u08154711
02.12.2024 um 23:53:30 Uhr
view500
view4
0
Goto Top

Frage zu Wireguard config: DNS und allowed IPs

FrageUbuntuWebserverLinux NetzwerkVPN
Hallo,

ich habe unter Docker einen Wireguard Server eingerichtet. Läuft...

Meine aktuelle conf eines Peers sieht z.B. so aus:

[Interface]
Address = 10.13.13.2
PrivateKey = extremgeheim=
ListenPort = 51820
DNS = 5.9.164.112,185.95.218.42,185.95.218.43,84.200.69.80,9.9.9.9,1.1.1.1

[Peer]
PublicKey = extremgeheim=
PresharedKey = extremgeheim=
Endpoint = xxx.xxx.xxx.xxx:51820
AllowedIPs = 0.0.0.0/0,::/0

Frage: Werden die DNS Server der Variable "DNS" als Fallback genutzt? Also immer 5.9.164.112 und falls der nicht erreichbar ist der nächste in der Liste? Oder der schnellste?

Ich möchte nämlich folgendes machen:
1. In der DNS Liste soll die IP eine AdguardHome DNS an 1. Stelle stehen. Dieser Server soll immer primär angefragt werden, nur wenn der nicht erreichbar wäre, dann ein anderer aus der Liste. Geht das?

2. Wenn ich will, dass diese Verbindung nur von dem Wireguard Dockerserver aufgebaut werden kann, trage ich unter Peer => Allowed IPs nur die öffentliche IP meines Dockerserver ein (die normalerweise hier unter Endpoint stehen würde, richtig? Es soll dann der ganze Traffic darüber laufen.

3. Muss ich an der Wg0.conf des Wireguard Servers auch was ändern?

4. Könnte ich also 2 verschiedene Peers auf einem Gerät anlegen? 1x mit der Konfiguration oben, ohne Werbefilterung, 1x mit der neuen, die nur über den Adguard geht und filtert?

Danke für Feedback.
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 669926

Url: https://administrator.de/contentid/669926

Ausgedruckt am: 03.12.2024 um 19:12 Uhr

4 Kommentare
Neuester Kommentar
Goto Top
Oskar44
Oskar44 03.12.2024 aktualisiert um 09:56:24 Uhr
Goto Top
Zitat von @U08154711:
Meine aktuelle conf eines Peers sieht z.B. so aus:

[Interface]
Address = 10.13.13.2
PrivateKey = extremgeheim=
ListenPort = 51820
DNS = 5.9.164.112,185.95.218.42,185.95.218.43,84.200.69.80,9.9.9.9,1.1.1.1

[Peer]
PublicKey = extremgeheim=
PresharedKey = extremgeheim=
Endpoint = xxx.xxx.xxx.xxx:51820
AllowedIPs = 0.0.0.0/0,::/0
Ein IPv6 redirect (::/0) in den AllowedIPs macht ohne IPv6 Adresse im Tunnel keinen Sinn! Des weiteren macht die "ListenPort" Direktive in einer Client-Config nur Sinn wenn sich hier am Client selbst auch Peers aktiv einwählen.

Frage: Werden die DNS Server der Variable "DNS" als Fallback genutzt? Also immer 5.9.164.112 und falls der nicht erreichbar ist der nächste in der Liste? Oder der schnellste?
Das kommt auf das ClientOS an dem du die Config verpasst. Auf einem Linux werden die DNS Server der resolv.conf in der Reihenfolge hinzugefügt wie sie auch in der Wireguard Config stehen. Dann werden die DNS-Server dort der Reihe nach angefragt wenn der erste Antwortet werden die anderen nicht mehr gefragt. Erst wenn der erste nicht mehr antwortet geht es zum nächsten usw. Wenn aber der DNS Server der schon vor der WG Verbindung in der resolv.conf steht antwortet, wird dieser benutzt sofern er antwortet, die anderen zusätzlich hinzugefügten erst wenn der nicht mehr antwortet.

Ich möchte nämlich folgendes machen:
1. In der DNS Liste soll die IP eine AdguardHome DNS an 1. Stelle stehen. Dieser Server soll immer primär angefragt werden, nur wenn der nicht erreichbar wäre, dann ein anderer aus der Liste. Geht das?
Ja, Erläuterung im letzten Absatz lesen, dann weist du auch wie face-wink.
2. Wenn ich will, dass diese Verbindung nur von dem Wireguard Dockerserver aufgebaut werden kann, trage ich unter Peer => Allowed IPs nur die öffentliche IP meines Dockerserver ein (die normalerweise hier unter Endpoint stehen würde, richtig? Es soll dann der ganze Traffic darüber laufen.
Nein, in den AllowedIPs stehen immer nur die IPs drin von welchen Traffic innerhalb des Tunnels erwartet wird.
Wenn man eine Wireguard-Verbindung nur von einem bestimmten Host erlauben will, trägt man diesen mit seinem Hostnamen oder IP in das Endpoint-Feld ein.
3. Muss ich an der Wg0.conf des Wireguard Servers auch was ändern?
Ja da kommt dann die IP des Clients in den Endpoint rein rein wenn du diesen nur von einer bestimmten IP zulassen willst.
4. Könnte ich also 2 verschiedene Peers auf einem Gerät anlegen? 1x mit der Konfiguration oben, ohne Werbefilterung, 1x mit der neuen, die nur über den Adguard geht und filtert?
Ja, kein Problem.

Mal hier gründlich durchlesen hilft fürs Verständnis: Merkzettel: VPN Installation mit Wireguard
heart1
aqui
aqui 03.12.2024 um 10:23:11 Uhr
Goto Top
Vielleicht kann man noch hinzufügen das bei Verwendung von Keys es ziemlich überflüssig ist zusätzlich noch einen Preshared Key zu verwenden. Den kannst du auch weglassen.
Oskar44
Oskar44 03.12.2024 aktualisiert um 10:53:24 Uhr
Goto Top
Zitat von @aqui:
Vielleicht kann man noch hinzufügen das bei Verwendung von Keys es ziemlich überflüssig ist zusätzlich noch einen Preshared Key zu verwenden. Den kannst du auch weglassen.
Sagen wir mal so, überflüssig ist es so lange der Angreifer noch über keinen Post-Quantencomputer verfügt. Wie lange das noch dauert und ob der Angreifer bis dahin den aufgelaufenen Traffic schon abschnorchelt und auf Halde parkt und ob sich das Ziel überhaupt lohnt, ist eine andere Frage face-big-smile.
heart1
aqui
aqui 03.12.2024 um 11:13:21 Uhr
Goto Top
...oder man die verwarzte WG Implementation auf einer Fritte verwendet die das erzwingt! face-big-smile
FrageUbuntuWebserverLinux NetzwerkVPN
Mehr von U08154711U08154711IPhone "sauber" zurücksetzen vor RückgabeU08154711 - 9 KommentareU08154711Nginx Proxy Manager mit Crowdsec sichernU08154711 - 14 KommentareU08154711IPv6 Fritzbox - AdguardHome - RaspiU08154711 - 4 KommentareU08154711Beste Methode SD Karte von Raspi zu sichernU08154711 - 8 Kommentare
Heiß diskutiert
MasterOfInternetZu geringe Datenrate USB 3.0-HDDs an FRITZ!Box 6850 5GMasterOfInternet - 120 Kommentarejohann.liebertMicrosoft 365 Business Premium - Lohnt sich das?johann.liebert - 27 KommentarekgbornDeye deaktiviert Wechselrichter per Internet (USA, UK, Pakistan .)kgborn - 24 KommentareDatenreiseBewusste Vertriebslügen im Gesundheitswesen?Datenreise - 24 KommentareDecker2022Windows Server 2022 mit 2 DC und Hyper-V Replica und OpenSenseDecker2022 - 23 KommentareJudgelgOutlook-Verschlüsselungsoption deaktivierenJudgelg - 21 KommentareaxlemoxleWelche WLAN Hardwareaxlemoxle - 18 KommentareniraxxHP Rack-Server mit Schienen ausbauenniraxx - 17 KommentareStefanl93Access Datenbank für Elektrische GeräteStefanl93 - 16 KommentarecramtroniSimple Excel Frage Format wird nicht geändertcramtroni - 16 KommentareJollyJumper83SMTP Error: Could not authenticateJollyJumper83 - 15 Kommentarefoto2004GPOs werden aus OU nur teilweise gezogenfoto2004 - 15 Kommentare