.
Die Performance habe ich nicht verglichen, dass sollte max. einige wenige Prozent sein. -
@crunkfx Hallo, würde diese Anleitung auch gehen, wenn ich einen DS Lite Anschluss hätte ? Dann würde ich einen Portmapper 6Tunnel auf einen IONOS Server installieren. Und dann Deine Anleitung nehmen. Habe eine Fritzbox. Mir ist nur nicht klar, ob meine Box die IPV6 dauerhaft behält, oder ob ich die MyFritz Adresse für den Portmapper nehmen kann.
Gruss André
Hat schon einer wiriguard-ui auf Version 0.4.0 aktualisiert?
Das Installationsscript von hier ist leider noch nicht angepasst,
es gibt aber schon länger eine neue Version 0.4.0.
Siehe im Voraus.
Hat schon einer wiriguard-ui auf Version 0.4.0 aktualisiert?
schon lang
@crunchip wie hast du aktualisiert?
Gibt es da ein Script oder Ablauf für?
Danke im Voraus. -
@crunchip hm, bei mir bleibt es die 0.3.5
Muss ich da was neustarten?Gefunden, der Dienst muss mal restarten.
systemctl restart wireguard-ui
Danke für die Tipps.
@gelberlemmy okay verstanden. Macht nur TCP Forwarding....
@crunkfx so ich habe einmal mich von 6Tunnel verabschiedet, das dies anscheinend nur TCP kann. Auch habe ich festgestellt, das was ich machen möchte, auch ohne einen Portmapper gehen muss. Über Smartphone von unterwegs zugreifen. Getestet habe ich es mit myFritz auf die Oberfläche von Fritzbox zu kommen. Ich habe die GUI auf 0.4. erneuert. Nach Anleitung neu aufgesetzt, Ports in der FritzBox eröffnet. Jetzt komme ich per Protokoll noch bis zum Handshake. Kann man eigentlich irgendwo sehen, was genau das Problem ist ? Anbei einmal das Log von meinem Android Gerät. Ich persönlich kann da nicht herausfiltern wo ich suchen muss.... Habe unten noch ein paar Screenshots angefügt
@martybr Hi, bräuchte mal einen Tipp wie ich mit meiner FB weiterkomme, bei dir scheint es ja zu laufen.
Bei mir sieht die Situation wie folgt aus:
FB6690 Cable und da hinter ein Raspi4 auf dem (nur) ioBroker läuft und weiter Netzwerkteilnehmer z.B. Shellys.
Habe auf meinen Handy Wireguard installiert und die Verbindung zur Fritzbox und Shellys funktionert. Leider klappt das mit dem Raspi4 nicht. Muss man den auch als Client in der FB anlegen? Oder mache ich was anderes falsch -
@hakemann ,
um den ioBroker über Wireguard zu erreichen, musste ich beim Kabelanschluss mit der MTU-Einstellung in den Global Settings spielen.
Mit MTU 1300 funktionierte es bei mir. -
@wal Das war es leider nicht. Habe verschiedene Einstellungen durch probiert zwischen 1280-1500. Und auch über 1500 einmal probeweise.
Ich habe mal festgestellt, das wenn ich mit dem Firmenlaptop bei bestehendem VPN (nicht Wireguard) via SSH auf den Pi zugreifen wollte, das eine Fehlermeldung al la "Man in the middle" angriff genannt wird und vom Pi der Zugriff verweigert wurde. Rechner war im selben Netzwerk wie der Pi, aber via VPN mit der Firma verbunden.
Gibt es hier eventuell eine Einstellung im OS des Pi um diese "Man in the middle" Prüfung abzustellen? Nur mal so ein Gedanke von einem Laien. -
@hakemann sagte in [Anleitung] WireGuard mit WireGuard-UI auf Proxmox:
Rechner war im selben Netzwerk wie der Pi, aber via VPN mit der Firma verbunden.
Wenn du per VPN mit der Firma verbunden ist, befindet sich der Rechner nicht mehr im selben Netzwerk. Er ist dann faktisch im Firmennetzwerk und sollte keinen Traffic in dein Heimnetzwerk mehr zu lassen.
Um dann in dein Heimnetzwerk zu gelangen sind entweder erweiterte Netzwerkeinstellungen erforderlich oder in theorie ein erneuter VPN Aufbau aus dem Firmennetz nach Hause. Letzteres wird aber meines Wissens nach nicht funktionieren.
@wendy2702 Bin kein Experte, ist bestimmt im Normalfall auch so. Wenn ich es seinerzeit von unserer IT richtig verstanden habe wird nicht alles getunnelt. Z.B. Internet geht nicht über die Firma um unnötigen Traffic zu vermeiden. Denke dies trifft auch auf andere Sachen zu. Ich kann auch auf meinen privaten Drucker drucken oder halt von zu Hause aus auf einen Firmendrucker, je nach dem welchen ich auswähle. Auf Shelly usw. kann ich auch weiterhin zugreifen. Ganz raus bin ich also nicht aus dem Heimnetz.
Aber das ist ja eigentlich auch nicht mein Problem. Ich schaffe es halt nicht vom Handy via Wireguard über die Fritzbox auf den Pi zuzugreifen. -
@hakemann Richtig, VPN kann man auch so konfigurieren ob das dann noch sinn macht will ich hir nicht beurteilen und diskutieren.
Zu dem Problem: der Raspi ist mit dem Internet verbunden bzw. kann das I-Net erreichen und wie versuchst du den Raspi vom Handy aus zu erreichen wenn VPN aktiv ist?
Gibt es z.B. PI-Hole oder anderes im Netzwerk?