Probleme beim Zugriff beim Zugriff auf das Heimnetzwerk via Wireguard über einen VPS

zobus · 2. Januar 2025 um 17:16

Ich hab’s.
Ich hab in der Tat beim neu aufsetzen des Servers meinen ursprünglichen Plan nicht umgesetzt und bei den Peers vergessen, dass Heimnetz einzutragen.

Hier nun die korrekte wg0.conf, die auch funktioniert:

[Interface]
Address = 10.0.66.1/32
SaveConfig = true
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o ens6 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o ens6 -j MASQUERADE
ListenPort = 51820
PrivateKey = xxx

[Peer]
PublicKey = xxx
AllowedIPs = 10.0.66.2/32, 10.0.10.0/24
Endpoint = xx.xx.xx.xx:49382

[Peer]
PublicKey = xxx
AllowedIPs = 10.0.66.3/32, 10.0.10.0/24
Endpoint = xx.xx.xx.xx:42798

m-electronics · 2. Januar 2025 um 17:16

Du musst es nur bei dem für das UniFi eintragen, nicht bei beiden. Das gibt früher oder später Theater

zobus · 2. Januar 2025 um 17:21

OK, danke für den Tipp. Habe ich angepasst.

m-electronics · 2. Januar 2025 um 17:23

Weil du musst es ja nur zum UniFi „routen“ / erlauben und nicht überall hin.
Man könnte jetzt noch diverse andere Änderungen machen, wie z.B. im [Interface]-Block die IP mit /24 also als Subnetz angeben usw…

zobus · 5. Januar 2025 um 16:30

Irgendwie scheitere ich immer noch daran, meine Systeme im Heimnetz zu erreichen. Ich sehe zwar, dass die Datenpakete von meinem iPhone am Unfi Gateway ankommen (tcpdump) aber nicht am Zielsystem. Da kneift irgendwo mein Gateway noch den Hintern zu.

Routing auf der Unfi habe ich eingerichtet:

In der Firewall habe ich folgende Regel hinterlegt:

Wo habe ich den Denkfehler?

Der Vollständigkeit hier noch die wg0.conf:

[Interface]
Address = 10.0.66.1/24
SaveConfig = true
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o ens6 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o ens6 -j MASQUERADE
ListenPort = 51820
PrivateKey = xx

# iPhone
[Peer]
PublicKey = xx
AllowedIPs = 10.0.66.2/32
Endpoint = xx.xx.xx.xx:62657

# Unifi 
[Peer]
PublicKey = xx
AllowedIPs = 10.0.66.3/32, 10.0.10.0/24
Endpoint = xx.xx.xx.xx:41077

iPhone Peer Config:

[Interface]
PrivateKey = xxx
Address = 10.0.66.2/32
DNS = 1.1.1.1

[Peer]
PublicKey = xxx
Endpoint = xx:51820
AllowedIPs = 10.0.66.0/24, 10.0.10.0/24
PersistentKeepalive = 25

Unifi Peer Config:

[Interface]
PrivateKey = xx
Address = 10.0.66.3/24
DNS = 10.0.10.1

[Peer]
PublicKey = xx
Endpoint = xx:51820
AllowedIPs = 10.0.66.0/24, 10.0.10.0/24
PersistentKeepalive = 25

Habt ihr eine Idee?

m-electronics · 5. Januar 2025 um 18:03

Moin, nicht im UniFi auch diese Allowed-IPs eintragen. Das ist schonmal das erste. Sonst kenne ich mich mit UniFi nicht wirklich aus…
Aber dieses Routing sieht sehr komisch aus, kannst du statt Destination: IP address noch was anderes auswählen?

m-electronics · 6. Januar 2025 um 08:31

Hab jetzt gerade gesehen, die FW-Regel hat irgendwas mit LAN-Out dabei stehen… Das wäre ja falsch. Denn es kommt der Traffic der geblockt wird, ja gar nicht aus dem LAN sondern aus dem WG-Tunnel. Also musst du auf dem WG-Tunnel eine Input-Regel erstellen.

zobus · 6. Januar 2025 um 16:14

Naja, so 100% fit bin ich bei der Unfi auch noch nicht.
Bei der Unfi lässt sich beim Erstellen des Regelwerks nicht das Wireguard Interface direkt auswählen.

Ich hatte mir dieses Video angeschaut, bei Minute 8:46 erklärt der Kollege den Zweck der LAN Out Schnittstelle.
LAN out

Aber auch wenn ich das umdrehe auf LAN In, habe ich weiterhin den gleichen Effekt

m-electronics · 6. Januar 2025 um 16:45

Also es kommen keine Ping-Pakete auf dem Host im LAN an, auf dem USG hingegen schon? Siehst du da im FW-Log irgendwas?

zobus · 6. Januar 2025 um 17:14

Ich glaube ich konnte jetzt endlich das Problem lösen.
Kollege Zufall war da im Spiel.
Unfi hat ein Update für mein Gateway bereitgestellt. Wie so häufig wurden diverse Änderungen vorgenommen. Unter anderem hat Unfi die Firewall überarbeitet und bietet das Zone-Based Firewalling an. Ich habe es scharfgeschaltet und konnte anschließend folgendes sehen:

Unfi stuft offensichtlich mein Wireguard VPN-Netz 10.0.66.0/24 als ein externes Netzwerk ein. Ich vermute das liegt daran, dass ich den Wireguard Server nicht auf der Unfi nutze sondern mich als Client zum VPS verbinde.
Somit sieht die Firewall Regel jetzt so aus:

Ich komme vom „externen“ Zone mit einer IP aus dem 10.0.66.0/24 Segment (CTO-VPS-Site) und begebe mich zur internen Zone zu meinem Heimnet (HomeNet).

So funktioniert es.

Da das „externe Netz“ als 10.0.66.0/24 hinterlegt habe und dieses Segment nicht im öffentlichen Netz routbar ist, sollte es aus meiner Sicht sicher sein.
Hoffe ich…

m-electronics · 6. Januar 2025 um 17:49

Ja, ist sicher. Aber external beinhaltet dann alle externen Inhalte.

zobus · 6. Januar 2025 um 18:53

Nunja, letztendlich bin ich das, der von extern auf das Heimnetz zugreift.
Somit sollten die externen Inhalte unter Kontrolle sein

m-electronics · 6. Januar 2025 um 19:57

Hab gerade gesehen, dass ich mich verschrieben habe
Nicht Inhalte sondern Interfaces, also auch das WAN?

zobus · 7. Januar 2025 um 16:46

Ja, das WAN ist auch in der External Zone. Nach meinem Verständnis wird hier die Einschränkung auf die Objektauswahl „CTO-VPS-Site“ vorgenommen.

Hierhinter verbirgt sich die Wireguard IP Adressrange 10.0.66.0/24.
Das sollte doch so eigentlich passen, oder?

m-electronics · 7. Januar 2025 um 18:35

Ja, bissl verkompliziert wieder von UniFi, aber das kennen wir ja schon.