18
Wireguard via 443
Hallo erstmal 
Ich habe eine pfSense und benutze Wireguard. Funktioniert alles einwandfrei.
Zusätzlich läuft HA Proxy für verschiedene Dienste.
Da ich beruflich im In und Ausland die zur Verfügung gestellten Wifi Hotspots benutzen (muss, weil keine Alternative), und diese Militärischen Ursprungs sind haben wir dort einige Einschränkungen. Der andere „Anbieter“ wäre die UN. Leider funktioniert dort mein Wireguard VPN Tunnel nicht….
Gibt es eine Möglichkeit trotzdem eine VPN Verbindung aufzubauen? (Quasi VPN in VPN 😆)
Wireguard wäre mir am liebsten, kann aber andere VPN Service Installieren.
Danke schon mal
Ich habe eine pfSense und benutze Wireguard. Funktioniert alles einwandfrei.
Zusätzlich läuft HA Proxy für verschiedene Dienste.
Da ich beruflich im In und Ausland die zur Verfügung gestellten Wifi Hotspots benutzen (muss, weil keine Alternative), und diese Militärischen Ursprungs sind haben wir dort einige Einschränkungen. Der andere „Anbieter“ wäre die UN. Leider funktioniert dort mein Wireguard VPN Tunnel nicht….
Gibt es eine Möglichkeit trotzdem eine VPN Verbindung aufzubauen? (Quasi VPN in VPN 😆)
Wireguard wäre mir am liebsten, kann aber andere VPN Service Installieren.
Danke schon mal
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 7256665188
Url: https://administrator.de/contentid/7256665188
Printed on: June 23, 2024 at 02:06 o'clock
18 Comments
Latest comment
Willst du das wirklich? Denn je nachdem was du als "Ausland" siehst sollte dir klar sein das man solche Tunnel recht schnell in jeder Firewall sieht. Und zwar selbst dann wenns nicht mal ne besonders hochwertige ist (da eben http-/https-traffic idR. nicht permanent ist und über ggf. Stunden andauert). Bei hochwertigen dürfte es sogar mal direkt in die Reports gehen da eben sich der Traffic vom erwarteten unterscheidet.
Hier würde ich also wenn mal nachfragen ob das so gestattet ist. Wenn dem so ist dann ist es kein technisches Problem (höchstens eines der Geschwindigkeit die am Ende dabei rumkommt). Deinem VPN ist es ja erstmal egal worüber es geht - und sofern das Gateway dann auf das bestehende VPN zeigt gehts halt darüber... Und solange dir klar ist (und du ggf. die Erlaubnis dafür hast) das dort so ziemlich jedes System sagen sollte "Liebe Admins, hier macht jemand Unsinn" ist das kein grosses Problem. OB das gestattet wird hängt dabei eher von den Admins ab (wobei die bei sowas idR eher negativ eingestellt sind da du über dein VPN ja auch alles an Viren usw. laden könntest) und natürlich von deiner Position...
Und nur am Rande: Solltest du denken "merkt schon keiner" - klar KANN das funktionieren. Dir sollte aber eben auch klar sein das du damit idR. privat für alle Schäden haftbar bist wenn du eben genau diese Schutzmechanismen umgehst. Das ist ja nicht nur DEIN Rechner sondern ggf. das gesamte Netzwerk, Server,... die dann überprüft werden müssen. Bei den Kosten kannst du dann im normalfall nur noch schnell zum nächsten Baumarkt rennen und dir nen Strick kaufen bevor selbst dafür das Geld nich mehr reicht....
Hier würde ich also wenn mal nachfragen ob das so gestattet ist. Wenn dem so ist dann ist es kein technisches Problem (höchstens eines der Geschwindigkeit die am Ende dabei rumkommt). Deinem VPN ist es ja erstmal egal worüber es geht - und sofern das Gateway dann auf das bestehende VPN zeigt gehts halt darüber... Und solange dir klar ist (und du ggf. die Erlaubnis dafür hast) das dort so ziemlich jedes System sagen sollte "Liebe Admins, hier macht jemand Unsinn" ist das kein grosses Problem. OB das gestattet wird hängt dabei eher von den Admins ab (wobei die bei sowas idR eher negativ eingestellt sind da du über dein VPN ja auch alles an Viren usw. laden könntest) und natürlich von deiner Position...
Und nur am Rande: Solltest du denken "merkt schon keiner" - klar KANN das funktionieren. Dir sollte aber eben auch klar sein das du damit idR. privat für alle Schäden haftbar bist wenn du eben genau diese Schutzmechanismen umgehst. Das ist ja nicht nur DEIN Rechner sondern ggf. das gesamte Netzwerk, Server,... die dann überprüft werden müssen. Bei den Kosten kannst du dann im normalfall nur noch schnell zum nächsten Baumarkt rennen und dir nen Strick kaufen bevor selbst dafür das Geld nich mehr reicht....
Dieses Netzwerk gibt es nur für die “Soziale Betreuung”, und soll auch benützt werden…
Ich betreibe auch kein Unfug damit, aber da ich oft Monatelang dort bin, muss ich ab und an in mein Smarthome hineinschauen, bzw vom NAS mal Dokumente laden, etc.
Klar könnte ich jetzt jeden Service über https laufen lassen, aber ich will nicht jeden Server/Nas im Internet exposen.
Gibt es sonst andere Ideen?
Ich betreibe auch kein Unfug damit, aber da ich oft Monatelang dort bin, muss ich ab und an in mein Smarthome hineinschauen, bzw vom NAS mal Dokumente laden, etc.
Klar könnte ich jetzt jeden Service über https laufen lassen, aber ich will nicht jeden Server/Nas im Internet exposen.
Gibt es sonst andere Ideen?
Leider funktioniert dort mein Wireguard VPN Tunnel nicht….
Rennt dein Tunnel denn aktuell auf UDP 443? Leider machst du in Bezug zu deiner Überschrift dazu ja keinerlei hilfreiche Aussage. 
Alternativ stelle den Tunnel mal auf einen Port in der Range der Ephemeral Ports zw. 49152 und 65535 um. In der Regel werden diese nicht gescannt. Wenn die Netzwerk Admins an dem Standort aber eine wasserdichte Firewall haben wirst du vermutlich auch damit nichts. Ebenso alternative VPN mit IPsec oder SSTP wo du keine Option zur Portwahl hast.
Dein einziger Ausweg ist dann das sog. VPN für Arme wo du über einen SSH Tunnel mit TCP 22 gehst. SSH wird in der Regel nie gesperrt.
https://www.heise.de/tipps-tricks/SSH-Tunnel-nutzen-so-geht-s-4320041.ht ...
Alternativ kannst du OpenVPN versuchen wo du ja den Port auch frei wählen kannst. Wenn du dort auf TCP 443 gehst oder einen anderen Port der nicht gesperrt werden kann könnte es klappen.
Wenn die Admins dort allerdings eine Content aware Firewall betreiben bist du chancenlos, dann bleibt dir nur dein Smartphone Tethering.
Versuch macht klug...
Port 443 ist ja mal gut, aber dort wird halt 443/udp gesperrt sein.
Wireguard geht über UDP
Alternativ: OpenVPN über TCP/443. Da hast die besten Chancen.
Wireguard geht über UDP
Alternativ: OpenVPN über TCP/443. Da hast die besten Chancen.
2
Kein Feedback vom TO ist ja auch ein Feedback!
Danke für das Feedback, werd mir mal paar sachen mit OpenVPN anschauen und es vorab konfigurieren, weil von dort aus hab ich keine Möglichkeit mehr auf meine Sense zuzugreifen…
Im moment läuft Wireguard auf 51820
Smartphone Tethering ist keine leider keine Option. Dort kostet 1Mb ca. 1 Niere 😆
Im moment läuft Wireguard auf 51820
Smartphone Tethering ist keine leider keine Option. Dort kostet 1Mb ca. 1 Niere 😆
SSH Tunnel für Wireguard ist schnell gebaut (hier mal per manuellen Steps)
/etc/ssh/sshd_config
IP dem Tunnel-Device vergeben
IP dem Tunnel-Device vergeben
Nun Wireguard über den Tunnel aufbauen (Endpoint am Client ist dann 10.90.0.1:51820 /evt. Firewall-Regel für das Interface nicht vergessen). IP-Adressierung lässt sich natürlich später automatisch setzen.
Gruß
Server-Config
/etc/ssh/sshd_configPermitTunnel yesClient
ssh -w 0:0 user@remote.tldip address add dev tun0 10.90.0.2/30
ip link set dev tun0 upServer
IP dem Tunnel-Device vergebenip address add dev tun0 10.90.0.1/30
ip link set dev tun0 upNun Wireguard über den Tunnel aufbauen (Endpoint am Client ist dann 10.90.0.1:51820 /evt. Firewall-Regel für das Interface nicht vergessen). IP-Adressierung lässt sich natürlich später automatisch setzen.
Gruß
Im moment läuft Wireguard auf 51820
Das ist nicht immer eine intelligente Idee....Es ist nicht selten das Provider auf einfachen Consumer Anschlüssen und auch Hotspot Betreiber die üblichen Default VPN Protokoll Ports blockieren. Es mach also immer Sinn nicht den Default Port 51820 von Wireguard in seinen Setups zu verwenden um dem sicher aus dem Weg zu gehen sondern einen anderen Port aus dem freien Bereich der Ephemeral Ports zw. 49152 und 65535 wie z.B. 57820 oder 60821 usw.
Hab nochmal eine frage:
Gibt es eine Anleitung wo OpenVPN auf eine pfSense mit HAProxy (mit mehreren https/443 Services) zugreift?
Ich würde gerne openvpb.meinedomain.de anlegen... ist das möglich?
Danke
Gibt es eine Anleitung wo OpenVPN auf eine pfSense mit HAProxy (mit mehreren https/443 Services) zugreift?
Ich würde gerne openvpb.meinedomain.de anlegen... ist das möglich?
Danke
Technisch sehr wahrscheinlich gar nicht möglich wenn der Proxy auch TCP 443 verwendet. Das 2 Dienste den gleichen TCP Port verwenden ist bekanntlich nicht möglich.
Ausnahme ist du wechselst auf UDP Encapsulation, was man bei VPNs so oder so immer machen sollte wegen des Overheads und der mit TCP zwangsläufig auftauchenden MTU Problematiken im VPN. Normalerweise ein NoGo...
Mal ganz davon abgesehen das man das bekanntlich schlecht performante und wenig skalierende OpenVPN damit noch schlechter macht.
Ein Bild sagt mehr als 1000 Worte warum das so ist:
Deutlich sinnvoller ist IMMER die onboard VPN Client in allen Endgeräten auch für VPN zu nutzen statt mit eigentlich überflüssigen externen Clients rumzufrickeln.
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Ausnahme ist du wechselst auf UDP Encapsulation, was man bei VPNs so oder so immer machen sollte wegen des Overheads und der mit TCP zwangsläufig auftauchenden MTU Problematiken im VPN. Normalerweise ein NoGo...
Mal ganz davon abgesehen das man das bekanntlich schlecht performante und wenig skalierende OpenVPN damit noch schlechter macht.
Ein Bild sagt mehr als 1000 Worte warum das so ist:
Deutlich sinnvoller ist IMMER die onboard VPN Client in allen Endgeräten auch für VPN zu nutzen statt mit eigentlich überflüssigen externen Clients rumzufrickeln.
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Hallo muss jetzt langsam mal mit dem Umsetzen anfangen.
Ich habe mittlerweile Wireguard auf einen freien Port aus dem freien Bereich der Ephemeral Ports gelegt.
Nun habe ich bisschen mit OpenVPN herumprobiert. (Läuft auch, Testweise TCP/11443)
Auf meiner pfSense läuft ein HAProxy. Mit einigen Services auf TCP443. Wie kann ich HAProxy für OpenVPN via TCP443 benutzen?
Danke
Ich habe mittlerweile Wireguard auf einen freien Port aus dem freien Bereich der Ephemeral Ports gelegt.
Nun habe ich bisschen mit OpenVPN herumprobiert. (Läuft auch, Testweise TCP/11443)
Auf meiner pfSense läuft ein HAProxy. Mit einigen Services auf TCP443. Wie kann ich HAProxy für OpenVPN via TCP443 benutzen?
Danke
Ja der Proxy verwendet TCP443. Ich habe keinen Plan was du meinst, bzw was es ist, geschweige wie ich es einrichten würde.
Wie kann ich HAProxy für OpenVPN via TCP443 benutzen?
Indem du den Proxy auch auf dem virtuellen OpneVPN tun Interface aktivierst. Das ist ja das Interface was Clients ansprechen die via OpenVPN zugreifen.Der Proxy muss also einmal auf dem WAN Interface und auf dem tun Interface lauschen.
Ich habe zwei Dienste auf TCP443 laufen. Ich dachte ich kann OpenVPN als dritten Dienst nicht laufen lassen?
Klar, das geht. OpenVPN hat ja auch nichts mit der Proxy Funktion zu tun. Du musst nur absolut sicher stellen das der interne (Konfig)Webserver nicht bei einem TCP 443 Request antwortet! Das machst du indem du den Admin Konfig Zugang für das WAN und das OpenVPN tun Interface in den Advanced Settings excludest.
Zitat von @aqui:
Klar, das geht. OpenVPN hat ja auch nichts mit der Proxy Funktion zu tun. Du musst nur absolut sicher stellen das der interne (Konfig)Webserver nicht bei einem TCP 443 Request antwortet! Das machst du indem du den Admin Konfig Zugang für das WAN und das OpenVPN tun Interface in den Advanced Settings excludest.
Klar, das geht. OpenVPN hat ja auch nichts mit der Proxy Funktion zu tun. Du musst nur absolut sicher stellen das der interne (Konfig)Webserver nicht bei einem TCP 443 Request antwortet! Das machst du indem du den Admin Konfig Zugang für das WAN und das OpenVPN tun Interface in den Advanced Settings excludest.
Hallo aqui welchen Konfigwebserver meinst du?
Ich betreibe einige TCP443 Webpages hinter meinem HAProxy welche ich mit ACLs und Host Matches anspreche...
Kann mit einer subdomain openvpn.lustigedomain.com und HAProxy mittels ACL auf mein Backend "OpenVPN" zeigen?
Und welche Advanced Settings meinst du?
Danke glg
welchen Konfigwebserver meinst du?
Das Setup GUI eines Gerätes rennt ja nicht einfach nur so. Dahinter verbirgt sich ja immer einer der üblichen Webserver. Das war damit gemeint. Das Gerät selber als Host reagiert ja auch auf HTTPS (TCP 443) Anfragen an seine eigene IP und muss logischerweise erkennen können ob es nun selber gemeint ist mit seinem Setup GUI oder ob es diesen TCP 443 Traffic irgendwohin weiterreichen soll. Das muss man ihm ja explizit sagen, denn grundsätzlich ist dieser Traffic ja gleich.Das war damit gemeint...
Ich stell mir gerade die frage wie ich in HAProxy auf meinen OpenVPN Server "umbiege".
Muss ja im Backend eine IP+Port angeben. Oder denk ich falsch?
openvpn.lustigedomain.com -> WAN-IP:TCP443 (HAProxy)
glg
Muss ja im Backend eine IP+Port angeben. Oder denk ich falsch?
openvpn.lustigedomain.com -> WAN-IP:TCP443 (HAProxy)
glg