vafk18
Goto Top

WireGuard-Verbindung vom Android in ein Site-2-Site Netzwerk aufbauen

Guten Tag,

ich habe zwei Standorte über zwei pfSense mit Wireguard verbunden.

Gegenwärtig habe ich auf meinem Android-Handy einen OpenVPN-Client installiert, mit dem ich auf beide Standorte jeweils über TCP und UDP zugreifen kann. Aus Geschwindigkeitsvorteil möchte ich den Wireguard-Client nutzen. Wie gehe ich vor?

Ist es besser, daß der Client vom Handy auf den bestehenden Tunnel (Site2Site) zugreift, siozusagen als dritte Site oder baue ich dazu einen neuen Wireguard-Tunnel auf, in dem alle mobilen Clients eingestellt sind?

Wenn jemand einen Link zu einem Tutorial empfehlen kann, wäre mir damit schon gedient.

Danke für Eure Antworten und schöne Weihnachten!

Content-ID: 670331

Url: https://administrator.de/forum/wireguard-verbindung-vom-android-in-ein-site-2-site-netzwerk-aufbauen-670331.html

Ausgedruckt am: 23.12.2024 um 16:12 Uhr

radiogugu
Lösung radiogugu 23.12.2024 um 14:07:41 Uhr
Goto Top
Mahlzeit.

His Lordship @aqui hat hier so manches Tutorial verfasst. Auch gewiss zu diesem Thema :D

Merkzettel: VPN Installation mit Wireguard

Clients hinter Mini Reise router mit openVPN

Gruß
Marc
vafk18
vafk18 23.12.2024 um 14:36:20 Uhr
Goto Top
@radiogugu
Vielen Dank für die Tutorials von @aqui. Wieso habe ich nicht selbst daran gedacht???

Kannt Du mir bitte noch auf die schnelle beantworten, ob ich die mobilen Clients zu meinem bestehenden VPN-Tunnel der Site2Site-Verbindung hinzufüge oder ob ich einebn zweiten Tunnel einrichten soll?

Da ich mich mit OpenVPN in meine beiden Netzwerke (Office und Zuhause) über beide pfSenses einwählen kann, komme ich im Bedarf an meine Daten. Ziel des Aufbaus mit dem Wireguard ist es, mit Plex auf meine NAS zuzugreifen, da dieses im Gegensatz zu OpenVPN schneller ist und ich dadurch "auch mal streamen kann" wenn ich unterwegs bin face-smile
gastric
Lösung gastric 23.12.2024 aktualisiert um 15:31:27 Uhr
Goto Top
Kannt Du mir bitte noch auf die schnelle beantworten, ob ich die mobilen Clients zu meinem bestehenden VPN-Tunnel der Site2Site-Verbindung hinzufüge oder ob ich einebn zweiten Tunnel einrichten soll?
Du kannst die als weitere Peers mit eigenen Keys dem bestehenden WG-Interface auf dem Server hinzufügen, das geht problemlos.

Meine Empfehlung: Wenn du diese Clients aber mit einem anderen Firewall-Berechtigungs-Satz behandeln willst und es mit der Zeit mehr werden, macht aber ein separates WG Interface definitiv mehr Sinn und die Verwaltung einfacher.

Gruß gastric
vafk18
vafk18 23.12.2024 um 15:31:17 Uhr
Goto Top
@gastric
Vielen Dank! Ich habe jetzt meinen ersten Android-Client verbunden. Der Einfachheit halber als Peer am WireGuard-Tunnel zu Hause. Ich habe die IP*s 10.10.10.0 als Tunnel, 10.10.10.1 für Office, 10.10.10.2 für Zuhause und 10.10.10.3 für das Handy.
In diesem Zusammenhang ist mir aufgefallen, daß ich sofort in das LAN zu Hause 192.168.3.0/24 komme aber nicht in das LAN im Office 192.168.2.0/24. Im Handy habe ich als DNS-Server 10.10.10.2 für den Peer "Zuhause" und als Allowed IP's 0.0.0.0/0. Wo muß ich noch einstellen, damit ich von dem LAN zu Hause auch in das LAN im Office komme? Wahrscheinlich naiv zu denken, daß wenn ich mit dem Handy über Wireguard ins LAN zu Hause komme, dann automatisch in das LAN im Office - da mein LAN zu Hause über WireGuard bereits mit dem LAN im Office verbunden ist...

Der Handyclient funkioniert nur dann, wenn ich Port 51820 auf die pfSense-Adresse weiterleite. In meinem Fall ist es 192.168.3.1. Das habe ich in einem anderen Beitrag zur OPNSense gefunden. Hier verste´he ich nicht, weshalb die Site2Site-Verbindung zwischen Office und Zuhause funktioniert, ohne daß dabei die Ports 51820 weitergeleitet werden. Woran liegt dies?
gastric
gastric 23.12.2024 aktualisiert um 15:38:33 Uhr
Goto Top
Wo muß ich noch einstellen, damit ich von dem LAN zu Hause auch in das LAN im Office komme?
Bedenke das die AllowedIPs auf dem Office WG dieses Zuhause-Subnetz inkludieren muss wenn du ohne NAT durchroutest denn sonst lässt der dich wegen dem Cryptokey-Routing nicht rein 😉.
Die AllowedIPs bestimmen was in den Tunnel darf und was aus ihm ankommen darf.

Hier verste´he ich nicht, weshalb die Site2Site-Verbindung zwischen Office und Zuhause funktioniert, ohne daß dabei die Ports 51820 weitergeleitet werden. Woran liegt dies?
Schau wer die Verbindung aktiv aufbaut, nur beim Responder muss der Port explizit weitergeleitet bzw. geöffnet werden ...
aqui
aqui 23.12.2024 aktualisiert um 16:03:11 Uhr
Goto Top
His Lordship
Oha, mit soviel Lorbeeren kann ich gar nicht umgehen! 😉
Wenn jemand einen Link zu einem Tutorial empfehlen kann
Außer den oben schon genannten ist das hier was genau dein Setup trifft:
Wireguard Site-to-Side mit Road Warrior

⚠️ Man achte auf die Masken im internen VPN Netz und den AllowedIPs!
Lesen und verstehen... face-wink