Rockikone Posted February 10, 2022 Share Posted February 10, 2022 (edited) Hey, ich möchte mal kurz meine Erfahrungen zu Wireguard erzählen. Nachdem Wireguard als Standard VPN in Unraid (ab 6.10) einzieht und auch in der Presse aufgrund Performance und Einfachheit sehr gelobt wird, habe ich vor etlichen Monaten OpenVPN gelöscht und bin auf Wireguard umgestiegen. Soweit funktioniert dieses auch und ist sehr performant. Aber ich habe immer Probleme per VPN auf gewisse Docker, VM's, VLAN's etc zu kommen. Bei manchen funktioniert es, bei anderen nicht. Habe mit der Konfig des Netzwerkes und Wireguard schon so manche Minute verbracht, ohne Erfolg. Jetzt dachte ich mir, ich könne OpenVPN doch noch eine Chance geben. Nachdem dieses jedoch nicht mehr im AppStore ist, fand ich noch ein Template des Dockers in meinen Sicherungen. Eingespielt, installiert und nach dem Video von SpaceInvader konfiguriert (auch alle benötigten Netzwerke in die NAT von OpenVPN eingetragen). Ich kann hiermit z.B. per iPhone auf alles Zugreifen ohne Probleme. Ich habe sonst nichts an meinen Netzwerkeinstellungen verändert (Router etc außer der Portfreigabe) Bedeutet jetzt für mich, wenn mehr als der VPN Zugriff auf Unraid verlangt wird, ist OpenVPN die besser Wahl! Evtl möchte von euch auch noch jemand OpenVPN installieren. Ich lade mein Template (nichts verändert) anbei. Dieses müsst ihr in /boot/config/plugins/dockerMan/templates-user/ kopieren. Danach unter Docker -> Container Hinzufügen das Template auswählen und installieren. Für Anregungen bin ich gerne zu haben Grüße aus Bayern my-openvpn-as.xml Edited February 10, 2022 by Rockikone Quote Link to comment
MartinG Posted February 10, 2022 Share Posted February 10, 2022 (edited) Ich komme mit dem Wireguard Plugin und App am Mobiltelefon problemlos auf die Gui, Cloudcommander und Krusader die alle als Host oder bridge laufen. Die Anwendungen die auf custom:br0 sind kann ich nicht ansprechen und ich denke das ist so auch gewollt da ich bei Aufruf meiner Nextcloud Domain durch den Wireguard Tunnel problemlos auf meiner NC Instanz lande. edit: Auch einen Shelly Plug S kann ich durch den Tunnel problemlos erreichen /edit Wahrscheinlich würde es schon reichen wenn man in den Docker Settings das hier auf enabled zu setzen. Edited February 10, 2022 by MartinG Quote Link to comment
Rockikone Posted February 10, 2022 Author Share Posted February 10, 2022 (edited) @MartinG Alles schon probiert. Ging nicht. Zum Beispiel mein Hauptserver läuft auf 192.168.100.170. Ich habe noch nen zweiten als BackUP Server 192.168.100.180. Auf diesen bin ich mit Wireguard nie gekommen. Nächstes Beispiel. Ich habe ein 10Gbit Netzwerk 192.168.200.0. Auf Maschinen in diesem bin ich auch nie gekommen. Mit OpenVPN komme ich drauf, ohne am Routing (Unraid oder Router) was geändert zu haben. Im Englisch sprachigen Teil klagen auch immer wieder Leute, das VM's Docker etc nicht erreichbar sind! Grüße Edited February 10, 2022 by Rockikone Quote Link to comment
sonic6 Posted February 10, 2022 Share Posted February 10, 2022 (edited) Keine Probleme hier mit Wireguard. Wichtig ist, dass wenn man das NAT deaktiviert, eine Route im Router anlegen muss: Spoiler Complex Networks The instructions above should work out of the box for simple networks. With "Use NAT" defaulted to Yes, all network traffic on Unraid uses Unraid's IP, and that works fine if you have a simple setup. However, if you have Dockers with custom IPs or VMs with strict networking requirements, you'll need to make a few changes: In the WireGuard tunnel config, set "Use NAT" to No In your router, add a static route that lets your network access the WireGuard "Local tunnel network pool" through the IP address of your Unraid system. For instance, for the default pool of 10.253.0.0/24 you should add this static route: Network: 10.253.0.0/24 (aka 10.253.0.0 with subnet 255.255.255.0) Gateway: <IP address of your Unraid system> If you use pfSense, you may also need to check the box for "Static route filtering - bypass firewall rules for traffic on the same interface". See this. If you have Dockers with custom IPs then on the Docker settings page, set "Host access to custom networks" to "Enabled". see this: https://forums.unraid.net/topic/84229-dynamix-wireguard-vpn/page/8/?tab=comments#comment-808801 Quelle Für ne Custom Bridge br0 muss natürlich der Host Access aktiv sein. Kurzum: Quote With "Use NAT" = No and "Host access to custom networks" = enabled and static route server and dockers on bridge/host - accessible! VMs and other systems on LAN - accessible! dockers with custom IP - accessible! (woohoo! the recommended setup for complex networks) Edited February 10, 2022 by sonic6 Quote Link to comment
Ford Prefect Posted February 10, 2022 Share Posted February 10, 2022 (edited) 9 hours ago, Rockikone said: Soweit funktioniert dieses auch und ist sehr performant. Aber ich habe immer Probleme per VPN auf gewisse Docker, VM's, VLAN's etc zu kommen. Bei manchen funktioniert es, bei anderen nicht. Habe mit der Konfig des Netzwerkes und Wireguard schon so manche Minute verbracht, ohne Erfolg. Jetzt dachte ich mir, ich könne OpenVPN doch noch eine Chance geben. Nachdem dieses jedoch nicht mehr im AppStore ist, fand ich noch ein Template des Dockers in meinen Sicherungen. Eingespielt, installiert und nach dem Video von SpaceInvader konfiguriert ...das hat nix mit Wiregzard oder OVPN an sich zu tun, sondern nur welche Netzwerk-Anbindung und Firewall-Regeln der Docker zulässt. Grundsätzlich also ein Problem, welcher UseCase für den Maintainer den Ausschlag gegeben hat. Wenn man flexibel sein will, sollte man sowas ordentlich machen. Ich habe meinen zerotier Docker inzwischen in Rente geschickt und habe einen Router der Wireguard und zerotier kann, wobei ich bei wireguard nichts vermisse...für ein Multi-Site setup ist aber zerotier einfacher. Mit diesem Setup, inkl. VLANs kann ich alles machen bzw. in der zentralen Firewall einstellen was geht, ohne unraid verbiegen zu müssen. Edited February 10, 2022 by Ford Prefect Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.