Erfahrungen OpenVPN vs Wireguard


Rockikone

Recommended Posts

Hey,

ich möchte mal kurz meine Erfahrungen zu Wireguard erzählen.

Nachdem Wireguard als Standard VPN in Unraid (ab 6.10) einzieht und auch in der Presse aufgrund Performance und Einfachheit sehr gelobt wird, habe ich vor etlichen Monaten OpenVPN gelöscht und bin auf Wireguard umgestiegen.

Soweit funktioniert dieses auch und ist sehr performant.

Aber ich habe immer Probleme per VPN auf gewisse Docker, VM's, VLAN's etc zu kommen. Bei manchen funktioniert es, bei anderen nicht. Habe mit der Konfig des Netzwerkes und Wireguard schon so manche Minute verbracht, ohne Erfolg.

Jetzt dachte ich mir, ich könne OpenVPN doch noch eine Chance geben. Nachdem dieses jedoch nicht mehr im AppStore ist, fand ich noch ein Template des Dockers in meinen Sicherungen. Eingespielt, installiert und nach dem Video von SpaceInvader konfiguriert

 

 

(auch alle benötigten Netzwerke in die NAT von OpenVPN eingetragen). 

 

1195757068_Bildschirmfoto2022-02-10um10_53_16.thumb.png.d1ed5b0152521742416e7ef09080ea16.png

 

Ich kann hiermit z.B. per iPhone auf alles Zugreifen ohne Probleme. Ich habe sonst nichts an meinen Netzwerkeinstellungen verändert (Router etc außer der Portfreigabe)

Bedeutet jetzt für mich, wenn mehr als der VPN Zugriff auf Unraid verlangt wird, ist OpenVPN die besser Wahl!

 

Evtl möchte von euch auch noch jemand OpenVPN installieren. Ich lade mein Template (nichts verändert) anbei.

Dieses müsst ihr in /boot/config/plugins/dockerMan/templates-user/ kopieren. Danach unter Docker -> Container Hinzufügen das Template auswählen und installieren.

 

Für Anregungen bin ich gerne zu haben

 

Grüße aus Bayern

my-openvpn-as.xml

Edited by Rockikone
Link to comment

Ich komme mit dem Wireguard Plugin und App am Mobiltelefon problemlos auf die Gui, Cloudcommander und Krusader die alle als Host oder bridge laufen.

Die Anwendungen die auf custom:br0 sind kann ich nicht ansprechen und ich denke das ist so auch gewollt da ich bei Aufruf meiner Nextcloud Domain durch den Wireguard Tunnel problemlos auf meiner NC Instanz lande.

edit: Auch einen Shelly Plug S kann ich durch den Tunnel problemlos erreichen /edit

 

Wahrscheinlich würde es schon reichen wenn man in den Docker Settings das hier

image.png.a21e1885c8d5441fe17de6b76f204372.png

auf enabled zu setzen.

Edited by MartinG
Link to comment

@MartinG

 

Alles schon probiert. Ging nicht. Zum Beispiel mein Hauptserver läuft auf 192.168.100.170. Ich habe noch nen zweiten als BackUP Server 192.168.100.180. Auf diesen bin ich mit Wireguard nie gekommen. Nächstes Beispiel. Ich habe ein 10Gbit Netzwerk 192.168.200.0. Auf Maschinen in diesem bin ich auch nie gekommen. Mit OpenVPN komme ich drauf, ohne am Routing (Unraid oder Router) was geändert zu haben. Im Englisch sprachigen Teil klagen auch immer wieder Leute, das VM's Docker etc nicht erreichbar sind!

 

Grüße

Edited by Rockikone
Link to comment

Keine Probleme hier mit Wireguard. Wichtig ist, dass wenn man das NAT deaktiviert, eine Route im Router anlegen muss:

Spoiler

Complex Networks

 

The instructions above should work out of the box for simple networks. With "Use NAT" defaulted to Yes, all network traffic on Unraid uses Unraid's IP, and that works fine if you have a simple setup.

However, if you have Dockers with custom IPs or VMs with strict networking requirements, you'll need to make a few changes:

In the WireGuard tunnel config, set "Use NAT" to No

In your router, add a static route that lets your network access the WireGuard "Local tunnel network pool" through the IP address of your Unraid system. For instance, for the default pool of 10.253.0.0/24 you should add this static route:

Network: 10.253.0.0/24 (aka 10.253.0.0 with subnet 255.255.255.0)

Gateway: <IP address of your Unraid system>

If you use pfSense, you may also need to check the box for "Static route filtering - bypass firewall rules for traffic on the same interface". See this.

If you have Dockers with custom IPs then on the Docker settings page, set "Host access to custom networks" to "Enabled". see this:
https://forums.unraid.net/topic/84229-dynamix-wireguard-vpn/page/8/?tab=comments#comment-808801

Quelle

Für ne Custom Bridge br0 muss natürlich der Host Access aktiv sein.

 

Kurzum:

Quote

With "Use NAT" = No and "Host access to custom networks" = enabled and static route 

server and dockers on bridge/host - accessible!

VMs and other systems on LAN - accessible!

dockers with custom IP - accessible!

(woohoo! the recommended setup for complex networks)

 

Edited by sonic6
Link to comment
9 hours ago, Rockikone said:

Soweit funktioniert dieses auch und ist sehr performant.

Aber ich habe immer Probleme per VPN auf gewisse Docker, VM's, VLAN's etc zu kommen. Bei manchen funktioniert es, bei anderen nicht. Habe mit der Konfig des Netzwerkes und Wireguard schon so manche Minute verbracht, ohne Erfolg.

Jetzt dachte ich mir, ich könne OpenVPN doch noch eine Chance geben. Nachdem dieses jedoch nicht mehr im AppStore ist, fand ich noch ein Template des Dockers in meinen Sicherungen. Eingespielt, installiert und nach dem Video von SpaceInvader konfiguriert

 

...das hat nix mit Wiregzard oder OVPN an sich zu tun, sondern nur welche Netzwerk-Anbindung und Firewall-Regeln der Docker zulässt.

Grundsätzlich also ein Problem, welcher UseCase für den Maintainer den Ausschlag gegeben hat.

Wenn man flexibel sein will, sollte man sowas ordentlich machen.

Ich habe meinen zerotier Docker inzwischen in Rente geschickt und habe einen Router der Wireguard und zerotier kann, wobei ich bei wireguard nichts vermisse...für ein Multi-Site setup ist aber zerotier einfacher.

Mit diesem Setup, inkl. VLANs kann ich alles machen bzw. in der zentralen Firewall einstellen was geht, ohne unraid verbiegen zu müssen.

Edited by Ford Prefect
Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.