kleine frage zu wireguard

  • Sieht in meiner Fritze so aus:

    192.168.178.24 ist die IP vom Rechner auf dem der Wireguard-Container läuft.

    Das funktioniert schonmal nicht.

    Die Route sieht auf jeden Fall korrekt aus. Auf meinem Debian Rechner muss ich auch noch das IPv4 und IPv6 Forwarding aktivieren.

    Enabling IP-Forwarding for IPv4 in Debian GNU/Linux

  • the ratman;

    Hattest Du schon IPsec VPN auf der fritte laufen oder ist das Dein erster VPN Versuch ?

    ja, den hatte ich am laufen. aber der ist ja echt mal schrott und, speziell wenn du windoof einbinden willst. glaub, ab win10 erlaubt m$ den schrott gar nicht mehr als "direkten vpn" und die tools dafür unter windoof sind ja mal ... gruselig.

    mein fehler war, dass ich unter anderem auch immer als "backup" den zugriff per https auf die fritte gewährt hatte und auch sonst total unsicher war, was den nun wie geschaltet sein muss, ob "user mit vpn" nötig ist, usw..

  • Wenn ich solche Produkte sehe laeuft immer so ein Film im Kopf ab:

    Was willst Du denn mal werden, wenn Du gross bist, Fritz ?

    Weiss nicht. Mein Psychiater sagt, das ich Sadist bin.

    Na, dann solltest Du Programmierer in der User Experience werden. die zahlen gut und und Du kannst damit die meisten Leute quaelen ohne ins Gefaengnis zu kommen.

    Irgendwie laeuft mein Fritz IPsec immer noch, aber bloss weil ich es nicht anfasse.

    Ansonsten noch vergessen, aber hast Du ja wahrscheinlich eh gesetzt: Es gibt auf der Fritte einige Aktionen wo man im Auslieferungszustand lokal mit Taste am Geraet oder Telefon bestaetigen muss. Wenn man sowas machen will aus der Ferne, dann muss man da irgendwo mal einen Haken setzen...

  • Ganz ehrlich: AVM hat sich auch alle Mühe gegeben IPSec soweit zu vereinfachen das der normale User es auch nutzen kann.

    Wenn man sich dagegen Produkte wie Strongswan anguckt und sieht wie kompliziert das einzurichten ist.

    Da braucht man quasi ein eigenes Studium für.

    Das ist natürlich dann auch extrem kontraproduktiv: Komplexe Systeme mit vielen Möglichkeiten führen nunmal schneller zu fehlkonfigurationen.

  • also was ich bis jetzt sehe - praxis kommt ja erst in 2 wochen - ist wireguard idiotensicher. wenn das nur halb so gut rennt, wie mans auf den ganzen geräten herrichten kann, dann is das gegen ipsec 'ne richtige offenbarung.

    die jungs haben zwar lange gebraucht, aber nu is es ja auf der fritte aufgeschlagen. 0 grund für mich, ip sec aufzuheben.

    sollte wireguard aus mir unerfindlichen gründen nicht gehen, spiel’ ich mich halt mit meiner eigenbau-nas-lösung (openvpn, oder wie das zeug heißt) rum, bis das auch wirklich zuverlässig funzt, oder ich zum 2. mal die geduld verliere. ip sec kommt aber sicher nie wieder ins haus.

    darkside40

    das einrichten is ned so das problem, da hast recht. aber unter win der shrewssoft client (oder wie der heißt), der wurde seit vielen jahren nicht upgedatet, rennt mehr schlecht als recht und hat zumindest auf meinem surface-tablet auch gern mal seine einstellungen vergessen. über die gschw. von ip-sec wurde ja schon geredet - ich fahr in at mit prepaid sim 80/15 mbit ( https://www.drei.at/de/shop/tarife…powernet-sim-l/ ) nach de. davon merkst du mit dem ding nicht wirklich viel

  • Ganz ehrlich: AVM hat sich auch alle Mühe gegeben IPSec soweit zu vereinfachen das der normale User es auch nutzen kann.

    Die Lehrerin in der Familie wuerde sagen:

    Wenn irgendwo steht "hat sich Muehe gegeben", dann heisst das 4 minus.

    Ein Backup der IPsec config zu machen und wieder einspielen ist gruselig, aber das braucht man ja, wenn man nur eine Seite neu aufsetzen muss - weil die andere halt ganz weit weg ist. Zwei sehr aehnliche Dateien, die man beide aktivieren kann aber nur eine funktioniert und so...

    Und wenn es irgendwelche Probleme gibt, dann gibt es NULL Diganose. Keine sinnvollen Logs z.b. Keine Testtools. Da weiss man nicht, wie man schritt fuer schritt alles kontrolliert um Fehler zu finden.

    Under der schlechten GUI ist ja eine volle IPsec config mit komplexer Config. DIe ist z.b. auch nirgendwo im Detail dokumentiert.

    Die ganzen Schwaene sind ja keine Endusertools, sondern maximal fuer Profis geeignet. Da hat man dann aber halt auch alle Linux tools zur Diagnose syslog, debuglevels, tracing, etc. pp.

  • Ich hab WG sowohl auf der FB als auch auf einem UbuntuServer Laufen.

    Ich brauche da nirgends auf der FB eine Route eintragen wenn das Forwarding aktiviert ist.

    Sowohl auf der FB als auch auf dem Server mit einem 10.0.x.x Netz nicht.

    FB -> Erstellen -> Scannen fertig.

    Haben AVM wirklich einfach hinbekommen ;)

    Y.A.R.D.2 IR Receiver / Sender / Wakeup & RTC Wakeup & LCD
    Link

  • Die Route sieht auf jeden Fall korrekt aus. Auf meinem Debian Rechner muss ich auch noch das IPv4 und IPv6 Forwarding aktivieren.

    https://linuxhint.com/enable_ip_forw…4_debian_linux/

    Weil ich grad mit dem Tablet arbeite und damit in config-files rumgruschen doof ist, habe ich gerade beide temporären Varianten getestet: immer noch keine Funktion.

    Der Containerhost ist übrigens die OMV-Kiste...

    Müsste das Gateway nicht eigentlich was aus dem 10.8er Netz sein?

    Zitat von root2

    Merke: Das "S" in "IoT" steht für Sicherheit!

  • Müsste das Gateway nicht eigentlich was aus dem 10.8er Netz sein?

    also.. 10.8er geht nicht, hat die Fritze was dagegen. Muss was aus dem "Heimnetz" sein.

    Interessant und evtl. auf der Lösungssuche behelflich:

    Wireshark zeigt mir als IP für mein Smartphon sowohl auf ebendiesem wie auch in der ServerGUI die 10.8.0.2 bzw. 10.8.0.2/24

    Fing findet zwei Geräte:

    * Router mit der 10.200.0.1

    * "Smartphone" 10.200.8.3

    ?

    Zitat von root2

    Merke: Das "S" in "IoT" steht für Sicherheit!

  • so, heute hab ich mal mein guthaben für austria aufgeladen und gleich mal den tunnel per o2 roaming getestet ... jo, wenn nicht wieder eine kleinigkeit gewesen wäre.

    die fritte hat mir als dns für den wireguard ihre interne ip angelegt. das funzt natürlich extra super - jo, gar ned. (das scheint die fritte so automatisch zu machen, wenn man keine eigenen dns angegeben hat und sie die vom provider nehmen soll)

    ich hab dann mal 9.9.9.9 genommen als dns, schon gehts sogar mit roaming. kann nur ned zu viel spielen, hab nur 30gb daten bei roaming und brauch die für die fahrt in den fronturlaub *g*.

    1) obiges nur als warnung für so noobs wie mich!

    2) ist 9.9.9.9 wirklich vertrauenswürdig, oder auch nur ein pseudo-brauchbarer dns?


    nachtrag für die vorgehensweise wegen richtiger dns (weil scheints unter android das alles nicht so einfach ist):

    entweder in der fritte 'ne eigene dns eintragen und den ganzen sermon des config-downloads und importierens neu machen.

    oder auf einem windoof-pc die dns im wireguard-client selber ändern, das dann als zip speichern, entpacken und an die androiden weiter geben.

    ... ich liebe es, wenns umständlich wird *g*.

  • Quad9 ist halt ein größerer DNS "Anbieter" in>Form einer Stiftung mit Sitz in der Schweiz.

    Dieser Sitz wurde scheinbar extra so gewählt bzgl. Datenschutz etc.

    Die werden ja gerade auch von Sony verklagt weil sich der Piss Konzern nicht an die großen ran traut.

    Meiner Einschätzung nach liegen deine DNS Anfragen da auf jeden Fall besser als bei Google oder Cloudflare, und im gegensatz zu deutschen ISP's werden dort die DNS anfragen nicht zensiert.

  • ist 9.9.9.9 wirklich vertrauenswürdig, oder auch nur ein pseudo-brauchbarer dns?

    Ich bin hier momentan bei dns0.eu hängen geblieben.

    Im Gegensatz zu quad9 haben die ihren Sitz innerhalb der EU (Frankreich) und unterliegen somit der DSGVO. Schnell ist er auch und unterstützt DNS‑over‑HTTPS, DNS‑over‑TLS und DNS‑over‑QUIC.

    Außerdem bieten sie zwei Alternative Resolver "kids" und "zero" an, die für Kinder oder um bösartige Seiten gefilterte Ergebnisse liefern.

  • o.k., das reicht mir eh schon mal für'n anfang. die stiftung muss ja eh nur - ab jetzt - 3 wochen funzen *sfg*.

    dank dir für info.

    nachtrag: ach schön, somit hab ich also auch gleich einen alternativen dns ... thx psychofaktory!

    jetzt bin ich nur mehr neugierig, was mein handy so auf 2 x 12 stunden fahrt so an daten konsumiert.

    auf jeden fall fahr’ ich diesmal nicht mit einem offline-navi und strande in einer frisch aufgestellten riesen-baustelle, wo mir das navi nur 'ne fahrt mitten durch munich vorschlägt *g*.

  • Ich bin hier momentan bei dns0.eu hängen geblieben.

    Im Gegensatz zu quad9 haben die ihren Sitz innerhalb der EU (Frankreich) und unterliegen somit der DSGVO. Schnell ist er auch und unterstützt DNS‑over‑HTTPS, DNS‑over‑TLS und DNS‑over‑QUIC.

    Außerdem bieten sie zwei Alternative Resolver "kids" und "zero" an, die für Kinder oder um bösartige Seiten gefilterte Ergebnisse liefern.

    Mit diesen Filtern haben wir bei Cloudflare ja auch gute Erfahrungen, in der höchsten Stufe ist da auch das Kodinerds Repo drin [ag]

  • Mit diesen Filtern haben wir bei Cloudflare ja auch gute Erfahrungen, in der höchsten Stufe ist da auch das Kodinerds Repo drin [ag]

    Ja allerdings [ag]

    Wollte jetzt auch nur drauf hinweisen dass es sowas gibt. Für manch einen ist das ja tatsächlich wichtig.

    Für mich kommen nur ungefilterte Resolver in Betracht. Die Filterung leg ich dann über eigene Filterlisten via Adguard-Home schon selber fest. [ae]

  • so, nun sitz’ ich hier in austria und bin höchst erstaunt über den geschwindigkeitsgewinn mit dem wireguard.

    gut, drei.at scheint auch endlich fähig zu sein, ihr lte in echtgschw. anzubieten (hat ja nur ein paar jährchen gedauert *g*) ... rundum zufrieden ist der onkel ratti *g*

    wäre da nicht ein kleines (nicht)problem:

    ich muss meine ganzen netzlaufwerke von meiner nas neu anlegen am client, weil sie mit dem wireguard nur mit ip, nicht mit namen gefunden werden.

    hab ich was übersehen, oder ist das einfach mal so?

    ist aber kein beinbruch: ich kenn’ ja meine internen ip`s *g*

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!