Wireguard Transfernetz vorgegeben vom VPN Anbieter?

[roads]

Hallo,

Ich habe mich jetzt auch aus der Firewall ausgeschlossen indem ich das VLAN/Trunk in dem die Firewall sitzt in das Wirguard einbezogen habe. Ich habe zum Glück ein frisches Backup das muss wohl mit Neueinrichtung über USB Stick drauf. Wie ich den fehlerhaften Eintrag über CLI löschen könnte weiss ich nicht.
Uwes Wireguard FAQ, vielen Dank dafür, habe ich leider zu spät gelesen sondern bin nur nach dieser Anleitung vorgegangen:

https://knowledgebase.lancom-systems.de ... =141459914

Bei Mullvad VPN das ich nutzen möchte steht

https://mullvad.net/de/help/running-wir ... r?q=router

Getting an IP to use with Mullvad
While connected to the router using ssh:

First install curl: opkg update && opkg install curl

curl https://api.mullvad.net/wg/ -d account=YOURMULLVADACCOUNTNUMBER --data-urlencode pubkey=YOURPUBLICKEY

Replace the placeholders in the curl command above with your Mullvad account number and public key.

The IP:address to use with Mullvad will be returned.

Another option is to upload your public key in your account on our website.

Den öffentlichen Schlüssel der UF 260 habe ich bei Mullvad eingegeben und tatsächlich wird von Mullvad der Netzwerkbereich ausgespuckt. Jetzt meine Frage, ist das das Netzwerk, das man als Transfernetz einrichten sollte am router und an der Firewall? Logisch fände ich das.

Ist bei Nutzung eines VPN Anbieters die Firewall überhaupt ein Server oder ist er ein Peer der hinter sich noch weitere PCs als Hosts/Peers hat?

[roads]

Firewall per USB wiederhergestellt. OK ich werfe hier einiges durcheinander. Wäre toll wenn mir jemand erklären würde was notwendig ist um die UF mit Mullwad zu verbinden und alle Geräte hinter der Firewall mit einem Wireguard client betreiben zu können.

- Die UF braucht eine WG Interface und ein WG VPN mit den beiden Schlüsseln und eine IP aus dem Mullwad Adressbereich. In WG VPN auf keinen fall den Adressbereich erlauben in dem die Firewall sitzt. Sonst schliesst man sich aus.
- Mullwad braucht den public key den man dort hochlädt. Dadurch erfährt man auch den Adressbereich.
- ist ein Router davor 51820 UDP weiterleiten und ein WD Transfernetz einrichten. Transfernetz den Wireguard Adressbereich?
- WG host und Verbindung herstellen zu den Netzwerken

Clienteinstellung auf den Endgeräten, was ist der Endpoint? Die Wireguard IP der UF Port 51820 ?

[roads]

Also wie ich mir das vorstelle klappt es nicht

Wireguard UF public key in Mullwad, das spuckt IP und IP Bereich aus z.b 10.67.125.168/32
Router WG_Transfernetz 10.67.125.2
router portforward 51820 auf 10.67.125.3
router routing tabelle 10.67.125.0 auf 10.67.125.3
UF VPN Wireguard 10.67.125.3 port 51820 hier kommt der public key her
PC mit client

[roads]

Kann das Wireguard der Unified Firewall überhaupt als Client zu einem VPN Anbieter eingesetzt werden um dahinterliegende Geräte über Wireguard laufen zu lassen? Wenn ja wie?

[GrandDixence]

Praktisch alle auf OSI-Schicht 3 arbeitenden VPN-Produkte haben gemeinsam, dass Sie mit Routingtabelleneinträge arbeiten.
https://de.wikipedia.org/wiki/Routingtabelle

Alle durch den VPN-Tunnel wandernde IP-Datenpakete werden von einem IP-Routermodul verarbeitet. Dieses IP-Routermodul auf dem VPN-Endpunkt entscheidet, welche Datenpakete durch den VPN-Tunnel wandern oder wohin die IP-Datenpakete weitertransportiert werden, wenn diese IP-Datenpakete den VPN-Tunnel beim VPN-Endpunkt verlassen. Somit muss (auch hier) die Konfiguration des IP-Routermoduls korrekt erfolgen, damit der VPN-Tunnel einwandfrei funktioniert.

VPN-Endpunkt: Die Netzwerkkomponente, wo Datenpakete den VPN-Tunnel betreten oder verlassen können. Der VPN-Endpunkt kann ein VPN-Client oder VPN-Server sein. Der VPN-Client ist immer der VPN-Endpunkt, welcher den VPN-Tunnel aufbaut (Initiator).

Generelle Hinweise zum Einsatz eines VPN-Tunnels unter:
https://community.swisscom.ch/t5/Intern ... 476#M71728
beachten. Und sich ernsthafte Gedanken über die Wahl der VPN-Endpunkte und der VPN-Tunnelsoftware machen.

Die aktuelle Konfiguration des IP-Routermoduls von einem als VPN-Client fungierenden MS Windows-Rechner kann mit "# route -4 print" eingesehen werden. Siehe dazu:
alles-zum-lancom-advanced-vpn-client-f3 ... ml#p112276

Die korrekte VPN-Client- und VPN-Serverkonfiguration mit Wireguard muss man selber herausfinden. Mich interessieren nur VPN-Tunnels mit IKEv2/IPSEC. Dazu gibt es genügend Anleitungen unter:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795

[roads]

Danke dir für die Hilfe da lese ich mich mal ein.

[roads]

Noch eine Frage. Das hier

https://mullvad.net/de/help/running-wir ... r?q=router

liest sich für mich so. als müsste man in der Unified nur ein Interface anlegen und eine Wireguard Verbindung, die Schlüssel erzeugen und den public key in Mullvad eintragen um Serveradresse zu bekommen. Weiteres sollte auf der Unified nicht weiter zu tun sein. Einen Wireguard Host auf dem Unified Desktop braucht es ja nicht wenn die UF kein Wireguard Server ist. Die Clients können dann über die Unified über die Wireguard app zum Mullvad Server?
Interessant ist das weil dann die Anzahl der Geräte hinter der UF nicht zählen. Schreibt Mullvad auch so.

[GrandDixence]

Einfach diesen Mullvad-Müll im Mülleimer entsorgen und vergessen. VPN-Tunnels baut man aus Sicherheitsgründen nie, nie zu fremden VPN-Anbietern wie Mullvad auf.

Russische IT-Profis verwenden keine fremden VPN-Anbieter wie Mullvad. Russische IT-Profis installieren einen VPN-Server auf gemieteter Serverhardware in einem EU-Rechenzentrum. Und realisieren mit einem VPN-Client von Russland auf den VPN-Server im EU-Rechenzentrum einen VPN-Tunnel. So bleiben beide VPN-Endpunkte unter eigener Kontrolle.

VPN-Tunnel mit den Angaben in der LANCOM-Anleitung und den Angaben im LANCOM-Benutzerhandbuch einrichten und konfigurieren:
https://www.lancom-systems.de/docs/LCOS ... R_VPN.html

https://knowledgebase.lancom-systems.de ... =141459914

=> Wenn man die VPN-Konfiguration mit dieser LANCOM-Hilfestellung nicht hinkriegt, sollte man besser aus Sicherheitsgründen die Finger weglassen von jeglicher VPN-Konfiguration!

VPN-Server auf der eigenen Hardware-Firewall betreiben (hier: LANCOM UF 260). Mobilgeräte wählen sich unterwegs mit einem VPN-Client beim VPN-Server der eigenen Hardware-Firewall ein und bauen so einen VPN-Tunnel zwischen Mobilgerät und eigener Hardware-Firewall auf (Client-to-Site). Für die VPN-Konfiguration von "Client-to-Site" mit Wireguard gibt es die prima LANCOM-Anleitung (oben verlinkt)!

Verschiedenen Firmen- und Heimnetzwerke werden mit VPN-Tunnels zwischen den Hardware-Firewalls verbunden (Site-to-Site). Dabei fungieren die (eigenen) Hardware-Firewalls als VPN-Endpunkte. Für "Site-to-Site" sollte aus technischen Gründen IKEv2/IPSEC eingesetzt werden!

[roads]

OK wollte nur optional etwas anonymer surfen und nicht immer alle meine Daten an die Kraken weitergeben, nicht aus Russland übrigens. Mullvad weiss ausser meiner Ip gar nichts von mir und speichert nichts. Ein VPN kann ich nach der Anleitung schon aufbauen aber Clients hinter einer Lancom firewall zum Fremdanbieter ist halt ein Sonderfall. Wenn Wireguard so schlecht oder unsicher ist weiss ich nicht warum ihn Lancom in seine Firewall einbaut. Bin auf jeden Fall dankbar für eure Hilfe. Ich probiere noch etwas und dann gebe ich auf und nutze nur die Mullvad Client App, die funktioniert ja.