Ich verwende keine Firewall. Ein von vorneherein nicht offener Port stellt auch kein Risiko dar. Bei allen webbasierten Anwendungen lege ich aber auch gar keine Ports heraus, sondern leite sie nur über NginxProxyManager.
Server administrieren - wo fange ich an?
- Bud
- Thread is marked as Resolved.
-
-
Ich verwende diesen Ansatz manchmal auch, finde jedoch, das kommt immer auf den Einzelfall an.
Ich habe Server, den eher für Tests und Entwicklung verwendet werden, deren Container sind recht volatil.
Da kann es schonmal vorkommen, dass ein Port versehentlich öffentlich publiziert wird, da finde ich eine Firewall als zusätzlichen Schutz ganz hilfreich.
Andererseits, wenn ein Produktions-Server ohnehin nur 80/443 für einen Reverse-Proxy o.ä. offeriert, sollte eine statisch FW mit eben diesen Ports auch nicht schaden, oder?
-
Und ich suche noch eine gute Monitoring-Software, da CheckMK Raw hier raus ist...
Ich nutze checkmk Cloud.
Da hast du auch die Business Features wie die Agent Backery. Automatisches Ausrollen von Agent Updates an deine Agents - Musst bei neuen Plugins den Agent nicht selbst verteilen.
Der Cloud Agent kann auch Messdaten an den Server Pushen. Vorher ging ja nur Pull.
Edit: Und lässt sich auch Dockerized installieren
Und ist nach der Trial kostenlos mit 750 Services
-
Ich fühle mich gerade so dumm, aber mein WireGuard-Server läuft immer noch nicht.
Warum? Keine Ahnung. Eine Verbindung kann er offensichtlich aufbauen, denn er schreibt in die wg0.conf als Endpoint die IP meines Desktop-Rechners.
Allerdings kann ich – sobald ich mich mit dem Server verbinde – keine Verbindung mehr mit dem Internet aufbauen.Code: Server
Display More[Interface] PrivateKey = server_private.key Address = 10.0.0.1/24 ListenPort = 51820 PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE # Desktop [Peer] PublicKey = desktop_public.key AllowedIPs = 10.0.0.2/32 # Desktop [Peer] PublicKey = iphone_public.key AllowedIPs = 10.0.0.3/32
Code: Desktop[Interface] PrivateKey = desktop_private.key Address = 10.0.0.2/32 DNS = 176.9.93.198, 176.9.1.117 [Peer] PublicKey = server_public.key AllowedIPs = 0.0.0.0/0, ::/0 Endpoint = rs.rubber.ducky.ip:51820
Wie kann ich dem auf die Spur gehen? Funkt da UFW dazwischen?
-
Nimm Tailscale (oder Zerotier) und es funzt einfach.
-
- Ist ip_forward aktiv?
- Können sich beide Peers gegenseitig ping'en?
- Heißt Dein Interface überhaupt eth0?
Ansonsten mal mit tcpdump schauen, was auf wg0/eth0 ankommt und rausgeht. Und die Counter der Firewall ganz links beobachten bzw. die restlichen Regeln ansehen: iptables -nvL (-t nat)
Einfach schrittweise den Weg der Pakete nachverfolgen.
-
Hast Du IP-Forwarding aktiviert? Stimmen die Interfaces? Wenn Du UFW einsetzt, warum konfiguriert du IPTables?
Mein Vorschlag wäre: Erstens ufw deaktivieren und nur die Wireguard-Konfiguration testen bis sie funktioniert. Sobald sie funktioniert auf ufw umschreiben.
Im Client hast du eine Erlaubnis für IPv.6. Das ist aber nirgendswo sonst konfiguriert.
-
Ich bin überzeugt davon, dass es am "Rubber Ducky"-RS liegen muss, wenn die Tipps von KB19 und Loxley nicht weiterhelfen. Einfach einmal alle RS diesen Typs durchtesten und die kaputten danach über die Tauschbörse hier im Forum abstoßen. (Man hilft hier ja, wo man kann! )
Davon abgesehen würde ich in der Serverkonfiguration einmal in Zeile 3 die "/24" löschen (lies: eine einzelne IP einsetzen) und ein "PersistentKeepalive = 25" o. ä. bei den Peers mitaufnehmen.
-
AllowedIPs = 0.0.0.0/0, ::/0
Du leitest die IPv6 Default Route auf VPN, nutzt aber kein IPv6 im Tunnel. Das kann gefährlich sein.
Muss denn wirklich der gesamte Internet-Traffic übers VPN getunnelt werden?
-
Wie gehe ich vor, wenn ich einen WireGuard Client löschen oder umbenennen möchte?
1. Reicht zum Löschen einfach das Löschen der client.conf und das Entfernen des entsprechenden [Peer] (usw.) aus der wg0.conf?
2. Und kann ich eine client.conf auch einfach umbenennen?
Nach beiden Vorgängen natürlich ein Neustart: -
Das Entfernen des Clientkeys aus den Peers genügt.
Ansonsten: Füge mal bei den AllowedIPs zu dem 0.0 dein lokales Netz noch zu.
-
Ansonsten: Füge mal bei den AllowedIPs zu dem 0.0 dein lokales Netz noch zu.
Warum? 0.0.0.0 ist die Default-Route, da ist jedes private Subnetz mit drin. Die Einstellung schadet zwar nicht, aber bringt auch nichts.
-
Warum? 0.0.0.0 ist die Default-Route,
Achwas...
bringt auch nichts.
Laut einiger Berichte eben schon. Einen Versuch ists Wert...
-
Ich denke, da sollten wir schon ein wenig mehr Substanz reinbringen. Um welche Berichte geht es da? Bitte verlinke die mal. Wenn das wirklich ein Unterschied ist, dann hätten wir einen massiven Bug im gesamten Wireguard Routing Framework aufgedeckt, der das Konzept der Allowed IPs komplett infrage stellt. Die Folgen wären immens. Das sollte man dann schon tiefer legen.
-
Um welche Berichte geht es da? Bitte verlinke die mal.
Sowas ist mir beim überfliegen mal übern Weg gelaufen, als ich in den letzten Tagen wild zu WG durch die Gegend gesurft bin.
Aber beim näheren Überlegen gings da wohl eher um die "not-aus" Funktion die man damit kompensieren wollte...
-
Ok. Aber so schnell entstehen Gerüchte. Aus Foren kriegt man das nie wieder raus, und irgendwann kommt einer vorbei, und glaubt es.
-
und irgendwann kommt einer vorbei, und glaubt es.
Man klammert sich halt an Strohhalme.
Und ja, ich versuche durchaus auch Tipps, die vermeintlich unsinnig sind. Wenn sie sich als das herausstellen, sind sie eben wieder weg.
Die Fehlerteufel stecken ja überall und die Gedankengänge von Programmierern sind eh unergründlich...
-
Guten Morgen zusammen,
heute habe ich eher ein paar logische anstatt technische Fragen:Im Vereinsheim steht ein (Windows-)Server, auf welchem ein Verwaltungsprogramm vom Hersteller installiert wurde. Auf dieses Verwaltungsprogramm greift jeder Rechner im Netzwerk zu. Nun möchte ich einer Handvoll Personen aus unserem Führungskreis via WireGuard Zugriff auf dieses Netzwerk geben, bzw. auf das Programm geben.
Wenn ich einen Tunnel zwischen der FritzBox des Vereins und einem WireGuard-Server herstelle, und dann entsprechend den Clients - haben diese dann Internetzugriff über die FritzBox des Vereinsheims? -
Guten Morgen zusammen,
heute habe ich eher ein paar logische anstatt technische Fragen:Im Vereinsheim steht ein (Windows-)Server, auf welchem ein Verwaltungsprogramm vom Hersteller installiert wurde. Auf dieses Verwaltungsprogramm greift jeder Rechner im Netzwerk zu. Nun möchte ich einer Handvoll Personen aus unserem Führungskreis via WireGuard Zugriff auf dieses Netzwerk geben, bzw. auf das Programm geben.
Wenn ich einen Tunnel zwischen der FritzBox des Vereins und einem WireGuard-Server herstelle, und dann entsprechend den Clients - haben diese dann Internetzugriff über die FritzBox des Vereinsheims?Ganz klares Jain!
Die Fritzbox verbieten den Peers nicht, sie als Gateway nach Draußen zu nutzen. In der "Vereinfachte Einrichtung" wird in der vorgebenden Client-Konfiguration sogar 0.0.0.0 in AllowedIPs gesetzt.
Man kann natürlich die "Benutzerdefinierte Einrichtung" der Fritzbox wählen (oder die *.conf danach vor der Weitergabe händisch anpassen), aber die Fritzbox wird die Peers nicht dran hindern sie als Gateway zu nutzen, wenn das jemand nachträglich wieder abändert.
Also die längere Antwort:
- Standardeinstellungen nicht von dir angepasst, oder Client-Gerät nicht unter deiner Kontrolle -> Ja, sie haben Zugriff auf das Internet der Fritzbox
- Standardeinstellungen von dir angepasst und du kannst sicherstellen, dass die Konfiguration am Client nicht geändert wird -> Nein, sie haben keinen Zugriff
Edit:
Was mir im Nachgang noch einfällt, von mir allerdings ungetestet. Wenn die WireGuard Peers in der Fritzbox als Gerät in der Netzwerkrubrik gelistet werden, kann man ggf. noch mit der Kindersicherung arbeiten, und den Geräten Internetverbot auf Lebenszeit geben.
Aber wie gesagt, nicht getestet bisher.
-
Ja, sie haben Zugriff auf das Internet der Fritzbox
Ich glaube du hast seine geplante Config missverstanden.
Er nutzt die Vereinsbox NICHT als Endpunkt für alle Clients, sondern als Client.
haben diese dann Internetzugriff über die FritzBox des Vereinsheims?
Nur wenn du es so konfigurierst.
Du kannst ja die Firewall des Servers so einstellen, dass sie ausschließlich den Zugriff auf die IP des Verwaltungsrechners zulässt.
Und dass dann sogar noch auf den Port und das Protokoll beschränken.
Die Clientfritz würde dann zwar den Zugang erlauben, aber dein Server nicht.