[fli4l] Fragen zur Konfiguration
Nelson Matias
nelson at anires.de
Do Apr 17 20:59:26 CEST 2025
Hallo Harvey,
am Thu, 17 Apr 2025 17:43:47 +0200 schrieb Harvey in spline.fli4l
>Nelson,
>
> > Die Fli4l laufen jetzt zufriedenstellend. Ich habe auch 2 Netze per
>> Wireguard verbunden und kann problemlos von einem aufs andere zugreifen.
>> So können alle Netzteilnehmen auf ALLE Geräte in beiden Netzen zugreifen.
>
>Da schau her ;) Das versuche ich schon seit geraumer Zeit zu
>konfigurieren, habe es aber nicht hinbekommen. Roadwarrior habe ich
>geschafft, aber Site2Site will nicht klappen. Ich will damit meine
>OpenVPN Tunnel los werden.
>
>Du hast die 2 fli4l direkt über wireguard vernetzt? Hast du weitere
Nein. Einen Fli4l und eine Fritzbox.
>Einstellungen in der base.txt hinsichtlich der firewall gemacht? Kann
>ich mal deine Konfiguration aus vpn.txt und base.txt sehen (natürlich
>anonymisiert)? Evtl per Mail?
Die entfernte Fritzbox hat intern für ihr Netz 192.168.0.0/24 definiert.
Hier die relevanten Zeilen in der base.txt
PF_INPUT[]='prot:udp 51820 ACCEPT' # Allow Wireguard on Port 51820
{ COMMENT='open udp-port for wireguard wg0' }
Hier den Port für die Wireguard Verbindung öffnen
PF_INPUT[]='192.168.0.0/24 ACCEPT' # allow Wireguard-VPN
Das habe ich damit ich auch vom entfernten Netz an meinen Fli4l komme.
PF_FORWARD[]='IP_NET_2 192.168.0.0/24 ACCEPT BIDIRECTIONAL'
PF_FORWARD[]='192.168.0.0/24 ACCEPT'
PF_POSTROUTING[]='192.168.0.0/24 ACCEPT'
Diese drei Zeilen, damit das Routing zwischen beiden Netzen klappt. Und
natürlich will ich keine Masquerading über Wireguard haben.
Und hier die relevanten Zeilen aus der vpn.txt
WIREGUARD[] {
NAME='Lanbude'
LOCAL_IP4='192.168.1.100/24'
PRIVATE_KEY='Der Schlüssel'
LISTEN_PORT='51820'
LOCAL_HOST='FQDN.from.fli4l' # dyndns name of local fli4l
KEEP_ALIVE='25'
DEFAULT_ALLOWED_IPS[]='IP_NET_2'
PUSH_DNS[]='192.168.1.100' # DNS server to provide to peers
PEER[] {
NAME='CS-Buero'
LOCAL_IP4='192.168.0.202/24'
PUBLIC_KEY='Der öffentliche Schlüssel der Gegenstelle'
PRIVATE_KEY='Der private Schlüssel oder leer'
PRESHARED_KEY='Der letzte Schlüssel'
REMOTE_HOST='fritzquark.myfritz.net'
REMOTE_PORT='56794'
ROUTE_TO[]='192.168.0.0/24'
ALLOWED_IPS[]='IP_NET_2'
}
}
Wichtig hier: ALLOWED_IPS kann eine default route enthalten. Dann wird
aber der gesamte Traffic durch den Tunnel geschickt. Das ist meistens
nicht erwünscht.
Bei der Konfiguration der beiden Netze ist auch wichtig, dass beide Netze
auch unterschidliche domains haben. So können auch die beiden DNS-Server
entsprechend konfiguriert werden.
In meinem Fall hat die Fritzbox meinen Fli4l als zusätzlichen DNS
bekommen, die wichtigen Geräte aus dem Fritzbox-Netz habe ich aber als
EXTRA_HOSTS im Fli4l konfiguriert. Von meinem Netz aus brauche ich nur 3
Geräte. Im Fritzbox-Netz kann ich meine Geräte über gerät.domain.fli4l
ansprechen.
Über weitere PEERs können weitere Netze verbunden werden. Das hab ich
aber noch nicht gemacht ... wird aber evtl. noch kommen.
Der Tunnel wird dann immer kurz nach dem boot-Vorgang aufgebaut und
entsprechend bei Bedarf genutzt. Wichtig ist noch die Position des
Samba-drops in der base.txt zu checken. Ist dieser vor den
Wireguard-Zeilen drin, dann funktionieren natürlich keine
samba-Freigaben. Sind diese aber erlaubt ... naja Windows ist halt immer
mal sehr neugierig und scannt schon mal alle Freigaben nach bestimmten
Dateien.
Ich hab übrigens die Einrichtung auf der Fritzbox gemacht und die
Schlüssel dann im Fli4l eingetragen.
>Danke im Voraus
Gern geschehen. Und wenn noch Fragen sind ... immer her damit.
Und ja ... alle unsere Mobiltelefone sind jetzt auch mit Wireguard
ausgestattet und alle Nutzer angewiesen bei Nutzung von sensiblen Daten
(Banking, Gesundheits-apps, etc.) die VPN-Verbindung zu aktivieren.
Klappt prima. Und ja ... manchmal vergessen sie das ausschalten aber das
ist nicht weiter schlimm.
Gruß
Nelson
--
Nelson Matias
Mehr Informationen über die Mailingliste Fli4L