bart.koppers schreef op vrijdag 27 juni 2025 @ 16:14:
[...]
Je bedoelt met dan “enig dingetje” dan dat de Wireguard (server) een fixed GUA moet hebben, zodat de verbinding gelegd kan worden?
(En de firewall de UDP poort open heeft staan etc etc).
Of begrijp ik je/het verkeerd?
Op zichzelf is dat al wat onhandig (poorten openzetten, fixed IP), vind ik, dus geef voorkeur aan Zerotier, Netbird en (oke beetje dan, evt) Tailscale.
Niet alleen de server*. Daar waar bv OpenVPN gewoon DHCP doet richting de clients en de clients dus een IP vanaf de server krijgen moet je bij Wireguard zowel bij elke "node" een hardcoded IP adres instellen en ook "aan de nadere kant" bij elke peer instellen welk verkeer (/IP adressen) gerouteerd moeten worden naar die peer, dat dus potentieel alleen dat unieke IP is**. Dus op het moment dat ik op mijn telefoon een GUA instel, dat dus een GUA in een /64 binnen de prefix die ik van de ISP krijg is, dan ben ik afhankelijk van dat die GUA niet wijzigt. Wijzigt die wel moet ik zowel in de telefoon als in de router dat IP adres aanpassen (in de telefoon dus het "statische IP adres" voor de Wireguard interface, in de router de "AllowedAddress"). En "uiteraard" kan ik ook geen GUA gebruiken waarmee ik niet afhankelijk ben van wijzigingen aan de prefix, maar..., dan zou ik dus geen IPv6 connectiviteit hebben, of in ieder geval niet "het internet op" (tenzij ik de router / "server" zou laten NATen).
* Of nouja, Wireguard heeft geen server. Alle "nodes" zijn gelijk, alleen hebben sommigen een fixed port en mogelijk dat andere nodes een endpoint ingesteld naar hun IP + fixed port, maar ook beide uiteinden kunnen naar elkaar verwijzen met een endpoint, en elk endpoint kan meerdere peers hebben met een endpoint. Zo heb ik een mesh tussen mijn router thuis, die router bij familie, en een VPS. Dus mijn router verbind zowel rechtstreeks met de router bij familie als met de VPS. En de router bij familie verbind ook rechtstreeks met de router bij mij als met de VPS. Er is dus geen "server" en alle peers zijn gelijk.
** Mijn router met Wireguard hoeft alleen verkeer met bestemming het IP van mijn telefoon naar mijn telefoon te sturen, en geen ander verkeer. Terwijl in het geval van het "mesh" tussen de 2 routers en VPS naast het IP adres van de peer ook nog volledige subnets (de gewone ULA subnets aan die kant) over de tunnel worden gerouteerd.
Edit:
Even naar Netbird gekeken. Ik ken het project half, maar gezien ik een werkend mesh en zo heb niet echt naar gekeken. (+ dat ik in mijn geval het vast niet op een EdgeRouter kan zetten, terwijl WG zelf er wel op kan). Eerste DuckDuckGo hit is dit issue uit 2021, dat nog steeda open staat:
https://github.com/netbirdio/netbird/issues/46 niet perse hoopvol. Maar er staat ook een verwijzing naar
https://github.com/netbirdio/netbird/pull/1459 (gemerged in augustus 2024) dat weer wel iets doet. Waarbij Netbird een willekeurige ULA verzint en clients ook een IP binnen die ULA krijgen. Maar dan heb je dus wel alleen verbinding onderling en ik neem aan geen IPv6 internet connectiviteit (de situatie v.w.b. "telefoon die verbing opzet en ook internet op wilt).
Terwijl Netbird onderwater gewoon Wireguard als tunnel gebruikt en WG dus prima IPv6 doet.
En Netbird dus puur een beheer laag er overheen is. I.p.v. dat je op meerdere systemen handmatig WG config files moet aanpassen / config moet doorvoeren, je handmatig public keys moet uitwisselen (en private keys genereren), adressen moet verzinnen en op meerdere plekken moet instellen, .... Heeft Netbird dus een management / configuratie deel op een hoger niveau. Waarbij private & public keys door Netbird worden uitgewisseld tussen de systemen, configuratie automatisch wordt toegepast, de control server een IP adres "bedenkt" voor de "client" en dat overal correct toepast, .... En AFAIK werkt Tailscale hetzelfde. Puur een laag over Wireguard heen die het management deel uit handen haalt.
[
Voor 24% gewijzigd door
RobertMe op 27-06-2025 17:24
]