P.S.: ... selbstverständlich ist das hier mit Sicherheit nicht "der Weisheit letzter Schluss". Das kann man mit Sicherheit noch effizienter und eleganter lösen.
Für Hinweise und Verbesserungen bin ich natürlich dankbar.
(gelöst) VPN Wireguard
-
scriptorius
- Beiträge: 180
- Registriert: 20.02.2004 18:52:14
Re: (gelöst) VPN Wireguard
Ein kleiner Nachtrag:
Das mit der Firewall löst man besser so in dieser Reihenfolge:
Das mit der Firewall löst man besser so in dieser Reihenfolge:
Code: Alles auswählen
(11) Firewall einrichten:
Als # eingeben:
apt install ufw
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 51820 -m conntrack --ctstate NEW -j ACCEPT
iptables -A INPUT -s 10.66.66.0/24 -p tcp -m tcp --dport 53 -m conntrack --ctstate NEW -j ACCEPT
iptables -A INPUT -s 10.66.66.0/24 -p udp -m udp --dport 53 -m conntrack --ctstate NEW -j ACCEPT
iptables -A OUTPUT -p udp -m udp --sport 51820 -j ACCEPT
ip6tables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
ip6tables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
ip6tables -A INPUT -p udp -m udp --dport 51820 -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A INPUT -s fd42:42:42::/64 -p tcp -m tcp --dport 53 -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A INPUT -s fd42:42:42::/64 -p udp -m udp --dport 53 -m conntrack --ctstate NEW -j ACCEPT
ip6tables -A OUTPUT -p udp -m udp --sport 51820 -j ACCEPT
ufw allow xxx/tcp # xxx = ssh Port
ufw allow 51820/udp
ufw enable
apt install iptables-persistent -y
systemctl enable netfilter-persistent
netfilter-persistent save-
scriptorius
- Beiträge: 180
- Registriert: 20.02.2004 18:52:14
Re: (gelöst) VPN Wireguard
Mir ist ein Fehler aufgefallen:
Die Konfiguration von unbound muss folgendermaßen aussehen:
... 6 Zeilen müssen unten hinzugefügt werden.
Außerdem muss bei der Client1- und Client2-Konfiguration natürlich der DNS-Server der eigene Server sein, also:
DNS = 10.66.66.1
Die Konfiguration von unbound muss folgendermaßen aussehen:
Code: Alles auswählen
(10) DNS-Server auf dem WG-Server
[...]
# nano /etc/unbound/unbound.conf
> # unten einfügen nach: include: "/etc/unbound/unbound.conf.d/*.conf"
server:
num-threads: 4
#Enable logs
verbosity: 1
#list of Root DNS Server
root-hints: "/var/lib/unbound/root.hints"
#Respond to DNS requests on all interfaces
interface: 0.0.0.0
max-udp-size: 3072
#Authorized IPs to access the DNS Server
access-control: 0.0.0.0/0 refuse
access-control: 127.0.0.1 allow
access-control: 10.66.66.0/24 allow
#not allowed to be returned for public internet names
private-address: 10.66.66.0/24
# Hide DNS Server info
hide-identity: yes
hide-version: yes
#Limit DNS Fraud and use DNSSEC
harden-glue: yes
harden-dnssec-stripped: yes
harden-referral-path: yes
#Add an unwanted reply threshold to clean the cache and avoid when possible a DNS Poisoning
unwanted-reply-threshold: 10000000
#Have the validator print validation failures to the log.
val-log-level: 1
#Minimum lifetime of cache entries in seconds
cache-min-ttl: 1800
#Maximum lifetime of cached entries
cache-max-ttl: 14400
prefetch: yes
prefetch-key: yesAußerdem muss bei der Client1- und Client2-Konfiguration natürlich der DNS-Server der eigene Server sein, also:
DNS = 10.66.66.1