Wireguard VPN on demand

Moin,

ich habe den Überblick nun ein bisschen verloren, da für mich klar war, dass das mit einer fritz.box bisher nicht funktioniert, weil von AVN nicht unterstützt...
Jetzt lese ich gerade, dass das doch geht mittels Pi... Kann mir das jemand nun genauer erklären?

Denn die Vorteile der Geschwindigkeit liegen ja klar auf der Hand.
Mein Setup: fritzbox 6940 von Vodafone, dahinter dann nen Loxberry, hätte noch nen zweiten Pi 3 rum liegen

Richtig ist das die Fritzbox das nativ nicht unterstützt, mit einer freetz-Frimware würde das gehen.
Aber es spricht ja nichts dagegen es auf einem Raspi zu machen. Der Server muss ja nicht zwangweise im Inet stehen, sonder kann auch @Home sein.
So wie ich alles zu Hause haben will, ist auch der Wireguard bei mir zu Hause installiert.

Man braucht nur die Port-Freigabe am Router und einen Raspi oder VM. Es kann auch auf bestehenden Systemen installiert werden. Loxberry würde ich nur machen wenn es ein Plugin gäbe, sonst könnte nach einem Update evtl. was nicht mehr funktionieren. Eine Möglichkeit am Loxberry ist das Docker-Plugin und dieses Image LINK.

Es gibt wie du einen Beitrag zuvor siehst ein Problem mit der Zwangstrennung, da Wireguard nur zu beginn die DNS auflöst und dann immer mit der IP arbeitet.
Ich habe das gelöst durch einen restart der Wiregurad-Schnittstelle wenn sich die IP ändert.

Hi Stephan,

kannst du hier nochmal was zu den Einstellungen sagen; dass nur Kosten entstehen, wenn der Client läuft.

Man bekommt ja ein Startkapital, was verrechnet wird; dennoch habe ich irgendwie die falschen Settings, denn obwohl ich die VM die letzten Wochen kaum genutzt habe, sind in Summe ca. 90 € angefallen.

Gruß Thomas

Man kann die Maschine auch mit dem az cli rauf und runter fahren. Das muss man erst installieren, siehe https://docs.microsoft.com/de-de/cli...tall-azure-cli

Der Befehl auf der Kommando-Zeile ist recht komplex, wenn man sich den mal zusammengebaut hat, kann man ihn aber auch in ein Script packen oder in einen Alias (was ich gemacht habe):

Dabei musst du den Namen, den Namen der Ressource Group und auch die IP unter der du die VM erreichst austauschen.

Die Befehle habe ich in meine ~/.zshrc eingefügt. Danach kann man - wenn man das Terminal neu gestartet hat - im Terminal mit den Befehlen windows-azure-vm-start -stop und -status die VM rauf und runter fahren.

Wenn du die Befehle in ein script packst, kannst du das natürlich auch auf dem Desktop legen und von dort starten.

Das "Windows herunterfahren" in Windows kannst du dir dann sparen.

nochmal DANKE an diese Runde.
Habe es nach #17 nun auf einem Pi 3B laufen...

Probiere mich die nächsten Tage aus...
Scheint schneller als VPN zu sein, das ist das Ziel gewesen.

zwei Fragen:
-Kann ich das bei Android auch als "on-demand" einstellen?
edit: ja klar mit Tasker


-mit IPv6 , bzw. DS Lite sollte das nun auch gehen, oder?
edit: https://administrator.de/forum/wireg...en-559360.html
hier erkärt.

Hallo,

Bei mir wurden alle Konfigurationen beim Update auf iOS 15 gelöscht. Habt ihr auch dieses Problem?

Hallo,

ich habe mit der genialen Anleitung von Stephan nun auch die Wireguard-Lösung implementiert, vielen Dank! Ich habe seit einigen Wochen Starlink als Internetprovider und da ich da keine statische Public IP Adresse habe und ferner CGNAT verwendet wird, ging das bisherige VPN on Demand (ich glaube das war über IPSec) nicht mehr. Jetzt kommt ich dank der Wireguard-Lösung auch wieder von extern aus auf mein Netz, inkl. Miniserver.

Eine Frage hätte ich aber noch: Bei der früheren VPN on Demand Lösung konnte man die mobileconfig ja so einrichten, dass der VPN Tunnel nur bei einem Zugriff auf die IP-Adresse des Miniservers aufgebaut wurde und sonst nicht. Geht das auch irgendwie mit Wireguard? Bisher habe ich nur Einstellungen gefunden, über die man den OnDemand-Aufbau bei Mobilfunk oder WLAN an- oder ausschalten kann, bei WLAN kann man ferner noch bestimmte SSIDs ein- oder ausschließen. Aber eben keine bestimmten IP-Adressen!?

Ein weiterer, kleinerer Punkt ist die Tatsache, dass ich trotz Lesens vieler Internet-Seiten und Tutorials nicht wirklich verstehe, was die beiden u.a. Einträge in der .conf des Servers nun wirklich machen. Ich weiß, dass man mit iptables quasi eine Firewall unter Linux konfiguriert und mit den Einträgen ermöglicht, dass aus dem Tunnel heraus weiterhin aufs Internet zugreifen kann, aber was passiert da wirklich im Detail? Wenn jemand Lust und Zeit hat, das kurz zu erklären, wäre ich super dankbar.

Nochmals vielen Dank für die ganze Mühe, viele Grüße,
Tom

By the way: Ich nutze den IONOS VPS Server für 2€ im Monat (ab dem 6. Monat), mit bis zu 400 MBit/s. Es gibt von Strato auch einen VPS Server für dauerhaft 1€ pro Monat, aber nur mit 100 Mbit/s Bandbreite. Nach meinem Verständnis läuft der Internet-Traffic bei der Nutzung des VPNs über den Server und da ich bei Starlink zwischen 100-200 MBit/s habe, brauche ich wohl einen Server mit entsprechender Bandbreite. Wenn jemand noch eine günstigere Lösung weiß, dann gerne eine Info, vielen Dank.

Hallo zusammen!
Ich habe seit letzter Woche nun auch Wireguard auf der FritzBox 7590 mit der Labor-Firmware (25.03.2022) installiert. Der Verbindungsaufbau ist bei mir fast Faktor 4 schneller als mit einer IPSec-VPN-Verbindung. Ich war total begeistert, wie schnell man jetzt mit der Türsprechstelle und Videokamera verbunden ist. Ein paar Tage später kam allerdings eine gewisse Ernüchterung, da die Akkulaufzeit des iPhones sehr stark nachgelassen hat. Unter den Batterie-Einstellungen habe ich dann plötzlich 24% Akkunutzung für VPN, obwohl die Haustür nur einmal geklingelt hat. Grund ist dafür, dass sich die Verbindung nicht selbstständig wieder beendet. Einmal aktiviert bleibt die VPN Verbindung aktiv, obwohl ich auch in den Wireguard App Einstellungen bereits das Keep-Alive auf 0 gesetzt habe. Mein Verständnis von On-Demand war bisher, dass die Verbindung bei Bedarf aufgebaut wird und nach einer gewissen Zeit wieder deaktiviert wird. Oder habe ich hier einen Denkfehler ? Zumindest die Einstellungsoption "Keep-Alive" deutet ja auch darauf hin. Kann mir hier jemand einen Tipp geben, was ich hier falsch mache ?
Vielen Dank!
Gruss
Bernd

Hy,

was steht denn unter peer allowed IPs?

Wenn dort 0.0.0.0/0 steht, dann läuft alles über deine Fritz box .

Hallo!
Vielen Dank für den Hinweis ...
Mit QR-Code von der aus der FritzBox Config wurde folgendes automatisch konfiguriert:
"Zulässige IPs 10.5.1.0/24, 0.0.0.0/0"
Damit gibt es aber genau die gleiche dauerhafte Verbindung wie mit der Änderung auf
"Zulässige IPs 10.5.1.0/24"
In dem 10.5.1.x Netz will ich die Adresse 10.5.1.28 erreichen .... das ist mein Loxone Miniserver (Gen.1)
Gruss
Bernd

Mh... ist denn im VPN Profil "onDemand" an? Bei mir ist der Verbrauch bei 9%.

Gruß

Ja, On-Demand ist an .... baut sich denn Deine Verbindung auch wieder ab, oder ist Deine Verbindung "always-on" ??

Ich habe nun auch ein virtuelles Windows unter Azure installiert, wie von realschmide beschrieben. Das funktioniert auch problemlos, allerdings fallen bei mir täglich ca. 16 Cent Kosten an, auch wenn die VM komplett abgeschaltet ist. Ich habe es m.E. genauso gemacht wie in seinem Video und ich habe es sicherheitshalber auch ein zweites Mal erstellt, nachdem ich die erste virtuelle Maschine wieder gelöscht hatte, mit dem gleichen Ergebnis. Die virtuelle Maschine habe ich immer komplett beendet, mit Auflösung der Zuordnung. Hast Du/Habt Ihr das auch? Solange das Guthaben noch nicht aufgebraucht ist, ist das ja kein Problem, aber irgendwann kostet es dann echtes Geld ...

Die Verbindung ist immer an, wenn ich nicht mit dem wlan verbunden bin.

Ich habe gerade festgestellt, dass die Verbindung zur Fritzbox IMMER hergestellt wird, wenn irgendein Zugriff auf das Internet erfolgt, z.B. einfach nur Google im Browser öffnen. Ich kenne leider nur das Verhalten von IPSec Clients. Dort habe ich "On-Demand" immer so verstanden, dass nur dann eine Verbindung aufgebaut wird, wenn die Zieladresse in dem VPN-Netz liegt. Offensichtlich ist das bei dem iOS Client von Wireguard nicht so - oder ich habe die Konfiguration nicht verstanden. Diese läuft aber automatisch über die QR-Code Erzeugung auf der FritzBox. Solange ich nicht auf das entfernte Netz zugreifen möchte, wollte ich eigentlich auch keine Verbindung dahin permanent offen haben. Das kostet nur Akkuleistung ...