Wireguard hinter IB3, DMZ oder Statische Route?

ebu

Hallo

Allen die hier mitlesen - und den anderen auch - wünsche ich ein gutes neues Jahr mit viel Freude, nachhaltiger Gesundheit und einfach nur das Beste.

Mein Vorsatz für das neue Jahr ist die Einrichtung eines WireGuard-Servers in den eigenen 4 Wänden um das NAS (und nur das NAS) von extern zu erreichen. Ohne offene Ports an der IB3, ohne auf einen (fremden) Anbieter angewiesen zu sein.

Meine Frage hier richtet sich auf den Unterschied der beiden Funktionen der IB3: ‘DMZ’ und ‘Statische Routen’. Mein Verständnis dafür ist wie folgt:

DMZ: Setzt die IB3 in eine Arte ‘Bridge’-Modus und alle Verantwortung - insbesondere die Firewall - wird der IB3 abgenommen und auf den entsprechenden Client gelegt. (Das möchte ich nicht!)

- Statische Route: Hier wird der Internet-Traffic von der Firewall der IB3 gefiltert und dann an das “statisch geroutete” Gerät geleitet, das wiederum ein eigenes Netz aufspannt.

Mein Plan sieht vor, dass hinter der IB3 ein Asus-Router (könnte auch ein Pi sein) steht, auf dem der Wireguard Server dann läuft.

Meine bisherigen Test verliefen planmässig. Der Wireguard-Server läuft zur Zeit aber noch extern auf einem unbenutzten virtuellen Server unter Ubuntu22.04 (VPS) bei Netcup.

Ist das ein guter Plan? Ist mein Verständnis zum Unterschied “DMZ” und “Statische Router” korrekt?

Beste Grüsse

r00t

Hi ebu

First things first: dir ebenfalls ein gutes neues Jahr! 🙂

Nun zu deiner Frage:

DMZ: Setzt die IB3 in eine Arte ‘Bridge’-Modus und alle Verantwortung - insbesondere die Firewall - wird der IB3 abgenommen und auf den entsprechenden Client gelegt. (Das möchte ich nicht!)

\=> (fast) Alle eingehenden Verbindungen werden an das ausgewählte Gerät weitergeleitet.

- Statische Route: Hier wird der Internet-Traffic von der Firewall der IB3 gefiltert und dann an das “statisch geroutete” Gerät geleitet, das wiederum ein eigenes Netz aufspannt.

\=> Jein - hier geht es primär darum, dass die Internetbox bzw. deren angeschlossenen Geräte das neue Netz erreichen können, ohne dass du die Route auf allen Geräten manuell eintragen musst. Hat also nichts mit von extern eingehenden Paketen zu tun. Ohne eine statische Route, wissen die Geräte nicht, wie sie den IPs aus dem VPN antworten können, bzw. sie nutzen den default gateway (Internetbox) welcher den Traffic dann verwirft(?*)

Alternativ zu einer statischen Route kannst du auf dem VPN-Server auch Masquerade-NAT konfigurieren (ist einfacher als es scheint). Dann sieht es für alle Geräte so aus, als ob der Traffic vom Raspi kommt.

Was du suchst:

Damit du von extern auf deinen VPN-Server verbinden kannst, benötigst du ein Portforwarding. Hierbei wird ein von dir definierter Port + Protokoll von deiner öffentlichen IP an ein internes Gerät weitergeleitet. Im Falle von WireGuard könnte das z.B. so aussehen:

*Muss ich mal noch prüfen - kann auch sein, dass der Traffic dann im Swisscomnetz landet..

r00t

ebu

Hallo @r00t

Vielen Dank für die klärenden Informationen.

Darin sind einige Aspekte, die ich noch berücksichtigen werde.

Ohne Portweiterleitung wird es wohl nicht funktionieren. Und da sehe ich ein Problem auf mich zukommen, da ich den Internet-Booster nutze und dadurch zwei IP-Adressen nach Aussen habe. Das hat in der Vergangenheit immer zu Problemen bei DynDNS geführt. Ich habe leider keine fixe IP.

Werde mich noch weiter Informieren…

POGO 1104

@ebu schrieb:
…..Mein Vorsatz für das neue Jahr ist die Einrichtung eines WireGuard-Servers in den eigenen 4 Wänden um das NAS (und nur das NAS) von extern zu erreichen. Ohne offene Ports an der IB3….

Kannst du das wegen des offenen Ports auch begründen?

Ich sehe da eigentlich nicht wirklich ein grösseres Risiko gegenüber deinen anderen genannten Varianten. Zusätzlich könntest du dafür noch einen “exotischen” Port nehmen für auf den Raspi Wireguard Server….

Bezüglich Booster: du kannst den VPN-Server vom Booster ausschliessen.

r00t

Hi @ebu

Ohne Portweiterleitung wird es wohl nicht funktionieren. Und da sehe ich ein Problem auf mich zukommen, da ich den Internet-Booster nutze und dadurch zwei IP-Adressen nach Aussen habe.

Nutze ebenfalls den Booster. Du hast 2 Möglichkeiten:

1. DynDNS auf der Internetbox nutzen => zeigt immer auf die öffentliche IP deiner DSL-Leitung

2. Booster auf dem Raspi wo dyndns läuft (wo vermutlich auch WG läuft?) vom Booster ausschliessen.

Noch zur Info: Aktuell wirst du via VPN nicht vom Booster profitieren können, da dieser nur TCP unterstützt. Es ist aber ein neues Backend für den Booster in Arbeit, welches einige der bekannten Einschränkungen lösen wird 🙂. Wann dieses kommen wird, ist aktuell leider bis jetzt nicht bekannt, man munkelt aber, dass es dieses Jahr der Fall sein könnte?

r00t

Werner

@ebu schrieb:

Hallo

Mein Plan sieht vor, dass hinter der IB3 ein Asus-Router (könnte auch ein Pi sein) steht, auf dem der Wireguard Server dann läuft.

Selbst betreibe ich 3 verschiedene VPN Server nachgelagert zu einer IB3.

Dabei besteht mein aktueller Setup insgesamt aus:

IB3 -> Asus Merlin Router -> Raspberry Pi 4

Auf dem Asus-Router sitzt je ein Open VPN-Server mit UDP- und TCP-Protokoll.

Open VPN Server 1: IB3 Portweiterleitung UDP 51511 von IB3 auf IP-Adresse des Asus Router

Open VPN Server 2: IB3 Portweiterleitung TCP 443 von IB3 auf IP-Adresse des Asus Router (wobei der Open VPN 2 nur zum gelegentlichen Einsatz als Wall-Breaker für Clients in geschützten Umgebungen benutzt wird

Auf dem Raspberry Pi, welcher bei mir dann nochmals dem Asus Merlin Router nachgelagert ist, sitzt dann noch der WireGuard-Server.

WireGuard-Server: IB3 Portweiterleitung UDP 52111 von IB3 auf IP-Adresse des Asus Routers, Asus Router Portweiterleitung UDP 52111 von Ausrouter auf IP-Adresse des Raspberry Pi (die Portweiterleitung ist also durchkaskadiert bis zum Gerät, auf welchem sich der WireGuard Server befindet)

Default-Ports für die Verbindungen (ausser beim “Wall-Breaker-VPN”) sind mit Absicht keine in Verwendung, denn sowohl bei Open VPN wie auch bei WireGuard empfiehlt es sich private selbstgewählte Ports auf den VPN-Server zu konfigurieren damit man weniger ins Suchmuster von Portscan-Bots aus dem Internet gerät.

Für jeden VPN-Server braucht man also einen einzelnen individuellen Port, eine Weiterleitung dieses Ports von der Internetbox bis zur Appliance, auf welcher der VPN Server gehostet wird und dann natürlich noch einen DynDNS, am einfachsten direkt von der Internetbox nachgeführt (muss jedoch nicht unbedingt der Swisscom-eigene sein)

Was es nicht braucht sind:

- statische Routen, welche für direkten Traffic aus dem Internet völlig nutzlos sind

- DMZ-Modus, welcher völlig unnötig viel tausende von Ports durch die Internet-seitige Firewall der IB3 durchlässt, obwohl Du ja vermutlich überhaupt nur einen einzigen Port benutzen willst.

Und noch zum Thema Sicherheit:

Ein einzelner bewusst geöffneter und direkt auf einem VPN-Server terminierter Port, ist kein Sicherheitsrisiko, sondern die sicherst mögliche Methode um aus dem Internet überhaupt auf ein privates Netz zugreifen zu können.

PS: WireGuard läuft, wie Du ja bereits weisst, sowohl auf moderneren Asus Routern, wie auch auf den Raspi.
Geht es Dir nur um den WireGuard-Server, würde ich die Raspi-Variante direkt abgehängt an einer Swisscom Internetbox empfehlen, geht es um ein weiter gehendes Bedürfnis, also tatsächlich ein eigenes von der Swisscom unabhängiges IP -Netz in eigener Verantwortung zu betreiben, dann wäre für die Netzkaskadierung ein Asus Router keine schlechte Wahl, wobei ich dabei immer auch auf die Kompatibiltät mit der zusätzlichen Firmware Merlin achten würde. Falls Du momentan gerade einen Asus kaufen möchtest, scheint mir aktuell ein GT-AX6000 die beste Wahl zu sein, denn da kriegt man gerade sehr viel Hardware-Leistungen für sehr wenig Geld.

ebu

Hallo @Werner @r00t

Nochmals herzlichen Dank für die wichtigen, weiterführende Informationen die der Umsetzung meines Plans sehr zuträglich sind. Ich habe keine Zeitplan und die Hardware ist auch noch nicht abschliessend definiert.

Schön ein weiteres Mal zu erleben, dass einem Laien, der einen doch herausfordernden Plan vor Augen hat, so zu unterstützen. Danke!

kaetho

@POGO 1104 schrieb:
…

Zusätzlich könntest du dafür noch einen “exotischen” Port nehmen für auf den Raspi Wireguard Server….

Das bringt nichts, Stichwort “Portscanner”. Wer mal drin ist, lässt diesen laufen…

Werner

@ebu schrieb:

Hallo @Werner @r00t

Nochmals herzlichen Dank für die wichtigen, weiterführende Informationen die der Umsetzung meines Plans sehr zuträglich sind. Ich habe keine Zeitplan und die Hardware ist auch noch nicht abschliessend definiert.

Schön ein weiteres Mal zu erleben, dass einem Laien, der einen doch herausfordernden Plan vor Augen hat, so zu unterstützen. Danke!

Der WireGuard Server ist keine Hexerei, kriegt man (ausser auf den Swisscom Internetboxen, wo er (noch) nicht unterstützt wird) sehr gut zum Laufen.

ebu

@Werner

“…Geht es Dir nur um den WireGuard-Server, würde ich die Raspi-Variante direkt abgehängt an einer Swisscom Internetbox empfehlen…”

In der Tat geht es mir nur um den WireGuard-Server.

Würde das denn bedeuten, dass der von extern erreichbar gemachte Client (NAS) weiterhin an der IB3 dran hängt, oder müsste der dann - via Switch - an den Raspi?

Werner

@ebu

Ein Raspi direkt angehängt an eine Internetbox mit einem WireGuard Server drauf, hat auf das restliche Heim-Netz keinen Einfluss, sondern dient wirklich nur dem sicheren Aufbau der generellen Verbindung von Extern aus dem Internet zurück ins Heimnetz.

Meldest Du Dich dann via VPN-Verbindung von extern im Heimnetz an, kannst Du mit allem arbeiten wie wenn Du zuhause direkt im eigenen LAN/WLAN wärst, d.h. nicht nur das NAS, sondern auch alle anderen Netzressourcen, wie z. B. Drucker, etc. sind dann normal verfügbar.

Werner

@ebu

Zum Thema Raspberry Pi noch einen Nachtrag:

Das bisherige Top Modell Pi 4 wurde vor noch nicht allzu langer Zeit um das Modell Pi 5 ergänzt und und ist mit 4GB RAM aktuell zu erstaunlich niedrigen Preisen sogar lieferbar.

Müsste ich aktuell ein Starter-Kit neu kaufen, würde ich dieses hier bestellen:

https://www.pi-shop.ch/raspberry-pi-5-starter-kit-pi-5-4gb

Aber Vorsicht: Nach dem Einstieg in die Raspi-Welt ergibt sich manchmal auch eine gewisse Suchtgefahr nach weiteren Anwendungspakten auf dem Raspi, denn alleine nur mit dem WireGuard-Server dreht der Raspi ja immer nur mehr oder weniger im “Leerlauf” 🙂

ebu

Und jetzt noch ein Nachtrag…

Ich hatte am Wochenende Gelegenheit mit einer ganz aktuellen Fritz!Box 7590 AX, die Wireguard-Funktion auszuprobieren.

Habe dieses Gerät hinter die IB3 angeschlossen von LAN (IB3) zu WAN (Fritz) und in der IB3 die DMZ-Funktion aktiviert. Primäres Ziel war die Wireguard-Funktion zu testen.

Und siehe da: Mit einer Ausnahme war die ganze Installation automatisch in wenigen Minuten erledigt. Also nach der Inbetriebnahme der Fritz!Box. Die Ausnahme ist die, dass es nur mit einer DynDNS-Adresse funktioniert und nicht mit der Fritz-internen FritzDNS-Adresse. Dann in der Wireguard-iPhone-App den Peer-Endpunkt der DynDNS-Adresse eintragen - weil dort automatisch der FritzDNS-Eintrag drin ist und in der IB3 noch eine Portweiterleitung auf den Wireguard-Port der Fritz und fertig.

Letztendlich bleibt ein UDP-Port an der IB3 offen. Was aber bei jeder anderen selbstverwalteten Lösung auch der Fall sein dürfte.

Das Ziel eine funktionierende Wireguard-Installation zum Laufen zu bringen ist schon mal geglückt. Ich muss jetzt mal überlegen, ob ich eher auf einen Pi gehen, oder bei der Fritz!Box bleiben soll. Die Fritz!Box lieg bei um die CHF 240.00. Der Pi-Bausatz, der weiter oben verlinkt ist, ist für CHF 135 zu haben.

Werner

@ebu

Solltest Du Dich tatsächlich zum Betrieb einer kaskadierten Fritzbox entschliessen, würde ich nicht die 7590 inkl. eines gar nicht benötigten Modems nehmen, sondern die preiswertere Modem-lose 4060, welche unter anderem auch noch das beste WLAN aller bisherigen Fritzboxen hätte:

https://www.digitec.ch/de/s1/product/avm-fritzbox-4060-router-18233613

ebu

Vielen Dank @Werner für den Link. Das macht die Entscheidung nicht wirklich einfacher 😉…

r00t

Hi @ebu

Das macht die Entscheidung nicht wirklich einfacher 😉

Magst du das Fritz!Box GUI, bist mit der Funktionalität zufrieden und hast nicht vor, dich in der Materie zu vertiefen / das Setup auszubauen?

Bleib bei der Fritz!Box.

Hast du mit deinem Heimnetz grosse Pläne, willst dich vertiefen, evtl. mal Docker ausprobieren - dir die Hände zwar mal etwas “schmutzig” machen, um das ultimative Homelab zu bauen? (Achtung: Suchtgefahr!)

Dann nimm das Raspi.

r00t

ebu

@r00t

Das hast Du gut analysiert. Ich würde auf mich bezogen sagen, dass ich diese Sucht überwunden habe.

Die Phase Raspi, HomeLab, Docker und VM habe ich eigentlich hinter mir. Aktuell laufen nur etwa 4 Anwendungen im Docker (jetzt Container) auf der einen Synology. Zu meinen Hoch-Zeiten hatte ich 3 Pi (Modell 3 und 4) am Laufen.

Den Proxmox-Server mit mehreren LXC Containern und VMs habe ich schon vor einigen Monaten abgebaut. Die Test(Spiel)phase mit OpenMediaVault, TrueNAS und Unraid dauerte ebenfalls mehrere Monate.

Begründet mit dem nötigen Zeitaufwand um so ein HomeLab am Leben zu erhalten habe ich mich entschieden mich davon zu distanzieren. Das hat wohl einerseits mit dem fortschreitenden Alter - Ü60 - zu tun und andererseits mit anderen persönlichen Aspekten die in den Vordergrund treten. Zum Beispiel die ausgedehnten Reisen mit dem Wohnmobil - darum auch das VPN - um dennoch das NAS zu nutzen 😉

So gesehen ist der 4060 von Fritz schon verlockend.

Werner

@ebu

Die Fritte hätte noch einen Nebennutzen im Bereich Festnetz-Telefonie, wobei ich nicht weiss, ob dieser für Deine Reisen relevant ist:

Zieht man die Festnetztelefonie von der Internetbox auf die Fritte herunter, kann man auf den Mobiles auch die Fritz Phone App benutzen, welche es dann in der Kombination mit der Fritte ermöglicht, die Swisscom Festnetz-Flaterate auch wieder vagabundierend auf Handys zu benutzen, also das Feature, welches Swisscom zusammen mit der Home App aus ihrem eigenen Biotop zum Nachteil der Kunden vor einiger Zeit rausgekippt hat 🙂

ebu

Hallo Mitleser

Kurz ein Abschlussbericht:

Vor einigen Monaten habe ich diesen Beitrag gestartet und in der Zwischenzeit habe ich eine Lösung etabliert, die schon seit mehreren Monaten sehr gut funktioniert.

Als Vorsatz für 2024 habe ich mir anfangs Jahr vorgenommen, einen eigenen WireGuard-Server zu betreiben. Ich stand vor der Wahl den Wireguard-Server einer Fritz!Box 7590 AX zu nutzen, oder einen Raspi dafür einzusetzen.

Gewiss hätte so eine FB diverse Features die man nutzen könnte - wenn man wollte. Für mich stand bei meinem Projekt aber ausschliesslich der sichere Zugang von extern auf mein LAN im Vordergrund.

So habe ich mich für den Pi entschieden, diesen entsprechend aufgesetzt, an die IB3 gehängt und eine Portweiterleitung eingerichtet. Läuft!

Ich muss mich nicht mehr darum kümmern, ob ich extern oder intern im LAN bin. Die Wireguard App aktiviert automatisch nach verlassen des LAN das VPN und wenn ich zurückkomme wird es wieder deaktiviert. Wo immer ich mich aufhalte, kann ich via interner IP auf NAS etc. zugreifen. Genaus so beim MacBook und/oder iPad.

Gruss

Werner

@ebu

Danke für Deinen Erfahrungsbericht und schön, dass Dein Projekt sehr erfolgreich ins Ziel gekommen ist und sich auch schon länger bewährt hat.

Ergänzend dazu noch zwei Teilaspekte:

- Hast Du zuhause einen Kupfer- oder FTTH-Anschluss, und falls Du einen schnellen FTTH-Anschluss hättest, auf welchen VPN-

Spitzendurchsatz kommst Du, genügend schnelle Clientverbindung vorausgesetzt, mit der Kombination Raspi/WireGuard?

- sehr gut finde ich auch, dass Du explizit die WireGuard-Option des automatischen Einsatzes ausserhalb des oder der Heimnetze erwähnt hast, denn viele WireGuard-Benutzer sind sich dieses sehr praktischen WireGuard-Client-Features gar nicht bewusst