Apr 03, 2023, updated at Apr 04, 2023 (UTC)

1992

Eigenen VPN-Server auf Wireguard Basis

Moin,

vor 3-4 Jahren hab ich mal mit einen eigenen VPN-Server auf Basis von OpenVPN versucht und bin an gewissen Punkten gescheitert. (dazu komme ich gleich)

Eckdaten:

Eigener VMWARE Server im RZ mit "eigenen" öffentlichen IPv4-Adressen
11 freie IP-Adressen noch frei
privates Umfeld

Ich würde diese Thema nun nochmal erneut in die Hand nehmen.... nun aber auf Wireguard-Basis, da dies erheblich "smaler" aufgestellt ist (einfacher config)

Mein damaliges scheitern belief sich auf dessen Port-Portwarding.

Mein Ziel:

4 Clients (aktuelles Debian) sollen sich mittels VPN zum VPN-Server im RZ verbinden.
Der VPN-Server soll diesen Client eine freie IP Adresse vergeben
Weitere Client-anfragen sollen dann eine neue freie IP Adresse bekommen. (sprich: 1 Client = 1 IPv4 Adresse)
ALLE IPv4 Adressen brauchen aber eine gemeinsame Portfreigabe (Beispiel: Port 12345)

Diese Konstellation hab ich damals nie hinbekommen.
Würde ich das nun mit Wireguard so hinbekommen ?

Please also mark the comments that contributed to the solution of the article

Content-Key: 6622168935

Url: https://administrator.de/contentid/6622168935

Printed on: April 27, 2024 at 12:04 o'clock

8 Comments

Latest comment

Moin,

die Art des VPN hat erstmal nichts mit den Firewall-Regeln und dem DHCP zu tun. Du wirst also vermutlich die selben Probleme bekommen wie damals.

Lediglich das VPN selber ist unter Wireguard komfortabler einzurichten.

Du wirst also nicht umhin kommen, Dich erneut in das Handbuch einzulesen.

Was willst Du denn als Unterbau verwenden? OPNSense, pfSense, was ganz anderes?

Gruß

Looser

Setze dir doch gleich einen universellen VPN Server auf der auch gleich alle onboard IPsec Clients und Wireguard abfackelt.
Ersteres ist deutlich bequemer, weil es dir die unnötige Frickelei mit überflüssiger VPN Client Software und deren Einrichtung erspart und das Client Setup damit wirklich "einfach" macht.
Das ist mit allen Linux Distros ein Kinderspiel:
IKEv2 VPN Server
Und wenn du meinst das Wireguard unbedingt dazu muss, dann HIER.

Diese Konstellation hab ich damals nie hinbekommen.

Warum nicht?? Wo war genau das Problem? Das ist eigentlich eine VPN technische Lachnummer.

Wenn du aber eh einen VmWare Server hast kannst du als Alternative dieses Setup auch elegant mit einer "fertigen" Software realisieren indem du dort pfSense oder OPNsense verwendest in einer VM. Damit gelingt das o.a. Setup noch schneller.
Beide FW Lösungen supporten sowohl IKEv2 als auch Wireguard.

Mit dem o.a. Setup hat man einen universalen VPN Server der dann alle VPN Clients auf jedem belibigen Endgerät und auch Site-2-Sites untereinander verbindet.
Beide Lösungen ob Server oder Firewall Software führen zum Erfolg! Einfacher und eleganter geht es nicht mehr.

Also grundsätzlich will ich nichts vorgeben. Sprich: Wireguard muß nicht sein. Habe am Wochenende nur ein paar Artikel gelesen, dass Wireguard etliches vereinfacht, schneller ist und erheblich mehr kann.
Entsprechend wollte ich da nochmal neu ansetzen.

@aqui:

Wenn du aber eh einen VmWare Server hast kannst du als Alternative dieses Setup auch elegant mit einer "fertigen" Software realisieren indem du dort pfSense oder OPNsense verwendest in einer VM.

Jupp... sofern die immer von einer vertrauenswürdigen Quelle stammen bin ich da immer sehr gern dabei.
https://bitnami.com/stacks
Da hab ich u.a. schon grafana her. Leider gibt es dort kein "VPN Image" (gesucht nach; OPNsense,pfSense,Wireguard,VPN)
Kennst du andere Quellen die ein solches Paket zur Verfügung stellen?

Hab Dank

P.s.

Diese Konstellation hab ich damals nie hinbekommen.

Schon etliche Jahre her... aber ich glaube dass der Port auf dem Endgerät nicht immer offen war.

Ähm.....

Leider gibt es dort kein "VPN Image" (gesucht nach; OPNsense,pfSense,Wireguard,VPN)
Kennst du andere Quellen die ein solches Paket zur Verfügung stellen?

Du richtest auf Deiner VMWare im Rechenzentrum eine neue VM ein und installierst aus der ISO von pfSense (oder OPNSense) einfach die normale Firewall.......Was für Quellen suchst Du denn da noch?

Gruß

Looser

ach.. sorry. Dann hab ich dich falsch verstanden. Ich hab dich mit "fertigen" Software falsch verstanden

kannst du als Alternative dieses Setup auch elegant mit einer "fertigen" Software realisieren

Das klang erstmal nach "fertiges Image". Oki. Der "Groschen ist nun gefallen".
Dann wird es wohl OPNsense werden. Hab Dank

sofern die immer von einer vertrauenswürdigen Quelle stammen bin ich da immer sehr gern dabei.

Das sind sie ja immer wenn du die fertigen ISO Images von deren eigenen Downloads beziehst! Anhand der mitgelieferten Checksums kannst du das ja immer wasserdicht verifizieren:
https://www.pfsense.org/download/ bzw. https://opnsense.org/download/
Der Einwand ist eher etwas unsinnig...

Bevorzugt solltest du beim VPN Einsatz immer die pfSense nehmen, denn die supportet zusätzlich noch das bordeigene L2TP als VPN Protokoll auf allen Clients für den Fall das du etwas "Angst" vor einem Server Zertifikat haben solltest was IKEv2 erfordert! Damit wird aber auch das VPN für den Firmeneinsatz erheblich sicherer und steuerbarer.
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Das schafft dir deutlich mehr Flexibilität bei der Auswahl deines VPN Angebots für Clients.

sofern die immer von einer vertrauenswürdigen Quelle stammen bin ich da immer sehr gern dabei.

https://www.pfsense.org/download/ bzw. https://opnsense.org/download/
Der Einwand ist eher etwas unsinnig...

neee... da hast du mich missverstanden. Ich meinte die fertigen VMWare-ISO's. z.B. Ein aktuelles Debian mit pfsense und Wireguard. Sprich: Runterladen,starten und (meistens) den Wizard zur Ersteinrichtung befolgen. DIESE Container sollten aus vertrauenswürdigen Quelle stammen. Die Apps/Links die du gerade genannt hast meiste ich damit nicht. Das sind ja direkte Links auf der Herstellerseite.

Bevorzugt solltest du beim VPN Einsatz immer die pfSense nehmen, denn die supportet zusätzlich noch das bordeigene L2TP als VPN Protokoll auf allen Clients für den Fall das du etwas "Angst" vor einem Server Zertifikat haben solltest was IKEv2 erfordert!

hmmm... sehr guter Einwand. Ich hatte OPNsense aufgrund der Aussage getroffen, das die immer etwas aktueller sind, dauerhaft Open Source bleiben wollen (pfSense will wohl in Richtung "Bezahllizenz" gehen)

Apropos Server Zertifikat.
Ich nehme mal nicht an, dass ein selbst zertifiziertes Zertifikat hier als gültig erkannt wird... bzw. eine Implementierung von Let's Encrypt hinterlegt ist (?)

Ein aktuelles Debian mit pfsense und Wireguard.

Das ist Unsinn, denn Debian ist gar nicht erforderlich. Zumal auch diese Firewalls gar nicht auf Debian basieren sondern auf OpenBSD.
Wie oben schon mehrfach gesagt: Wenn man die ISOs aus den Hersteller Downloadportalen läd sind diese auch immer vertrauenswürdig!
Alle beide liefern mit der Datei *.sha256 entsprechende SHA256 Hash Dateien zur Verifikation mit so das man keinerlei Risiko eingeht. Fragt sich warum du auf sowas kommst? Es sind auch keine "Container" sondern reguläre VMs.
ISO Datei in den Datastore von VmWare laden und VM damit starten, fertisch. Unverständlich wo hier dein wirkliches Problem ist. Beispiele zum VmWare Setup findest du u.a. hier
Eine Winblows ISO Datei ist ja auch kein Container und bietet ebenso einen Hash zur Verifikation. pfSense pflegt auch die CE Edition noch weiter.

Die Apps/Links die du gerade genannt hast meiste ich damit nicht.

Ja welche denn?? Andere gibt es ja doch gar nicht!
Du sprichst in Rätseln?!

dass ein selbst zertifiziertes Zertifikat hier als gültig erkannt wird...

Du redest jetzt vom IKEv2 Server Zertifikat, oder?
Das klappt mit beidem. Sowohl einem selbst erstellten also auch einem offiziellen. Kannst dir also frei aussuchen. Es dient ja lediglich dazu das der Client den Server an sich verifiziert.
Sollte dir das nicht behagen, dann nimmst du halt L2TP geht genausogut und rennt ganz ohne Zertifikat.
Hatten wir erst kürzlich wieder hier mit einem VPN Newbie..

German Question VPN