Wireguard -> Zugriff nur auf bestimmte IP und bestimmten Port

ipod86

Lt. Junior Grade
Registriert
Jan. 2009
Beiträge
448
Hallo,

ich habe mal eine Frage zum Routing von wireguard.

Aktuall habe ich 2 Konfiguration, die ich nach Bedarf verwende.
Alles über wireguard oder nur die Anfragen ins Heimnetz.

Nun würde ich gerne auf den Smartphones anderer Familienmitglieder auch eine Verbindung einrichten.

Allerdings sollen diese nur auf einen bestimmten Port auf einer bestimmten IP zugreifen dürfen.

Ist sowas möglich über die wireguard config bzw ein Profil?

Edit
Wireguard Lauf auf einen Raspberry 4b hinter einer Fritzbox.
 
ipod86 schrieb:
Ist sowas möglich über die wireguard config bzw ein Profil?
Warum sollte ein VPN so etwas können?
Welche Art von Software nutzt man normalerweise für solche Anforderungen?
 
  • Gefällt mir
Reaktionen: PHuV und blablub1212
Keine Ahnung warum ein vpn sowas können sollte.

Ggf weil es praktisch wäre.....

Kenne mich mit der Angelegenheit nicht aus und frage deshalb. Ob es eine normale Funktion ist oder nicht.... Ka....

Was man da normal nutzt. Keine Ahnung.
 
Wenn von außen zugegriffen wird, macht das normalerweise die Firewall, in der kann man Regeln anlegen, welche den Zugriff von einer bestimmen Quelle zu einem bestimmten Ziel/Port erlaubt und den rest verbietet.
 
  • Gefällt mir
Reaktionen: riversource
Über den Router wird in dem Fall wohl nicht gehen. A glaub ich, kann die Fritzbox das nicht und B hängt der Pi ja hinter der FB. Diese sieht den Traffic im Tunnel dann ja nicht.

Ob ich es mir zutrauen eine Firewall in der Konsole zu konfigurieren weiß ich nicht....
 
Das ist aber der Weg, der zu gehen ist. Die Firewall des Raspi kann darüber entscheiden, was die spezifischen VPN Clients dürfen, und was nicht.
 
Prinzipiell ist eine Firewall dafür zuständig, Zugriffe zwischen Netzwerken zu reglementieren. Ein VPN ist aber keine Firewall. In deinem Szenario läuft die Firewall auf dem PI selbst, in Form von iptables/nftables.

Die Frage ist was du nun ganz genau damit bezweckst. Soll der Zugriff auf die fragliche IP-Adresse von diesen Geräten knallhart unterbunden werden, um beispielsweise Hacks, o.ä. zu verhindern, oder geht es dabei eher darum, dass keine unbeabsichtigen Fehlbedienungen passieren?


Der knallharte Block in der Firewall:
Dies bedarf tatsächlich einer entsprechend konfigurierten Firewall im PI. Allerdings muss man dabei bedenken, dass zB ein Block über die IP des Endgeräts nur bedingt sinnvoll ist, weil IP-Adressen im speziellen keine verlässliche Identifikation zulassen - man kann IP-Adressen ja ändern.
Client-spezifische Firewallkonfigurationen sind zwar möglich, aber tricky.

Besonders wichtig in diesem Zusammenhang: Das blinde Nachklicken von Firewall-Tutorials oder etwaigen Vorlagen aus einem Forum ist mit großer Vorsicht zu genießen. Man muss ein Mindestmaß an Verständnis mitbringen was dort passiert, weil man sich im Zweifelsfalle auf die Konfiguration eines Fremdem verlässt und in Sicherheit wähnt, obwohl die abgetippte Vorlage beliebig viele Fehler enthalten kann.



Die Fehlbedienungen:
In diesem Fall geht es nicht um Sicherheit im eigentlichen Sinne. Eine Lösung über die Firewall ist nicht zwingend nötig und man kann zB mit Anpassungen innerhalb der Client-Konfiguration arbeiten. Du hast ja selbst schon erwähnt, dass du zwei Profile hast, eines für "alles via VPN" und ein zweites für "nur Heimnetzwerk via VPN". Dies bezieht sich jedoch ausschließlich auf das Routing, also das "Was-soll-wohin" und nicht das "Wer-darf-was". Dabei wird dem Client also lediglich ein Wegweiser in die Hand gedrückt, der entweder sagt "Alles geht da lang" oder "Nach Hause geht's da lang". Bei letzterem behält der Client sein bisheriges Schild, auf dem dann noch sinngemäß steht "Alles andere geht immer noch da lang".
Dies kann man jedoch weiter einschränken und in der Client-Konfiguration eben nicht "alles" oder "das komplette Heimnetzwerk" durch das VPN routen, sondern explizit nur einzelne IP-Adressen. So könnte man eben bei "Allowed IPs" nur jene IP-Adressen listen, auf die der Client via VPN zugreifen soll. Alle anderen IPs aus demselben Heimnetzwerk würde der Client an seinen lokalen Router schicken, der daraufhin nur sagt: "What? Keine Ahnung was ich mit dieser IP anfangen soll, kenne ich nicht -> Mülleimer".
Aber: Wenn die Konfiguration am Client händisch geändert wird, besteht wieder voller Zugriff. Dies ist also keine Sicherheitsmaßnahme, sondern maximal eine Vorsichtsmaßnahme. Fällt das Gerät in die falschen Hände, ist mit einem kurzen edit das Heimnetz wieder offen.



Also, welches dieser beiden Szenarien willst du bedienen? Voll in die Verwaltung von Linux-Firewalls einsteigen oder nur verhindern, dass der Technikdummy "Papa" irgendwas falsches anklickt?
 
Hey,

der Hintergrund ist folgender.

Ich habe auf einem Pi im Netzwerk meine Smarthomesoftware (iobroker) samt einer Visualisierung am laufen.

Gerne würde ich den Familienmitgliedern von unterwegs Zugriff gewähren.
Nur eben nicht auf das ganze Netzwerk oder alle Ports auf dem Pi.

Wenn das Handy gestohlen wird oder von Freunden verwendet wird, muss (darf) nicht jeder an alles kommen.
Im Netzwerk hat jedes Gerät und alle Weboberflächen ein Passwort.

Edit

Mir würde also eine Regel reichen wie:

Erlaube wie bisher alles. Nur folgende x IPs (die wireguard IPs der Clients) dürfen nur xxx.xxx.xxx.xxx:1234 öffnen.
 
Zuletzt bearbeitet:
Raijin schrieb:
Der knallharte Block in der Firewall:
Dies bedarf tatsächlich einer entsprechend konfigurierten Firewall im PI. Allerdings muss man dabei bedenken, dass zB ein Block über die IP des Endgeräts nur bedingt sinnvoll ist, weil IP-Adressen im speziellen keine verlässliche Identifikation zulassen - man kann IP-Adressen ja ändern.
Client-spezifische Firewallkonfigurationen sind zwar möglich, aber tricky.
IPs die über ein VPN kommen können durchaus eine gewisse "Echtheit" haben, insbesondere dann wenn diese über andere Interfaces geblockt sind.
Ergänzung ()

ipod86 schrieb:
Hey,

der Hintergrund ist folgender.

Ich habe auf einem Pi im Netzwerk meine Smarthomesoftware (iobroker) samt einer Visualisierung am laufen.

Gerne würde ich den Familienmitgliedern von unterwegs Zugriff gewähren.
Nur eben nicht auf das ganze Netzwerk oder alle Ports auf dem Pi.

Wenn das Handy gestohlen wird oder von Freunden verwendet wird, muss (darf) nicht jeder an alles kommen.
Im Netzwerk hat jedes Gerät und alle Weboberflächen ein Passwort.

Edit

Mir würde also eine Regel reichen wie:

Erlaube wie bisher alles. Nur folgende x IPs (die wireguard IPs der Clients) dürfen nur xxx.xxx.xxx.xxx:1234 öffnen.
Na dann zeig mal deine Config:
Vollständiges Bild des Netzes, gerne auch handgemalt dafür aber vollständig!
ip a (mit allen tunneln oben)
route -n (mit allen tunneln oben)
wg config ohne secrets
 
Zurück
Oben