10
WireGuard-Verbindung vom Android in ein Site-2-Site Netzwerk aufbauen
Guten Tag,
ich habe zwei Standorte über zwei pfSense mit Wireguard verbunden.
Gegenwärtig habe ich auf meinem Android-Handy einen OpenVPN-Client installiert, mit dem ich auf beide Standorte jeweils über TCP und UDP zugreifen kann. Aus Geschwindigkeitsvorteil möchte ich den Wireguard-Client nutzen. Wie gehe ich vor?
Ist es besser, daß der Client vom Handy auf den bestehenden Tunnel (Site2Site) zugreift, siozusagen als dritte Site oder baue ich dazu einen neuen Wireguard-Tunnel auf, in dem alle mobilen Clients eingestellt sind?
Wenn jemand einen Link zu einem Tutorial empfehlen kann, wäre mir damit schon gedient.
Danke für Eure Antworten und schöne Weihnachten!
ich habe zwei Standorte über zwei pfSense mit Wireguard verbunden.
Gegenwärtig habe ich auf meinem Android-Handy einen OpenVPN-Client installiert, mit dem ich auf beide Standorte jeweils über TCP und UDP zugreifen kann. Aus Geschwindigkeitsvorteil möchte ich den Wireguard-Client nutzen. Wie gehe ich vor?
Ist es besser, daß der Client vom Handy auf den bestehenden Tunnel (Site2Site) zugreift, siozusagen als dritte Site oder baue ich dazu einen neuen Wireguard-Tunnel auf, in dem alle mobilen Clients eingestellt sind?
Wenn jemand einen Link zu einem Tutorial empfehlen kann, wäre mir damit schon gedient.
Danke für Eure Antworten und schöne Weihnachten!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 670331
Url: https://administrator.de/forum/wireguard-verbindung-vom-android-in-ein-site-2-site-netzwerk-aufbauen-670331.html
Ausgedruckt am: 02.02.2025 um 10:02 Uhr
10 Kommentare
Neuester Kommentar
Mahlzeit.
His Lordship @aqui hat hier so manches Tutorial verfasst. Auch gewiss zu diesem Thema :D
Merkzettel: VPN Installation mit Wireguard
Clients hinter Mini Reise router mit openVPN
Gruß
Marc
His Lordship @aqui hat hier so manches Tutorial verfasst. Auch gewiss zu diesem Thema :D
Merkzettel: VPN Installation mit Wireguard
Clients hinter Mini Reise router mit openVPN
Gruß
Marc
2
@radiogugu
Vielen Dank für die Tutorials von @aqui. Wieso habe ich nicht selbst daran gedacht???
Kannt Du mir bitte noch auf die schnelle beantworten, ob ich die mobilen Clients zu meinem bestehenden VPN-Tunnel der Site2Site-Verbindung hinzufüge oder ob ich einebn zweiten Tunnel einrichten soll?
Da ich mich mit OpenVPN in meine beiden Netzwerke (Office und Zuhause) über beide pfSenses einwählen kann, komme ich im Bedarf an meine Daten. Ziel des Aufbaus mit dem Wireguard ist es, mit Plex auf meine NAS zuzugreifen, da dieses im Gegensatz zu OpenVPN schneller ist und ich dadurch "auch mal streamen kann" wenn ich unterwegs bin
Vielen Dank für die Tutorials von @aqui. Wieso habe ich nicht selbst daran gedacht???
Kannt Du mir bitte noch auf die schnelle beantworten, ob ich die mobilen Clients zu meinem bestehenden VPN-Tunnel der Site2Site-Verbindung hinzufüge oder ob ich einebn zweiten Tunnel einrichten soll?
Da ich mich mit OpenVPN in meine beiden Netzwerke (Office und Zuhause) über beide pfSenses einwählen kann, komme ich im Bedarf an meine Daten. Ziel des Aufbaus mit dem Wireguard ist es, mit Plex auf meine NAS zuzugreifen, da dieses im Gegensatz zu OpenVPN schneller ist und ich dadurch "auch mal streamen kann" wenn ich unterwegs bin
Kannt Du mir bitte noch auf die schnelle beantworten, ob ich die mobilen Clients zu meinem bestehenden VPN-Tunnel der Site2Site-Verbindung hinzufüge oder ob ich einebn zweiten Tunnel einrichten soll?
Du kannst die als weitere Peers mit eigenen Keys dem bestehenden WG-Interface auf dem Server hinzufügen, das geht problemlos.Meine Empfehlung: Wenn du diese Clients aber mit einem anderen Firewall-Berechtigungs-Satz behandeln willst und es mit der Zeit mehr werden, macht aber ein separates WG Interface definitiv mehr Sinn und die Verwaltung einfacher.
Gruß gastric
2
@151183
Vielen Dank! Ich habe jetzt meinen ersten Android-Client verbunden. Der Einfachheit halber als Peer am WireGuard-Tunnel zu Hause. Ich habe die IP*s 10.10.10.0 als Tunnel, 10.10.10.1 für Office, 10.10.10.2 für Zuhause und 10.10.10.3 für das Handy.
In diesem Zusammenhang ist mir aufgefallen, daß ich sofort in das LAN zu Hause 192.168.3.0/24 komme aber nicht in das LAN im Office 192.168.2.0/24. Im Handy habe ich als DNS-Server 10.10.10.2 für den Peer "Zuhause" und als Allowed IP's 0.0.0.0/0. Wo muß ich noch einstellen, damit ich von dem LAN zu Hause auch in das LAN im Office komme? Wahrscheinlich naiv zu denken, daß wenn ich mit dem Handy über Wireguard ins LAN zu Hause komme, dann automatisch in das LAN im Office - da mein LAN zu Hause über WireGuard bereits mit dem LAN im Office verbunden ist...
Der Handyclient funkioniert nur dann, wenn ich Port 51820 auf die pfSense-Adresse weiterleite. In meinem Fall ist es 192.168.3.1. Das habe ich in einem anderen Beitrag zur OPNSense gefunden. Hier verste´he ich nicht, weshalb die Site2Site-Verbindung zwischen Office und Zuhause funktioniert, ohne daß dabei die Ports 51820 weitergeleitet werden. Woran liegt dies?
Vielen Dank! Ich habe jetzt meinen ersten Android-Client verbunden. Der Einfachheit halber als Peer am WireGuard-Tunnel zu Hause. Ich habe die IP*s 10.10.10.0 als Tunnel, 10.10.10.1 für Office, 10.10.10.2 für Zuhause und 10.10.10.3 für das Handy.
In diesem Zusammenhang ist mir aufgefallen, daß ich sofort in das LAN zu Hause 192.168.3.0/24 komme aber nicht in das LAN im Office 192.168.2.0/24. Im Handy habe ich als DNS-Server 10.10.10.2 für den Peer "Zuhause" und als Allowed IP's 0.0.0.0/0. Wo muß ich noch einstellen, damit ich von dem LAN zu Hause auch in das LAN im Office komme? Wahrscheinlich naiv zu denken, daß wenn ich mit dem Handy über Wireguard ins LAN zu Hause komme, dann automatisch in das LAN im Office - da mein LAN zu Hause über WireGuard bereits mit dem LAN im Office verbunden ist...
Der Handyclient funkioniert nur dann, wenn ich Port 51820 auf die pfSense-Adresse weiterleite. In meinem Fall ist es 192.168.3.1. Das habe ich in einem anderen Beitrag zur OPNSense gefunden. Hier verste´he ich nicht, weshalb die Site2Site-Verbindung zwischen Office und Zuhause funktioniert, ohne daß dabei die Ports 51820 weitergeleitet werden. Woran liegt dies?
Wo muß ich noch einstellen, damit ich von dem LAN zu Hause auch in das LAN im Office komme?
Bedenke das die AllowedIPs auf dem Office WG dieses Zuhause-Subnetz inkludieren muss wenn du ohne NAT durchroutest denn sonst lässt der dich wegen dem Cryptokey-Routing nicht rein 😉.Die AllowedIPs bestimmen was in den Tunnel darf und was aus ihm ankommen darf.
Hier verste´he ich nicht, weshalb die Site2Site-Verbindung zwischen Office und Zuhause funktioniert, ohne daß dabei die Ports 51820 weitergeleitet werden. Woran liegt dies?
Schau wer die Verbindung aktiv aufbaut, nur beim Responder muss der Port explizit weitergeleitet bzw. geöffnet werden ...2
His Lordship
Oha, mit soviel Lorbeeren kann ich gar nicht umgehen! 😉Wenn jemand einen Link zu einem Tutorial empfehlen kann
Außer den oben schon genannten ist das hier was genau dein Setup trifft:Wireguard Site-to-Side mit Road Warrior
⚠️ Man achte auf die Masken im internen VPN Netz und den AllowedIPs!
Ggf. auch eine sinnvolle und vorausschauende VPN IP Adressierung beachten!
Lesen und verstehen...
1
Ich habe jetzt einen funktionierenden Tunnel für Site2Site und für einen dritten Handyclient aufgebaut. Soweit mir alles verständlich.
Nun habe ich laut den verschiedenen Tutorials einen zweiten VPN-Tunel aufgebaut, und
1) Im Gegensatz zu der Site2Site-Verbindung und weil die Tutorials es nicht vorsehen, habe ich bei diesem Tunnel kein Interface erstellt, sondern die IP 10.10.20.1/24 vergeben, listen auf Port 51821.
2) Zu diesem Tunnel gibt es den Peer Handy mit der IP 10.10.20.2/32.
3) Im NAT wird der Port 51821 auf die IP 192.168.3.1 Port 51821 weitergeleitet. Das ist die Adresse der pfSense.
4) Ich habe eine Firewall-Regel unter WAN erstellt: protocol UDP source any destination WAN address port 51821.
5) Ich habe eine weitere Firewall-Regel unter WireGuard erstellt: protocol any, source any, destination WAN port any gateway any.
6) Der Peer (Android-Handy) auf der pfSense hat allowed IP 10.10.20.2/32 eingetragen.
7) Auf dem Adroid steht im Client: die Adresse der pfSense 10.10.20.2/32, DNS Server 192.168.3.1 (pfSense) und Allowed IPs 0.0.0.0/0. Im Endpoint meine feste öffentliche IP:51821.
Ich bekomme ein Handshake, komme aber nicht ins LAN. Gestestet über WLAN und LTE.
Was fehlt noch? Ich habe keine statischen Routen eingetragen.
Ich habe es selbst behoben: ein zweites Interface (OPT2) angelegt und eine Firewall-Regel für das Interface angelegt, damit IPv4 vom Client weitergeleitet wird.
Jetzt bleibt nur noch eine letzte Frage und dann ist mein Weihnachten perfekt...:
Welche Regel muß ich wo erstellen, damit ich mit meinem Android-Handy, das sich nun (nur) mit meinem LAN zu Hause verbindet, auch in das LAN im Büro gelangt? Danke!
Nun habe ich laut den verschiedenen Tutorials einen zweiten VPN-Tunel aufgebaut, und
1) Im Gegensatz zu der Site2Site-Verbindung und weil die Tutorials es nicht vorsehen, habe ich bei diesem Tunnel kein Interface erstellt, sondern die IP 10.10.20.1/24 vergeben, listen auf Port 51821.
2) Zu diesem Tunnel gibt es den Peer Handy mit der IP 10.10.20.2/32.
3) Im NAT wird der Port 51821 auf die IP 192.168.3.1 Port 51821 weitergeleitet. Das ist die Adresse der pfSense.
4) Ich habe eine Firewall-Regel unter WAN erstellt: protocol UDP source any destination WAN address port 51821.
5) Ich habe eine weitere Firewall-Regel unter WireGuard erstellt: protocol any, source any, destination WAN port any gateway any.
6) Der Peer (Android-Handy) auf der pfSense hat allowed IP 10.10.20.2/32 eingetragen.
7) Auf dem Adroid steht im Client: die Adresse der pfSense 10.10.20.2/32, DNS Server 192.168.3.1 (pfSense) und Allowed IPs 0.0.0.0/0. Im Endpoint meine feste öffentliche IP:51821.
Was fehlt noch? Ich habe keine statischen Routen eingetragen.
Ich habe es selbst behoben: ein zweites Interface (OPT2) angelegt und eine Firewall-Regel für das Interface angelegt, damit IPv4 vom Client weitergeleitet wird.
Jetzt bleibt nur noch eine letzte Frage und dann ist mein Weihnachten perfekt...:
Welche Regel muß ich wo erstellen, damit ich mit meinem Android-Handy, das sich nun (nur) mit meinem LAN zu Hause verbindet, auch in das LAN im Büro gelangt? Danke!
1.)
Musst du auch nicht. Ein Interface wird pro Client, egal ob Site-to-Site oder Endgeräte, nur einmal erstellt! Das Interface ist ja lediglich die interne IP Adressierung im internen VPN Netz.
3.)
Das ist einzig nur dann relevant wenn man die Firewall in einer Router Kaskade mit doppeltem NAT betreibt, nicht aber mit einem nur Modem direkt am Internet. Für die eigentliche VPN Funktion ist dieses Setting belanglos.
4.)
Das ist korrekt. Siehe auch Tutorial für die Regel am WAN Port!
5.)
Scheunentor, aber kann man natürlich machen wenn man damit leben kann?!
7.)
Ein Redirect ist immer die schlechteste Option aus Performance Gründen. Besser ist immer mit Split Tunneling zu arbeiten. Es sei denn du willst unbedingt zwingend sämtlichen Traffic am Client in den Tunnel schieben was nur in wenigen Fällen Sinn macht. Auch diese Thematik behandelt das Tutorial ausführlich und hast du ja sicher auch gelesen? 🧐
Du musst im Android Client (und nur da!) lediglich beide Zielnetze in den AllowedIPs eintragen, damit Traffic für das Firmen IP Netz in den VPN Tunnel geroutet werden. Das bestimmt der Parameter AllowedIPs! Vermutlich hast du schlicht und einfach das Firmennetz dort vergessen?!
In der dir oben geposteten Konfig "mobiler Winblows Client" ist das zu sehen mit dem "Garten-" und dem "Zuhause" Netzwerk .88.0 und .188.0. Dies entspricht exakt dem was auch in deiner Androiden Gurke zu konfigurieren ist.
Auch das ist im WG Tutorial oben haarklein erklärt. Man muss es nur mal lesen und anwenden.
Musst du auch nicht. Ein Interface wird pro Client, egal ob Site-to-Site oder Endgeräte, nur einmal erstellt! Das Interface ist ja lediglich die interne IP Adressierung im internen VPN Netz.
3.)
Das ist einzig nur dann relevant wenn man die Firewall in einer Router Kaskade mit doppeltem NAT betreibt, nicht aber mit einem nur Modem direkt am Internet. Für die eigentliche VPN Funktion ist dieses Setting belanglos.
4.)
Das ist korrekt. Siehe auch Tutorial für die Regel am WAN Port!
5.)
Scheunentor, aber kann man natürlich machen wenn man damit leben kann?!
7.)
Ein Redirect ist immer die schlechteste Option aus Performance Gründen. Besser ist immer mit Split Tunneling zu arbeiten. Es sei denn du willst unbedingt zwingend sämtlichen Traffic am Client in den Tunnel schieben was nur in wenigen Fällen Sinn macht. Auch diese Thematik behandelt das Tutorial ausführlich und hast du ja sicher auch gelesen? 🧐
ein zweites Interface (OPT2) angelegt
Sinnfrei und überflüssig...aber mit Frickelei bekommt man das natürlich auch irgendwie hin. Siehe hier oder auch hier.Welche Regel muß ich wo erstellen, damit ich mit meinem Android-Handy, das sich nun (nur) mit meinem LAN zu Hause verbindet
Gar keine Regel! Du hast ja oben überall schon eine Scheunentorregel die alles erlaubt.Du musst im Android Client (und nur da!) lediglich beide Zielnetze in den AllowedIPs eintragen, damit Traffic für das Firmen IP Netz in den VPN Tunnel geroutet werden. Das bestimmt der Parameter AllowedIPs! Vermutlich hast du schlicht und einfach das Firmennetz dort vergessen?!
In der dir oben geposteten Konfig "mobiler Winblows Client" ist das zu sehen mit dem "Garten-" und dem "Zuhause" Netzwerk .88.0 und .188.0. Dies entspricht exakt dem was auch in deiner Androiden Gurke zu konfigurieren ist.
Auch das ist im WG Tutorial oben haarklein erklärt. Man muss es nur mal lesen und anwenden.
1
@aqui
Merci beaucoup!
Wenn ich Deiner Skizze Haus-Garten-Mobil nach die zwei statischen Routen eintragen soll, dann sollten diese bei mir so aussehen:
Office (Dein Zuhause)
Route 1: 10.10.10.0/24 - Netz meine WG-Tunnels -> 192.168.2.1 - IP meiner pfSense
Route 2: 192.168.3.0/24 - Netz Zuhause (Dein Garten) -> 192.168.2.1 - IP meiner Pfsense
Hier läßt mich pfSense bei der Erstellung der statischen Route eintragen:
Destination network (also WG-Netz und LAN Zuhause) und Gateway. Dort sehe ich aber nicht das Gateway der pfSense. Ich habe dort nur die Auswahl von WAN (mit IP meines Providers), das WG-Interface und den Localhost. Wenn ich Localhost auswähle, bekomme ich beim Speichern den Fehler, daß es eine Konflikt mit dem wg_Interface gibt.
Ich kann auch kein Gateway mit der IP der pfSense in meinem Fall 192.168.3.1 erstellen, weil auch da wird ein Koflikt gemeldet.
Wo bzw wie sonst kann ich die benötigten statischen Routen eintragen? Bzw. muß ich für jede pfSense ein eigenes Interface erstellen, damit ich dann die statische Route erstellen kann?
Merci beaucoup!
Wenn ich Deiner Skizze Haus-Garten-Mobil nach die zwei statischen Routen eintragen soll, dann sollten diese bei mir so aussehen:
Office (Dein Zuhause)
Route 1: 10.10.10.0/24 - Netz meine WG-Tunnels -> 192.168.2.1 - IP meiner pfSense
Route 2: 192.168.3.0/24 - Netz Zuhause (Dein Garten) -> 192.168.2.1 - IP meiner Pfsense
Hier läßt mich pfSense bei der Erstellung der statischen Route eintragen:
Destination network (also WG-Netz und LAN Zuhause) und Gateway. Dort sehe ich aber nicht das Gateway der pfSense. Ich habe dort nur die Auswahl von WAN (mit IP meines Providers), das WG-Interface und den Localhost. Wenn ich Localhost auswähle, bekomme ich beim Speichern den Fehler, daß es eine Konflikt mit dem wg_Interface gibt.
Ich kann auch kein Gateway mit der IP der pfSense in meinem Fall 192.168.3.1 erstellen, weil auch da wird ein Koflikt gemeldet.
Wo bzw wie sonst kann ich die benötigten statischen Routen eintragen? Bzw. muß ich für jede pfSense ein eigenes Interface erstellen, damit ich dann die statische Route erstellen kann?
Wo bzw wie sonst kann ich die benötigten statischen Routen eintragen? Bzw. muß ich für jede pfSense ein eigenes Interface erstellen, damit ich dann die statische Route erstellen kann?
Für jede Gegenstelle ein Gateway mit dessen IP im Transfernnetz anlegen und die statische Route diesem GW zuweisen.GW anlegen
Statische Route anlegen
1
