anwinkler
Goto Top

Wireguard auf RASPI Hinter Ipifire

Hallo,
mein Netzwerk:
Fritz->Ipfire->switch
ich habe mir auf einen Raspi 4 einen Wireguard VPN Server erstellt.
Portforwarding ip4 ist aktiv für alle Netze
in der Fritz habe ich Portforwarding auf die Ipfire erstellt
hier im grünen Netz den Wireguard Server an den Switcg angeschlossen. Somit dachte ich habe ich dann bei erfolgreicher Verbindung Zugriff auf das Grüne Netz da ich mich ja im selben befinde. Gehr leider nicht.

Ich kann mich verbinden mit Android und Notebook von außen aber kein Internet und kein Zugriff auf mein Lan.
Was fehlt hier noch um mir den Zugriff auf mein Netz zu erlauben?

Openvpn läuft auf der IPFire problemlos. ich will mir bei Wireguard aber selbst ein Urteil erlauben können wie die Performance ist.

Oder sollte ich den Wireguardserver in die DMZ stellen und dann eine Regel erstellen das Orange Zugriff auf Grün hat?
Was ist hier der richtige Weg? Wie würde so eine Regel für die Ipfire gena aussehen?

wäre nett wenn mir hier jemand helfen könnte

Content-ID: 1376874394

Url: https://administrator.de/forum/wireguard-auf-raspi-hinter-ipifire-1376874394.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

BirdyB
BirdyB 11.10.2021 um 14:53:01 Uhr
Goto Top
Moin,
hast du denn auch auf deiner IPFire die Route zum Wireguard-Server angelegt?

VG
anwinkler
anwinkler 11.10.2021 um 15:02:15 Uhr
Goto Top
ja habe ich
10.6.0.0/24 via 192.168.150.27 dev green0 proto static

gateway ist dann doch der raspi mit seiner Adresse??
BirdyB
BirdyB 11.10.2021 um 15:07:22 Uhr
Goto Top
Zitat von @anwinkler:

ja habe ich
10.6.0.0/24 via 192.168.150.27 dev green0 proto static

gateway ist dann doch der raspi mit seiner Adresse??

Korrekt. Hast du auf dem Raspi das IPv4-Forwarding aktiviert?
anwinkler
anwinkler 11.10.2021 um 15:09:17 Uhr
Goto Top
jepp und kontrolliert
aqui
aqui 11.10.2021 aktualisiert um 17:14:53 Uhr
Goto Top
Hier steht wie man es richtig umsetzt:
Merkzettel: VPN Installation mit Wireguard
Machst du mit deiner Kombination FritzBox IPFire doppeltest NAT und Firewalling wie HIER beschrieben ??
Wenn ja, bedenke dann das du doppeltes Port Forwarding machen musst. FritzBox auf IPFire und IPFire auf Wireguard Server !!
Tip:
Du solltest die IPFire Gurke gegen etwas Aktuelles wie pfSense oder OPNsense tauschen. Die haben WireGuard über die Paket Verwaltung gleich mit an Bord ! Da kannst du dir den (überflüssigen) RasPi als Durchlauferhitzer dann sparen.
können wie die Performance ist.
Guckst du hier.
anwinkler
Lösung anwinkler 12.10.2021 um 08:27:35 Uhr
Goto Top
Moin,

hab mein Fehler eben gefunden. Habe vergessen die beiden Zeilen einzufügen
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -A FORWARD -o wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -D FORWARD -o wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

zu deiner anderen Meinung hinsichtlich ipfire. Ich bin damit durchaus zufrieden und es gibt eigentlich keinen Grund zu wechseln. Betreibe diese Firewall auch bei 2 Verbänden. Hatte mich im Vorfeld auch mit den beiden anderen Kandidaten beschäftigt mich dann aber eben für die Ipfire entschieden. Sicherlich sind alle gut denke ich . Nun aber zu wechseln würde kein Sinn machen. Es leutet mir ja auch ein das die Macher dieses Projekts hinsichtlich Wireguard durchaus berechtigte Argumente haben dies nicht in ipfire umzusetzen. Vielleicht in Zukunft aber eben momentan noch nicht. Hinsichtlich performance habe ich eben mal einen Testgemacht ob meine Geschwindigkeit hier schneller ist aber kann ich erst mal nicht bestätigen. Eine 822MB Iso lade ich mit beiden VPN Varianten genauso schnell oder langsam runter ca 7min.

Danke an alle die hier mitgeholfen haben um mir Denkanstöße zu geben.
aqui
aqui 12.10.2021 um 10:22:41 Uhr
Goto Top
NAT / Masquerading in eigenen VPN zu machen ist völlig unsinnig, denn es erzwingt damit eine Routing Einbahnstrasse und verhindert eine bidirektionale Kommunikation.
Gut, kann sinnvoll sein in Firmennetzen wo man lediglich immer nur von Außenstelle zur Zentrale kommuniziert und lokale LANs so abschottet aber nie andersrum kommuniziert.
Soll es aber beidseitig sein ist NAT/Maquerading dann überflüssiger Unsinn und kostet zudem unnötig viel Performance im VPN Tunnel. Bei dir also auch ein Performance Killer da du NAT aktiv hast.
anwinkler
anwinkler 12.10.2021 um 11:41:18 Uhr
Goto Top
ok aber im Vergleich zu openvpn, welches ja auch keine anderen Rahmenbedingungen bei mir hat ist es auch nicht schneller
aqui
aqui 12.10.2021 um 12:42:37 Uhr
Goto Top
Laut Wireguard selber sollte es das aber sein:
wg
Die Praxis zeigt in der Regel auch das dem so ist wenn man einmal mit NetIO oder iPerf3 misst.
anwinkler
anwinkler 12.10.2021 um 13:54:05 Uhr
Goto Top
tja da sehen wir wieder mal das es in der praxis nicht so sein muß. Ich habe das zwar nicht gemessen aber ausprobiert. Auch ein Test mit "Lan-Speed-Test" zeigte mir dies so.
Ich habe das heute morgen von Arbeit aus getestet. Habe hier eine 6000 DSL Leitung an der mei n Notebook hängt.
Ich verbinde mich jeweils mit openvpn direkt mit meiner ipfire und lade über ein Netzlaufwerk eine iso mit 822mb.
Das gleiche dann mit einer wireguard Verbindung.

Vor meiner Fritz hängt die ipfire.

Ich kann es auch verifizieren wenn ich jeweils eine RDP Verbindung auf ein Notebook in dem Netz versuche. Bein Openvpn geht das sofort und genauso schnell wie lokal nach meinem Empfinden. Wenn ich das unter wireguard probiere dann steht das Fenster ca 10sek still das ich erst dachte mein NOtebook hat sich aufgehangen und dann plötzlich kommt der Login. Die Icons sind dann etwas pixelig und es geht hakelig, was ich bei Openvpn Verbindung nicht beobachten kann.

Gut Openvpn wird direkt auf der ipfire abgewickelt und Wireguard auf dem Rasperry 4, aber der sollte doch dafür leistungsfähig genug sein dafür.

Den Flaschenhals NAT haben beide Varianten. Vorteil Wireguard ist nur die Schnelligkeit der Verbindung.

In einenm Verband den ich betreue wird sehr oft im Homeoffice gearbeitet und ich habe es dort so eingerichtet das die Kollegen sich auf Ihren Rechner lokal per RDP verbinden können. Ich dachte nun ich kann es etwas performanter gestalten durch wireguard was sich aber leider als falsch herausstellt. Ich betreibe den Openvpn mit SHA-2 265bit und AES-CBC 256bit, mit TLS Absicherung.

Wüsste jetzt nicht was ich noch anders machen sollte. Einen Linuxserver dort aufzustellen wollte ich mir verkneifen und lt. Recherche sollte der Raspi 4 in jedem Fall reichen um ordentlich Speed zu zeigen.

Noch ein Hinweis?
aqui
aqui 12.10.2021 aktualisiert um 15:43:27 Uhr
Goto Top
Ich habe das zwar nicht gemessen aber ausprobiert.
Keine gute Vorgehensweise in der IT und besonders im Netzwerk. Weisst du auch selber. Du hast somit überhaupt keinerlei Information für welche Paket Größe welche Performance gilt. Misst dann vermutlich mit dem so oder dafür völlig ungeeigntenen SMB/CIFS. Das ist dann "Shooting in the Dark".
Wenn ich das unter wireguard probiere dann steht das Fenster ca 10sek still
Vermutlich dann eine MTU und/oder MSS Problematik mit Fragmentierung. Hast du das mal gecheckt ?
Gut Openvpn wird direkt auf der ipfire abgewickelt und Wireguard auf dem Rasperry 4
Gibt es da bis heute wirklich kein IPFire Package oder Plugin für Wireguard ? Das wäre ja VPN technisch Steinzeit. Kann man sich eigentlich nicht vorstellen das IPFire da so rückständig bleibt wo alle anderen das zumindestens als externens Package anbieten.
Den Flaschenhals NAT haben beide Varianten.
Ja, aber nur wenn man es sinnloserweise aktiviert. Normal arbeitet man in privaten VPNs logischerweise immer ohne NAT. Wozu sollte es auch gut sein..?! Gut bei dir im Firmenumfeld ist das was anderes, keine Frage.
das die Kollegen sich auf Ihren Rechner lokal per RDP verbinden können.
Ein simpler und auch guter Klassiker... face-wink
Aber wenn du das so löst ist die Performance des VPNs so oder so völlig Wumpe. Remote Terminal Anwendung benötigen minimalste Daten, da würd, salopp gesagt, 64 kBit/s ISDN Bandbreite reichen. Da ist die VPN Performance völlig irrelevant. OK, natürlich nicht wenn man mit 100 Usern und mehr gleichzeitig zu tun hat, das ist klar.
Openvpn mit SHA-2 265bit und AES-CBC 256bit
CBC gilt als nicht mehr ganz so sicher. GCM wäre die bessere Wahl...nur zur Info:
https://m.heise.de/security/artikel/Kryptographie-in-der-IT-Empfehlungen ...
Einen Linuxserver dort aufzustellen wollte ich mir verkneifen und lt. Recherche sollte der Raspi 4 in jedem Fall reichen
Ja, das wäre auch Unsinn und der RasPi4 reicht. Allerdings ist das ja alles dann doppelt gemoppelt und eigentlich Unsinn. Die ideale Lösung wäre den WG dann auch auf der IPFire laufen zu lassen.
Aber bei deinen geringen VPN Anforderungen ist das eh vergebene Liebesmüh' und du kannst dann auch ruhigen Gewissens bei OpenVPN bleiben. Never touch a running System ! face-wink
anwinkler
anwinkler 12.10.2021 um 18:04:28 Uhr
Goto Top
Hallo aqui, ich werfe mal folgenden Betrag aus der Cummunity ins Rennen warum wireguard bisher und vielleicht nie den Weg in ipfire finden wird
https://community.ipfire.org/t/installing-wireguard-on-ipfire/2969

Ansonsten Danke für deine Ausführungen, auch hinsichtlich AES, habe ich eben geändert
aqui
aqui 12.10.2021, aktualisiert am 01.01.2024 um 14:24:22 Uhr
Goto Top
Immer gerne ! face-smile
Und....IPsec native und mit L2TP sind ja auch schöne (VPN) Töchter... 😉

Guckst du dazu auch hier:
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Mikrotik Router als L2TP VPN Server für Clients