VPN Server mit VPS als Jumpserver

Hallo zusammen,

ich hab in die letze Zeit viel gelesen, aber irgendwie komm ich noch nicht durch.
Zu hause habe ich einen DS-Lite anschluss... und wollte über VPN auf meinen Geräte zugreifen.

Wichtig ist dass ich auch über IPv4 zugriff habe.

Daher habe ich auf einen VPS (1blu) über Virtuozzo Ubuntu Server, und wireguard und so konfiguriert:

[Interface]
Address = 10.0.0.1/24
SaveConfig = true
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING ->
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING>
ListenPort = 51820
PrivateKey = XXX

[Peer]
PublicKey = XXX
AllowedIPs = 10.0.0.0/24, 192.168.0.0/24
PersistentKeepalive = 25

[Peer]
PublicKey = XXX
AllowedIPs = 10.0.0.3/24
PersistentKeepalive = 25

-> wg show

interface: wg0
  public key: XXX
  private key: (hidden)
  listening port: 51820

peer: XXX
  endpoint: XXX
  allowed ips: 192.168.0.0/24
  latest handshake: 1 minute, 25 seconds ago
  transfer: 86.49 KiB received, 218.16 KiB sent
  persistent keepalive: every 25 seconds

peer: XXX
  endpoint: XXX
  allowed ips: 10.0.0.0/24
  latest handshake: 23 minutes, 19 seconds ago
  transfer: 4.72 KiB received, 1.82 MiB sent
  persistent keepalive: every 25 seconds

einen Raspberry zu Hause für die Site-to-Site verbindung so eingerichtet:

[Interface]
PrivateKey = XXX
Address = 10.0.0.3/24
SaveConfig = true
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -$
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING$

[Peer]
PublicKey = XXX
AllowedIPs = 10.0.0.0/24
PersistentKeepalive = 25

die Verbindung zwinschen VPS und Raspberry ist da, ich kann auch vom VPS die Geräte von meinen Netzwerk anpingen problemlos.

Wie oben zu sehen ist, habe ich auch einen zusätzlichen Client eingerichtet, damit ich von unterwegs mit VPN verbinden kann, und leider das funktioniert nicht.

Das ist die Konfiguration von der Client:

[Interface]
PrivateKey = XXX
Address = 10.0.0.3/24

[Peer]
PublicKey = XXX
AllowedIPs = 10.0.0.0/24, 192.168.0.0/24
Endpoint = "vps....":51820  
PersistentKeepalive = 30

der Client verbindet sich auch ohne Probleme und ohne FM, aber ich hab danach leider kein Zugriff auf die Geräte daheim (sind auch nicht pingbar), sowie auch kein Zugriff auf internet.

Verstehe ich wirklich nicht was ich falsch mache....

Kann sein dass das Problem ist weil ich wireguard-go auf dem VPN genutzt habe? (über Virtuozzo kann ich keine Linux Kernel installieren)

Vielen dank im Voraus
Metal

Please also mark the comments that contributed to the solution of the article

Content-Key: 6679402710

Url: https://administrator.de/contentid/6679402710

Printed on: May 6, 2024 at 10:05 o'clock

4 Comments

Latest comment

Einfach mal die Suchfunktion benutzen! Aber es ist ja Ostern...
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
Erspart dir die überflüssige Frickelei mit Client VPN Software.

Wenn du dennoch weiter mit Wireguard arbeiten willst siehe hier:
Merkzettel: VPN Installation mit Wireguard

Du hast mehrere Kardinalsfehler beim Setup begangen und der größte ist das du im VPN Tunnel beidseitig NAT machst (Post up/down), das ist falsch und darf nur auf der vServer Seite gemacht werden, damit deine lokalen Clients keine öffentlichen Absender IPs "sehen". Andernfalls würden sie diese lokal an deinem DS-Lite Anschluss direkt routen und nicht zurück in den Tunnel.
Diese Problematik und ihre Lösung ist hier schon öfter aufgetaucht:
Wie Portforwarding über 2 miteinander verbundenen pfSense realisieren
Wireguard Traffic (Gateway redirect)
Routing zwischen zwei PfSense - Nutzung von public IP
Desweiteren hast du falsche Subnetzmasken benutzt in den Allowed IPs der Peers. Siehe WG Tutorial!
Auch ist deine IP Adresswahl für den internen Tunnel und das lokale LAN nicht gerade intelligent so das es früher oder später zu VPN Problemen kommt. Infos zur VPN Adressierungs Thematik findest du HIER.
Wenn du das korrigierst sollte es sofort zum Spielen kommen.
Eine WG Praxiskonfiguration findest du u.a. hier.

Hallo,

Vielen Dank für die Antwort!

Da ich eine schnelle Lösung brauchte, habe ich die Geräte über Tailscale konfiguriert und bis jetzt funktioniert alles, obwohl ich mir bezüglich der Sicherheit nicht sicher bin, ob Tailscale ok ist oder nicht.

Sobald ich etwas Zeit habe, werde ich mir die ganzen Links, die du mir geschickt hast, anschauen und irgendwann nochmal mit Wireguard versuchen.

Danke.

obwohl ich mir bezüglich der Sicherheit nicht sicher bin, ob Tailscale ok ist oder nicht.

Generell sind diese externen VPN Anbieter unsicher. Ganz besonders die öffentlichen ala NordVPN usw.
Ist also immer ein Vabanque Spiel mit Restrisiko.
Wenn du wirklich auf Nummer sicher gehen willst machst du das immer selber mit eigener HW und entsprechenden Krypto Credentials.

irgendwann nochmal mit Wireguard versuchen.

Oder eben IPsec mit Strongswan. Ist noch sicherer und hat den großen Vorteil das du bei Clients nicht wieder mit externer (überflüssiger) VPN Software rumfrickeln musst. Zusätzlich löst dir das nftables Setup auch gleich das NAT Problem. 😉

Wenn's das denn war bitte nicht vergessen deinen Thred hier dann als erledigt zu markieren!

Vielen Dank!

werde ich auf jeden Fall auch einen Blick auf IPsec mit Strongswan werfen.

damit ist das Thred erst erledigt ;)

German solved Question VPN

Hotly discussed

Wireguard with systemd and nftablesLinuxero - 9 Comments