Umbau Wireguard-Server

ebugigaconnect · 2024-12-18T06:54:27+00:00

Sunrise Community - I clienti aiutano gli altri clienti per tutto ciò che riguarda la televisione, Internet, il telefono e il cellulare. Registratevi ora!

oli-h

ebugigaconnect eitrag weiter oben habe ich die Config rein gestellt

Du meinst den Screenshot von dem Mac? Wenn ja: Da fallen mir schonmal zwei Dinge auf:

Der DNS-Server ist 1.1.1.1 und nicht die Fritz!Box.
Damit wird dein Client DNS-Anfragen via verschlüsseltem WireGuard-Tunnel an deine FrizzBox schicken, diese dann aber unverschlüsselt zu 1.1.1.1 weiterleiten.
Du solltest die Fritz!Box selbst so konfigurieren, dass sie “DNS over TLS (DoT)” nutzt. Einstellung dazu: Internet > Zugangsdaten > DNS-Server. Da dann “Verschlüsselte Namensauflösung im Internet (DNS over TLS)” einschalten sowie “Zertifikatsprüfung für verschlüsselte Namensauflösung im Internet erzwingen”.
Und dann kannst Du mal folgende fünf DoT-Server eintragen:

dns.google

dns.quad9.net

dns.digitale-gesellschaft.ch

one.one.one.one

1dot1dot1dot1.cloudflare-dns.com

und dann natürlich deinen WireGuard-Tunnel so konfigurieren, dass deine VPN-Clients die Fritz!Box als DNS-Resolver nutzen und sich nicht selber direkt an öffentliche Resolver wenden.

DNS-Probleme sind auch immer wieder Ursache von “es geht nicht”. Bei einer Fehlersuche daher immer erstmal ein PING an die IP des Default-Gateway, also (in deinem Fall) “ping 192.168.188.1” - aber nicht “ping fritz.box”
Bei “Zulässige IPs” steht bei dir “0.0.0.0/0 0.0.0.0/0”. Das macht so keinen Sinn - und bei meinem Setup zusammen mit meiner Fritz!Box steht da auch was anderes drin, nämlich “192.168.1.0/24 0.0.0.0/0” (Hinweis: Ich betreibe mein LAN mit dem Netz 192.168.1.0/24 und nicht wie bei den Fritz!Box per default üblich mit 192.168.188.0/24)

ebugigaconnect

oli-h Der DNS-Server ist 1.1.1.1 und nicht die Fritz!Box.
Damit wird dein Client DNS-Anfragen via verschlüsseltem WireGuard-Tunnel an deine FrizzBox schicken, diese dann aber unverschlüsselt zu 1.1.1.1 weiterleiten.

Hmm… ok. Guter Hinweis. Sobald ich das ändere, ist fertig mit VPN. Komme nicht ins LAN und vor allem nicht auf die im Docker des Synology laufenden Apps.

oli-h Bei “Zulässige IPs” steht bei dir “0.0.0.0/0 0.0.0.0/0”. Das macht so keinen Sinn

Das habe ich in der Zwischenzeit angepasst. Hab den Eintrag aus der Original-Anleitung von WG.

oli-h Dieser Dienst ist natürlich exclusiv für Fritz!Box-Besitzer und mit der Fritz!Box nach meiner Erfahrung auch besser integriert.

Tatsächlich konnte ich das auf ‘myfritz’ Umstellen. Und es läuft trotzdem. Werde den DynDNS Eintrag löschen.

EZS1234 Ich bin immer noch der Meinung das du das Problem an der falschen Stelle vermutest.

Davon lass ich mich gerne überzeugen. Es scheint, dass die ganze Problematik mit den DNS Einstellungen zusammenhängt.

Mit Ausnahme des DNS Eintrages bin ich jetzt bei den Einstellungen die original von der FritzBox generiert werden.

Vielen Dank

oli-h

ebugigaconnect bei der FritzBox die DNSv4-Server Einstellung auf “empfohlen” gestellt

Damit nutzt Du aber nicht “DoT” (DNS-over-TLS) wie ich hier oli-h beschrieben habe.

Unverschlüsselte DNS-Anfragen zu den DNS-Servern von Sunrise (faktisch ist das so bei dieser empfohlenen Einstellung) sind eine der Lücken um deine Privatsphäre zu kompromitieren. Insbesondere kann damit z.B. Sunrise sehen, welche Webseiten Du aufrufst, welche Apps Du nutzt, dass Du ein iPhone, ein Mäc und eine Fritz!Box hast, ob Du Netflix-Kunde/Nutzer bist, bei welchen Banken Du dich einloggst, usw…
Zudem gibt es dem Staat zusammen mit den ISP (hier: Sunrise) die einfache Option, Webseiten via DNS zu blockieren - Stichwort “Zensur”.
DoT unterbindet beides recht effektiv und wäre zudem dank Fritz!Box sehr einfach für dein ganzes LAN nutzbar.

Neben diesen klassichen unverschlüsselten DNS-Anfragen/Antworten (auf UDP-Port 53) gibt natürlich noch unverschlüsseltes http. Aber hier sind die Browserhersteller (allen voran Google und Apple) sowie “Let’s Encrypt” sehr aktiv und erfolgreich, klassiches unverschlüsseltes http aus dem Internet zu verdrängen und https zum Standard und zur Pflicht zu machen.
Mit dem Transportprotokoll TLSv1.2 können die ISPs aber immer noch Server-Zertifikate einsehen und so auch z.B. erkennen, welche Webseiten man nutzt. Mit TLSv1.3 ist das dann nicht mehr möglich.
Zudem läuft heute sehr viel Traffic über grosse CDN - faktisch grosse Reverse-Proxys. Damit sind auch die Server-DST-IP-Adressen kein zuverlässiger Hinweis mehr auf besuchte Webseiten.

Lange Rede, kurzer Sinn: Ich empfehle, die DNS-Server von Sunrise nicht zu nutzen sondern DoT mit alternativen (offenen - nicht zensurierbaren) Anbietern zu aktivieren.

EZS1234

ebugigaconnect An der von der FritzBox generierten WG-VPN-Einstellungen musste ich einige Anpassungen machen. Ich bin mir sicher, dass das mit dem Umstand zusammenhängt, dass die FB nicht direkt am Internet hängt, sondern das sie das Internet via CB3 erhält.

Ich bin immer noch der Meinung das du das Problem an der falschen Stelle vermutest.

Ich habe eine 4060 hinter eine CB2* im Bridge Modus. Wireguard funktioniert out-of-the-Box ohne Änderungen an den Einstellungen.

*upgrade auf die CB3 ist es mir nicht Wert dem Roger und Marco die Gage zu bezahlen 🙁

oli-h

ebugigaconnect Zum Beispiel No-Ip […] In der FB denDynDNS-Anbieter eingetragen.

Vielleicht noch ein Wort zu DynDNS-Anbietern.

Es gibt da einige und die meisten sind - zumindest für Privatpersonen mit ihren Provatbedürfnissen - kostenlos.
Aber gerade “No-IP” (https://www.noip.com) gehört nicht dazu. Hier muss man einmal pro Monat mit Captcha bestätigen, dass man weiterhin diesen oder jenen DynDNS-Hostname behalten möchte. Alternativ bezahlt man $25 pro Jahr (oder so).

Also von “No-IP” rate ich ab. Empfehlen kann ich jedoch:
- https://www.cloudns.net
- https://desec.io
- https://www.duckdns.org
- https://www.dynu.com
- https://dynv6.com
- https://ipv64.net
- https://www.nsupdate.info
- https://ydns.io

Zudem bietet AVM (das ist der Hersteller der Fritz!Boxen) im Rahmen von https://www.myfritz.net einen eigenen DynDNS-Dienst an. Dieser Dienst ist natürlich exclusiv für Fritz!Box-Besitzer und mit der Fritz!Box nach meiner Erfahrung auch besser integriert. Du kannst Dir da einen eigenen Namen nach Muster XXXXXXXX.myfritz.net wählen oder einen zufälligen generieren lassen.
Dazu auf der Fritz!Box zu Internet > MyFRITZ!-Konto navigieren.

ebugigaconnect

@oli-h

In der Zwischenzeit habe ich mir nochmals eine gute ¾ Stunde Zeit genommen um Deine Anregungen umzusetzen. Nun funktioniert die WG-Config ohne Anpassungen.

Allerdings nur dann, wenn ich sowohl am MacBookPro, wie auch im iPhone die DNS-Einstellungen auf manuell setze und 8.8.8.8 zusätzlich zu 192.168.188.1 eintrage. Andernfalls komme ich via VPN nicht durch.

oli-h

ebugigaconnect Andernfalls komme ich via VPN nicht durch

Aussage vermutlich falsch: Du kommt “via VPN durch” - lediglich das DNS-Resolving scheitert.
Wie ich geschrieben habe: Bei Problemen immer (also immer, immer, immer) erstmal mit ping <ip-adresse> (also nicht ping <hostname>) testen, ob die Netzverbindung (Routing / VLANs / Gateways, IPs, …) funktioniert.

Danach (also erst dann) allfällige DNS-Probleme analyisieren, und zwar mit einem DNS-Client (z.B. dig auf Unix-Systemen): Funktioniert das Rolving? Welcher DNS-Resolver wird kotaktiert? Auf welche IPs löst dieser oder jener DNS-Resolver auf….

Es ist einfach nach wie vor so: “IP-Netzbetrieb” ist komplizierter als viele denken - auch wenn die Fritz!Boxen viel davon hinter ein paar GUIs verstecken. Der Teufel steckt dennoch im Detail.

ebugigaconnect

oli-h Der Teufel steckt dennoch im Detail.

“Wahre Worte gelassen ausgesprochen…”

Als letzte Optimierung habe ich bei der FritzBox die DNSv4-Server Einstellung auf “empfohlen” gestellt.

Und siehe da. Alles läuft wie es soll und die WG-Konfiguration kann ich ohne Anpassung verwenden. An den Devices ist der DNS-Eintrag auf die IP der FB gestellt.

ebugigaconnect

oli-h Damit nutzt Du aber nicht “DoT” (DNS-over-TLS) wie ich hier oli-h beschrieben habe.

Danke für den Hinweis. Tatsächlich habe ich das in der Zwischenzeit auch herausgefunden und gleich wieder umgestellt. Ich habe mich in der Zwischenzeit hinsichtlich der “DoT”-Funktion etwas eingelesen und das Prinzip etwas zu verstehen.

oli-h Lange Rede, kurzer Sinn: Ich empfehle, die DNS-Server von Sunrise nicht zu nutzen sondern DoT mit alternativen (offenen - nicht zensurierbaren) Anbietern zu aktivieren.

Vielen Dank für die weiterführenden Informationen.

Hier ist ein für Laien recht gut verständliche Erklärung:

pato

oli-h Insbesondere kann damit z.B. Sunrise sehen, ~~welche Webseiten Du aufrufst~~, welche Apps Du nutzt, dass Du ein iPhone, ein Mäc und eine Fritz!Box hast, ob Du Netflix-Kunde/Nutzer bist, bei welchen Banken Du dich einloggst, usw…

Das können sie auch mit DoT ohne Probleme, sie sehen ja schliesslich auf welche IPs deine Clients sich verbinden. Apple wie auch Netflix haben eigene Server.
Ich persönlich vertraue jedoch Schweizer ISPs noch minimal mehr, als irgendwelchen ausländischen VPN Anbietern, die diese Einsicht theoretisch unterbinden könnten.

ebugigaconnect

@oli-h @EZS1234

Vielen Dank Euch beiden für den Support bei meiner Umstellung.

Ich habe mich zwar mit der ConnectBox3 nicht wirklich in der Tiefe auseinander gesetzt, aber ich denke die Umstellung auf die Fritz!Box macht schon Sinn. Ist aber mit Blick auf die Details nicht so trivial wie gedacht. Mit ein bisschen hinstellen, umstöpseln und gut ist, ist es nicht getan, zumal die FB doch noch ein paar Einstellungen bietet, die der Sicherheit zuträglich sind.

Umso toller ist es, sich hier austauschen zu können und Tipps und Tricks entgegennehmen zu dürfen. Nichts desto trotz hilft es schon, das eine oder andere Video zum Thema anzuschauen oder auf seriösen Seiten sich einzulesen.

Übrigens: Der Speed im Raum wo die FB steht, ist unübertroffen höher als mit der CB3. Das ist auch noch ein gern genommener Nebeneffekt.

oli-h

pato auf welche IPs deine Clients sich verbinden

Das mag für einzelne OTT-Anbieter gelten, z.B. und insbesondere Google.
Doch auch Äppel und Netzflix nutzen inzwischen die grossen CDNs (Akamai, Cloudflare, Amazon, Fastly, Google, …). Die IP eines https-Servers wird mehr und mehr irrelavant bzw. sogar irreführend. Hinter einer konkreten Amazon- oder Google-IP können Amazon- bzw. Google-Dienste erreicht werden - es kann aber genausogut irgendein anderer Internet-Service sein.

Aber jeder kann ja machen wie er will.

pato

oli-h Das stimmt natürlich, bezüglich Netflix:
whois 193.192.245.62
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See https://docs.db.ripe.net/terms-conditions.html

% Note: this output has been filtered.
% To receive output for a database update, use the “-B” flag.

% Information related to ‘193.192.245.48 - 193.192.245.63’

% Abuse contact for ‘193.192.245.48 - 193.192.245.63’ is ‘abuse@sunrise.net’

inetnum: 193.192.245.48 - 193.192.245.63
netname: NETFLIX-NET
descr: Sunrise Communications AG
descr: Zurych
country: CH
admin-c: SIPR1-RIPE
tech-c: MA9163-RIPE
status: ASSIGNED PA
mnt-by: AS6730-MNT
created: 2016-11-22T09:30:44Z
last-modified: 2016-11-22T09:30:44Z
source: RIPE # Filtered

War gerade Live am schauen und habe die IP vom (eigenen) Router gesnifft.
Auch schön, ein Tippfehler in der Stadt 😃

« Pagina precedente