Ich habe jetzt noch mal mit einer VM alles komplett von vorne angefangen und zum Test einfach mal IPv6 deaktiviert - die MASQUERADE noch nicht rein genommen, und siehe da der gesamt Internetverkehr geht über den VPN, das sehe ich an den Daten im Client.
Also genau so wie ich es haben wollte, aber ist das dann ohne MAQUERADE überhaupt möglich?
Wow, ihr habt da echt viel wissen,... Muss ich mir noch mal in Ruhe alles rein ziehen.
Um es zu lernen hatte ich 1 ein Ziel und nachher noch ein 2. hinzugefügt.
#1: Einen Dienst nur über den VPN Tunnel erreichbar machen
#2: Den kompletten internetverkehr über den VPN Tunnel erreichen
Mit den Vorschlägen von frank_m habe ich es auf jeden Fall hinbekommen, dass die Dienste über den VPN erreichbar sind, damit ist das Ziel erreicht und ich glaube auch so weit verstanden.
Bei Punkt 2 bin ich mir noch unsicher ob ich euch richtig verstanden habe. Wenn ich alles jetzt nachverfolgt habe geht der Internetverkehr über den eth0 Adapter mit der IPv6 Adresse statt über den VPN
Also ich hätte gerne, dass die komplette Kommunikation über den VPN geht.
Wie Route ich den Datenverkehr dann wieder zurück?
Mir scheint so, als wenn die Ports Richtung draußen geblockt sind...
Für das was du willst, brauchst du nur eine Input Regel. Ich würde Wireguard empfehlen, da das flüssiger läuft und du kannst direkt die fritzbox damit verbinden.
Dann kann dein ganzes Heimnetz die Dienste auf dem Server nutzen.
Ja, Wireguard habe ich schon auf einem separaten vServer am laufen und das funktioniert auch genauso wie du es schreibst... Will im Moment halt meinen Horizont erweitern 
Wenn du schreibst ich brauche eine INPUT Regel, wie sollte die aussehen? Also das INPUT von der Adresse 10.8.0.2:3000 erlaubt wird?
Ist das aber nicht schon damit erlaubt?
Jetzt war ich doch etwas zu schnell...
Jetzt habe ich folgende Situation, ich komme zwar von außen auf das Grafana. Wenn ich mich aber auf dem Server bin, auf dem das grafana läuft, habe ich keine Verbindung zum Internet. Mache ich einen ping google.com kann der Host nicht gefunden werden.
Ping nach 10.8.0.1 klappt, aber sonst nicht mehr.
Was müsste ich da noch tun?
Das mit dem 192er hatte ich wohl falsch verstanden...
Aber deine Lösung hat auf anhieb funktioniert! Top und vielen Dank für die schnelle Antwort - wieder was gelernt 
Hallo zusammen,
ich habe mir einen vServer von Netcup gemietet und habe dort OpenVPN eingerichtet. Das VPN läuft soweit, wenn ich mich mit dem offiziellen Client einwähle und über wieistmeineip nach schaue, dann wird mir die IP des Servers angezeigt, so weit so gut.
Da ich als Mitleser hier schon oft mitbekommen habe, dass hier freundlich und kompetent geholfen wird, wende ich mich an euch.
Ich bin noch sehr viel am lernen und habe jetzt auch schon viel hin und her probiert, bekomme aber folgendes nicht hin:
Ziel:
Jetzt möchte ich, einen bestimmten Dienst (hier jetzt mal zum testen ein grafana Dashboard) über serverip:port erreichbar machen. Habe schon oft im Internet gelesen, dass es viele gemacht haben, aber bei mir funktioniert es irgendwie nicht.
Für die Weiterleitung auf das Grafana Dashboard habe ich mich an diese Anleitung gehalten: linux - Port forwarding using OpenVPN client - Unix & Linux Stack Exchange. Da hat es wohl funktioniert und ist genau der Fall den ich auch habe.
Folgenden Aufbau habe:
vServer (OpenVPN Server, eth0: 89.58.X.X, tun0: 10.8.0.1)
|
V
FritzBox (lokale IP: 192.168.1.1
|
V
OpenVPN Client (192.168.1.91/ 10.8.0.2)Folgende Konfiguration hat der OpenVPN Server:
Folgende der VPN Client:
Mein iptables habe ich entsprechend folgend angepasst:
sysctl net.ipv4.ip_forward=1
iptables -t nat -I PREROUTING 1 -d 89.58.X.X -p tcp --dport 3000 -j DNAT --to-dest 192.168.1.91:3000
iptables -t nat -I POSTROUTING 1 -d 192.168.1.91 -p tcp --dport 3000 -j SNAT --to-source 10.8.0.1
iptables -I FORWARD 1 -d 192.168.1.91 -p tcp --dport 3000 -j ACCEPTUnd sehen im Moment so aus:
In der Fritzbox habe ich noch folgende Route angelegt:
pasted-from-clipboard.png
Kann mir da bitte jemand helfen, was mache ich falsch, bzw. was habe ich vergessen?
VG
Mach die Keys auf jeden Fall nochmal neu.
Warum? Es funktioniert doch, ich komme halt nur nicht mehr die iptables regeln von KosMos hinzufüge (mit den Anpassungen für mich natürlich), Wenn ich die Regeln alle rausschmeiße und alles öffne, geht es wieder...
Alles anzeigenDein Server ist ungesichert am Netz.
Als Mindestschutz sollte man schon die input und forward policy auf deny stellen und dann nur das Nötigste öffnen.
Dann hat man wenigstens einen Schutz ähnlich der eines heimischen Routers.
Ich habe das gleiche im Einsatz d.H. eine wireguard Verbindung zwischen Fritzbox und vserver. Die konfigs kann ich dir heute Abend irgendwann zur Verfügung stellen.
Edit:
Im Anhang befindet sich eine iptables Konfiguration und eine funktionierende Wireguard-Konfiguration. Du musst nur dein eigenes Keymaterial einfügen.
Die Skripte, Files sind entsprechend kommentiert. Die Verbindungen werden zum VPS aufgebaut, da dieser 24h läuft und eine feste ipv4 besitzt.
Schau mal, ob du damit etwas anfangen kannst.
Das ist ist auf dem VPS (Server)
pasted-from-clipboard.png
Und hier auf dem Client (unRaid PostUp und PostDown sind von unraid erstellt)
Stimmt, aber wenn er nur Wireguard nutzt und alles andere blockiert, wird das schon in Ordnung gehen.
iptables muss dann aber mindestens richtig eingerichtet werden, denn wenn beispielsweise unsichere Dienste gestartet werden, wie z.b. Samba oder andere unverschlüsselte Dienste, dann kann jeder direkt die Daten einsehen
Stehen die Policies auf Accept, akzeptiert die Firewall alle Verbindungen, die nicht manuell verboten wurden.
Habe das Script jetzt mal ausgeführt, nur natürlich mit meinen IPs, allerdings komme ich seit dem nicht mehr auf mein lokales Netz (192.168.1.0/24), was vorher natürlich ging, als noch alles offen war.
Muss ich da noch was ändern?
Einen RootServer zu betreiben ist nicht banal. Ich kann da nur warnen. Installiere Dir eine Virtualisierungsloesung lokal und spiele mit virtuellen Servern um zu lernen. Das ist weniger gefaehrlich und du kannst Szenarien vorher durchspielen
Danke für den Rat!
Ansonsten finde ich das hier noch ganz nett, um schnell mal WireGuard Configs zum Testen zu erstellen: https://www.wireguardconfig.com/
Damit habe ich es jetzt hinbekommen! Vielen Dank für eure Hilfe! War wahrscheinlich wirklich einfach ein Fehler in den Schlüsseln...
Alles anzeigenDein Server ist ungesichert am Netz.
Als Mindestschutz sollte man schon die input und forward policy auf deny stellen und dann nur das Nötigste öffnen.
Dann hat man wenigstens einen Schutz ähnlich der eines heimischen Routers.
Ich habe das gleiche im Einsatz d.H. eine wireguard Verbindung zwischen Fritzbox und vserver. Die konfigs kann ich dir heute Abend irgendwann zur Verfügung stellen.
Edit:
Im Anhang befindet sich eine iptables Konfiguration und eine funktionierende Wireguard-Konfiguration. Du musst nur dein eigenes Keymaterial einfügen.
Die Skripte, Files sind entsprechend kommentiert. Die Verbindungen werden zum VPS aufgebaut, da dieser 24h läuft und eine feste ipv4 besitzt.
Schau mal, ob du damit etwas anfangen kannst.
Ich schaue mir mal deine iptables an, da es jetzt läuft. Aber iptables muss ich mir erstmal etwas genauer anschauen...
Hast du auch in der /etc/sysctl.conf net.ipv4.ip_forward=1 gesetzt?
Guck dir mal die Anleitung an: https://community.netcup.com/e…to-setup-wireguard-ubuntu
Mit der bin ich damals mit WireGuard gestartet.
Ja, habe ich gemacht, habe ich vergessen zu erwähnen.
Bei Gelegenheit schaue ich mir diese Anleitung noch mal genau an, oder fange von vorne an...
Alles anzeigenState ist in Ordnung, ist halt UDP und sieht bei mir genau so aus.
Scheinbar lauscht der Service auch schon darauf, das ist schon mal gut
Doch das geht mit nmap.
Hier der Output aus Zenmap mit einem funktionierenden Wireguard:
CodePORT STATE SERVICE 58120/udp open|filtered unknown
Versteif dich nicht darauf, dass dein lokaler nmap Scan den Port als closed anzeigt. Ich habe deinen Befehl bei mir getestet und er zeigt auch closed an, von woanders aber offen (siehe oben).
Gegebenenfalls hakt es nur noch bei den Keys, da kommt man schnell durcheinander. Wird dir denn schon dein peer angezeigt, wenn du wg ausführst?.
Vielen Dank für die Info!
Ja, den Peer habe ich eingerichtet, im Prinzip identisch zu dieser Anleitung WireGuard Site to Site VPN einrichten - Netzwerke sicher verbinden !! #VPN #SiteToSite - YouTube.
Config:
eth0 ist laut ip a richtig.
Der Peer ist auch sichtbar, aber Ping funktionieren nicht und auch die Menge der ausgetauschten Daten werden nicht angezeigt:
Ausgabe Server wg:
Im Client:
Öffentlichen Schlüssel des Servers eingetragen
Endpunkt: IP des [VPS]:51820
Zulässige IPs: 0.0.0.0/0
Im Log des Clients sehe ich dann: peer(Public Key des Servers) - Handshake did not complete
Bist du dir denn sicher, dass Wireguard auch richtig eingerichtet ist?
Du kannst z.B. mal mit ss -tulpen schaue, ob überhaupt ein Dienst auf diesem Port lauscht.
Habe meine Wireguard Conf mit diversen Anleitungen abgeglichen und bin mir ziemlich sicher ;-). Da ich im Moment nicht zu Hause bin, kann ich da die Verbindung nur zwischen meinem iPhone und dem Server testen (manuelles Setup), da schaue ich später noch mal zu Hause genau nach.
Okay, hier mal das Ergebnis von ss -tulpen
Der Port ist vorhanden, aber state ist falsch, oder wie habe ich das zu verstehen?
Hallo zusammen,
ich bin noch ein Neuling auf dem Gebiet der Server usw. aber bin fleißig am lernen und brauche mal etwas Hilfe...
Zum üben habe ich mir einen günstigen VPS 200 G10s gemietet und versuche u.a. ein VPN via Wireguard aufzubauen, allerdings bekomme ich keine Verbindung, dann ist mir aufgefallen, dass bei der entsprechende Port geschlossen ist.
Wenn ich z.B. über Port Checker Online | Offene Ports prüfen - PortChecker.de 🔍 einen Portcheck auf die IP meines Servers zu machen, sagt der, das der Port 51820 (Wireguard UDP) geschlossen ist.
Eine Firewall wie ufw habe ich nicht separat installiert.
Mache ich nmap auf dem Server auf die IP oder localhost ist auch alles zu:
Wenn ich die iptables anschaue, sollte doch eigentlich auch alles frei sein, oder verstehe ich da was falsch?
Ich bin über jede Hilfe sehr dankbar!
