fisi-lehrling
Goto Top

Wireguard Server hinter SSH Tunnel

Hallo zusammen,

ich habe folgendes Tutorial nachgestellt.
Dabei habe ich wie im Video, hinter cgnat, einen Debian Server mit Apache2 aufgesetzt und den SSH Tunnel auf einen VPS Server bei einem Provider, getunnelt.
Jetzt kann ich die Seite per Domain oder public IP erreichen.
SSH Tunnel CGNAT

Meine Frage ist, ob ich auch einen Wireguard Server hinter CGNAT aufsetzen kann und dann den Port 51820 Tunnel kann.
Geht das so einfach wie bei dem Apache2 Tunnel oder müssen da zusätzlich Routen und ähnliches konfiguriert werden.

Danke und Grüße
Lehrling

Content-ID: 42713439592

Url: https://administrator.de/forum/wireguard-server-hinter-ssh-tunnel-42713439592.html

Ausgedruckt am: 22.12.2024 um 03:12 Uhr

aqui
aqui 25.02.2024 aktualisiert um 16:58:19 Uhr
Goto Top
ob ich auch einen Wireguard Server hinter CGNAT aufsetzen kann
Wenn du mit "hinter" dein lokales Netz an einem CG-NAT (DS-Lite) Anschluss meinst und auch von IPv4 redest lautet die Antwort: Nein.
CG-NAT (DS-Lite) Anschlüsse sind generell technisch per IPv4 NICHT für eingehende Verbindungen aus dem Internet erreichbar. Das liegt daran das man da zentrale CG-NAT Gateway des Providers nicht überwinden kann. Intern nutzen CG-NAT Provider bekanntlich im Internet nicht routebare RFC1918 oder RFC6598 IPv4 Adressen.
Ein Server Betrieb als VPN Responder scheidet also aus den o.a. technischen Gründen aus. Nicht aber ein VPN Client (Initiator) der aktiv eine Verbindung zu einem Server ausgehend aufbaut.
Mit IPv6 ist natürlich beides problemlos möglich weil es öffentliche IPv6 Adressen am lokalen Router gibt.

In der Regel löst man das für IPv4 z.B. mit einem vServer als Jumphost. Dieser ist dann mit einer öffentlichen IPv4 Adresse erreichbar.
Ob du da dann IPsec oder Wireguard nutzt ist eher eine kosmetische Frage. Ersteres hat den Vorteil das du bequem immer alle onboard VPN Clients benutzen kannst ohne umständlich mit externer, zusätzlicher Software rumfrickeln zu müssen. face-wink
FISI-Lehrling
FISI-Lehrling 25.02.2024 um 17:11:49 Uhr
Goto Top
Hallo aqui

CG-NAT (DS-Lite) Anschlüsse sind generell technisch per IPv4 NICHT für eingehende Verbindungen aus dem Internet erreichbar. Das liegt daran das man da zentrale CG-NAT Gateway des Providers nicht überwinden kann. Intern nutzen CG-NAT Provider bekanntlich im Internet nicht routebare RFC1918 oder RFC6598 IPv4 Adressen.

Wenn du meine Frage verstanden hättest, dann wäre dir klar gewesen. Das mir das klar ist.
Warum wohl habe ich auf das Video "CGNAT mit SSH Tunnel " verwiesen.

Deshalb ist dort trotz CGNAT eine eingehende Verbindung zum Webserver Apache2 erreichbar.
Meine Frage lautet deshalb, ob dieses Konstrukt auch mit einem Wireguard Server zu machen ist und wenn ja, wie die Konfiguration dann sein müsste.

(Lesen, verstehen, Frage beantworten - Danke)
Der Lehrling
11078840001
Lösung 11078840001 25.02.2024 aktualisiert um 18:17:24 Uhr
Goto Top
Kann man machen, ist aber 🤮, um UDP was Wireguard nutzt über den Tunnel zu jagen bedingt es einiger Umwege da UDP Portforwarding standardmäßig von SSH nicht supported ist.
https://superuser.com/questions/53103/udp-traffic-through-ssh-tunnel
Das ist aber ziemlich mit der heißen Nadel gestrickt und alles andere als schnell, vom doppelten Crypto-Overhead durch SSH und WG mal ganz zu schweigen.
Zielgerichteter wäre es einen Wireguard Server auf dem vServer aufzusetzen und dich aus deinem Heimnetz per Wireguard auf diesen zu verbinden und die Verbindung zu halten.
Die Clients verbinden dann per Wireguard auf den vServer und schon sind die Clients mit deinem Heimnetz gekoppelt, gängige Praxis ...
FISI-Lehrling
FISI-Lehrling 25.02.2024 aktualisiert um 18:42:20 Uhr
Goto Top
Zitat von @11078840001:

Kann man machen, ist aber 🤮, um UDP was Wireguard nutzt über den Tunnel zu jagen bedingt es einiger Umwege da UDP Portforwarding standardmäßig von SSH nicht supported ist.
https://superuser.com/questions/53103/udp-traffic-through-ssh-tunnel
Das ist aber ziemlich mit der heißen Nadel gestrickt und alles andere als schnell, vom doppelten Crypto-Overhead durch SSH und WG mal ganz zu schweigen.
Zielgerichteter wäre es einen Wireguard Server auf dem vServer aufzusetzen und dich aus deinem Heimnetz per Wireguard auf diesen zu verbinden und die Verbindung zu halten.
Die Clients verbinden dann per Wireguard auf den vServer und schon sind die Clients mit deinem Heimnetz gekoppelt, gängige Praxis ...

Hallo abramakabra,

ich danke dir sehr für die Beantwortung der Frage und dass du mir darüberhinaus noch Infos gegeben hast.
Das mit dem Wireguard auf dem V-Server war mir klar, ich konnte nur nicht wirklich was finden, zu dem SSH Tunnel mit Wireguard.

Grüße und danke dir
Lehrling