[Anleitung] WireGuard mit WireGuard-UI auf Proxmox

Negalein

@crunkfx sagte in [Anleitung] WireGuard mit WireGuard-UI auf Proxmox:

Dann müsste bei connected peers was drin stehen

kann ich morgen sagen. Komm gerade nicht auf die Fritz zwecks Weiterleitung

CrunkFX

@negalein Nicht ganz
so z.B. hat der Client nur Zugriff auf die IP´s 192.168.1.1-192.168.1.254

Also
x.x.x.0/24 für alle
x.x.x.0/32 für 1

Negalein

@crunkfx sagte in [Anleitung] WireGuard mit WireGuard-UI auf Proxmox:

hat der Client nur Zugriff auf die IP´s 192.168.1.1-192.168.1.254

ah, gecheckt

und was bedeutet 0.0.0.0/0

das finde ich bei Tante Goggerle nicht

CrunkFX

@negalein AllowedIPs = 0.0.0.0/0
dadurch weist du den Wireguard-Client an, sämtlichen Verkehr über die VPN-Verbindung zu schicken. Wenn du nur den Zugriff zu einem Gerät zulassen möchtest, dann musst du dort nur die jeweiligen IP-Adressen eintragen, die über die Verbindung getunnelt werden sollen.

Möglich ich m.E auch 192.168.1.2/32, das sollte auch gehen. Da beim 32er Subnet ohnehin nur ein Gerät angesprochen werden kann.

Negalein

@crunkfx sagte in [Anleitung] WireGuard mit WireGuard-UI auf Proxmox:

sämtlichen Verkehr über die VPN-Verbindung zu schicken

ok, aber mit 0.0.0.0/0 hat er immer "schreibt er ungültiger Name" beim Import der .conf oder dem QR geschrieben.

Erst mit 10.0.1.0/24 gings.

Oder ist das mit "sämtlichen Verkehr über die VPN-Verbindung zu schicken" anders gemeint?

CrunkFX

@negalein Ne eig. nicht, ich kann den Fehler auch nicht nachstellen

crunchip

@crunkfx sagte in [Anleitung] WireGuard mit WireGuard-UI auf Proxmox:

docker-compose up

nachdem ich nun nochmals ab da probiert habe, kam nur noch error Meldung bzw hat ewig geladen.

Letztendlich habe ich nun den LXC neu aufgesetzt, mit der neuen Version, habe den CT wie beschrieben neu gestartet, trotzdem habe ich wieder einen leeren Status.

CrunkFX

@crunchip Was sagt der Befehl

wg

crunchip

@crunkfx

interface: wg0
  public key: kPKZIn5yubBiweatmmNo5mWhVhBFIVrA3Ko2ZQUY0Fk=
  private key: (hidden)
  listening port: 51820

CrunkFX

@crunchip OK sehr gut. Zeig mal bitte den Output von

nano /root/wireguard-ui/docker-compose.yml

crunchip

@crunkfx ich bekomm aktuell aber auch keine Verbindung mehr zu stand, am Handy baut sich keine Seite mehr auf

version: '3'

services:
  wg:
    image: ngoduykhanh/wireguard-ui:latest
    container_name: wgui
    ports:
      - 5000:5000
    logging:
      driver: json-file
      options:
        max-size: 50m
    volumes:
      - ./db:/app/db
      - /etc/wireguard:/etc/wireguard
    restart: always
    cap_add:
        - NET_ADMIN
    network_mode: host

CrunkFX

@crunchip Hast du daran gedacht?

Dazu im Fenster WireGuard Server unter dem Punkt Post Up Script folgendes eintragen:

iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

und um Feld Post Down Script folgendes eintragen:

iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

crunchip

@crunkfx ja die sind eingetragen

CrunkFX

@crunchip
Nach der neuinstallation rebootet?
Neuen Client angelegt und Apply Config gedrückt?

Wenn ja zeig mal bitte

ip a

crunchip

@crunkfx ja hatte ich

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: eth0@if43: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether fe:8b:dc:86:6e:51 brd ff:ff:ff:ff:ff:ff link-netnsid 0
    inet 10.1.1.21/24 brd 10.1.1.255 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::fc8b:dcff:fe86:6e51/64 scope link 
       valid_lft forever preferred_lft forever
3: wg0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1450 qdisc mq state UNKNOWN group default qlen 500
    link/none 
    inet 10.252.1.0/24 scope global wg0
       valid_lft forever preferred_lft forever
    inet6 fe80::e128:9915:e0b1:325d/64 scope link stable-privacy 
       valid_lft forever preferred_lft forever
4: docker0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default 
    link/ether 02:42:e4:53:d0:58 brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.1/16 brd 172.17.255.255 scope global docker0
       valid_lft forever preferred_lft forever

ich setz ihn einfach nochmal neu auf

edit, hab ein zweites handy hinzugefügt, CT nochmal neu gestartet, Verbindung funktioniert wieder, Status bleibt aber dennoch leer

CrunkFX

@crunchip Denk an Nesting und keyctl für Docker. Bevor du neuinstalliert versuch nochmal

wg-quick down wg0 && wg-quick up wg0

crunchip

@crunkfx sagte in [Anleitung] WireGuard mit WireGuard-UI auf Proxmox:

wg-quick down wg0 && wg-quick up wg0

root@Wireguard:~# wg-quick down wg0 && wg-quick up wg0
[#] ip link delete dev wg0
[#] iptables -D FORWARD -i wg0 -j ACCEPT; iptables -D FORWARD -o wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
[#] ip link add wg0 type wireguard
Error: Unknown device type.
[#] ip link delete dev wg0
Cannot find device "wg0"

CrunkFX

@crunchip sagte in [Anleitung] WireGuard mit WireGuard-UI auf Proxmox:

Error: Unknown device type.

Nutzt du Ubuntu? Wenn ja welches? Und welche Version von Proxmox

crunchip

@crunkfx Ubuntu 21.04, bei Proxmox bin ich noch auf v 6,4

irgendwas stimmt mit dem CT nicht, sehe gerade der is bei nahezu 100% Auslastung
ich mach den mal weg und morgen in aller Ruhe nochmal neu

aber trotzdem erstmal Danke für deine Anleitung und natürlich für deine Hilfe

CrunkFX

@crunchip Es sieht so aus als würden die die Kernel Header fehlen. Ich muss mal schauen ob ich die Anleitung erweitere. Mit den neuen Proxmox Versionen werden diese mitgeliefert.