Openvpn mit Raspberry vs. Fritz Vpn

[andre85]

VPN NET => ist das Netzwerk des VPN. Kannst du grundsätzlich so lassen.

Allowed IPs => legst du im Grunde Firewallregeln fest. Dort kannst du z.B. den Zugriff auf dein Heimnetz erlauben. Wichtig ist aber die lokale IP 0.0.0.0/0

Hier Mal meine Client config:
[Interface]
Address = $_VPN_IP
PrivateKey = $_PRIVATE_KEY
DNS = 192.168.178.36

[Peer]
PublicKey = $_SERVER_PUBLIC_KEY
AllowedIPs = 0.0.0.0/0, 192.168.99.1/32, 192.168.178.0/24
Endpoint = $_SERVER_LISTEN

 

[Raijin]

_SERVER_PORT=51820

Ohne selbst mit WireGuard gearbeitet zu haben, deutet das auf den Server-Port hin, also den Port des VPNs, der anschließend am Router weitergeleitet werden muss.

Wobei weiter unten wiederum das hier steht:

listening port: 37165

In beiden Fällen gehe ich von UDP aus. Auf welchem Port der gestartete Server letztendlich wirklich läuft kannst du notfalls mit "netstat -tulpen" herausfinden.

_VPN_NET=192.168.99.0/24

Das VPN-Subnetz ist gewissermaßen das Transfernetzwerk zwischen den beiden VPN-Endpunkte. Die Hauptsache ist, dass es sich nicht mit den beiden LANs hinter den Endpunkten überschneidet.

 

[andre85]

Der listening port sollte eigentlich der gleiche sein wie der Server Port. Verstehe ehrlich gesagt nicht wo der andere Port her kommt. Denke das ist ein Fehler der Anleitung, da ich die Ausgabe bei mir beim starten gar nicht habe (gerade geprüft)

Entsprechend ist der Server Port im Router aufs raspi zu forwarden. wireguard läuft nur mit udp, wenn sich da nicht zwischenzeitlich was geändert hat.

 

[Avenger84]

Danke, so langsam blicke ich durch den IP Dschungel.
@andre85 was hat es mit dem DNS Eintrag zu tun?

Aber einen Windows 10 Client gibt's immer noch nicht bzw von tunesafe wird dringend abgeraten

Ergänzung (24. April 2019)

Erlaubt mir noch eine Frage: bin zu blöd nano zu nutzen, wie speicher und schließe ich nano wieder? Unten stehen Befehle wie “^x”aber da passiert nix außer dass der Befehl dann im Text steht

 

[Raijin]

Versuch mal STRG+x



Der DNS wird im übrigen der DNS sein, der bei aktiver VPN-Verbindung am Client genutzt wird. Oft wird bei VPNs der VPN-Server selbst als DNS fungieren, wie es daheim im Netzwerk eben der Router ebenfalls tut. Um sicherzugehen kann man am Client zB mittels "nslookup computerbase.de" prüfen welcher DNS benutzt wird. Ob man nun den VPN-Server, einen public DNS (zB 8.8.8.8) oder wie in @andre85 's Client config eine IP im lokalen Netzwerk nutzt (zB ein lokaler pihole), hängt vom Szenario ab.

Ist der Client mobil, bringt ein lokaler DNS natürlich wenig, weil dieser ja nicht mobil und somit zB im Hotel nicht verfügbar ist. Nimmt man den VPN-Server als DNS obliegt es diesem was er damit anstellt bzw. wo er die DNS-Anfragen letztendlich weiterleitet (zB an 8.8.8.8 weiterleiten oder ggfs erstmal durch eine pihole-Instanz jagen). Stellt man hingegen direkt einen DNS-Server aus dem www ein, wird dieser eben direkt genutzt ohne über eine DNS-Weiterleitung am VPN-Server zu gehen. Sofern aber das Standardgateway = VPN-Server ist, wird der DNS-Request Richtung 8.8.8.8 dennoch über die VPN-Verbindung getunnelt.

 

[Datax]

Hi ^^.

Also in der Template-Datei "client.conf.tpl" für die Client-Config(s) musst du nur die Zeile anpassen,
die mit "AllowedIPs" beginnt.

Diese Einstellung sagt dem WireGuard-Client (der auf den Endgeräten installiert ist, die eine Verbindung zum WireGuard-Server aufbauen wollen), welche Zielnetze durch den VPN-Tunnel geroutet werden sollen.

In diesem Konfigurationsbeispiel wurde als Subnetz für das VPN das Netz 192.168.99.0/24 gewählt,
so dass in der Datei "client.conf.tpl" in der Zeile, die mit "AllowedIPs" beginnt, die 192.168.99.1/32 (IP-Adresse des WireGuard-Servers) sowie das lokale Subnetz (192.168.1.0/24) angegeben wurde, auf das über den VPN-Tunnel zugegriffen werden soll und darf ("allowed" eben ^^).

Die Endgeräte können also durch diese Einstellung mit dem WireGuard-Server selbst (192.168.99.1/32) sowie mit dem lokalen Netz 192.168.1.0/24 (auf Seite des WireGuard-Servers) kommunizieren. Die Einrichtungsscripte, die jeden zusätzlichen VPN-Client als "Peer" (also Gegenstelle) der Server-Config hinzufügen und die entsprechende(n) Client-Config(s) erstellen, kümmern sich selbst um die Durchnummerierung der einzelnen VPN-Client-IPs. Als IP-Adresse des WireGuard-Servers wurde hier aber sinnvollerweise die erste IP im VPN-Netz gewählt (die 192.168.99.1).

Der 1. VPN-Client würde also die 192.168.99.2 als IP bekommen ... der 2. VPN-Client die 192.168.99.3 und so weiter...

Das VPN-Netz selbst legst du übrigens im Schritt "Edit server details:" in der Datei "wg.def" fest. Das ist das Netz, welches du der Variablen "_VPN_NET" zuweist.

Das lokale Subnetz, zu welchem der WireGuard-Server selbst natürlich routing-technisch eine Netzwerkverbindung haben muss, ist in diesem Beispiel das Netz 192.168.1.0/24. Welches Netz das in deinem Fall ist, kannst nur du selbst wissen. Wenn dein RaspPi beispielsweise direkt hinter einer FritzBox hängt, bei der das Subnetz sich in der Standardkonfiguration befindet, dann wäre dein lokales Subnetz das Netz 192.168.178.0/24. Das kann bei dir natürlich wie gesagt auch ein anderes Netz sein.

Das VPN-Netz (in diesem Beispiel das Netz 192.168.99.0/24) ist ein aus den privaten IP-Adressräumen frei gewähltes Netz. Du könntest also auch beispielsweise als VPN-Netz das Netz 10.0.0.0/24 nehmen. Wichtig dabei ist nur, dass es ein privates Netz sein muss (siehe dazu auch der Link unten zu den privaten IP-Adressbereichen) und dass es dieses Netz bei dir im Netzwerk noch nicht gibt.

Private IP-Adressbereiche:
https://de.wikipedia.org/wiki/Private_IP-Adresse#Adressbereiche

 

[andre85]

@Raijin hat schon nicht unrecht.
Der eingetragene DNS ist tatsächlich ein pihole.
Was allerdings nicht richtig ist, ist dass der DNS Server nicht von extern erreichbar ist.
Zum Auflösen meiner Home IP wird natürlich der Provider DNS genutzt werden, bzw. je nachdem was hinterlegt ist. Da ich anschließend aber ja in meinem Netz bin und mein reguläres LAN über die allowed IPs freigegeben habe, können die DNS Anfragen auch darüber laufen.

Hat halt den Vorteil, dass ich auch unterwegs keine Werbung auf dem Handy habe.

 

[Raijin]

Was allerdings nicht richtig ist, ist dass der DNS Server nicht von extern erreichbar ist.

Das setzt aber zwangsläufig voraus, dass das Heimnetzwerk über das VPN geroutet wird. Das VPN kann ja durchaus auch nur für's Surfen von unterwegs genutzt werden, ohne Zugriff auf das Heimnetzwerk. Es ist also wie gesagt vom Szenario abhängig. Allerdings habe ich das zugegebenermaßen zu endgültig formuliert

 

[Avenger84]

Danke an alle.
Jetzt will der QR Code nicht:

 sudo ./user.sh -v client1
Client configuration (AllowedIPs = 0.0.0.0/0, 192.168.99.1/32, 192.168.178.0/24)
client.conf:

[Interface]
Address = 192.168.99.2/24
PrivateKey = ***

[Peer]
PublicKey = ***
AllowedIPs = 0.0.0.0/0, 192.168.99.1/32, 192.168.178.0/24
Endpoint = ***:51820

./user.sh: Zeile 185: qrencode: Kommando nicht gefunden.


----------------------------------------------------------------
----------------------------------------------------------------
----------------------------------------------------------------


Client configuration (AllowedIPs: 0.0.0.0/0)
client.all.conf:

[Interface]
Address = 192.168.99.2/24
PrivateKey = ***

[Peer]
PublicKey = ***
AllowedIPs = 0.0.0.0/0
Endpoint = ***:51820

./user.sh: Zeile 198: qrencode: Kommando nicht gefunden.

sonst wäre ich soweit fertig.

Kann ich eigentlich auch anstatt meiner IP bzw. DynDNS den FritzBox Dienst https://****************.myfritz.net dort einsetzen?

P.S.
QR Code habe ich installiert, wenn ich es noch mal mache sagt er:

sudo apt-get install git qrencode
Paketlisten werden gelesen... Fertig
Abhängigkeitsbaum wird aufgebaut.      
Statusinformationen werden eingelesen.... Fertig
git ist schon die neueste Version (1:2.11.0-3+deb9u4).
Probieren Sie »apt --fix-broken install«, um dies zu korrigieren.
Die folgenden Pakete haben unerfüllte Abhängigkeiten:
apt-utils : Hängt ab von: apt (= 1.4.8) aber 1.4.9 soll installiert werden
qrencode : Hängt ab von: libqrencode3 (>= 3.3.0) soll aber nicht installiert werden
E: Unerfüllte Abhängigkeiten. Versuchen Sie »apt --fix-broken install« ohne Angabe eines Pakets (oder geben Sie eine Lösung an).

 

[Avenger84]

P.S.2 lief übrigens auf Anhieb anstandlos. 20-30MBits, HD+ Stream kein Problem.
Wenn jetzt noch Win10 gehen würde..

 

[andre85]

Bzgl qrencode probier Mal bitte
apt-get update
apt-get upgrade

Anschließend nochmal die Installation starten

Bzgl myfritz, klar. Einfach **.myfritz.net:51820 als Endpoint angeben. (Ohne https)

Ergänzung (24. April 2019)

Was spricht denn gegen TunSafe unter Windows 10?
Meines Wissens war es anfangs nicht "beliebt", da es nicht open source war, das hat man aber ja schon vor einer ganzen Weile geändert.

Sehe es ehrlich gesagt nicht das Problem mit dem Programm, obgleich ich es nicht getestet habe.

 

[Avenger84]

Hier Mal meine Client config:
[Interface]
Address = $_VPN_IP
PrivateKey = $_PRIVATE_KEY
DNS = 192.168.178.36

[Peer]
PublicKey = $_SERVER_PUBLIC_KEY
AllowedIPs = 0.0.0.0/0, 192.168.99.1/32, 192.168.178.0/24
Endpoint = $_SERVER_LISTEN

Probier ich, ist andererseits nicht so wichtig. Die *.config geht fast genauso schnell zu laden.
Kann ich jetzt noch Pi Hole installieren und auch einfach wie du DNS=... in die config eintragen fertig? (ich will nur dass mein Handy per VPN den Pi Hole nutzt vorerst, also nicht das komplett Heimnetzwerk).

 

[andre85]

Grundsätzlich ja. In deinem Fall wäre der DNS dann aber 192.168.99.1

Bei mir läuft pihole auf einem zweiten raspi, daher die lokale IP.

Du musst dann beim pihole noch das wg0 Interface freigeben:
nano /etc/dnsmasq.d/wg0.conf
interface=wg0
Speichern (Strg+x)

Ich hab es bei mir noch nicht probiert, sollte aber grundsätzlich kein Problem sein.
Vielleicht probiere ich es später bei mir auch Mal.

 

[Avenger84]

die lokale IP des Raspi (192.168.178.53) kann ich also nicht nehmen (so wie du) sondern muss die VPN interne nehmen ?

 

[andre85]

Grundsätzlich sollte auch die lokale IP gehen, da du dein lokales Netz ja erreichen kannst. Dann brauchst du mutmaßlich auch nicht wg0 im dnsmasq frei machen.
Aber wie gesagt, das habe ich noch nicht probiert.

 

[Avenger84]

Habe mich gerade mal direkt vor eine (andere) FB mit 100MBits DSL gestellt und getestet:
Speedtest: 34-40MBits. Genial.

Dann habe ich mich auf meinen Sat-Receiver (VU Solo 4K) begeben und eine Datei runtergeladen, dort erreiche ich nur 500-600KB/s (4MBit) - weiß einer wieso so lahm ?
Zuhause direkt geht es definitiv schneller. Irgendwas bremst da.

mit dem PiHole kann man ja einfach testen per Werbungseinblendung.

 

[andre85]

Nope das kann ich dir nicht sagen. Habe auch eine VU und habe da aber auch im WLAN schon Probleme mit dem Streaming. Ist deine VU per LAN-Kabel verbunden?

 

[Avenger84]

Ja klar.
Per Windows kriege ich da volle Geschwindigkeit hin (40-50mb/s).
Per Handy nur 2-3mb/s direkt.
Komisch.
Liegt dann wohl nicht an wireguard.
Probiere nachher mal tunesafe, das sieht extrem simple aus.

 

[andre85]

Es kann nicht an wireguard oder irgend einem anderen VPN liegen, da es diesem egal ist was über den Tunnel läuft.

 

[Avenger84]

QR Code will auch nicht mit update/upgrade.
Pi Hole lässt sich ebenfalls nicht installieren: siehe Anhang.

Wieso habe ich keine Rechte? Ich konnte doch sonst alles installieren.