Ankündigung

Einklappen

INFORMATION

Dieser Bereich ist für fertige Lösungen gedacht. Nutze bitte für Diskussionen die anderen Bereiche.
Mehr anzeigen
Weniger anzeigen

Wireguard VPN on demand

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • #16
    Danke für die Antwort, leider verstehe ich sie nicht zu 100% bzw. weiß ich nicht an welcher Schraube ich jetzt drehen müsste.
    Daher hier mal beide Configs mit ausge-x-ten Keys:

    Wireguard und Pi-Hole sind beide intern unter 192.168.178.61 erreichbar. Fritzbox ist standardmäßig auf 192.168.178.1

    Server Config:
    [Interface]
    Address = 100.64.0.1/24
    ListenPort = 51820
    PrivateKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
    #replace eth0 with the interface open to the internet (e.g might be wlan0)
    PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o wlan0 -j MASQUERADE
    PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o wlan0 -j MASQUERADE

    #Client1 Smartphone
    [Peer]
    PublicKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
    AllowedIPs = 100.64.0.2/32



    Client Config:
    [Interface]
    Address = 100.64.0.2/32
    DNS = 192.168.178.61
    PrivateKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

    #Server
    [Peer]
    PublicKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
    Endpoint = xxxxxxxxxxxxxxxxxxxx.myfritz.net:51820
    AllowedIPs = 0.0.0.0/0, ::/0
    PersistentkeepAlive = 25



    Wenn ich deine Antwort richtig verstehe, müsste die WG Server IP statt 100.64.0.1/24 eher so etwas wie 192.168.178.xx lauten?

    Kommentar


    • realschmide
      realschmide kommentierte
      Kommentar bearbeiten
      Richtig verstanden. Aber auch eben nicht 178, weil das ja bereits dein Heimnetzwerk ist. Nimm was anderes, also zb 177 und alles sollte gehen.

    • Donny86
      Donny86 kommentierte
      Kommentar bearbeiten
      Super danke, es funktioniert! Es lag wohl an zwei Dingen, einmal am Pi-Hole DNS (ist jetzt die Fritzbox IP) und an der WG Server IP.

      Danke für deine Unterstützung!

  • #17
    Nach langem herumspielen gebe ich auf....Ich habe es nicht zusammengebracht den Wireguard Server zu starten. Ich vermute es liegt es am Docker Image auf der Synology NAS (Terminal) aber genau kann ich es natürlich nicht sagen. Ich hab derzeit folgende Zusammenstellung:

    A1 Hybrid Modem (keine Fritz.Box) --> USG --> Switch --> Endgeräte

    Am A1 Modem habe ich von NOIP.com die DynDNS Daten eingetragen und am USG habe ich einen Radius Server laufen. In dieser Kombination kann ich manuell am iPhone mein VPN starten und schon bin ich in meinem Heimnetz. Funktioniert eigentlich gut nur halt nicht OnDemand, deshalb will ich ja diese Lösung mal ausprobieren.


    Was mir jetzt noch nicht so klar ist. Was muss ich in meinem Fall bei den Config's eintragen?

    Beispiel: Mein Heimnetz 192.168.0.1/24 / PiHole 192.168.0.50 / Raspberry Pi wo der Wireguard Server laufen soll 192.168.0.55


    Server Config:
    [Interface]
    Address = 192.168.99.1/24
    ListenPort = 51820
    PrivateKey = xxxxxxxxxxxxxx
    #replace eth0 with the interface open to the internet (e.g might be wlan0)
    PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

    #Client1 iPhone
    [Peer]
    PublicKey = xxxxxxxxxxxxxx
    AllowedIPs = 192.168.99.2/32

    -----

    Client Config:
    #Client1 iPhone
    [Interface]
    Address = 192.168.99.2/32
    DNS = 192.168.0.50 --> PiHole
    PrivateKey = xxxxxxxxxxxxxx

    #Server
    [Peer]
    PublicKey = xxxxxxxxxxxxxx
    Endpoint = testvpn.ddns.net:51820 --> Ist das hier die gleiche DynDNS Adresse von NOIP.com die ich auch auf meinem A1 Hybrid Modem eingetragen habe?
    AllowedIPs = 0.0.0.0/0, ::/0
    PersistentkeepAlive = 25

    Wäre für Infos sehr dankbar

    Kommentar


    • realschmide
      realschmide kommentierte
      Kommentar bearbeiten
      Die configs sehen auf den ersten Blick gut aus.

      Portforwarding zum wireguard server hast du eingetragen?

      Was ist denn die Fehlermeldung?

  • #18
    Hi,

    ja Portforwarding hab ich am Unifi USG eingerichtet. Wie gesagt ich habe ja noch keinen Raspberry sondern derzeit nur über meine Synology NAS über Docker das ganze probiert. Ich bin mir auch nicht sicher ob das funktioniert mit dem Endpoint wo ich einfach nur die Adresse vom DynDNS angebe.

    Ich habe alles übers Terminal in Docker konfiguriert wie hier in dieser Anleitung (https://www.antary.de/2020/04/09/ras...von-wireguard/), aber bei dem Punkt Wireguard Server starten hänge ich (siehe Screenshot)

    glaube die Befehle gibts nicht im Docker Terminal. Bei "wg" passiert gar nichts und bei "wg-quick up wg0" geht auch nichts!

    Klicke auf die Grafik für eine vergrößerte Ansicht

Name: 10-01-_2021_23-42-38.png
Ansichten: 141
Größe: 30,2 KB
ID: 285042

    Kommentar


    • PBaumgartner
      PBaumgartner kommentierte
      Kommentar bearbeiten
      da hat dein image wohl was - weil er scheinbar das Wiregard Protokoll nicht verarbeiten kann. Kernel-Modul ? Oder die Installation fehlerhaft?

    • PBaumgartner
      PBaumgartner kommentierte
      Kommentar bearbeiten
      google sagt: kernel-Modul: https://www.mpex.de/techblog/fehlerm...supported.html

    • croxxi
      croxxi kommentierte
      Kommentar bearbeiten
      Super Danke für die Info! Ich habe es jetzt ausprobiert wie in dem Techblog beschrieben geht auch nicht.

      Update: Ich habe mir soeben einen Pi4 gekauft
      Zuletzt geändert von croxxi; vor 6 Tagen.

  • #19
    Hat von Euch Wireguard schon mal jemand auf nem Proxmox Container / VM zum laufen gebracht?
    Falls ja, kann mir jemand ein Tutorial empfehlen.
    Am Raspi läuft es problemlos aber in meiner virtuellen Umgebung (Zielvorstellung) bring ich es einfach nicht zum laufen.

    Grüße

    Matthias
    gemischte KNX- und Loxoneinstallation im EFH Neubau

    Kommentar


    • hismastersvoice
      hismastersvoice kommentierte
      Kommentar bearbeiten
      Ich habe sie auf einer Proxmox VM laufen.
      Du musst linux headers und wireguard-dkms installieren. Dann geht es auf Debian Buster

    • realschmide
      realschmide kommentierte
      Kommentar bearbeiten
      Wichtig ist m.E., dass der VM Host bereits das wireguard kernel modul hat, bzw. einen so neuen Kernel hat, dass wireguard direkt im Kernel integriert ist. Ich habe zwar gelesen, dass es auch eine user-mode Implementierung gibt, speziell für Container ohne Kernel-Implementierung, habe aber keine Erfahrung damit.

  • #20
    Hallo Dieter,

    vielen Dank für die Info.
    Die Linux headers und das wireguard dkms beides auf der virtuellen Maschine ?
    Nach welcher Anleitung bist Du vorgegangen?

    Grüße

    Matthias
    gemischte KNX- und Loxoneinstallation im EFH Neubau

    Kommentar


    • realschmide
      realschmide kommentierte
      Kommentar bearbeiten
      Auf dem Host muss das installiert sein.

    • stoeff99
      stoeff99 kommentierte
      Kommentar bearbeiten
      So wie ich mich erinnere musste ich die Infos dazu aus unterschiedlichen Posts und Blogs zusammensuchen. Hier scheint aber ein guter Anfang zu sein:
      https://xalitech.com/setup-wireguard-vpn-server-azure/
      Es ist zwar nicht direkt Proxmox, sollte aber ein guter Start sein.

  • #21
    Juhu ich hab das ganze jetzt mit meinem neuen Pi instant zum laufen gebracht! Funktioniert echt noch schneller als mit dem Radius Server! Zwei Fragen hätte ich aber noch zu dem ganzen. Ich habe ein iPhone und hab dort eingestellt "OnDemand" wenn "Mobile". In der Beschreibung (nachdem ich es auch eingerichtet habe aus #18) kann man bei der Android App nach Apps selektieren. Somit kann man ja z.B. sagen bei Firefox App nicht verbinden und bei Loxone App schon verbinden.
    Gibts diese Einstellung beim iPhone nicht? Ich hab nämlich nichts gefunden und das wäre noch der Überhammer, wenn man sich die Apps aussuchen kann und dann OnDemand verbindet!
    Kann man irgendwo die VPN Geschwindigkeit einstellen? Hab Zuhause 80 Mbit down und 15 up und über VPN nur 15 down 15 up.
    Zuletzt geändert von croxxi; vor 3 Tagen.

    Kommentar


    • realschmide
      realschmide kommentierte
      Kommentar bearbeiten
      Herzlichen Glückwunsch!
      Ich denke nicht, dass das nach Apps geht in iOS. Das ist m.E. auch nicht nötig. Weil das VPN Interface wird ja bereits initialisiert wenn du das WLAN verlässt. Daten fließen darüber ja nur, wenn eine App versucht dein Heimnetz zu erreichen. Und das sollten ja auch nur Apps tun, die da was verloren haben (Stichwort Split-Tunnel, d.h. nur der IP-Bereich deines Heimnetzes geht übers VPN, der Rest einfach weiterhin ganz normal ins Internet). Also z.B. Loxone, oder der Zugriff mit dem Browser auf pi.hole oder whatever.

      Das mit der VPN Geschwindigkeit ist interessant. Was hast du da für einen Raspi?
      Meine Leitung hat 200 MBit und mit dem Raspi 3 hab ich ca 70 MBit durchs VPN bekommen (iperf3) mit dem Raspi 4 bekomme ich die vollen 200 MBit durch. Ich vermute der kann noch mehr, leider gibt meine Leitung nicht mehr her, so dass ich das testen könnte.

      Wenn du nur 15 drüber bekommst ist das schon komisch. Das muss entweder ein älterer Rapsi sein (z.B. 2? Zero?). Und so wie du es formuliert hast, klingt es so, wie wenn du einen normalen Speedtest gemacht hast. Der Speedtest geht ja nur dann übers VPN, wenn du keinen Split-Tunnel hast, d.h. als AllowedIPs 0.0.0.0 eingestellt hast. Das würde ich nicht empfehlen für Loxone. Sonst schickst du ja deinen ganzen Traffic vom Handy aus erst mal nach Hause und dann über die selbe Leitung wieder zurück ins Internet. Das macht m.E. nur Sinn, wenn du dich in einem unsicheren Umfeld befindest. Z.B. ein WLAN von einem shady internet-cafe.

    • realschmide
      realschmide kommentierte
      Kommentar bearbeiten
      Ich habs grad mit dem Raspi 4 noch mal übers lokale Netz getestet: 600 MBit packt das Wireguard. Top!

    • croxxi
      croxxi kommentierte
      Kommentar bearbeiten
      Ich habe mir den Pi 4 gekauft und ich hab noch keinen Split Tunnel eingerichtet. muss ich erst machen
      Okay hab's jetzt mal übers wlan auch getestet und da komme ich auch auf die vollen 80
      Zuletzt geändert von croxxi; vor 3 Tagen.

  • #22
    Ich muss zugeben dass ich das für die Zukunft spannend finde, derzeit kriege ich das nicht mehr unter, da wäre mir die Integration von AVM ziemlich lieb.

    daheim hab ich nen 250er VDSL Anschluss, was sind da realistische Übertragungsgeschwindigkeiten und welche Extrahardware wird benötigt ? Meine vom IPhone über das Heimnetzwerk ins Intanett.
    Es ist nie zu spät für eine glückliche Kindheit.

    Kommentar


    • realschmide
      realschmide kommentierte
      Kommentar bearbeiten
      Warum würdest du vom iPhone übers Heimnetz ins Intranet. Du solltest mit dem iPhone ganz normal weiter ins Internet gehen. Nur der Traffic für dein Heimnetz geht übers VPN, der Rest bleibt wie es ist. Und für Loxone reichen da ein paar MBit schon locker aus. Mit einem Raspberry 4 bekommst du deutlich mehr, der schafft 600 MBit, das reicht überall hin. Ok. In 2021.

    • Miep Miep
      Miep Miep kommentierte
      Kommentar bearbeiten
      Oops, vom IPhone übers Internet ins Heimnetzwerk ins Internet, quasi ein normaler Tunnel. Aber wenn ich das recht verstanden habe wäre ein Rasberry 4 ausreichend, der wartet ohnehin nur darauf aufgesetzt zu werden.

  • #23
    Donny86

    wow vielen Dank für deine Anleitung. Es funktioniert, leider extrem langsam.

    Hier ein iperf3 Test direkt vom iPhone (LTE) auf den WG-Server über das VPN

    Code:
    - - - - - - - - - - - - - - - - - - - - - - - - -
    
    [ ID] Interval Transfer Bitrate Retr
    
    [ 5] 0.00-30.10 sec 949 KBytes 258 Kbits/sec 108 sender
    
    [ 8] 0.00-30.10 sec 856 KBytes 233 Kbits/sec 109 sender
    
    [ 10] 0.00-30.10 sec 831 KBytes 226 Kbits/sec 102 sender
    
    [ 12] 0.00-30.10 sec 862 KBytes 235 Kbits/sec 102 sender
    
    [ 14] 0.00-30.10 sec 850 KBytes 231 Kbits/sec 111 sender
    
    [SUM] 0.00-30.10 sec 4.25 MBytes 1.18 Mbits/sec 532 sender
    
    -----------------------------------------------------------
    
    Server listening on 5201
    
    -----------------------------------------------------------
    Hier der SpeedTest am iPhone über LTE

    Klicke auf die Grafik für eine vergrößerte Ansicht  Name: 4364523707.png Ansichten: 0 Größe: 53,2 KB ID: 285746

    Hier der Speedtest per Glasfaser von einem Win 10 im Remote Netz des Loxne Servers normal 300/300
    Klicke auf die Grafik für eine vergrößerte Ansicht  Name: 40319908gr.jpg Ansichten: 0 Größe: 56,1 KB ID: 285747

    und hier ein Speedtest direkt auf dem wg-server:

    Code:
    root@wireguard:~# speedtest-cli
    
    Retrieving speedtest.net configuration...
    
    Testing from Telitec Connections S.L. (181.98.235.188)...
    
    Retrieving speedtest.net server list...
    
    Selecting best server based on ping...
    
    Hosted by wirered.es (Xativa) [50.59 km]: 77.144 ms
    
    Testing download speed............................................. ...................................
    
    Download: 163.07 Mbit/s
    
    Testing upload speed............................................. .................................................. .......
    
    Upload: 187.10 Mbit/s
    
    root@wireguard:~#
    und intern ist auch alles gut, siehe hier:

    Code:
    root@wireguard:~# iperf3 -c 192.168.1.232
    
    Connecting to host 192.168.1.232, port 5201
    
    [ 5] local 192.168.1.135 port 59788 connected to 192.168.1.232 port 5201
    
    [ ID] Interval Transfer Bitrate Retr Cwnd
    
    [ 5] 0.00-1.00 sec 216 MBytes 1.81 Gbits/sec 0 214 KBytes
    
    [ 5] 1.00-2.00 sec 215 MBytes 1.80 Gbits/sec 0 214 KBytes
    
    [ 5] 2.00-3.00 sec 251 MBytes 2.11 Gbits/sec 0 214 KBytes
    
    [ 5] 3.00-4.00 sec 243 MBytes 2.04 Gbits/sec 0 214 KBytes
    
    [ 5] 4.00-5.00 sec 252 MBytes 2.11 Gbits/sec 0 214 KBytes
    
    [ 5] 5.00-6.00 sec 232 MBytes 1.95 Gbits/sec 0 214 KBytes
    
    [ 5] 6.00-7.00 sec 261 MBytes 2.19 Gbits/sec 0 214 KBytes
    
    [ 5] 7.00-8.00 sec 250 MBytes 2.09 Gbits/sec 0 214 KBytes
    
    [ 5] 8.00-9.00 sec 257 MBytes 2.16 Gbits/sec 0 214 KBytes
    
    [ 5] 9.00-10.00 sec 263 MBytes 2.20 Gbits/sec 0 214 KBytes
    
    - - - - - - - - - - - - - - - - - - - - - - - - -
    
    [ ID] Interval Transfer Bitrate Retr
    
    [ 5] 0.00-10.00 sec 2.38 GBytes 2.05 Gbits/sec 0 sender
    
    [ 5] 0.00-10.00 sec 2.38 GBytes 2.05 Gbits/sec receiver
    
    
    
    
    iperf Done.
    
    root@wireguard:~#
    Hat jemand eine Idee warum das so extrem langsam ist oder kann mir bitte einen Tip geben, danke.
    Zuletzt geändert von deepinpowder; vor 2 Tagen.

    Kommentar


    • realschmide
      realschmide kommentierte
      Kommentar bearbeiten
      Kannst du mal intern testen? Also ein Client im lan der zu deinem Server im selben Netz eine wireguard Verbindung aufbaut?
      Ist es da auch so langsam?

    • deepinpowder
      deepinpowder kommentierte
      Kommentar bearbeiten
      Hy,

      danke für die Unterstützung.

      Ein interner Test ist ja auch dabei : Siehe oben

      [ 5] 2.00-3.00 sec 251 MBytes 2.11 Gbits/sec 0 214 KBytes

    • realschmide
      realschmide kommentierte
      Kommentar bearbeiten
      Ich hatte den internen Test so verstanden, dass er übers LAN geht. Ich meinte einen Test der über einen Wireguard Tunnel übers LAN geht.
      Bekommst du wirklich 2GBit durch einen Wireguard Tunnel? Was ist das für eine Kiste?? Will ich auch

  • #24
    Ich hab leider noch ein "kleines Problem" Sobald ich im VPN bin und mich auf die Intercom verbinde sehe ich das Bild und kann von extern auch mittels Iphone sprechen. Kommt auf der Intercom auch an. Wenn ich aber auf der Intercom reinspreche kommt nichts am iPhone an...Muss ich da noch etwas in Loxone an der Intercom konfigurieren?

    Update: Wenn ich mich mit meinem VPN Radius Server verbinde dann funktioniert es auch. Hmm vielleicht wegen Wireguard und der Statischen Route?
    Zuletzt geändert von croxxi; vor 2 Tagen.

    Kommentar


    • croxxi
      croxxi kommentierte
      Kommentar bearbeiten
      So ich hab das Problem gefunden :

      Trage ich im Client File folgendes ein funktioniert alles (Sprach zu und von der Intercom)
      AllowedIPs = 0.0.0.0/0, ::/0

      Trage ich im Client File nur mein Heimnetz ein funktoniert es nur wie oben beschrieben zur Intercom
      AllowedIPs = 192.168.0.0/24

      Das ist jetzt nicht so "leiwand" Ich habe probiert unter AllowedIPs auch mehrere Netzwerke reinzuschreiben das hat aber auch nichts gebracht. Kennt jemand ein andere Lösung?

    • realschmide
      realschmide kommentierte
      Kommentar bearbeiten
      Interessant. Diesen Fehler hab ich auch und konnte ihn grad nachstellen.

      Im tcpdump sehe ich dass im Split-Tunnel setup keine Antwort-Packages von der Intercom kommen. Das ist seltsam. Muss ich mal drüber nachdenken, warum das so sein könnte...

  • #25
    Ich hab den Fehler mittlerweile verstanden, auch wenn ich noch keine Lösung dafür habe.

    Der Fehler kann im TCP Dump auf dem Wireguard Server nachvollzogen werden:

    Die Loxone App baut eine SIP Verbindung zur Intercom auf. Im SIP INVITE gibt die App an, an welche Adresse die Intercom die Sprach-Pakete schicken soll.

    - Wenn der Tunnel als Split-Tunnel eingestellt ist, dann gibt die Loxone App als Antwort-Adresse die IP Adresse des Mobilfunk-Providers an. In meinem Fall (T-Mobile) ist das eine interne IPv4 Adresse, die man von extern nicht erreichen kann.
    - Wenn Wireguard so konfiguriert ist, dass es den gesamten Traffic übernimmt (0.0.0.0/0), dann gibt die App als Antwort-Adresse die IP des Wireguard Devices an. Dann kommen auch die Sprachpakete an.

    Ich denke also dass es ein Fehler in der Loxone App ist. D.h. es wird die falsche IP in SIP verwendet.

    Kommentar


    • croxxi
      croxxi kommentierte
      Kommentar bearbeiten
      Vielen Dank für's analysieren! Wäre der Fehler bei T-Mobile, hätte ich helfen können D.h sollen wir bei Loxone ein Ticket aufmachen?
      Bzgl. SIP konfigurieren wie würde das ausschauen. Durch die VPN Connection geht es ja über die lokale IP der Intercom SIP Connection die in der Config eingetragen ist. Der externe SIP Dienst wird ja bei extern eingetragen was aber nicht angestoßen wird oder verstehe ich was falsches?

    • realschmide
      realschmide kommentierte
      Kommentar bearbeiten
      Ja, das dachte ich auch erst. Aber es scheint zu funktionieren. Vielleicht ist es auch Zufall.
      Aber der Miniserver zeigt an "intern verbunden", baut aber trotzdem die SIP Verbindung extern auf.

      Auf dem iPhone meiner Frau hat es erst nicht funktioniert, dann aber doch. Komisch. Weißt du, wie man dem Miniserver beibringt, dass er jetzt "extern verbunden" ist?

    • croxxi
      croxxi kommentierte
      Kommentar bearbeiten
      Nein weiß ich leider nicht.
      Ich hab in der Loxone Config und in der Intercom noch die SIP Daten eingetragen was aber keine Auswirkung bei mir hat!

  • #26
    So, da ich keinen Fehler finden konnte, habe ich mal alles neu aufgesetzt. Wo auch immer der Fehler lag, jetzt kommen am Handy 100 Mbit an.

    Klicke auf die Grafik für eine vergrößerte Ansicht

Name: 40324342ov.png
Ansichten: 68
Größe: 167,1 KB
ID: 285929

    Danke für die Unterstützung

    Kommentar


    • #27
      Ich hab nun eine Lösung für das Intercom Problem beim Split tunnel.

      Man muss die Intercom so konfigurieren, dass sie extern per SIP erreichbar ist, wie hier beschrieben: https://www.loxone.com/dede/kb/loxon...m/#AudioInhalt

      Dann hat man noch das Problem, dass die Loxone-App auch extern über den Split-Tunnel immer noch meint, man ist "intern verbunden", das kann man prüfen, wenn man in der App links auf das icon klickt, es steht dann gleich oben im Titel "miniserver-name - intern verbunden".
      Wenn die App meint, sie ist intern verbunden, dann verwendet sie scheinbar auch die internen Intercom Einstellungen und man hört die Leute an der Haustür am Handy nicht.

      Wir wollen nun die App dazu bringen zu wissen, dass sie extern verbunden ist, damit sie die externe SIP Einstellung an der Intercom verwendet.

      Ich habe herausgefunden wie man die Loxone App austricksen kann. Ich verbiete über den VPN Tunnel den direkten Zugriff auf die IP Adresse des Miniservers. Damit muss die App unterwegs über die im Loxone konfigurierte Externe Adresse (die normalerweise für dyndns verwendet wird) verbinden. Dort trage ich eine andere IP Adresse ein, eine die es nicht gibt, bei mir sogar in einem anderen Netz. Am Wireguard Server konfiguriere ich eine NAT Regel mit einem 1:1 NAT bzw. destination NAT. Per destination NAT kann man eine IP Adresse umbiegen. Damit mache ich den Miniserver unter der als Extern konfigurierten IP Adresse erreichbar.

      So kann unterwegs die Loxone App auf die interne Adresse nicht zugreifen, dafür aber auf die externe Adresse. Die App schaltet damit in den Extern Modus. Der Extern Modus sorgt dann dafür, dass der Zugriff auf die Intercom auch auf die externe Adresse geschieht, also über SIP.

      Und siehe da: Die Loxone App und die Intercom funktionieren über den Split-Tunnel.

      Hier der Vollständigkeit halber noch meine iptables Befehle, welche ich in der wg0.conf als Postup bzw. die zugehörige Delete Regel als Postdown eingetragen hab:

      Code:
      SaveConfig = false
      
      PostUp = iptables -I FORWARD -i %i -j ACCEPT; iptables -I FORWARD -o %i -j ACCEPT; iptables -A INPUT -i %i -j ACCEPT
      # blocke den direkten Zugriff auf den miniserver und leite die Anfragen an die Ersatzadresse weiter
      PostUp = iptables -t nat -A PREROUTING -p all -i wg0 -d {{miniserver-ip}} -j DNAT --to 127.0.0.1
      PostUp = iptables -t nat -A PREROUTING -p all -i wg0 -d {{miniserver-ersatz-ip}} -j DNAT --to {{miniserver-ip}}
      
      PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -D INPUT -i %i -j ACCEPT
      PostDown = iptables -t nat -D PREROUTING -p all -i wg0 -d {{miniserver-ip}} -j DNAT --to 127.0.0.1
      PostDown = iptables -t nat -D PREROUTING -p all -i wg0 -d {{miniserver-ersatz-ip}} -j DNAT --to {{miniserver-ip}}
      
      ListenPort = 51820
      {{miniserver-ip}} bzw. {{miniserver-ersatz-ip}} müsst ihr natürlich durch eure IPs ersetzen.

      Den Zugriff blockiere ich, indem ich die Netzwerk-Pakete auf 127.0.0.1 umlenke. Das ist nicht sehr elegant. Ich habe aber keine bessere Variante gefunden. Wenn sich unter euch ein iptables Profi befindet, bin ich für Nachhilfe dankbar.

      Kommentar


      • croxxi
        croxxi kommentierte
        Kommentar bearbeiten
        WOW genial vielen Dank für deine Mühe eine Lösung zu finden! Werde ich heute gleich ausprobieren 

      • realschmide
        realschmide kommentierte
        Kommentar bearbeiten
        Hier noch zwei kleine Hinweise, dir mit etwas Kopfzerbrechen bereitet haben:

        Der hier beschriebene Bug hat mich ein paar Stunden gekostet: https://www.loxwiki.eu/display/LOX/E...g10(2018.09.24)
        Wenn ihr die externe Adresse ändert, startet der Miniserver neu, danach noch mal "im Miniserver speichern", sonst übernimmt er es nicht richtig.

        Wenn man - wie ich - ein Windows in der Cloud hat und es über Wireguard verbindet, dann gibt es einen weiteren Bug. Loxone Config zeigt zwar an "extern verbunden" und kann die Config auch speichern, jedoch übernimmt er dann jedesmal die externe IP ins Feld der internen IP - auch wenn man an der Stelle nichts ändert. Also immer schauen, dass das Windows mit der Loxone-Config intern zugreift. Deswegen hab ich noch mal eine der iptables-regeln angepasst, so dass das remote-windows weiterhin über die interne IP zugreifen kann:

        Code:
        # Ausnahme: zulassen für remote windows, wg. loxone bug mit externer / interner Adresse
        PostUp = iptables -t nat -A PREROUTING -p all -i wg0 ! -s {{externe-windows-ip}} -d {{miniserver-ip}} -j DNAT --to 127.0.0.1
    Lädt...
    X