Wireguard VPN on demand

**Donny86** · 10.01.2021, 09:06

Danke für die Antwort, leider verstehe ich sie nicht zu 100% bzw. weiß ich nicht an welcher Schraube ich jetzt drehen müsste.
Daher hier mal beide Configs mit ausge-x-ten Keys:

Wireguard und Pi-Hole sind beide intern unter 192.168.178.61 erreichbar. Fritzbox ist standardmäßig auf 192.168.178.1

Server Config:
[Interface]
Address = 100.64.0.1/24
ListenPort = 51820
PrivateKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
#replace eth0 with the interface open to the internet (e.g might be wlan0)
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o wlan0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o wlan0 -j MASQUERADE

#Client1 Smartphone
[Peer]
PublicKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
AllowedIPs = 100.64.0.2/32

Client Config:
[Interface]
Address = 100.64.0.2/32
DNS = 192.168.178.61
PrivateKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

#Server
[Peer]
PublicKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Endpoint = xxxxxxxxxxxxxxxxxxxx.myfritz.net:51820
AllowedIPs = 0.0.0.0/0, ::/0
PersistentkeepAlive = 25

Wenn ich deine Antwort richtig verstehe, müsste die WG Server IP statt 100.64.0.1/24 eher so etwas wie 192.168.178.xx lauten?

**croxxi** · 10.01.2021, 19:24

Nach langem herumspielen gebe ich auf....Ich habe es nicht zusammengebracht den Wireguard Server zu starten. Ich vermute es liegt es am Docker Image auf der Synology NAS (Terminal) aber genau kann ich es natürlich nicht sagen. Ich hab derzeit folgende Zusammenstellung:

A1 Hybrid Modem (keine Fritz.Box) --> USG --> Switch --> Endgeräte

Am A1 Modem habe ich von NOIP.com die DynDNS Daten eingetragen und am USG habe ich einen Radius Server laufen. In dieser Kombination kann ich manuell am iPhone mein VPN starten und schon bin ich in meinem Heimnetz. Funktioniert eigentlich gut nur halt nicht OnDemand, deshalb will ich ja diese Lösung mal ausprobieren.

Was mir jetzt noch nicht so klar ist. Was muss ich in meinem Fall bei den Config's eintragen?

Beispiel: Mein Heimnetz 192.168.0.1/24 / PiHole 192.168.0.50 / Raspberry Pi wo der Wireguard Server laufen soll 192.168.0.55

Server Config:
[Interface]
Address = 192.168.99.1/24
ListenPort = 51820
PrivateKey = xxxxxxxxxxxxxx
#replace eth0 with the interface open to the internet (e.g might be wlan0)
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

#Client1 iPhone
[Peer]
PublicKey = xxxxxxxxxxxxxx
AllowedIPs = 192.168.99.2/32

-----

Client Config:
#Client1 iPhone
[Interface]
Address = 192.168.99.2/32
DNS = 192.168.0.50 --> PiHole
PrivateKey = xxxxxxxxxxxxxx

#Server
[Peer]
PublicKey = xxxxxxxxxxxxxx
Endpoint = testvpn.ddns.net:51820 --> Ist das hier die gleiche DynDNS Adresse von NOIP.com die ich auch auf meinem A1 Hybrid Modem eingetragen habe?
AllowedIPs = 0.0.0.0/0, ::/0
PersistentkeepAlive = 25

Wäre für Infos sehr dankbar

**croxxi** · 10.01.2021, 22:48

Hi,

ja Portforwarding hab ich am Unifi USG eingerichtet. Wie gesagt ich habe ja noch keinen Raspberry sondern derzeit nur über meine Synology NAS über Docker das ganze probiert. Ich bin mir auch nicht sicher ob das funktioniert mit dem Endpoint wo ich einfach nur die Adresse vom DynDNS angebe.

Ich habe alles übers Terminal in Docker konfiguriert wie hier in dieser Anleitung (https://www.antary.de/2020/04/09/ras...von-wireguard/), aber bei dem Punkt Wireguard Server starten hänge ich (siehe Screenshot)

glaube die Befehle gibts nicht im Docker Terminal. Bei "wg" passiert gar nichts und bei "wg-quick up wg0" geht auch nichts!

**Matti** · 11.01.2021, 13:28

Hat von Euch Wireguard schon mal jemand auf nem Proxmox Container / VM zum laufen gebracht?
Falls ja, kann mir jemand ein Tutorial empfehlen.
Am Raspi läuft es problemlos aber in meiner virtuellen Umgebung (Zielvorstellung) bring ich es einfach nicht zum laufen.

**Matti** · 11.01.2021, 14:02

Hallo Dieter,

vielen Dank für die Info.
Die Linux headers und das wireguard dkms beides auf der virtuellen Maschine ?
Nach welcher Anleitung bist Du vorgegangen?

**croxxi** · 13.01.2021, 16:30

Juhu ich hab das ganze jetzt mit meinem neuen Pi instant zum laufen gebracht! Funktioniert echt noch schneller als mit dem Radius Server! Zwei Fragen hätte ich aber noch zu dem ganzen. Ich habe ein iPhone und hab dort eingestellt "OnDemand" wenn "Mobile". In der Beschreibung (nachdem ich es auch eingerichtet habe aus #18) kann man bei der Android App nach Apps selektieren. Somit kann man ja z.B. sagen bei Firefox App nicht verbinden und bei Loxone App schon verbinden.
Gibts diese Einstellung beim iPhone nicht? Ich hab nämlich nichts gefunden und das wäre noch der Überhammer, wenn man sich die Apps aussuchen kann und dann OnDemand verbindet!
Kann man irgendwo die VPN Geschwindigkeit einstellen? Hab Zuhause 80 Mbit down und 15 up und über VPN nur 15 down 15 up.

**Miep Miep** · 13.01.2021, 17:43

Ich muss zugeben dass ich das für die Zukunft spannend finde, derzeit kriege ich das nicht mehr unter, da wäre mir die Integration von AVM ziemlich lieb.

daheim hab ich nen 250er VDSL Anschluss, was sind da realistische Übertragungsgeschwindigkeiten und welche Extrahardware wird benötigt ? Meine vom IPhone über das Heimnetzwerk ins Intanett.

**deepinpowder** · 14.01.2021, 12:41

Donny86

wow vielen Dank für deine Anleitung. Es funktioniert, leider extrem langsam.

Hier ein iperf3 Test direkt vom iPhone (LTE) auf den WG-Server über das VPN

Code:

- - - - - - - - - - - - - - - - - - - - - - - - -

[ ID] Interval Transfer Bitrate Retr

[ 5] 0.00-30.10 sec 949 KBytes 258 Kbits/sec 108 sender

[ 8] 0.00-30.10 sec 856 KBytes 233 Kbits/sec 109 sender

[ 10] 0.00-30.10 sec 831 KBytes 226 Kbits/sec 102 sender

[ 12] 0.00-30.10 sec 862 KBytes 235 Kbits/sec 102 sender

[ 14] 0.00-30.10 sec 850 KBytes 231 Kbits/sec 111 sender

[SUM] 0.00-30.10 sec 4.25 MBytes 1.18 Mbits/sec 532 sender

-----------------------------------------------------------

Server listening on 5201

-----------------------------------------------------------

Hier der SpeedTest am iPhone über LTE

Hier der Speedtest per Glasfaser von einem Win 10 im Remote Netz des Loxne Servers normal 300/300

und hier ein Speedtest direkt auf dem wg-server:

Code:

root@wireguard:~# speedtest-cli

Retrieving speedtest.net configuration...

Testing from Telitec Connections S.L. (181.98.235.188)...

Retrieving speedtest.net server list...

Selecting best server based on ping...

Hosted by wirered.es (Xativa) [50.59 km]: 77.144 ms

Testing download speed............................................. ...................................

Download: 163.07 Mbit/s

Testing upload speed............................................. .................................................. .......

Upload: 187.10 Mbit/s

root@wireguard:~#

und intern ist auch alles gut, siehe hier:

Code:

root@wireguard:~# iperf3 -c 192.168.1.232

Connecting to host 192.168.1.232, port 5201

[ 5] local 192.168.1.135 port 59788 connected to 192.168.1.232 port 5201

[ ID] Interval Transfer Bitrate Retr Cwnd

[ 5] 0.00-1.00 sec 216 MBytes 1.81 Gbits/sec 0 214 KBytes

[ 5] 1.00-2.00 sec 215 MBytes 1.80 Gbits/sec 0 214 KBytes

[ 5] 2.00-3.00 sec 251 MBytes 2.11 Gbits/sec 0 214 KBytes

[ 5] 3.00-4.00 sec 243 MBytes 2.04 Gbits/sec 0 214 KBytes

[ 5] 4.00-5.00 sec 252 MBytes 2.11 Gbits/sec 0 214 KBytes

[ 5] 5.00-6.00 sec 232 MBytes 1.95 Gbits/sec 0 214 KBytes

[ 5] 6.00-7.00 sec 261 MBytes 2.19 Gbits/sec 0 214 KBytes

[ 5] 7.00-8.00 sec 250 MBytes 2.09 Gbits/sec 0 214 KBytes

[ 5] 8.00-9.00 sec 257 MBytes 2.16 Gbits/sec 0 214 KBytes

[ 5] 9.00-10.00 sec 263 MBytes 2.20 Gbits/sec 0 214 KBytes

- - - - - - - - - - - - - - - - - - - - - - - - -

[ ID] Interval Transfer Bitrate Retr

[ 5] 0.00-10.00 sec 2.38 GBytes 2.05 Gbits/sec 0 sender

[ 5] 0.00-10.00 sec 2.38 GBytes 2.05 Gbits/sec receiver




iperf Done.

root@wireguard:~#

Hat jemand eine Idee warum das so extrem langsam ist oder kann mir bitte einen Tip geben, danke.

**croxxi** · 14.01.2021, 14:05

Ich hab leider noch ein "kleines Problem"

Sobald ich im VPN bin und mich auf die Intercom verbinde sehe ich das Bild und kann von extern auch mittels Iphone sprechen. Kommt auf der Intercom auch an. Wenn ich aber auf der Intercom reinspreche kommt nichts am iPhone an...Muss ich da noch etwas in Loxone an der Intercom konfigurieren?

Update: Wenn ich mich mit meinem VPN Radius Server verbinde dann funktioniert es auch. Hmm vielleicht wegen Wireguard und der Statischen Route?

**realschmide** · 14.01.2021, 18:50

Ich hab den Fehler mittlerweile verstanden, auch wenn ich noch keine Lösung dafür habe.

Der Fehler kann im TCP Dump auf dem Wireguard Server nachvollzogen werden:

Die Loxone App baut eine SIP Verbindung zur Intercom auf. Im SIP INVITE gibt die App an, an welche Adresse die Intercom die Sprach-Pakete schicken soll.

- Wenn der Tunnel als Split-Tunnel eingestellt ist, dann gibt die Loxone App als Antwort-Adresse die IP Adresse des Mobilfunk-Providers an. In meinem Fall (T-Mobile) ist das eine interne IPv4 Adresse, die man von extern nicht erreichen kann.
- Wenn Wireguard so konfiguriert ist, dass es den gesamten Traffic übernimmt (0.0.0.0/0), dann gibt die App als Antwort-Adresse die IP des Wireguard Devices an. Dann kommen auch die Sprachpakete an.

Ich denke also dass es ein Fehler in der Loxone App ist. D.h. es wird die falsche IP in SIP verwendet.

**deepinpowder** · 15.01.2021, 04:17

So, da ich keinen Fehler finden konnte, habe ich mal alles neu aufgesetzt. Wo auch immer der Fehler lag, jetzt kommen am Handy 100 Mbit an.

Danke für die Unterstützung

**realschmide** · 15.01.2021, 21:18

Ich hab nun eine Lösung für das Intercom Problem beim Split tunnel.

Man muss die Intercom so konfigurieren, dass sie extern per SIP erreichbar ist, wie hier beschrieben: https://www.loxone.com/dede/kb/loxon...m/#AudioInhalt

Dann hat man noch das Problem, dass die Loxone-App auch extern über den Split-Tunnel immer noch meint, man ist "intern verbunden", das kann man prüfen, wenn man in der App links auf das icon klickt, es steht dann gleich oben im Titel "miniserver-name - intern verbunden".
Wenn die App meint, sie ist intern verbunden, dann verwendet sie scheinbar auch die internen Intercom Einstellungen und man hört die Leute an der Haustür am Handy nicht.

Wir wollen nun die App dazu bringen zu wissen, dass sie extern verbunden ist, damit sie die externe SIP Einstellung an der Intercom verwendet.

Ich habe herausgefunden wie man die Loxone App austricksen kann. Ich verbiete über den VPN Tunnel den direkten Zugriff auf die IP Adresse des Miniservers. Damit muss die App unterwegs über die im Loxone konfigurierte Externe Adresse (die normalerweise für dyndns verwendet wird) verbinden. Dort trage ich eine andere IP Adresse ein, eine die es nicht gibt, bei mir sogar in einem anderen Netz. Am Wireguard Server konfiguriere ich eine NAT Regel mit einem 1:1 NAT bzw. destination NAT. Per destination NAT kann man eine IP Adresse umbiegen. Damit mache ich den Miniserver unter der als Extern konfigurierten IP Adresse erreichbar.

So kann unterwegs die Loxone App auf die interne Adresse nicht zugreifen, dafür aber auf die externe Adresse. Die App schaltet damit in den Extern Modus. Der Extern Modus sorgt dann dafür, dass der Zugriff auf die Intercom auch auf die externe Adresse geschieht, also über SIP.

Und siehe da: Die Loxone App und die Intercom funktionieren über den Split-Tunnel.

Hier der Vollständigkeit halber noch meine iptables Befehle, welche ich in der wg0.conf als Postup bzw. die zugehörige Delete Regel als Postdown eingetragen hab:

Code:

SaveConfig = false

PostUp = iptables -I FORWARD -i %i -j ACCEPT; iptables -I FORWARD -o %i -j ACCEPT; iptables -A INPUT -i %i -j ACCEPT
# blocke den direkten Zugriff auf den miniserver und leite die Anfragen an die Ersatzadresse weiter
PostUp = iptables -t nat -A PREROUTING -p all -i wg0 -d {{miniserver-ip}} -j DNAT --to 127.0.0.1
PostUp = iptables -t nat -A PREROUTING -p all -i wg0 -d {{miniserver-ersatz-ip}} -j DNAT --to {{miniserver-ip}}

PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -D INPUT -i %i -j ACCEPT
PostDown = iptables -t nat -D PREROUTING -p all -i wg0 -d {{miniserver-ip}} -j DNAT --to 127.0.0.1
PostDown = iptables -t nat -D PREROUTING -p all -i wg0 -d {{miniserver-ersatz-ip}} -j DNAT --to {{miniserver-ip}}

ListenPort = 51820

{{miniserver-ip}} bzw. {{miniserver-ersatz-ip}} müsst ihr natürlich durch eure IPs ersetzen.

Den Zugriff blockiere ich, indem ich die Netzwerk-Pakete auf 127.0.0.1 umlenke. Das ist nicht sehr elegant. Ich habe aber keine bessere Variante gefunden. Wenn sich unter euch ein iptables Profi befindet, bin ich für Nachhilfe dankbar.

**Klartext** · 18.01.2021, 19:52

So fertig mit der Welt für heute...

Wireguard über ipv6 mit einem raspberry, fritzbox und dynv6.net eingerichtet, funktioniert ohne externen Server trotz Ds-lite

der Nachteil ist, wenn man mal im Ausland ist und der dortige Provider kein ipv6 unterstützt nicht mehr darauf Zugreifen kann, für mich aber verschmerzbar

ich hoffe AVM zeiht hier auch beizeiten nach, damit das ganze ein wenig komfortabler wird

**Klartext** · 29.01.2021, 06:44

Jetzt läuft es bei mir schon eine Weile, route das komplette Internet vom Handy mittlerweile übers Heimnetz (ausgenommen Messenger um bei einen Ausfall erreichbar zu bleiben)
Geschwindigkeitstechnisch kann ich keinen Unterschied feststellen, teilweise sogar ein bischen schneller da jetzt Pihole mitfiltert
Ist auch super Bequem da für mich jetzt alle Geräte im Heimnetz erreichbar sind ohne weitere Konfiguration

Ein Problem habe ich noch wenn ich in der früh aufstehe funktioniert die Verbindung nicht mehr, einmal aus und ein geschaltet und es läuft wieder den ganzen Tag (habe da evtl. die Zwangstrennung im Verdacht))
vielleicht hat ja noch jemand einen Tipp

**hismastersvoice** · 29.01.2021, 07:42

Zitat von Klartext

Jetzt läuft es bei mir schon eine Weile, route das komplette Internet vom Handy mittlerweile übers Heimnetz (ausgenommen Messenger um bei einen Ausfall erreichbar zu bleiben)
Geschwindigkeitstechnisch kann ich keinen Unterschied feststellen, teilweise sogar ein bischen schneller da jetzt Pihole mitfiltert
Ist auch super Bequem da für mich jetzt alle Geräte im Heimnetz erreichbar sind ohne weitere Konfiguration

Ein Problem habe ich noch wenn ich in der früh aufstehe funktioniert die Verbindung nicht mehr, einmal aus und ein geschaltet und es läuft wieder den ganzen Tag (habe da evtl. die Zwangstrennung im Verdacht))
vielleicht hat ja noch jemand einen Tipp

Wireguard VPN on demand - loxforum.com

https://www.loxforum.com/forum/faqs-tutorials-howto-s/282884-wireguard-vpn-on-demand?p=283268#post283268

Hallo zusammen, ich möchte eine Erfahrung der letzten Wochen mit euch teilen, die mir das Leben mit Loxone deutlich einfacher gemacht hat. Bisher habe ich für den externen Zugriff auf Loxone (Miniserver gen1) ein IPSEC VPN verwendet. Das Ganze on demand hinzubekommen ist mit dem iPhone gar nicht so easy, war aber machbar

Das ist die Zwangstrennung.
Da Wireguard bekommt die neue IP nicht mit, und versucht dann die UDPs bei der alten IP abzusetzen. Erst nach Trennung geht es wieder.

Ich lasse dazu nach Änderung der IP das Wiregate-NIC neu starten

Wireguard VPN on demand

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar