[WireGuard] LAN toegankelijk houden

Volgens mij is dit iets wat Mullvad support voor je kan beantwoorden. Die zijn in mijn ervaring vrij vlot en best goed als het op support aankomt.

Ik heb geen ervaring met de Windows client. Maar over het algemeen kan ik dit zeggen:
Wat je volgens mij zoekt is de AllwedIPs in je config file.

"Briefly, the AllowedIPs setting acts as a routing table when sending, and an ACL when receiving. When a peer tries to send a packet to an IP, it will check AllowedIPs, and if the IP appears in the list, it will send it through the WireGuard interface. When it receives a packet over the interface, it will check AllowedIPs again, and if the packet’s source address is not in the list, it will be dropped."

Als je echt helemaal nul ervaring hebt met routing en linux dan is het wellicht verstandiger om eerst te kijken of Mullvad support je kan helpen. Reddit heeft ook een Wireguard gedeelte.

Het heeft mij behoorlijk wat uren gekost om mijn Wireguard setup zo werkend te krijgen zoals ik het wil maar iets anders dan hoe jij het beschrijft. Hieronder mijn configs misschien heb je daar wat aan.

Ik heb geen idee wat je kan aanpassen aan de config bestanden in die Windows client. Zoals je ziet staat aan de client kant mijn AllowedIPs op 0.0.0.0/0. Al het verkeer gaat via de tunnel wat dus ook betekent dat de server niet meer bereikbaar is op mijn ISP IP. Vandaar de IPtables regel om Plex bereikbaar te houden vanaf buiten.

Vanaf mijn LAN kan ik gewoon nog vanaf bijvoorbeeld laptop middels SSH naar mijn thuis server middels LAN IP en vanaf thuis server ook naar andere apparaten op mijn LAN.
Server:
[Interface]
PrivateKey = XXXXXXXXXXXXXXXXXXXXXXX
ListenPort = 51820
Address = 192.168.50.1/24

PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE
#Postup = iptables -t nat -A PREROUTING -i ens3 -d XXXXXXXXXXXXXX -p tcp --dport 22 -j DNAT --to-destination 192.168.50.2:22
PostUp = iptables -t nat -A PREROUTING -i ens3 -d XXXXXXXXXXX -p tcp --dport 32400 -j DNAT --to-destination 192.168.50.2:32400
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o ens3 -j MASQUERADE
PostDown = iptables -t nat -D PREROUTING -i ens3 -d XXXXXXXXXXXX -p tcp --dport 32400 -j DNAT --to-destination 192.168.50.2:32400
#PostDown = iptables -t nat -D PREROUTING -i ens3 -d XXXXXXXXXXXX -p tcp --dport 22 -j DNAT --to-destination 192.168.50.2:22
[Peer]
PublicKey = XXXXXXXXXXXXXXXXX
AllowedIPs = 192.168.50.2/32

[Peer]
PublicKey = XXXXXXXXXXXXXXXXXXXXXXX
AllowedIPs = 192.168.50.3/32

Client:
[Interface]
PrivateKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxx
Address = 192.168.50.2/24
DNS = 1.1.1.1


[Peer]
PublicKey = fxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Endpoint = xxx.xx.xx.xx:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25

[ Voor 8% gewijzigd door Kasper1985 op 16-11-2019 14:06 ]

Snap ik helemaal! Ik had de mazzel toen ik met wireguard begon dat ik op een afdeling werkte met 30-40 door gewinterde IT'ers ;-) maar het heeft mij ook uren uitzoek werk gekost.

Wat snap je hier niet aan? Dat laatste gedeelte zijn iptables regels. Wat ze exact doen kan ik je ook niet in detail vertellen. Maar je kan het in ieder geval proberen. Vervang "yourinterface" met jouw netwerk interface. Ik heb geen flauw idee hoe je erachter komt wat dat is onder Windows. Misschien kan je ze dat nog een keer vragen of anders googelen of hier in het Windows forum vragen?

Heb je wel duidelijk aangegeven dat je de Windows client gebruikt? Ik weet ook niet met 100% zekerheid of dit gaat werken op Windows.

Ja ik denk dat je er echt goed aan doet om support nogmaals te contacten.

Wireguard is vrij nieuw. Dus ik denk dat de mensen die ermee werken op dit forum vrij gering is. Daarnaast zullen de meeste mensen die ermee werken dit op linux doen.

En tot slot beheert een derde partij de server kant. "we" hebben daardoor dus geen enkele inzage in die kant die is voor bepaalde dingen wel handig om de client goed af te stemmen.

Die Iptables rules gaan niet werken onder windows, ik denk dat je er al bent door alleen het "AllowedIPs" deel aan passen van 0.0.0.0/0 naar die hele rits die in jouw post staat.
Anders kun je in CMD altijd eens een "route print" doen om te kijken hoe de routes staan.

Dit is niet bedoeld als topic kaping maar dit is volgens mij eigenlijk hetzelfde probleem.

Ik heb een situatie waar ik niet helemaal uitkom.
Zelf een Synology 918+ en mijn ouders hebben nu nog een Dlink (antiek).

Ik heb momenteel bij mijn ouders een mini pc met externe opslag aangesloten. Die pc heeft als taak op de zoveel tijd een backup van bestanden te pakken die op mijn NAS staan. De bestanden komen encrypted op de externe opslag. De verbinding van de mini pc naar mij verloopt via een OpenVPN verbinding.

Nu heb ik onlangs een Lenovo ix4 300D kunnen krijgen (zat nieuw in de verpakking). Deze wil ik als vervanging van de Dlink.
Nu wil ik eigenlijk de volgende situatie maken:
Synology
LAN 1 – eigen netwerk
LAN 2 – netwerk naar VPN/ Wireguard

Lenovo
LAN 1 – eigen netwerk
LAN 2 – netwerk naar VPN/ Wireguard

Ik wil dan via LAN 2 de bestanden naar elkaar backuppen.

Aangezien de Lenovo geen VPN ondersteunt ben ik in mijn rommelbak gaan kijken en zag ik een Ginet AR750 en Ginet AR750s ext liggen die ik met een ander project (hotel en wifi) had gebruikt.

Aangezien beide apparaten openVPN en Wireguard ondersteunen. Keek ik naar wat is de performance en bescherming. Hoe ik het lees is Wireguard netzoals VPN veilig (bij vpn heb je veel lagen van encryptie). Bij Wireguard is dat deel van instellen niet direct aanwezig en het heeft als grootse voordeel dat de load een stuk lager is en hierdoor de doorvoer een stuk hoger kan zijn.
Hierdoor was mijn idee om voor Wireguard te gaan.
Ik krijg beide Ginet routers met elkaar verbonden maar de beide nassen kunnen elkaar niet vinden.


(ip van NAS ouders 192.168.8.2 (typefout)

Configuratie hoe ik deze nu heb:
Met Wireguard krijg je een config bestand voor elk apparaat/ gebruiker.
Ik heb het idee dat daar iets in veranderd moet worden.

De config ziet er nu als volgt uit:

[Interface]
Address = 10.0.0.2/32
ListenPort = 13195
PrivateKey = <Hier staat een sleutel>
DNS = 64.6.64.6

[Peer]
AllowedIPs = 0.0.0.0/0
Endpoint = <buiten ip adres van mij>:51820
PersistentKeepalive = 25
PublicKey = <Hier staat een sleutel>

Ik heb het idee dat ik bij AllowedIPs = 0.0.0.0/0 het volgende moet typen:
AllowedIPs = 192.168.8.2/?

Andere optie is dat ik toch maar (Open)VPN ga opzetten maar mede door de performance vind ik deze best interessant.
Hoe kan ik de twee Ginet routers met Wireguard als het kan zo instellen dat ze een groter netwerk maken dat voor elkaar zichtbaar is?

Edit:
OPLOSSING GEVONDEN

Ik kwam bij de 750M niet via WinSCP ingelogd. Kreeg telkens een foutmelding dat het wachtwoord niet klopte. Ook na een software en hardware reset.

Uiteindelijk firmware update (naja update het was hetzelfde nummer) er opnieuw opgezet.

Toen kon ik wel connectie maken met WinSCP en een bestand aanpassen en kon ik de onderstaande stappen uitvoeren die ik op een andere site vond.

Visit Client’s LAN Subnet
Visit Client’s LAN Subnet from WireGuard Server LAN Subnet

1) Change WireGuard clients LAN IP to avoid IP confliction with Server

2) Modify Wireguard_Server Configuration

WinSCP or SSH into your the WireGuard Server (router) find and modify the file

/etc/config/wireguard_server
Add a line to the end of the config file of clients you want to visit.

list subnet '192.168.xxx.0/24'
Save and Exit

-------------------------------------------------------------

Moet zeggen dat ik best te spreken ben over de snelheid. Deze is echt een stuk hoger dan openVPN.
Met openVPN haalde ik op dezelfde apparatuur ongeveer 1MB/s a 1,5MB/s. Met Wireguard is dit nu 6,5MB/s tot 7,5MB/s

[ Voor 18% gewijzigd door Cave_Boy op 12-04-2020 09:34 . Reden: Heb de oplossing gevonden. ]