hell.yeah
Goto Top

Wireguard via 443

Hallo erstmal face-smile
Ich habe eine pfSense und benutze Wireguard. Funktioniert alles einwandfrei.
Zusätzlich läuft HA Proxy für verschiedene Dienste.

Da ich beruflich im In und Ausland die zur Verfügung gestellten Wifi Hotspots benutzen (muss, weil keine Alternative), und diese Militärischen Ursprungs sind haben wir dort einige Einschränkungen. Der andere „Anbieter“ wäre die UN. Leider funktioniert dort mein Wireguard VPN Tunnel nicht….

Gibt es eine Möglichkeit trotzdem eine VPN Verbindung aufzubauen? (Quasi VPN in VPN 😆)

Wireguard wäre mir am liebsten, kann aber andere VPN Service Installieren.

Danke schon mal

Content-ID: 7256665188

Url: https://administrator.de/contentid/7256665188

Printed on: December 9, 2024 at 04:12 o'clock

maretz
maretz May 22, 2023 at 03:38:34 (UTC)
Goto Top
Willst du das wirklich? Denn je nachdem was du als "Ausland" siehst sollte dir klar sein das man solche Tunnel recht schnell in jeder Firewall sieht. Und zwar selbst dann wenns nicht mal ne besonders hochwertige ist (da eben http-/https-traffic idR. nicht permanent ist und über ggf. Stunden andauert). Bei hochwertigen dürfte es sogar mal direkt in die Reports gehen da eben sich der Traffic vom erwarteten unterscheidet.

Hier würde ich also wenn mal nachfragen ob das so gestattet ist. Wenn dem so ist dann ist es kein technisches Problem (höchstens eines der Geschwindigkeit die am Ende dabei rumkommt). Deinem VPN ist es ja erstmal egal worüber es geht - und sofern das Gateway dann auf das bestehende VPN zeigt gehts halt darüber... Und solange dir klar ist (und du ggf. die Erlaubnis dafür hast) das dort so ziemlich jedes System sagen sollte "Liebe Admins, hier macht jemand Unsinn" ist das kein grosses Problem. OB das gestattet wird hängt dabei eher von den Admins ab (wobei die bei sowas idR eher negativ eingestellt sind da du über dein VPN ja auch alles an Viren usw. laden könntest) und natürlich von deiner Position...

Und nur am Rande: Solltest du denken "merkt schon keiner" - klar KANN das funktionieren. Dir sollte aber eben auch klar sein das du damit idR. privat für alle Schäden haftbar bist wenn du eben genau diese Schutzmechanismen umgehst. Das ist ja nicht nur DEIN Rechner sondern ggf. das gesamte Netzwerk, Server,... die dann überprüft werden müssen. Bei den Kosten kannst du dann im normalfall nur noch schnell zum nächsten Baumarkt rennen und dir nen Strick kaufen bevor selbst dafür das Geld nich mehr reicht....
hell.yeah
hell.yeah May 22, 2023 at 05:40:26 (UTC)
Goto Top
Dieses Netzwerk gibt es nur für die “Soziale Betreuung”, und soll auch benützt werden…
Ich betreibe auch kein Unfug damit, aber da ich oft Monatelang dort bin, muss ich ab und an in mein Smarthome hineinschauen, bzw vom NAS mal Dokumente laden, etc.
Klar könnte ich jetzt jeden Service über https laufen lassen, aber ich will nicht jeden Server/Nas im Internet exposen.

Gibt es sonst andere Ideen?
aqui
Solution aqui May 22, 2023 updated at 07:27:55 (UTC)
Goto Top
Leider funktioniert dort mein Wireguard VPN Tunnel nicht….
Rennt dein Tunnel denn aktuell auf UDP 443? Leider machst du in Bezug zu deiner Überschrift dazu ja keinerlei hilfreiche Aussage. face-sad
Alternativ stelle den Tunnel mal auf einen Port in der Range der Ephemeral Ports zw. 49152 und 65535 um. In der Regel werden diese nicht gescannt. Wenn die Netzwerk Admins an dem Standort aber eine wasserdichte Firewall haben wirst du vermutlich auch damit nichts. Ebenso alternative VPN mit IPsec oder SSTP wo du keine Option zur Portwahl hast.

Dein einziger Ausweg ist dann das sog. VPN für Arme wo du über einen SSH Tunnel mit TCP 22 gehst. SSH wird in der Regel nie gesperrt.
https://www.heise.de/tipps-tricks/SSH-Tunnel-nutzen-so-geht-s-4320041.ht ...
Alternativ kannst du OpenVPN versuchen wo du ja den Port auch frei wählen kannst. Wenn du dort auf TCP 443 gehst oder einen anderen Port der nicht gesperrt werden kann könnte es klappen.
Wenn die Admins dort allerdings eine Content aware Firewall betreiben bist du chancenlos, dann bleibt dir nur dein Smartphone Tethering.
Versuch macht klug... face-wink
rickstinson
Solution rickstinson May 23, 2023 at 14:41:26 (UTC)
Goto Top
Port 443 ist ja mal gut, aber dort wird halt 443/udp gesperrt sein.

Wireguard geht über UDP

Alternativ: OpenVPN über TCP/443. Da hast die besten Chancen.
aqui
aqui May 23, 2023 at 14:56:49 (UTC)
Goto Top
Kein Feedback vom TO ist ja auch ein Feedback! face-sad
hell.yeah
hell.yeah May 23, 2023 at 15:15:39 (UTC)
Goto Top
Danke für das Feedback, werd mir mal paar sachen mit OpenVPN anschauen und es vorab konfigurieren, weil von dort aus hab ich keine Möglichkeit mehr auf meine Sense zuzugreifen…

Im moment läuft Wireguard auf 51820

Smartphone Tethering ist keine leider keine Option. Dort kostet 1Mb ca. 1 Niere 😆
7010350221
7010350221 May 23, 2023 updated at 16:07:39 (UTC)
Goto Top
SSH Tunnel für Wireguard ist schnell gebaut (hier mal per manuellen Steps)

back-to-topServer-Config

/etc/ssh/sshd_config
PermitTunnel yes

back-to-topClient

ssh -w 0:0 user@remote.tld
IP dem Tunnel-Device vergeben
ip address add dev tun0 10.90.0.2/30
ip link set dev tun0 up

back-to-topServer

IP dem Tunnel-Device vergeben
ip address add dev tun0 10.90.0.1/30
ip link set dev tun0 up

Nun Wireguard über den Tunnel aufbauen (Endpoint am Client ist dann 10.90.0.1:51820 /evt. Firewall-Regel für das Interface nicht vergessen). IP-Adressierung lässt sich natürlich später automatisch setzen.

Gruß
aqui
Solution aqui May 23, 2023 updated at 16:31:00 (UTC)
Goto Top
Im moment läuft Wireguard auf 51820
Das ist nicht immer eine intelligente Idee....
Es ist nicht selten das Provider auf einfachen Consumer Anschlüssen und auch Hotspot Betreiber die üblichen Default VPN Protokoll Ports blockieren. Es mach also immer Sinn nicht den Default Port 51820 von Wireguard in seinen Setups zu verwenden um dem sicher aus dem Weg zu gehen sondern einen anderen Port aus dem freien Bereich der Ephemeral Ports zw. 49152 und 65535 wie z.B. 57820 oder 60821 usw.
hell.yeah
hell.yeah May 30, 2023 at 22:20:00 (UTC)
Goto Top
Hab nochmal eine frage:
Gibt es eine Anleitung wo OpenVPN auf eine pfSense mit HAProxy (mit mehreren https/443 Services) zugreift?
Ich würde gerne openvpb.meinedomain.de anlegen... ist das möglich?

Danke
aqui
aqui May 31, 2023, updated at Oct 26, 2023 at 09:06:14 (UTC)
Goto Top
Technisch sehr wahrscheinlich gar nicht möglich wenn der Proxy auch TCP 443 verwendet. Das 2 Dienste den gleichen TCP Port verwenden ist bekanntlich nicht möglich.
Ausnahme ist du wechselst auf UDP Encapsulation, was man bei VPNs so oder so immer machen sollte wegen des Overheads und der mit TCP zwangsläufig auftauchenden MTU Problematiken im VPN. Normalerweise ein NoGo...

Mal ganz davon abgesehen das man das bekanntlich schlecht performante und wenig skalierende OpenVPN damit noch schlechter macht.
Ein Bild sagt mehr als 1000 Worte warum das so ist:
wg

Deutlich sinnvoller ist IMMER die onboard VPN Client in allen Endgeräten auch für VPN zu nutzen statt mit eigentlich überflüssigen externen Clients rumzufrickeln.
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
hell.yeah
hell.yeah Oct 26, 2023 at 01:31:44 (UTC)
Goto Top
Hallo muss jetzt langsam mal mit dem Umsetzen anfangen.

Ich habe mittlerweile Wireguard auf einen freien Port aus dem freien Bereich der Ephemeral Ports gelegt.

Nun habe ich bisschen mit OpenVPN herumprobiert. (Läuft auch, Testweise TCP/11443)

Auf meiner pfSense läuft ein HAProxy. Mit einigen Services auf TCP443. Wie kann ich HAProxy für OpenVPN via TCP443 benutzen?

Danke face-smile
hell.yeah
hell.yeah Oct 26, 2023 at 20:17:46 (UTC)
Goto Top
Ja der Proxy verwendet TCP443. Ich habe keinen Plan was du meinst, bzw was es ist, geschweige wie ich es einrichten würde.
aqui
aqui Oct 27, 2023 at 17:31:29 (UTC)
Goto Top
Wie kann ich HAProxy für OpenVPN via TCP443 benutzen?
Indem du den Proxy auch auf dem virtuellen OpneVPN tun Interface aktivierst. Das ist ja das Interface was Clients ansprechen die via OpenVPN zugreifen.
Der Proxy muss also einmal auf dem WAN Interface und auf dem tun Interface lauschen.
hell.yeah
hell.yeah Oct 28, 2023 at 10:13:57 (UTC)
Goto Top
Ich habe zwei Dienste auf TCP443 laufen. Ich dachte ich kann OpenVPN als dritten Dienst nicht laufen lassen?
aqui
aqui Oct 28, 2023 at 10:49:07 (UTC)
Goto Top
Klar, das geht. OpenVPN hat ja auch nichts mit der Proxy Funktion zu tun. Du musst nur absolut sicher stellen das der interne (Konfig)Webserver nicht bei einem TCP 443 Request antwortet! Das machst du indem du den Admin Konfig Zugang für das WAN und das OpenVPN tun Interface in den Advanced Settings excludest.
hell.yeah
hell.yeah Nov 12, 2023 at 00:56:20 (UTC)
Goto Top
Zitat von @aqui:

Klar, das geht. OpenVPN hat ja auch nichts mit der Proxy Funktion zu tun. Du musst nur absolut sicher stellen das der interne (Konfig)Webserver nicht bei einem TCP 443 Request antwortet! Das machst du indem du den Admin Konfig Zugang für das WAN und das OpenVPN tun Interface in den Advanced Settings excludest.

Hallo aqui welchen Konfigwebserver meinst du?

Ich betreibe einige TCP443 Webpages hinter meinem HAProxy welche ich mit ACLs und Host Matches anspreche...
Kann mit einer subdomain openvpn.lustigedomain.com und HAProxy mittels ACL auf mein Backend "OpenVPN" zeigen?

Und welche Advanced Settings meinst du?

Danke glg
aqui
aqui Nov 12, 2023 updated at 10:45:05 (UTC)
Goto Top
welchen Konfigwebserver meinst du?
Das Setup GUI eines Gerätes rennt ja nicht einfach nur so. Dahinter verbirgt sich ja immer einer der üblichen Webserver. Das war damit gemeint. Das Gerät selber als Host reagiert ja auch auf HTTPS (TCP 443) Anfragen an seine eigene IP und muss logischerweise erkennen können ob es nun selber gemeint ist mit seinem Setup GUI oder ob es diesen TCP 443 Traffic irgendwohin weiterreichen soll. Das muss man ihm ja explizit sagen, denn grundsätzlich ist dieser Traffic ja gleich.
Das war damit gemeint... face-wink
hell.yeah
hell.yeah Nov 20, 2023 at 00:22:44 (UTC)
Goto Top
Ich stell mir gerade die frage wie ich in HAProxy auf meinen OpenVPN Server "umbiege".

Muss ja im Backend eine IP+Port angeben. Oder denk ich falsch?

openvpn.lustigedomain.com -> WAN-IP:TCP443 (HAProxy)

glg