Route wg0 nach enp2s0 möglich?

[piotrusch]

Hallo zusammen,

ich habe eine grundsätzliche Frage zum Routing: kann man die externe Schnittstelle, über die der VPN-Tunnel (Wireguard) aufgebaut wird, auch über den Tunnel erreichen?

Mein Server ist normalerweise über enp2s0 zu erreichen. Darüber baue ich eine VPN-Verbindung auf. Darin läuft alles über wg0. Wenn der Tunnel steht, kann ich die wg0-Schnittstelle vom Client wunderbar erreichen (der Rest wird durch nftables blockiert).
Allerdings würde ich lieber enp2s0 ansprechen, weil dem die externe IP-Adresse zugeordnet ist, für die auch das SSL-Zertifikat gilt, weil es sonst die bekannte Fehlermeldung im Browser gibt.

Geht das überhaupt? Denn spätestens wenn ich auf dem Client die Route enp2s0 über wg0 setze, dann ziehe ich dem VPN-Tunnel quasi den Boden unter den Füßen weg, weil die externe IP-Adresse nicht mehr erreichbar ist.

Versteht ihr, was ich meine? Wenn ja, wie kann die Lösung aussehen?

Vielen Dank, Piotrusch

[mat6937]

Mein Server ist normalerweise über enp2s0 zu erreichen. Darüber baue ich eine VPN-Verbindung auf. Darin läuft alles über wg0. Wenn der Tunnel steht, kann ich die wg0-Schnittstelle vom Client wunderbar erreichen ...
Allerdings würde ich lieber enp2s0 ansprechen, weil dem die externe IP-Adresse zugeordnet ist, ...

Du könntest auf dem Server ein destination-NAT, von wg0 zu enp2s0 konfigurieren (mit z. B. nftables).

[piotrusch]

Mein Server ist normalerweise über enp2s0 zu erreichen. Darüber baue ich eine VPN-Verbindung auf. Darin läuft alles über wg0. Wenn der Tunnel steht, kann ich die wg0-Schnittstelle vom Client wunderbar erreichen ...
Allerdings würde ich lieber enp2s0 ansprechen, weil dem die externe IP-Adresse zugeordnet ist, ...

Du könntest auf dem Server ein destination-NAT, von wg0 zu enp2s0 konfigurieren (mit z. B. nftables).

Und wie würde so eine Regel z.B. aussehen? Im Internet finde ich nur Hinweise, die von einem Interface auf eine IP verweisen (in den Beschreibungen ist es immer ein anderer Rechner).

Und wie würde der Client das machen? Die IP-Adresse, unter der er zuerst den Tunnel aufgebaut hat, würde später durch den Tunnel geroutet. Kann er so überhaupt den Tunnel aufrechterhalten?

[unitra]

Versuchs mal mit:

Code: Alles auswählen

ip route add "externe Schnittstelle" via "vpn Tunnel"

Das wird Dir aber nichts bringen, weil dass dann ein "Hähne Ei Problem". Also generell nein oder nicht ohne rum-getrickse mit NAT usw, Es würde vermutlich gehen wenn eine öffentliche Secondary IP Adresse auf dem Server liefe, dann eventuell liefe es.

Hallo zusammen,

ich habe eine grundsätzliche Frage zum Routing: kann man die externe Schnittstelle, über die der VPN-Tunnel (Wireguard) aufgebaut wird, auch über den Tunnel erreichen?

Mein Server ist normalerweise über enp2s0 zu erreichen. Darüber baue ich eine VPN-Verbindung auf. Darin läuft alles über wg0. Wenn der Tunnel steht, kann ich die wg0-Schnittstelle vom Client wunderbar erreichen (der Rest wird durch nftables blockiert).
Allerdings würde ich lieber enp2s0 ansprechen, weil dem die externe IP-Adresse zugeordnet ist, für die auch das SSL-Zertifikat gilt, weil es sonst die bekannte Fehlermeldung im Browser gibt.

Geht das überhaupt? Denn spätestens wenn ich auf dem Client die Route enp2s0 über wg0 setze, dann ziehe ich dem VPN-Tunnel quasi den Boden unter den Füßen weg, weil die externe IP-Adresse nicht mehr erreichbar ist.

Versteht ihr, was ich meine? Wenn ja, wie kann die Lösung aussehen?

Vielen Dank, Piotrusch

[bluestar]

Warum willst du eine SSL verschlüsselte Verbindung noch zusätzlich durch das VPN leiten?

Es gibt eine Lösung, die setzt jedoch einen eigenen DNS-Server voraus, der für die Wireguard-Verbindung deine Domain auf eine interne IP auflöst.