Unterstützung Installation Wireguard und Einstellungen Sophos

[ipod86]

Hallo,

ich habe mich jetzt schon gefühlt Stunden daran versucht erfolgreich einen Wireguard Server aufzusetzen.
Leider scheitere ich kläglich.

Mein letzter Versuch war mit dem Wireguardinstaller von angristan.
An der Sophos habe ich mich dann auch versucht.

Doch leider bekomme ich keine Verbindung hin.
Ob es an der Installation oder der Sophos liegt weiß ich nicht .......

Hat da evtl. jemand Ahnung von der Konstellation und kann es sich mal mit mir zusammen (per Teamviever / Anydesk etc) anschauen?

 

[zeaK]

Erzähl doch ersteinmal was du vor hast und welche Hardware du genau nutzt.

 

[Brati23]

Ich kann dir nicht direkt helfen aber zur Vorsicht raten mit Teamviever oder Anydesk Zugriff an fremde.

 

[hpxw]

mehr Details bitte, keiner hat hier eine Glaskugel.

 

[Scirca]

Häää? Willst du dir Support erschleichen?
Was willst du wie machen, da fehlt ja wirklich alles.
Außer das du Wireguard aufsetzen willst kann man echt nur raten.

Sophos was, Sophos hat diverese Produkte von EndpointProtection über NGFW, diversen Cloud Produkte.
Diverse Hardware Firewalls.

 

[IBISXI]

Mein letzter Versuch war mit dem Wireguardinstaller von angristan.
An der Sophos habe ich mich dann auch versucht.

Ist das alles was an Infos kommt?

Wie ist jetzt genau die Frage?

Nimm eine Anleitung, geh danach vor und sage dann wobei es klemmt.

 

[ipod86]

Okay,
dachte das würde so reichen.
Dann versuche ich es mal der Reihe nach.

1. Fremde auf meinen Rechner lassen. Ja, das ist in der Tat was "kritisch".
Deshalb hab ich mich für eine Variante entschieden wo ich sehe, was der andere macht.

2. Nein, ich möchte mir keinen Support erschleichen. In der Bekanntschaft habe ich niemanden der mir helfen kann. Unser EDV-Dienstleister, der mir die Sophos damals Privat eingerichtet hat (über 5 Ecken über die Arbeit) kann/möchte mir nicht helfen

3. Rahmenbedingungen:

• Von außen soll per Wireguard auf das Netz hinter der Sophos zugegriffen werden können.
• Als Server kann ich eine x-beliebige Linux-Distribution bereitstellen.
• IP v4 Anschluss der Telekom, feste IP
• Sophos SG115 mit UTM 9
• Da ich nicht so der Shell Profi bin würde ich die Clients gerne per GUI oder einem Skript (wie dem genannten) verwalten können.

EDIT:

Hier mein aktueller Stand:

Meine Angaben im Script:

Meine Firewallregel in der Sophos:

Bei Dienst habe ich UDP 60017 eingetragen
Bei Ziele die IP von Wireguardserver.

wireguard@wireguard:~$ sudo wg show interface: wg0 public key: xxxxxxxxxxxxxxxxx private key: (hidden) listening port: 60017 peer: xxxxxxxxxxxxxxx preshared key: (hidden) allowed ips: 10.66.66.2/32, fd42:42:42::2/128

wireguard@wireguard:~$ sudo wg showconf Usage: wg showconf <interface>

wireguard@wireguard:~$ ip link show type wireguard 3: wg0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000 link/none

 

[chrigu]

Wenn du sehen willst was der Fremde an deinem pc macht ist teamviewer anydesk oder rdm richtig. Wireguard zeichnet nichts auf sondern lässt alle die das Passwort haben in dein Netzwerk… und bei Anfänger ohne gewisses Grundwissen ist das doppelt gefährlich wenn du fremden den uneingeschränkt serverzugang gewährst.

 

[ipod86]

Okay,
hast mich überzeugt.

Im Idealfall hätte man ja nie in die wg config gemusst, wenn ich die schon angelegt habe.
Putty lauft am Winrechner. In den ganzen Fernsteuertools kann man ja den Dateizugriff verbieten.

Aber evtl sieht ja schon jmd schnell meinen Fehler.

 

[chrigu]

Du testest den Server aber von ausserhalb und nicht vom pc im selben Netzwerk?

 

[ipod86]

Ja, hab die Config am Smartphone importiert und Wlan abgeschaltet.

 

[ipod86]

Hab mal noch eine NAT-Regel erstellt.

 

[pas06]

Hast du schon mal versucht zu testen ob der Port 60017 jetzt offen ist?

 

[ipod86]

Keine Ahnung ob das der professionalste Weg zum testen ist.
War der erste Google Treffer.

Demnach ist er nicht offen.

wireguard@wireguard:~$ ss -tulw Netid State Recv-Q Send-Q Local Address:Port Peer Address:Port Process udp UNCONN 0 0 0.0.0.0:bootpc 0.0.0.0:* udp UNCONN 0 0 0.0.0.0:60017 0.0.0.0:* udp UNCONN 0 0 [::]:60017 [::]:* tcp LISTEN 0 128 0.0.0.0:ssh 0.0.0.0:* tcp LISTEN 0 128 [::]:ssh [::]:*

Das NAT habe ich auch nochmal anhand ein paar Tutorials angepasst:

wireguard@wireguard:~$ sudo ufw status Status: active To Action From -- ------ ---- OpenSSH ALLOW Anywhere 60017/udp ALLOW Anywhere OpenSSH (v6) ALLOW Anywhere (v6) 60017/udp (v6) ALLOW Anywhere (v6) Anywhere on ens192 ALLOW FWD Anywhere on wg0 Anywhere (v6) on ens192 ALLOW FWD Anywhere (v6) on wg0

wireguard@wireguard:~$ sudo systemctl status wg-quick@wg0.service ● wg-quick@wg0.service - WireGuard via wg-quick(8) for wg0 Loaded: loaded (/lib/systemd/system/wg-quick@.service; enabled; vendor preset: enabled) Active: active (exited) since Mon 2023-08-28 15:36:24 CEST; 26min ago Docs: man:wg-quick(8) man:wg(8) https://www.wireguard.com/ https://www.wireguard.com/quickstart/ https://git.zx2c4.com/wireguard-tools/about/src/man/wg-quick.8 https://git.zx2c4.com/wireguard-tools/about/src/man/wg.8 Main PID: 539 (code=exited, status=0/SUCCESS) Tasks: 0 (limit: 7072) Memory: 0B CPU: 0 CGroup: /system.slice/system-wg\x2dquick.slice/wg-quick@wg0.service Aug 28 15:36:24 wireguard wg-quick[539]: [#] ip -4 address add 10.66.66.1/24 dev wg0 Aug 28 15:36:24 wireguard wg-quick[539]: [#] ip -6 address add fd42:42:42::1/64 dev wg0 Aug 28 15:36:24 wireguard wg-quick[539]: [#] ip link set mtu 1420 up dev wg0 Aug 28 15:36:24 wireguard wg-quick[539]: [#] iptables -I INPUT -p udp --dport 60017 -j ACCEPT Aug 28 15:36:24 wireguard wg-quick[539]: [#] iptables -I FORWARD -i ens192 -o wg0 -j ACCEPT Aug 28 15:36:24 wireguard wg-quick[539]: [#] iptables -I FORWARD -i wg0 -j ACCEPT Aug 28 15:36:24 wireguard wg-quick[539]: [#] iptables -t nat -A POSTROUTING -o ens192 -j MASQUERADE Aug 28 15:36:24 wireguard wg-quick[539]: [#] ip6tables -I FORWARD -i wg0 -j ACCEPT Aug 28 15:36:24 wireguard wg-quick[539]: [#] ip6tables -t nat -A POSTROUTING -o ens192 -j MASQUERADE Aug 28 15:36:24 wireguard systemd[1]: Finished WireGuard via wg-quick(8) for wg0.

wireguard@wireguard:~$ nc -zv -u 192.168.22.213 60017 192.168.22.213: inverse host lookup failed: Unknown host (UNKNOWN) [192.168.22.213] 60017 (?) open

EDIT:

Wenn ich aus dem LAN nach offenen Ports auf dem Server suche, findet er den 60017 nicht als offen.
Eigentlich siegt da ja weiter oben alles gut aus oder?

 

[pas06]

Habe die webseite bei mir auch mal versucht und die funktionierte bei mir nicht, sie checkt wohl TCP ab, was hingegen bei mir funktioniert ist die Seite https://www.ipvoid.com/udp-port-scan/ oder auch der Befehl nmap -sU -v -p 60017 <deine öffentliche IP> (gibts auch als GUI nennt sich dann zenmap) Versuche das mal. Wenn das funktioniert liegt das Problem an deiner Wireguard config.

 

[ipod86]

Laut der Website geschlossen der Port.

Nmap (auf dem Wireguardserver selber ausgeführt), sagt scheinbar, dass es gut aussieht:

wireguard@wireguard:~$ sudo nmap -sU -v -p 60017 meineexterneip Starting Nmap 7.80 ( https://nmap.org ) at 2023-08-28 16:43 CEST Initiating Ping Scan at 16:43 Scanning xxxxxxxxxx [4 ports] Completed Ping Scan at 16:43, 0.02s elapsed (1 total hosts) Initiating Parallel DNS resolution of 1 host. at 16:43 Completed Parallel DNS resolution of 1 host. at 16:43, 0.04s elapsed Initiating UDP Scan at 16:43 Scanning p578c16cf.dip0.t-ipconnect.de (xxxxxxxxx) [1 port] Completed UDP Scan at 16:43, 0.22s elapsed (1 total ports) Nmap scan report for p578c16cf.dip0.t-ipconnect.de (xxxxxxx) Host is up (0.0042s latency). PORT STATE SERVICE 60017/udp open|filtered unknown Read data files from: /usr/bin/../share/nmap Nmap done: 1 IP address (1 host up) scanned in 0.38 seconds Raw packets sent: 6 (208B) | Rcvd: 1 (28B)

EDIT
Bin grad per VPN auf einem externen Linuxsystem gewesen.
Da zeigt er den Port geschlossen mit nmap.
Da hat er das im Internen LAN wohl direkt aufgelöst anstatt über die externe IP zu gehen.

Dann wohl doch eher die Firewall.....

 

[pas06]

hmm, also scheint es so dass der Port nur lokal offen ist aber nicht aus dem Internet ansonsten müsste es dann meiner Meinung nach auch mit der Webseite funktionieren. Was du jetzt noch testen könntest wäre es nmap nochmal von nem anderen Gerät aus dem Internet zu erreichen (Gibts nmap für Android?, evtl wifi hotspot vom Handy aus um sich dann aus dem Mobilfunknetz zu verbinden.. etc) um das zu bestätigen. Kenne mich leider mit sophos nicht aus.

 

[ipod86]

Per Androidapp mit lokaler IP im Lan:

PORT STATE SERVICE 60017/udp filtered unknown

Über Mobilfunk und externe IP:
Host nicht erreichbar

 

[pas06]

Bin dann leider mit meinem Latein am Ende. Ich hoffe es kann dir jemand anderes noch weiterhelfen. Scheint wohl an der Firewall zu liegen.

 

[ipod86]

Denke ich auch, evtl kennt sich hier ja noch jmd mit Sophos aus.