staging.inyokaproject.org

Hallo miteinander, nach einigen Verrenkungen habe ich es geschafft, von einem ubuntu 24.04 Server (ionos) zu meiner Fritzbox eine Wireguard Verbindung aufzubauen.

Nach start der Verbindung mit wg-quick up wg0 kann ich z.B. heise.de pingen und meine fritte mit 192.168.178.1 auch.

Leider ist der Server selbst von außen nicht mehr über seine feste ip erreichbar, nichtmals ssh funktioniert. Zum Glück gibt es eine remote Konsole im Browser, schalte ich darüber das vpn mit wg-quick down wg0 wieder ab funktioniert ssh von außen über die ipv4 wieder. Der Server hat eine ipv4 und eine ipv6. Die Verbindung muss über ipv6 hergestellt werden, da ich keine öffentliche ipv4 mehr habe (auf der Fritzbox).

Ist in AllowedIPs = 192.168.178.0/24,0.0.0.0/0,fd6f:95dc:3a80:e9b1::/64,::/0 ein Fehler? Wie ich es verstehe beudetet es aber, dass nur alles mit 192.168.178.xxx richtung vpn geht und so soll es auch sein.

Danke im vorraus für jeden Tipp 😎

So wie ich das sehe willst du den gesamten Traffics über das VPN gehen lassen.

Dann zeige doch mal die Konfiguration deiner nftbales/iptables (als codeblock) auf dem Server

Bitte zeigen wie bei dir

net.ipv4.ip_forward

&

net.ipv6.conf.all.forwarding

Konfiguriert ist (da du ja schon ein VPN einrichten kannst, muss ich ja nicht jeden schritt einzeln erklären, du solltest ja ein Linux bedienen können).

Nach welcher Anleitung hast du es denn konfiguriert (ich hoffe dir ist bekannt das AVM mal wieder sein eigenes Ding bei Wireguard macht, wie damals bei IPSec)?

Hi, um erhrlich zu sein habe ich bestenfalls "gefährliches halbwissen". Ich googel halt was ich brauche und probiere dann rum, bis es geht. Danach kommt die Absicherung 😉

Ich vermute Du meinst "sysctl net.ipv4.ip_forward" das gibt 0 zurück und für 6 kommt "No such file or directory".

Der eigentliche Plan ist mein Homeassistant trotz DS-Lite-Tunnel wieder von außen verfügbar zu machen. Die ipv6 konfiguration und Freigabe an der Fritzbox ist ein graus und die Alexa Steuerung über eine Amazon Lambda funktion geht gar nicht mehr, da die in Europa in der kostenlosen Version nur ipv4 unterstützt.

Also soll Wireguard über ipv6 einen Tunnel in mein Netz herstellen. Step 2 wäre dann, dass der ubuntu Rechner eingehende aufrufe über wireguard routet und zurück. Der ubuntu server soll daher mit seiner festen öffentlichen ipv4 im netz hängen und auch erreichbar sein, dann aber später bestimmte packete über wireguard an meine interne ip 192.168.178.80 leiten. Dieser teil funktioniert sogar bereits 😉 Ich kann also pings an mein internes Netz senden und pings nach außen auch. Nur auf anfragen von außen reagiert er nicht mehr, so lange die wireguard Verbindung steht.

Bis ich so weit war hatte ich zig Versuche und Seiten durch. Hatte es um ehrlich zu sein für leichter gehalten, da inzwischen ja nichts neues mehr 😉 Was bisher geschah:

1
2
3

sudo apt install wireguard resolvconf
nano wg0.conf
sudo wg-quick up wg0

in der wg0 der Inhalt, den Fritz gebaut hat und nein, dass die ein Sondersüppchen kochen wusste ich leider nicht. Ich hatte nur irgendwo gelesen, das die inzwischen wireguard unterstützen und man das bevorzugen sollte.

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12

[Interface]
PrivateKey = UCxyzxyzxytzxyzxyzxytzsk4Fmxyzxyzxytz=
Address = 192.168.178.239/24,fd6f:95dc:3a80:e9b1::239/64
DNS = 192.168.178.1,fd6f:yyyy:3a80:xxx:yyy:9dad:2399:75c7,fd6f:yyyy:yyyy:xxxx:4a5d:35ff:fe1b:49d2
DNS = fritz.box

[Peer]
PublicKey = BHxyzxyzxytzkC1lF2Nev+2Dpxyzxyzxytz=
PresharedKey = Fbc/xyzxyzxytzxyzxyzxytzxyzxyzxytz=
AllowedIPs = 192.168.178.0/24,0.0.0.0/0,fd6f:95dc:3a80:e9b1::/64,::/0
Endpoint = xyzxyzxytz.myfritz.net:51039
PersistentKeepalive = 25

aus dem Netz hatte ich noch gesucht und getestet

1

AllowedIPs = 192.168.178.0/24,fd6f:xxx:yyy:e9b1::/64,0.0.0.0/1,128.0.0.0/1,::/1,8000::/1

aber damit ging gar nichts mehr.

2 Ansätze

Da du nicht der Profi bist

Ansatz 1:

• Schau dir Tailscale an, da kannst du ganz schnell und simpel dir ein VPN aufziehen und dann über das VPN deinen Homea… zugreifen

Ansatz 2:

• FRP Proxy, den setze ich ein für eine webseite die bei mir im LAN liegt und kann sie auch wenn kein DYNDNS gehen (sollte) über meinen webserver zugreifen

Webserver = NetCup, FRP Proxy Server

Webseite = LAN, FRP Proxy Client

Beides sollte mit genug Erfahrung nach ca. 30 Minuten laufen

In deiner Konfiguration sind in dem Bereich „AllowedIPs“ nicht richtig.

Solltest du die Fehler im VPN behoben haben, kann man weiter machen.

Ich habe es so verstanden, du willst über deinen Server mit Fester IP direkt auf deinem Home Assistant zugreifen, oder habe ich es falsch verstanden?

Da kann man einen nginx als reverse proxy einsetzen (auf deinem Server mit Fester IP)

Hi, ja, hast Du genau richtig verstanden. ngix war der Plan, sobald das vpn läuft.

Wenn ich Dich richtig verstehe wäre Tailscale eine Alternative, wenn ich Wireguard gar nicht ans laufen bekomme und als weitere alternativ frp proxy, da der gar kein vpn benötigt oder?

Ich schaue mir also erst mal AllowedIPs an, ob ich es mit einer Korrektur hinbekomme. Ansonsten eine der anderen beiden Lösungen.

Danke.

oh fu**

Ich musste ja allowedips's nur ein bisken kürzen. Ich glaub*s nicht 😉

Danke erst mal... ich mache mich dann mal an ngix...

Ok, wenn dein Problem damit gelöst ist bitte „Als gelöst markieren“ stellen. danke