Eure Empfehlung zur Serveranbindung mit Wireguard

[zero_neverload]

Hallo Unraidfreunde,

 

ich bitte Euch darum, mir Hilfestellung bei der Anbindung meiner Server mittels Wireguard zu geben.

Ich habe mir bereits den Thread hier im Forum angeschaut 

 

 

Bin mir aber nicht sicher, wie ich das korrekt umsetze.

 

 

Folgende ist Situation habe ich aktuell.

An Site 1 wird das Internet mittles Fritzbox über den IP Adressbereich 10.10.0.x/16 (Adressraum ist zwar viel zu groß gewählt, läuft aber) im Netz bereitgestellt. Das Gateway ist die 10.10.0.1

Hier sind Unraidserver 1-4 beherbergt. Auf Server 1 (Proton 10.10.0.47)ist Wireguard eingerichtet, welcher erfolgreich VPN Verbindungsanfragen empfangen kann und die Verbindungen in mein Heimnetz erlaubt. (VPN Clients erhalten eine 10.235.0.x/24 Adresse)

(Clients können sich verbinden und im ganzen 10.10.0.x/16er Netz miteinender kommunizieren)

Hier wurde in der Fritzbox eine Route unter IPV4-Route eingerichtet. 

 

An Site 2 wird das Internet ebenfalls mitells Fritzbox hersgestellt über den IP Adressbereich 192.168.178.X/24 mit dem Gateway 192.168.178.1 (default Fritzeinstellungen)

In diesem Netz ist Unraidserver 5 beherbergt welcher mit der IP Adresse 192.168.178.100 im Netzwerk angebunden ist. Dieser Server kann ebenfalls Wireguardverbindungen Empfangen und die Clients können eine Verbindung zu Server 5 herstellen.

(VPN Clients erhalten eine 10.235.100.x/24 Adresse)

Eine Route in der Fritzbox wurde (noch)nicht erstellt, da aktuell keine Verbindung zu anderen Clients im Netz erfolgen soll.

 

Nun zu meinem Vorhaben:

 

Ziel 1 wäre für den Anfang, das Server 1 mit Server 5 über eine VPN Verbindung verbunden werden und diese miteinander Kommunizieren können, um auf die freigegebenen Share zuzugreifen. Server 5 Soll dabei als Aktiver Client dienen, welcher die Verbindung bei Server 1 aufbaut. (Vermutlich ist das für die Profis einfach zu händeln, aber in den Wireguard einstellungsmöglichkeiten sehe ich nichts, wie ich den Server als 1 Client einsetzen kann) (Ich hätte jetzt dafür Server to Server access angedacht)

 

Alternativ könnte ich glaube ich eine Site to Site Verbindung über die Fritzbox herstellen und vermutlich in jeder Fritzbox eine Route auf die jeweiligen VPN Netze einrichten. Da aber irgenwann die Fritzboxen wegkommen und durch andere Router ersetzt werden, wäre mir eine Anbindung über die Unraid-Server lieber (wenn es denn überhaupt geht)

 

Ziel 2 wäre, das Docker welche auf Server 1 laufen über die oben beschriebene VPN Verbindung von Ziel 1, die Internetverbindung als Gateway nutzen und aber auch darüber erreicbar sind. (wenn das geht) (sollte aus meiner Sicht VPN tunneled access sein oder?)

Als Beispiel soll ein Service der als Docker auf Server 1 läuft, über die öffentliche IP des Netzes von Site 2 erreichbar sein. Da ich mich mit Wireguard nicht so gut auskenne (eigentlich fast garnicht), wäre da meine Idee gewesen, alternativ zum Wireguard des Unraidserver, auf Site 2 eine Wireguardverbindung Site to Site beider Fritzboxen zu realisieren. Allerdings hab ich noch keine Idee, wie ich dem Docker mitteile, das er über diese Verbindung ins Internet kommt. Auch hier gilt: "Da aber irgenwann die Fritzboxen wegkommen und durch andere Router ersetzt werden, wäre mir eine Anbindung über die Unraid-Server lieber (wenn es denn überhaupt geht)"

Die Docker sollten eingehend über Site 2 vom Internet erreichbar sein und die beiden Server sollen ihre Shares sehen.

 

Ich hoffe Ich habe mein Ist-Zustand und mein Vorhaben weitreichend geschildert, so dass Ihr mir vielleicht mit Eurer Erfahrung weiterhelfen könnt.

Ich danke Euch im Voraus.
LG Euer Zero

Edited March 22 by zero_neverload

[zero_neverload]

Ich hab auch diverse konstalationen mal durchgespielt, aber in der Wireguard GUI kann man das glaube ich nicht so realisieren.

Die Frage wie ich die jetzt durch die Tests vorhandenen Tunel wieder gelöscht bekomme

 

Edited March 22 by zero_neverload

[EliteGroup]

52 minutes ago, zero_neverload said:

Ich hab auch diverse konstalationen mal durchgespielt, aber in der Wireguard GUI kann man das glaube ich nicht so realisieren.

 

Ich denke deine benötigte konfig ist einfacher als gedacht, aber ich blick da noch nicht ganz durch bei deinem Text was wie wo.

Eine Grafik von den Netzwerken und welcher Router wo steht könnte hier weiter helfen damit man dein Netzwerk auch versteht bzw dir auch korrekt helfen kann.

Sprich eine Netzwerktopologie

[zero_neverload]

41 minutes ago, EliteGroup said:

Ich denke deine benötigte konfig ist einfacher als gedacht, aber ich blick da noch nicht ganz durch bei deinem Text was wie wo.

Eine Grafik von den Netzwerken und welcher Router wo steht könnte hier weiter helfen damit man dein Netzwerk auch versteht bzw dir auch korrekt helfen kann.

Sprich eine Netzwerktopologie

Hab das oben mal eingefügt....
Hab leider kein Visio daheim.

[zero_neverload]

Ich glaube das Thema ist zu komplex

[EliteGroup]

16 hours ago, zero_neverload said:

Auch hier gilt: "Da aber irgenwann die Fritzboxen wegkommen und durch andere Router ersetzt werden, wäre mir eine Anbindung über die Unraid-Server lieber (wenn es denn überhaupt geht)"

Welche Router wird in Zukunft eingesetzt?

Also ich wüsste wie du dein Projekt leicht umsetzten könntest mit OpnSense / pfSense.
Da kannst du direkt den Gateway für jede IP zuweisen oder eine eigene Docker Bridge erstellen im WireGuard Netzwerk.

Ich bevorzuge immer eine Firewall konfiguration alles was das Netzwerk betrifft als rumgebastel auf Geräten, deshalb habe ich leider keine Erfahrung was für möglichkeiten bestehen für VPN Server auf Geräten. Ich denke aber das die möglichkeiten begrenzter sind.
Auch wieder am Router selbst wäre eine Site-to-Site Verbindung wie du es schon erwähnst und dann die Routen konfigurieren.
So oder so, wird eine konfiguration komplexer ist die Lösung ein vernünftiger "Router" der damit umgehen kann, FritzBox ist ein nettes Spielzeug für den Hausmann und Familie aber für Server betrieb ungeeignet.
Sind mehrere Server in betrieb und auch Sicherheit wichtig dann verwendet man OpnSense oder RouterOS Geräte.

Ich verstehe deinen gedanken, das du es Serverseitig installiert haben möchtest da sich Modems/Wlan-Router ausgetauscht werden können, aber meiner Erfahung nach ist eine Softwareseitige installation direkt auf Geräten auch keine Stabile verbindung, durch Updates, Wartung oder Internetausfälle ist eine Installation direkt auf Geräten einer richtigen Route auf einer Firewall zu bevorzugen.

[zero_neverload]

53 minutes ago, EliteGroup said:

Welche Router wird in Zukunft eingesetzt?

Auf meiner Seite (Site 1) vielleicht mal OPNsense. Geht aber aktuell noch nicht, wegen dem ganzen AVM Mesh gedöns was hier die Infrastruktur abbildet. (soweit ich weiss, würde dies ja im reinen DSL betrieb nicht mehr funktionieren) Gedanke war noch, ein IP Verbindung von Fritz zu OPNsens, aber das ist alles noch zukunftsmusik, weil ich mich da mehr reinfuchsen muss und die VPN Sache gerade vor gehen muss.

53 minutes ago, EliteGroup said:

Also ich wüsste wie du dein Projekt leicht umsetzten könntest mit OpnSense / pfSense.

Da kannst du direkt den Gateway für jede IP zuweisen oder eine eigene Docker Bridge erstellen im WireGuard Netzwerk.

Wenn Zeit vorhanden wird das angegangen.

53 minutes ago, EliteGroup said:

Ich bevorzuge immer eine Firewall konfiguration alles was das Netzwerk betrifft als rumgebastel auf Geräten, deshalb habe ich leider keine Erfahrung was für möglichkeiten bestehen für VPN Server auf Geräten. Ich denke aber das die möglichkeiten begrenzter sind.
Auch wieder am Router selbst wäre eine Site-to-Site Verbindung wie du es schon erwähnst und dann die Routen konfigurieren.

Das wäre die Lösung für Server to Server, aber wie mache ich das die Docker ins Internet kommen über Site 2

53 minutes ago, EliteGroup said:

So oder so, wird eine konfiguration komplexer ist die Lösung ein vernünftiger "Router" der damit umgehen kann, FritzBox ist ein nettes Spielzeug für den Hausmann und Familie aber für Server betrieb ungeeignet.
Sind mehrere Server in betrieb und auch Sicherheit wichtig dann verwendet man OpnSense oder RouterOS Geräte.

Bin absolut bei dir. Ich hasse mittlerweile eh AVM, da meine 7590 so dermassen lahm ist. Dann hat man eben alles geladen und fliegt wieder aus der Oberfläche und kann nichtmal einen Timout configurieren, dass die Abmeldung erst nach 10 min oder so passiert. 

53 minutes ago, EliteGroup said:

Ich verstehe deinen gedanken, das du es Serverseitig installiert haben möchtest da sich Modems/Wlan-Router ausgetauscht werden können, aber meiner Erfahung nach ist eine Softwareseitige installation direkt auf Geräten auch keine Stabile verbindung, durch Updates, Wartung oder Internetausfälle ist eine Installation direkt auf Geräten einer richtigen Route auf einer Firewall zu bevorzugen.

Gut Routen muss man ja eh dann zusätzlich noch am Router einstellen.

Die Frage nur welche alle?

 

Die Routen vom Unraid ins Lan sind ja klar, aber wie geht das mit dem Gateway für bestimmte Docker?