Wireguard VPN (oder andere alternative) - Kompletter Traffic routen
Guten Morgen
Ich habe bisher mit OpenVPN und mit Wireguard VPN einige Tests gemacht.
OpenVPN (Kostenlose Version): Hier habe ich es hinbekommen einen VPN einzurichten mit wem der Traffic über mein Heimnetzwerk geht. Die IP ist die meines Heimnetzwerkes, und ich kann meine Clients und server mit servername.domäne.tld anpingen. Was hier z.B: leider nicht funktioniert hat ist, dass der VPN auch für Netzwerkspiele verwendet werden kann. Ich kann im Spiel zwar die IP der mit durch den VPN vergeben wurde auswählen, die beiden Clients sehen sich trotzdem nicht.
OpenVPN AS: Hier habe ich noch keine genauen tests gemacht ob das Verhalten anders wäre.
Wireguard: Einerseits wollte ich mal schauen wie dieser ist da er immer mehr empfohlen wird, und ich dachte da ich durch das Spielethema so oder so weiter schauen musste teste ich diesen. Da ich beim Wireguard noch einige Anlaufschwierigkeiten habe, habe ich das mit den Spielen entsprechend auch noch nicht getestet. Ich hoffe natürlich das ihr mir hier weiterhelfen könnt
Meine Serverkonfiguration
Mein Client:
Mit dieser Variante habe ich auf meinem Client danach die public IP meines Providers Zuhause. Ein Ping auf meinen internen DNS Server 10.10.1.250 klappt nicht, und auch mit dc1.domain.tld klappt es nicht.
Auf dem Server habe ich dann nach einem anderen Tutorial die AllowerIPs die folgt angepasst:
AllowedIPs = 10.10.81.0/24 10.10.1.0/24: Ergebnis: Ping geht nicht, der rest ist unverändert
AllowedIPs = 0.0.0.0/0: Ergebnis: Der Client hat keine Internetverbindung mehr, und ich komme im Heimnetzwerk nicht mehr per SSH auf meinen VPN Server
Was ist mein Ziel:
Welche VPN Software soll eingesetzt werden:
Dies spielt mir eigentlich nicht so eine Rolle. Früher wurde immer OpenVPN empfohlen, nun kommt langsam Wireguard. Ich habe eine UniFi USG, wobei hier die VPN Möglichkeiten extrem bescheiden sind. Dann habe ich einen ESXi wo ich etwas Virtualisieren kann. So läuft aktuell auch OpenVPN und Wireguard.
Es darf aber natürlich auch zusätzliche Hardware sein die etwas kosten darf. Schön wäre es wenn es nicht grad hohe Jährliche Kosten generieren würde.
Ich bedanke mich schon jetzt für jede Hilfestellung.
Gruss
Koda
Ich habe bisher mit OpenVPN und mit Wireguard VPN einige Tests gemacht.
OpenVPN (Kostenlose Version): Hier habe ich es hinbekommen einen VPN einzurichten mit wem der Traffic über mein Heimnetzwerk geht. Die IP ist die meines Heimnetzwerkes, und ich kann meine Clients und server mit servername.domäne.tld anpingen. Was hier z.B: leider nicht funktioniert hat ist, dass der VPN auch für Netzwerkspiele verwendet werden kann. Ich kann im Spiel zwar die IP der mit durch den VPN vergeben wurde auswählen, die beiden Clients sehen sich trotzdem nicht.
OpenVPN AS: Hier habe ich noch keine genauen tests gemacht ob das Verhalten anders wäre.
Wireguard: Einerseits wollte ich mal schauen wie dieser ist da er immer mehr empfohlen wird, und ich dachte da ich durch das Spielethema so oder so weiter schauen musste teste ich diesen. Da ich beim Wireguard noch einige Anlaufschwierigkeiten habe, habe ich das mit den Spielen entsprechend auch noch nicht getestet. Ich hoffe natürlich das ihr mir hier weiterhelfen könnt
Meine Serverkonfiguration
[Interface]
Address = 10.10.81.1/24
Address = fddc:980e:a378:5c2::/64
SaveConfig = true
ListenPort = 51820
PrivateKey = .................
[Peer]
PublicKey = ..............
AllowedIPs = 10.10.81.0/24
Mein Client:
[Interface]
PrivateKey = ..............
Address = 10.10.81.2/32
DNS = 10.10.1.250, 8.8.8.8
[Peer]
PublicKey = .....
AllowedIPs = 0.0.0.0/1, 128.0.0.0/1
Endpoint = .......:51820
PersistentKeepalive = 5
Mit dieser Variante habe ich auf meinem Client danach die public IP meines Providers Zuhause. Ein Ping auf meinen internen DNS Server 10.10.1.250 klappt nicht, und auch mit dc1.domain.tld klappt es nicht.
Auf dem Server habe ich dann nach einem anderen Tutorial die AllowerIPs die folgt angepasst:
AllowedIPs = 10.10.81.0/24 10.10.1.0/24: Ergebnis: Ping geht nicht, der rest ist unverändert
AllowedIPs = 0.0.0.0/0: Ergebnis: Der Client hat keine Internetverbindung mehr, und ich komme im Heimnetzwerk nicht mehr per SSH auf meinen VPN Server
Was ist mein Ziel:
- Von Unterwegs den kompletten Traffic über mein Heimnetzwerk leiten (Ich möchte in einem Hotelzimmer auf meine Infrastruktur Zuhause zugreifen können, möchte auf Internetseiten wie Internetbanking kommen ohne das dies über das HotelWLAN gesehen wird)
- Idealerweise möchte ich Netzwerkspiele verwenden können
- Idealerweise möchte ich aus dem VPN zuhause Drucken können (Ich glaube dies ist aber ein anderes Thema da es mit Drucken über VLAN allgemein Probleme gibt)
- Optional: Ich habe für mein WLAN einen Windows NPS Server. Bisher konnte ich diesen nicht schlau für den VPN verwenden. Wenn das klappt wäre es Nice to have aber keine Pflicht
- Optional: Die VPN Verbindung über GPOs oder ähnliches auszurollen. Auch dies ist nur nice to have und eher eine spielerei.
- Edit: Optional: MFA z.b. mit Yubikey
Welche VPN Software soll eingesetzt werden:
Dies spielt mir eigentlich nicht so eine Rolle. Früher wurde immer OpenVPN empfohlen, nun kommt langsam Wireguard. Ich habe eine UniFi USG, wobei hier die VPN Möglichkeiten extrem bescheiden sind. Dann habe ich einen ESXi wo ich etwas Virtualisieren kann. So läuft aktuell auch OpenVPN und Wireguard.
Es darf aber natürlich auch zusätzliche Hardware sein die etwas kosten darf. Schön wäre es wenn es nicht grad hohe Jährliche Kosten generieren würde.
Ich bedanke mich schon jetzt für jede Hilfestellung.
Gruss
Koda
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 614196
Url: https://administrator.de/forum/wireguard-vpn-oder-andere-alternative-kompletter-traffic-routen-614196.html
Ausgedruckt am: 22.12.2024 um 17:12 Uhr
15 Kommentare
Neuester Kommentar
Hallo,
Dann setz' doch mal die client-to-client Option.
Zusätzlich kann Dir natürlich auch noch die Windows-Firewall einen Strich durch die Rechnung machen. Das OpenVPN-Netz sollte von Windows als "Privates Netz" erkannt werden.
Beim Start des Spiels wirst Du normalerweise gefragt, für welche Netzwerkklassen das Spiel Serverdienste anbieten darf. Das muss ebenfalls mit den Firewalleinstellungen übereinstimmen.
Da für gibt es z.B. Optionen wie:
Gruß,
Jörg
Zitat von @KodaCH:
Ich kann im Spiel zwar die IP der mit durch den VPN vergeben wurde auswählen, die beiden Clients sehen sich trotzdem nicht.
Ich kann im Spiel zwar die IP der mit durch den VPN vergeben wurde auswählen, die beiden Clients sehen sich trotzdem nicht.
Dann setz' doch mal die client-to-client Option.
Zusätzlich kann Dir natürlich auch noch die Windows-Firewall einen Strich durch die Rechnung machen. Das OpenVPN-Netz sollte von Windows als "Privates Netz" erkannt werden.
Beim Start des Spiels wirst Du normalerweise gefragt, für welche Netzwerkklassen das Spiel Serverdienste anbieten darf. Das muss ebenfalls mit den Firewalleinstellungen übereinstimmen.
Von Unterwegs den kompletten Traffic über mein Heimnetzwerk leiten
Da für gibt es z.B. Optionen wie:
- push-route
- push-dns
Gruß,
Jörg
OpenVPN (Kostenlose Version):
OpenVPN ist immer kostenlos !!Was hier z.B: leider nicht funktioniert hat ist, dass der VPN auch für Netzwerkspiele verwendet werden kann.
Deine OpenVPN Serverkonfig oben ist unvollständig und fehlerhaft, deshalb ist sie leider wenig hilfreich für eine zielführende und helfende Antwort ! Vermutlich arbeitest du wie Kollege @117471 oben schon vermutet hat mit Split Tunneling, also einem push route... Kommando.
Wenn du aber den gesamten Client Traffic übers das VPN via Heimnetz ins Internet schicken willst benötigst du statt des push route... Kommandos einen Gateway Redirect (push "redirect-gateway... Kommando) !!
Ein OpenVPN Konfig Fehler der häufig gemacht wird aber leider nur geraten weil deine aktuelle OVPN Server Konfig fehlt hier.
Das hiesige OpenVPN Tutorial:
Merkzettel: VPN Installation mit OpenVPN
erklärt dir das im Kapitel "Konfiguration VPN Server" haarklein im Detail und auf welche Konfig Kommandos du da besonders achten musst !
Passe das entsprechend an, dann klappt das mit dem Gaming auch sofort !
Hallo,
Stimmt - ich habe die Optionen verwechselt.
Gruß,
Jörg
Zitat von @aqui:
Wenn du aber den gesamten Client Traffic übers das VPN via Heimnetz ins Internet schicken willst benötigst du statt des push route... Kommandos einen Gateway Redirect (push "redirect-gateway... Kommando) !!
Wenn du aber den gesamten Client Traffic übers das VPN via Heimnetz ins Internet schicken willst benötigst du statt des push route... Kommandos einen Gateway Redirect (push "redirect-gateway... Kommando) !!
Stimmt - ich habe die Optionen verwechselt.
Gruß,
Jörg
Puh, da weiß man ja wirklich gar nicht wo man anfangen soll.
Du hast offenbar keinen Ansatz von Netzwerkkenntnissen, oder? Du versuchst hier irgendwas zusammenzubasteln und gibst den Hilfestellern einfach nur Bruchstücke an Infos. So wird das nix.
Hinweise der Hilfesteller ignorierst Du komplett (client-to-client).
Auch verstehst Du nicht warum beim Redirect-GW die Clients plötzlich kein Internet mehr haben, kleiner Hinweis, Du musst diese Clients (Source) NATten damit sie über den Remote-Server ins Internet kommen.
Ich würde erstmal bei den Basics anfangen bevor Du versuchst möglicherweise schlecht konfigurierte VPN Netze an den Start zu bringen.
Du hast offenbar keinen Ansatz von Netzwerkkenntnissen, oder? Du versuchst hier irgendwas zusammenzubasteln und gibst den Hilfestellern einfach nur Bruchstücke an Infos. So wird das nix.
Hinweise der Hilfesteller ignorierst Du komplett (client-to-client).
Auch verstehst Du nicht warum beim Redirect-GW die Clients plötzlich kein Internet mehr haben, kleiner Hinweis, Du musst diese Clients (Source) NATten damit sie über den Remote-Server ins Internet kommen.
Ich würde erstmal bei den Basics anfangen bevor Du versuchst möglicherweise schlecht konfigurierte VPN Netze an den Start zu bringen.
Hallo,
ich bin ehrlich: Du hast Dir nicht einmal die Mühe gemacht, meinen und Aquis Beitrag durchzulesen.
Sorry, ich bin raus. Probier' mal weiterhin willkürlich herum - vielleicht bekommst Du es irgendwann durch Zufall zum Laufen.
Gruß,
Jörg
ich bin ehrlich: Du hast Dir nicht einmal die Mühe gemacht, meinen und Aquis Beitrag durchzulesen.
Sorry, ich bin raus. Probier' mal weiterhin willkürlich herum - vielleicht bekommst Du es irgendwann durch Zufall zum Laufen.
Gruß,
Jörg
damit geht aber aktuell wie gesagt kein Spielen untereinander. z.B. bei Read Alert 3 sehen sich die Spieler nicht.
Du meinst damit das sich die VPN Clients untereinander "sehen" sollen also eine Client zu Client Kommunikation möglich sein soll, richtig ?Das ist auch vollkommen logisch das das bei dir nicht geht, denn wie der Kollege @Gauss23 oben schon richtig sagt fehlt das Kommando client-to-client dafür in deiner Server Konfig. Ohne das lässt OpenVPN keine Client zu Client Kommunikation zu !
Sollte man aber als OpenVPN Profi wie du eigentlich wissen.
– client-to-client
Because the OpenVPN server mode handles multiple clients through a single tun or tap interface, it is effectively a router. The –client-to-client flag tells OpenVPN to internally route client-to-client traffic rather than pushing all client-originating traffic to the TUN/TAP interface.When this option is used, each client will “see” the other clients which are currently connected. Otherwise, each client will only see the server. Don’t use this option if you want to firewall tunnel traffic using custom, per-client rules.
https://openvpn.net/community-resources/reference-manual-for-openvpn-2-4 ...
Wenn du zudem noch allen Client Trafic in den Tunnel routen willst um ihn über deinen Heimanschluss zu schleusen, dann musst du alle push route 10.10.... Kommandos durch ein push "redirect-gateway def1 bypass-dhcp" ersetzen.
Nebenbei:
Es ist unsinnig alle diese Einzelnetze immer mit einzelnen push route... Kommandos einzugeben. Du hast diese ja schon sehr vorausschauend und intelligent gesubnettet das das so umständlich nicht nötig ist.
Ein einfaches push "route 10.10.0.0 255.255.248.0" mit einem 21 Bit Prefix hätte das auch erledigt für alle Netze bis .7.0. Mit einem 20 Bit Prefix (255.255.240.0) bis .15.0 oder mit 16 Bit (255.255.0.0)dann eben das gesamte 10.10.0.0er Subnetz.
Ich bin mal gegen alle und jeden ... Spass.
Link >> Zerotier
Anmelden, Clients auf den Rechnern einrichten, im privaten Netzwerk (Zerotier Dashboard) zulassen die Clients zulassen und fertig.
Haettest schon lange gluecklich spielen koennen. Fuer solche Anwendungen ist das ideal.
VG Sato
Link >> Zerotier
Anmelden, Clients auf den Rechnern einrichten, im privaten Netzwerk (Zerotier Dashboard) zulassen die Clients zulassen und fertig.
Haettest schon lange gluecklich spielen koennen. Fuer solche Anwendungen ist das ideal.
VG Sato
Ist aber einer der gruseligen öffentlichen VPN Anbieter. Die schnüffeln User bekanntlich massiv aus und erstellen detailierte Profile zur Vermarktung. Sicher und vertraulich ist dort nix. Der Anbieter ist zudem kein EU Unternehmen und ist deshalb nicht an die DSGVO gebunden.
Bei solchen Unternehmen erweist man sich mit der Nutzung einen Bärendienst und kommt vom Regen in die Traufe. Ein absolutes NoGo wem die eigene Datensicherheit etwas wert ist ! Solche Binsenweisheiten kennt aber auch jeder kundige Netzwerker und der TO oben tut wahrlich gut daran das in Eigenregie zu machen !
Seine Konfig Fehler sind zudem minimal Flüchtigkeitsfehler die schnell behoben sind. Als "Workaround" auf sowas dann zu verweisen ist im Hinblick auf die o.a. Fakten dann natürlich fataler Unsinn.
Bei solchen Unternehmen erweist man sich mit der Nutzung einen Bärendienst und kommt vom Regen in die Traufe. Ein absolutes NoGo wem die eigene Datensicherheit etwas wert ist ! Solche Binsenweisheiten kennt aber auch jeder kundige Netzwerker und der TO oben tut wahrlich gut daran das in Eigenregie zu machen !
Seine Konfig Fehler sind zudem minimal Flüchtigkeitsfehler die schnell behoben sind. Als "Workaround" auf sowas dann zu verweisen ist im Hinblick auf die o.a. Fakten dann natürlich fataler Unsinn.
Ok, ich nehme Deine Aeusserung mal so hin.
Ich lese mir gerade nochmal den Eingangspost durch und lese da spielen und WLAN von unterwegs und Unify ... und dann lese ich mir Deinen Post nochmal durch, denke an WLAN, spielen auf Windows von Microsoft, Internet und Google oder FF, vllt Mobile (iOS o. Android) und ganz besonders Unify und ... und ... und ... dann hoer ich auf ueber Deinen Post nachzudenken.
Schoenen Tag noch.
VG Sato
Ich lese mir gerade nochmal den Eingangspost durch und lese da spielen und WLAN von unterwegs und Unify ... und dann lese ich mir Deinen Post nochmal durch, denke an WLAN, spielen auf Windows von Microsoft, Internet und Google oder FF, vllt Mobile (iOS o. Android) und ganz besonders Unify und ... und ... und ... dann hoer ich auf ueber Deinen Post nachzudenken.
Schoenen Tag noch.
VG Sato
Hallo,
der Denkfehler dabei: Es gibt einfach keine Notwendigkeit dafür. Ein eigenes VPN ist in kurzer Zeit aufgesetzt.
Und dass es schlichtweg verboten ist, bestimmte Daten über nichteuropäische Server zu blasen, sollte sich inzwischen auch herumgesprochen haben.
Gruß,
Jörg
der Denkfehler dabei: Es gibt einfach keine Notwendigkeit dafür. Ein eigenes VPN ist in kurzer Zeit aufgesetzt.
Und dass es schlichtweg verboten ist, bestimmte Daten über nichteuropäische Server zu blasen, sollte sich inzwischen auch herumgesprochen haben.
Gruß,
Jörg
Zitat von @117471:
Und dass es schlichtweg verboten ist, bestimmte Daten über nichteuropäische Server zu blasen, sollte sich inzwischen auch herumgesprochen haben.
Hallo Joerg, den merke ich mir ... ;) Kann man auch den Eindruck gewinnen das man sich damit gar nicht richtig beschaeftigt hat, was bei Zerotier oder Tailscale dann so 'im Internet rumgeblasen' wird. Entspricht irgendwie nicht ganz ... Naja, ich ueberlasse das mal den Profis hier.Und dass es schlichtweg verboten ist, bestimmte Daten über nichteuropäische Server zu blasen, sollte sich inzwischen auch herumgesprochen haben.