DSM 7.2 Allgemeine Diskussion zum Thema Wireguard

[Benares]

Hallo,
ich möchte gene mal einen ganz allgemeinen Thread zum Thema "Wireguard" eröffnen, da die bisherigen Diskussionen darüber immer einen Bezug zu bestimmten Anwendungen hatten.

Hintergrund:
Ich bekomme "demnächst" (also in 1-2 Jahren ) einen Anschluss von Deutsche Glasfaser. Damit fällt dann wohl mein Dual-Stack-Anschluss weg und ich werde auch ein Opfer von CGNat/DS-Lite. Also hab ich mal geschaut, was man da machen könnte, und hab mir mal so einen kleinen vServer bei ST-Hosting gebucht für 2,36€/Monat gebucht (bei IONOS gäb's auch schon welche ab 1€/Monat, aber egal). Jetzt hab ich das Teil - mit fester IPv4 und IPv6 im Internet. Als Web-Server dürfte er zu schwach sein, aber als Relay reicht's allemal.
Also erstmal Wireguard drauf, und einen Tunnel über IPv6 zu meinem Heimnetz (momentan noch DSL 100/40) zu meinem Heimnetz gebaut - klappt.

Als nächstes habe ich dann probiert, ob ich darüber auch Dienste in meinem Heimnetz ansprechen kann, beispielsweise die Webstation auf mein DS1522+. Auch das habe hinbekommen mit Eintragungen wie

PreUp = iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.71:80
PreUp = iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j DNAT --to-destination 192.168.0.71:443
PreUp = iptables -t nat -A POSTROUTING -o wg0 -j MASQUERADE

in der wg0.conf (ergoogelt, ohne genau zu wissen, was ich da mache, die .71 ist die lokale IPv4 meiner DS, die zugehörigen PostDown-Rules hab ich mal weggelassen)
Jetzt kann ich den vServer genauso ansprechen, wie meine DS1522+ direkt.

Da ich den Tunnel in der Testphase nicht ständig aufgebaut lasse, sondern zwischendurch auf der Fritte abschalte, habe ich festgestellt, dass es bei Wireguard wohl Probleme zu DDNS-Zielen kommt, weil der den Namen nicht neu auflöst. Wenn ich den Tunnel nur ~1-2 Stunden abbaue geht's, ansonsten nicht. Hat wohl damit zu tun, dass das wohl so ist, wenn die Fritte inzwischen ihre IPv4 bzw. den IPv6-Präfix wechselt. Heute habe ich dazu folgenden Beitrag gefunden. Damit klappt auch das nun.
https://www.netways.de/blog/2022/01/06/wireguard-mit-dynamischen-dns-namen/

Ich würde mich freuen, wenn hier auch andere über ihrer Probleme/Erfolge mit Wireguard berichten und ein reger Austausch entsteht.
LG Benares

Edit: Ich habe mal oben DSM 7.2 als Präfix gewählt, weil die Forensoftware darauf beharrte. Ignoriert das einfach. Oöm, ich glaube, ich habe noch nie einen neuen Thread erstellt

 

[plang.pl]

Mit WireGuard über die Fritte (Site2Site und mehrmals End2Site) bin ich sehr zufrieden. Generell gefällt mir die Einfachheit, Performance und Stabilität. Ich habe es aber (einfach dass man es mal gemacht hat) auch mal auf nem Ubuntu-Server via Shell eingerichtet.
Ich bin gestern noch auf etwas gestoßen, was auch vielversprechend ausschaut und kostenlos + sehr umfangreich ist. Man kann das VPN-Gateway in der Cloud oder on-premise hosten. Basiert auch alles auf WG. Es ist zu komplex, um das hier mal eben zusammenzufassen. Ich verlinke einfach mal das Video, welches mich darauf aufmerksam gemacht hat: Netbird

 

[Benares]

Danke, @plang.pl. Das ist mir schon zu komplex, um sowas einfach einzubinden.
Ich verstehe solche Zusammenhänge lieber erstmal selbst, bevor ich mir das Leben ggf. mit solchen Tools oder Diensten erleichtere.
Ich möchte erstmal Wireguard richtig verstehen. Die Grundkonfiguration ist mir schon klar, aber wie verhält es sich bei Netzwerkausfällen, was passiert bei Reboots, und was, wenn DDNS-Hosts mit im Spiel sind, deren IP sich ggf. ändert.

 

[plang.pl]

Wenn die Gegenstelle nicht erreichbar ist, wird die Verbindung so lange versucht, wiederherzustellen, bis man den Tunnel händisch deaktiviert oder die Gegenstelle wieder erreichbar ist. Mit DDNS und dynamischen IP-Adressen gibt es keine Probleme aus besagtem Grund. Ich würde aber meinen, dass das bei den allermeisten VPN-Protokollen / Clients in der Form der Fall ist.

 

[Benares]

Und du hast keine Probleme mit DDNS?

So wie ich es verstehe, baut ja der VPN-Client (bei mir der vServer) den Tunnel zum VPN-Server (Fritzbox) auf und erhält ihn aufrecht. Wechselt die IP der Fritte, reißt die Verbindung ab, weil der Wireguard-Client wohl kein neues nslookup macht und es weiterhin mit der ursprünglichen IP versucht. Darum ging es ja in dem in #1 verlinkten Artikel.

Die dort aufgeführte Lösung besteht in einen zyklisch laufendes Script, dass wohl alle 5 Minuten die Verbindung checkt wg show "$INTERFACE" latest-handshakes und setzt ggf. ein

wg set "$INTERFACE" peer "$PUBLIC_KEY" endpoint "$ENDPOINT"

ab, um eine erneute Namensauflösung zu erzwingen.

 

[plang.pl]

Achso. Das wäre natürlich blöd. Da kann ich mir vorstellen, dass das auf den Fritten einfach anders implementiert ist. Denn das soll ja einfach und für jeden Anwender mit MyFritz klappen.
Zwischen den Fritten baut sich nach Reboot, IP-Wechsel oder sonstigen Unterbrechungen die Verbindung innerhalb von 2 Minuten wieder auf (wenn der DSL-Sync abgeschlossen ist, diese Zeit kommt obendrauf).
Falls das bei WireGuard (ohne FritzOS) so implementiert sein sollte, verstehe ich den Hintergrund nicht ganz. WireGuard soll doch einfach, schnell und unkompliziert sein. Da hätte man schon bedenken können, dass die wenigsten statische IP-Adressen haben. Aber da kann ich wenig dazu sagen, da ich WG nur einmal testweise außerhalb des Fritz-Universums getestet habe und da waren keine dynamischen Adressen im Spiel.
Wenn das mit einem Cron-Script einfach lösbar ist, dann sehe ich da erstmal dennoch kein Problem. Es ist halt nur "unschön".

 

[Wiesel6]

Ich habe schon lange WireGuard im Einsatz und meine Geräte verbinden sich in einem fremden WLAN automatisch mit dem Heimnetz. Wenn ich im Urlaub bin, muss ich händisch WireGuard deaktivieren und aktivieren, dass sich die neue IP vom Heimnetz zieht.
In der config steht zwar die DynDNS Adresse drin. Also beispielsweise die myfritz, dynv6 oder eines andern Anbieters. Aber nach erfolgreicher Verbindung wird diese durch die aktuelle IP ersetzt.
Für den Urlaub habe ich einen Reiserouter, diesen lasse ich geplant nachts neustarten.

 

[plang.pl]

Das gehört meiner Ansicht nach nicht hierher. Mach bitte nen eigenen Thread auf.