Ein Webserver lauscht auf der Adresse 188.23.30.19, Darunter liegt eine Anwendung, die nach außen an unterschiedliche (im System vorhandene) IP-Adressen gebunden werden kann. Diese Anwendung schickt dann Anfragen über die IP 91.203.46.190 an öffentlich erreichbare Adressen im Internet.
Nun möchte ich eben, dass alle Pakete die von der IP 91.203.46.190 abgehen in den Tunnel gesteckt werden und darüber laufen.
So baut sich nun der Tunnel auf:
ip link add wg0 type wireguard
wg setconf wg0 /etc/wireguard/mullvad-de1.conf
ip address add 10.64.23.234/32 dev wg0
ip link set mtu 1420 up dev wg0
ip rule add from 91.203.46.190/32 table 51820
ip route add 0.0.0.0/0 dev wg0 table 51820
ip rule add table main suppress_prefixlength 0Output wg:
public key: 771nxYCweEGdEvjhZiAgim8psz+BPJH2Uy6KXPohUAc=
private key: (hidden)
listening port: 34860
fwmark: 0xca6c
peer: IF4ROzAOkRKdz+Hy+TWS1LTOZPGaLsm9PW5EN5AEOkc=
endpoint: 185.216.33.114:51820
allowed ips: 0.0.0.0/0, ::/0
latest handshake: 10 seconds ago
transfer: 952 B received, 61.56 KiB sentConfig von /etc/wireguard/mullvad-de1.conf:
[Interface]
PrivateKey = (hidden)
[Peer]
PublicKey = IF4ROzAOkRKdz+Hy+TWS1LTOZPGaLsm9PW5EN5AEOkc=
Endpoint = 185.216.33.114:51820
AllowedIPs = 0.0.0.0/0, ::/0Wenn ich dann versuche über eht0:1 etwas zu versenden passiert allerdings nichts - keine Antwort.
curl --interface eth0:1 ipinfo.ioWie sieht denn die Peer Config am anderen Ende aus?
Sendet der Kernel die Packete wirklich unter der Adresse raus?
Die Config am anderen Ende / vom Server kenne ich nicht. Es handelt sich um den VPN-Anbieter Mullvad.
Die gepostete Client-Config ist original und funktioniert auch.
Danke für deine Antwort!
Was meinst du mit?
wg setconf wg0 /path/to/inifile.ini
Meinst du damit den Verweis auf die Config-File?:
[Interface]
PrivateKey = Key
Address = 10.64.23.234/32,fc00:bbbb:bbbb:bb01::1:17e9/128
DNS = 193.138.218.74
[Peer]
PublicKey = IF4ROzAOkRKdz+Hy+TWS1LTOZPGaLsm9PW5EN5AEOkc=
Endpoint = 185.116.22.110:51820
AllowedIPs = 0.0.0.0/0, ::/0Führe ich den Befehl aus:
Zitatwg setconf wg0 /etc/wireguard/mullvad-de1.conf
Kommt:
Line unrecognized: `Address=10.64.23.234/32,c00:bbbb:bbbb:bb01::1:17e9/128
Configuration parsing errorKommentiere ich dann die fehlerhaften Zeilen aus, nimmt er die Config. Weiterhin tut sich allerdings nichts, auch nicht, nachdem ich die Befehle
ip rule add from 91.203.46.190/32 table 1234
ip route add 0.0.0.0/0 dev wg0 table 1234
hinzugefügt habe.
Über das eth0:1 geht kein Traffic raus. Und wg0 zeigt an:
wg0: flags=209<UP,POINTOPOINT,RUNNING,NOARP> mtu 1420
inet 10.64.23.234 netmask 255.255.255.255 destination 10.64.23.234
unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 txqueuelen 1000 (UNSPEC)
RX packets 0 bytes 0 (0.0 B)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 0 bytes 0 (0.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0Da stimmt noch etwas nicht.
Hallöchen zusammen!
Ist es möglich jeglichen ausgehenden Traffic eines Root-Servers - genauer einer bestimmten IP- über einen Wireguard Tunnel zu versenden / empfangen?
Mein Root-Server hat aktuell zwei IP-Adressen:
- 188.23.30.19
- 91.203.46.190 (zusätzliche IPv4)
Ich würde gerne den ausgehenden Verkehr der IP 91.203.46.190 über einen Wireguard Tunnel versenden.
Aktuell sieht die Konfiguration von Wireguard (Mullvad VPN) folgendermaßen aus:
[Interface]
PrivateKey = Key
Address = 10.64.23.234/32,fc00:bbbb:bbbb:bb01::1:17e9/128
DNS = 193.138.218.74
[Peer]
PublicKey = IF4ROzAOkRKdz+Hy+TWS1LTOZPGaLsm9PW5EN5AEOkc=
Endpoint = 185.116.22.110:51820
AllowedIPs = 0.0.0.0/0, ::/0Meine /etc/network/interfaces sieht so aus:
auto eth0
iface eth0 inet static
address 188.23.30.19
netmask 255.255.252.0
gateway 188.23.32.1
auto eth0:1
iface eth0:1 inet static
address 91.203.46.190
netmask 255.255.255.255Wenn ich nun das VPN starte mit:
wg-quick up mullvad-br1Dann schickt er natürlich jeglichen Verkehr durch das VPN, wenn ich das korrekt verstehe. Dann ist der Root-Server auch nicht mehr erreichbar -> Neustart.
Beim Starten macht Wireguard folgendes:
[#] ip link add mullvad-br1 type wireguard
[#] wg setconf mullvad-br1 /dev/fd/63
[#] ip -4 address add 10.64.23.234/32 dev mullvad-br1
[#] ip -6 address add IPv6/128 dev mullvad-br1
[#] ip link set mtu 1420 up dev mullvad-br1
[#] resolvconf -a tun.mullvad-br1 -m 0 -x
[#] wg set mullvad-br1 fwmark 51820
[#] ip -6 route add ::/0 dev mullvad-br1 table 51820
[#] ip -6 rule add not fwmark 51820 table 51820
[#] ip -6 rule add table main suppress_prefixlength 0
[#] ip -4 route add 0.0.0.0/0 dev mullvad-br1 table 51820
[#] ip -4 rule add not fwmark 51820 table 51820
[#] ip -4 rule add table main suppress_prefixlength 0Jemand eine Idee wie man Wireguard beibringen kann nur den ausgehenden Verkehr von eth0:1 bzw. 91.204.45.179 über den Tunnel zu senden?
Dann hast du was falsch gemacht.
Die Anleitung fand ich einfach nicht gut.
Hab es jetzt so hinbekommen: https://medium.com/@jasonrigden/hardening-ssh-1bcb99cd4cef
Alles anzeigenNur zur Info, iridium ist offenbar ein Troll-Account, um InfoSec Handbook schlechtzumachen, siehe
https://forum.netcup.de/sonsti…osec-handbook/#post118402
https://forum.netcup.de/user/15099-iridium/#recentActivity
Innerhalb von 10 Minuten wurden alle Erwähnungen von der Webseite mit Warnungen versehen. Sonst hat der Account nichts getan, heute registriert.
Warum sollte jemand eine Anleitung von infosec-handbook.eu durcharbeiten und dann zufällig ins netcup Forum gehen, um dort mit nichts Konkretem rumzupöbeln?
Was kann ich dafür wenn die Anleitung bei mir nicht funktioniert hat und ich mich ausgesperrt habe? Ich hab mich einfach geärgert und würde sie nicht nochmal umsetzen.
Wieso, weshalb - wie hast du dich ausgesperrt?
Welche Distribution setzt du ein?
Debian Buster setze ich ein.
Habe es jetzt mit einer anderen Anleitung versucht, damit klappt es problemlos: https://medium.com/@jasonrigden/hardening-ssh-1bcb99cd4cef
Gibt es Alternativen zu dieser Seite?
Ich kann das InfoSec Handbook empfehlen:
https://infosec-handbook.eu/as-wss/
Ich leider nicht. An Anleitung gehalten und komplett vom Server ausgesperrt! 
Ich möchte einmal eine Empfehlung für das InfoSec Handbook aussprechen:
Leider nicht so toll wie dargestellt. Hab am WE ein Tutorial durchgearbeitet und hab mich dabei komplett vom Server ausgesperrt. Für mich sind die Anleitungen dort leider nichts. 
Hallo,
ich habe meinen Server wie in Infosec empfohlen abgesichert. Dazu habe ich ein Schlüsselpaar mit ssh-keygen erzeugt. Bei der Erstellung der Schlüssel habe ich kein Passwort vergeben. Die Anmeldung über die Mac Konsole mittels ssh bei meinem VServer funktioniert auch über das erzeugte Schlüsselpaar.
Bei mir hat das leider gar nicht geklappt, sondern ich habe mich komplett ausgesperrt. Nicht zur Nachahmung empfohlen!
Alles anzeigenHier so ein paar Infos/Tipps zu Webserver-Sicherheitsreihe:
https://infosec-handbook.eu/as-wss/
Webserver-Sicherheit - Teil 1: Grundlegendes Härten:
https://infosec-handbook.eu/blog/wss1-basic-hardening/
Vor- und Nachteile von Online-Bewertungstools für die Sicherheit von Webservern:
https://infosec-handbook.eu/blog/online-assessment-tools/
Ich kann vor der Anleitung nur warnen. Am Wochenende hatte ich Zeit zum durchführen und hab mir dabei den ganzen Server zerschossen.
