Skip to content
linux-nerds.org

linux-nerds.org
  1. Übersicht
  2. Linux
  3. Wireguard
  4. Wireguard - Client installieren

Wireguard - Client installieren

Wireguard
  • FrankMF

    Da wir ja jetzt an dem Punkt ankommen, wo Wireguard im Mainstream ankommt 😉 hier mal eine Vorgehensweise, wie man Wireguard als Client auf einem ROCKPro64 installiert.

    Hardware

    • ROCKPro64v2.1 2GB RAM
    • PCIe NVMe SSD und Adapterkarte

    Software

    • Release 0.10.9 vom Kamil
    • Linux rockpro64 5.6.0-1132-ayufan-g81043e6e109a #ayufan SMP Tue Apr 7 10:07:35 UTC 2020 aarch64 GNU/Linux
    • u-boot im SPI

    Hintergrund Wireguard

    Seit der Veröffentlichung vom Kernel 5.6 sind die benötigten Kernelmodule im Kernel enthalten. Das heißt, wir müssen uns nicht mehr darum kümmern. Hier die Liste der Module, wenn Wireguard läuft.

    root@rockpro64:/etc/wireguard# lsmod | grep wireguard
wireguard              90112  0
libchacha20poly1305    16384  1 wireguard
ip6_udp_tunnel         16384  1 wireguard
udp_tunnel             16384  1 wireguard
libcurve25519_generic    36864  1 wireguard
libblake2s             16384  1 wireguard

    Voraussetzung

    Ich gehe von einer funktionierenden Installation auf dem ROCKPro64 aus. Dazu setze ich schon immer Debian in folgender Version ein.

    https://github.com/ayufan-rock64/linux-build/releases/download/0.10.9/buster-minimal-rockpro64-0.10.9-1180-arm64.img.xz

    Ergibt dann

    root@rockpro64:/etc/wireguard# cat /etc/debian_version
10.3

    Installation

    Backports

    In Debian Buster 10.3 fehlt das Wireguard Paket. Um das nun installieren zu können, benötigen wir die Backports.
    Dazu öffnen wir die Datei /etc/apt/sources.list und fügen ans Ende folgende Zeile hinzu.

    deb http://deb.debian.org/debian buster-backports main

    Danach abspeichern.

    Wireguard installieren

    Erstmal die Paketliste aktualisieren.

    apt update

    Danach ein

    root@rockpro64:~# apt install wireguard
Reading package lists... Done
Building dependency tree       
Reading state information... Done
The following additional packages will be installed:
  dkms wireguard-dkms wireguard-tools
Suggested packages:
  python3-apport menu
Recommended packages:
  fakeroot linux-headers-686-pae | linux-headers-amd64 | linux-headers-generic
  | linux-headers
The following NEW packages will be installed:
  dkms wireguard wireguard-dkms wireguard-tools
0 upgraded, 4 newly installed, 0 to remove and 0 not upgraded.
Need to get 425 kB of archives.
After this operation, 2374 kB of additional disk space will be used.
Do you want to continue? [Y/n] 
Get:1 http://deb.debian.org/debian buster-backports/main arm64 wireguard-dkms all 0.0.20200318-1~bpo10+1 [253 kB]
Get:2 http://deb.debian.org/debian buster-backports/main arm64 wireguard-tools arm64 1.0.20200319-1~bpo10+1 [89.7 kB]
Get:3 http://deb.debian.org/debian buster-backports/main arm64 wireguard all 1.0.20200319-1~bpo10+1 [7464 B]
Get:4 http://cdn-fastly.deb.debian.org/debian buster/main arm64 dkms all 2.6.1-4 [74.4 kB]
Fetched 425 kB in 0s (1214 kB/s)
Selecting previously unselected package dkms.
(Reading database ... 41667 files and directories currently installed.)
Preparing to unpack .../archives/dkms_2.6.1-4_all.deb ...
Unpacking dkms (2.6.1-4) ...
Selecting previously unselected package wireguard-dkms.
Preparing to unpack .../wireguard-dkms_0.0.20200318-1~bpo10+1_all.deb ...
Unpacking wireguard-dkms (0.0.20200318-1~bpo10+1) ...
Selecting previously unselected package wireguard-tools.
Preparing to unpack .../wireguard-tools_1.0.20200319-1~bpo10+1_arm64.deb ...
Unpacking wireguard-tools (1.0.20200319-1~bpo10+1) ...
Selecting previously unselected package wireguard.
Preparing to unpack .../wireguard_1.0.20200319-1~bpo10+1_all.deb ...
Unpacking wireguard (1.0.20200319-1~bpo10+1) ...
Setting up dkms (2.6.1-4) ...
Setting up wireguard-dkms (0.0.20200318-1~bpo10+1) ...
Loading new wireguard-0.0.20200318 DKMS files...
It is likely that 5.6.0-1132-ayufan-g81043e6e109a belongs to a chroot's host
Building for 5.6.0-1132-ayufan-g81043e6e109a
Building initial module for 5.6.0-1132-ayufan-g81043e6e109a
Error!  The dkms.conf for this module includes a BUILD_EXCLUSIVE directive which
does not match this kernel/arch.  This indicates that it should not be built.
Skipped.
Setting up wireguard-tools (1.0.20200319-1~bpo10+1) ...
Setting up wireguard (1.0.20200319-1~bpo10+1) ...

    Danach ist Wireguard in folgender Version vorhanden.

    root@rockpro64:~# wg version
    wireguard-tools v1.0.20200319 - https://git.zx2c4.com/wireguard-tools/

    Wirguard Keys erzeugen

    root@rockpro64:/etc/wireguard# wg genkey > private.key
Warning: writing to world accessible file.
Consider setting the umask to 077 and trying again.
root@rockpro64:/etc/wireguard# wg pubkey > public.key < private.key
root@rockpro64:/etc/wireguard# wg genpsk > psk.key
Warning: writing to world accessible file.
Consider setting the umask to 077 and trying again.

    Nehmt den Warnhinweis ernst, auf einem Server sollte man das so nicht lassen!

    Inhalt von /etc/wireguard

    root@rockpro64:/etc/wireguard# ls
private.key  psk.key  public.key

    Wireguard wg0.conf

    [Interface]
Address = 10.10.1.2, <IPv6 Adresse>
PrivateKey = <private Key>
ListenPort = 51820
DNS = 10.10.1.1

[Peer]
Endpoint = <Server IP>:51820
PublicKey = <public Key> vom Server!!
PresharedKey = <preshared Key> Client und Server gleich!
AllowedIPs = 0.0.0.0/0, ::/0

    Zur <IPv6 Adresse>

    Auf meinem Server sieht die Konfiguration so aus.

    #ROCKPro64
[Peer]
PublicKey = <Public-Key Client>
PresharedKey = <psk.key>
AllowedIPs = 10.10.1.12, 2a01:xxx:xxx:59e6:100::12

    Mein Wireguard Server und mein Heimnetz sind voll IPv6 tauglich. Deshalb weise ich den Geräten auch IPv6 Adressen vom Server zu. Ohne diese IPv6 Adresse hat man keine Internetverbindung, sondern kann nur das interne Netz erreichen. Erst mit der IPv6 Adresse wird der gesamte Netzwerkverkehr ins Internet geroutet.

    Wireguard starten

    Dazu nimmt man den Befehl wg-quick

    root@rockpro64:/etc/wireguard# wg-quick up wg0
[#] ip link add wg0 type wireguard
[#] wg setconf wg0 /dev/fd/63
[#] ip -4 address add 10.10.1.12 dev wg0
[#] ip link set mtu 1420 up dev wg0
[#] resolvconf -a tun.wg0 -m 0 -x
[#] wg set wg0 fwmark 51820
[#] ip -6 route add ::/0 dev wg0 table 51820
[#] ip -6 rule add not fwmark 51820 table 51820
[#] ip -6 rule add table main suppress_prefixlength 0
[#] ip6tables-restore -n
[#] ip -4 route add 0.0.0.0/0 dev wg0 table 51820
[#] ip -4 rule add not fwmark 51820 table 51820
[#] ip -4 rule add table main suppress_prefixlength 0
[#] sysctl -q net.ipv4.conf.all.src_valid_mark=1
[#] iptables-restore -n

    Kontrolle

    root@rockpro64:/etc/wireguard# wg
interface: wg0
  public key: 4gGlCmgVYs4jjPfm7qaq5hkls3n4tVM53e/BBSV+xyU=
  private key: (hidden)
  listening port: 51820
  fwmark: 0xca6c

peer: <Public Key vom Server>
  preshared key: (hidden)
  endpoint: <Server-IP>:51820
  allowed ips: 0.0.0.0/0, ::/0
  latest handshake: 4 seconds ago
  transfer: 92 B received, 324 B sent

    So, läuft 🙂

    Ausschalten

    wg-quick down wg0

    Im Fediverse -> @FrankM@nrw.social

    1. NanoPi R5S
    2. Quartz64 Model B, 4GB RAM
    3. Quartz64 Model A, 4GB RAM
    4. RockPro64 v2.1
    0
  • O

    @FrankM
    hallo Frank

    Bei mir läuft Wireguard auf einem Raspberry 4 mit 2 GB RAM an einer fritzbox 4040 hinter einem Vodafone Kabelanschluss. (LAN Anschluss) Dort ist auch ein Pihole installiert.
    Und nun zu meinem Problem. Da ich viel herumkomme wollte ich mein Smartphone per VPN in fremden Netzen verwenden. Ich habe ein xioami redmi note 4 mit Lineage 9 und Stormguard Kernel mit Wireguard Unterstützung. Seit Januar läuft das ganze. Anfangs hatte ich das Problem, wenn ich per LTE oder fremden WLAN Wireguard VPN nutzte, kam ich nicht über 60 KB/s Geschwindigkeit. Nach vielen Versuchen hatte ich ab Anfang Februar super Geschwindigkeiten. (Etwa 30 % weniger als ohne VPN) Während eines Israel Urlaub war ich der einzigste, der die Tagesschau streamen konnte. Seit Anfang März (vermutlich nach einem Lineage Update) kommt die Geschwindigkeit nicht mehr über die 60 KB/s.
    Mit der neuen Android Wireguard APP kann man jetzt temporär die Kernelintegration abschalten, dann läuft normales VPN mit der gleichen niedrigen Geschwindigkeit.
    Wer weiss eine Lösung für die "Bremse".

    Gruß
    Osnh

    1
  • FrankMF

    Ich kann dir nicht ganz folgen. Mein Wireguard Server ist eine VM im Netz. Mein Smartphone baut zu diesem eine Verbindung auf und ich habe mal eben nachgeschaut, was da so geht. Mein Smartphone ist aktuell im meinem WLan angemeldet.

    6e0016dc-7e11-41e1-bba2-e52a3f1348df-image.png

    iperf3 -s -B 10.10.1.1
-----------------------------------------------------------
Server listening on 5201
-----------------------------------------------------------
Accepted connection from 10.10.1.10, port 44246
[  5] local 10.10.1.1 port 5201 connected to 10.10.1.10 port 44248
[ ID] Interval           Transfer     Bitrate
[  5]   0.00-1.00   sec  4.98 MBytes  41.7 Mbits/sec                  
[  5]   1.00-2.00   sec  5.52 MBytes  46.3 Mbits/sec                  
[  5]   2.00-3.00   sec  4.80 MBytes  40.3 Mbits/sec                  
[  5]   3.00-4.00   sec  4.17 MBytes  35.0 Mbits/sec                  
[  5]   4.00-5.00   sec  5.04 MBytes  42.3 Mbits/sec                  
[  5]   5.00-6.00   sec  5.43 MBytes  45.6 Mbits/sec                  
[  5]   6.00-7.00   sec  5.75 MBytes  48.3 Mbits/sec                  
[  5]   7.00-8.00   sec  5.70 MBytes  47.8 Mbits/sec                  
[  5]   8.00-9.00   sec  5.73 MBytes  48.1 Mbits/sec                  
[  5]   9.00-10.00  sec  5.65 MBytes  47.4 Mbits/sec                  
[  5]  10.00-10.04  sec   206 KBytes  46.5 Mbits/sec                  
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bitrate
[  5]   0.00-10.04  sec  53.0 MBytes  44.3 Mbits/sec                  receiver
-----------------------------------------------------------
Server listening on 5201
-----------------------------------------------------------
Accepted connection from 10.10.1.10, port 44250
[  5] local 10.10.1.1 port 5201 connected to 10.10.1.10 port 44252
[ ID] Interval           Transfer     Bitrate         Retr  Cwnd
[  5]   0.00-1.00   sec  4.80 MBytes  40.2 Mbits/sec    0    253 KBytes       
[  5]   1.00-2.00   sec  14.7 MBytes   123 Mbits/sec  181    379 KBytes       
[  5]   2.00-3.00   sec  9.68 MBytes  81.2 Mbits/sec   58    294 KBytes       
[  5]   3.00-4.00   sec  8.88 MBytes  74.5 Mbits/sec    1    227 KBytes       
[  5]   4.00-5.00   sec  7.76 MBytes  65.1 Mbits/sec    0    245 KBytes       
[  5]   5.00-6.00   sec  8.88 MBytes  74.5 Mbits/sec    0    266 KBytes       
[  5]   6.00-7.00   sec  9.81 MBytes  82.3 Mbits/sec    0    289 KBytes       
[  5]   7.00-8.00   sec  7.82 MBytes  65.6 Mbits/sec   35    235 KBytes       
[  5]   8.00-9.00   sec  5.59 MBytes  46.9 Mbits/sec    4    186 KBytes       
[  5]   9.00-10.00  sec  6.64 MBytes  55.7 Mbits/sec    0    207 KBytes       
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bitrate         Retr
[  5]   0.00-10.04  sec  84.6 MBytes  70.6 Mbits/sec  279             sender
-----------------------------------------------------------
Server listening on 5201
-----------------------------------------------------------
^Ciperf3: interrupt - the server has terminated

    Im zweiten Teil ist der Wireguard Server der Sender.

    Bis jetzt hatte ich eigentlich nie Probleme, auch nicht unterwegs. Aber, ich gehe davon aus, das ich dich nicht 100% verstanden habe 😉

    Im Fediverse -> @FrankM@nrw.social

    1. NanoPi R5S
    2. Quartz64 Model B, 4GB RAM
    3. Quartz64 Model A, 4GB RAM
    4. RockPro64 v2.1
    0

  • FrankMF

    Restic v0.17.3 released

    Linux
    1
    0 Stimmen
    1 Beiträge
    83 Aufrufe
    Niemand hat geantwortet
  • FrankMF

    PyWebIO vs. Flask

    Python3
    2
    0 Stimmen
    2 Beiträge
    148 Aufrufe
    FrankMF

    Mist, jetzt habe ich auch noch Streamlit gefunden. Jetzt geht mir langsam die Zeit aus...

  • FrankMF

    Restic v0.16.1 released

    Restic
    1
    0 Stimmen
    1 Beiträge
    121 Aufrufe
    Niemand hat geantwortet
  • FrankMF

    Debian Bookworm 12.2 released

    Linux
    1
    0 Stimmen
    1 Beiträge
    106 Aufrufe
    Niemand hat geantwortet
  • FrankMF

    ZFS - Wichtige Befehle

    Linux
    2
    0 Stimmen
    2 Beiträge
    625 Aufrufe
    FrankMF

    Unter dem Beitrag sammel ich mal ein paar Beispiele, für mich zum Nachlesen 🙂

    Den Anfang macht die

    ZFS-Replication

    Ich hatte Am Anfang ein wenig Verständnisprobleme, bis es klar war, das diese Replication von Pool zu Pool funktioniert. Also brauchen wir zwei vorhandene ZFS-Pools.

    root@pbs:/mnt/datastore/datapool/test# zfs list NAME USED AVAIL REFER MOUNTPOINT Backup_Home 222G 677G 222G /mnt/datastore/Backup_Home datapool 2.36G 1.75T 2.36G /mnt/datastore/datapool

    Wir erzeugen ein Dataset im datapool

    zfs create datapool/docs -o mountpoint=/docs

    Wir erzeugen eine Datei mit Inhalt

    echo "version 1" > /docs/data.txt

    Wir erzeugen einen Snapshot

    zfs snapshot datapool/docs@today

    Kontrolle

    root@pbs:/mnt/datastore/datapool/test# zfs list -t snapshot NAME USED AVAIL REFER MOUNTPOINT datapool/docs@today 0B - 96K -

    Wir replizieren den vorhandenen Snapshot zum ZFS-Pool Backup_Home und speichern ihn da im Dataset test.

    zfs send datapool/docs@today | zfs receive Backup_Home/test

    Nun befinden sich die Daten in dem anderen ZFS-Pool

    root@pbs:/mnt/datastore/datapool/test# ls /mnt/datastore/Backup_Home/test/ data.txt

    Und was mich am meisten interessiert, ist wie man das zu einem anderen Server schickt 😉

    zfs send datapool/docs@today | ssh otherserver zfs receive backuppool/backup

    Den Test reiche ich dann später nach.

    Quelle: https://www.howtoforge.com/tutorial/how-to-use-snapshots-clones-and-replication-in-zfs-on-linux/

    ZFS inkrementelle Replication

    Als, nur die geänderten Daten senden!

    Wir erzeugen ein paar Dateien

    root@pbs:/mnt/datastore/datapool/test# echo "data" > /docs/data1.txt root@pbs:/mnt/datastore/datapool/test# echo "data" > /docs/data2.txt root@pbs:/mnt/datastore/datapool/test# echo "data" > /docs/data3.txt root@pbs:/mnt/datastore/datapool/test# echo "data" > /docs/data4.txt

    Neuer Snapshot

    zfs snapshot datapool/docs@17:02

    Liste der Snapshots

    root@pbs:/mnt/datastore/datapool/test# zfs list -t snapshot NAME USED AVAIL REFER MOUNTPOINT datapool/docs@today 56K - 96K - datapool/docs@17:02 0B - 112K -

    Wir senden dieinkrementelle Replication

    zfs send -vi datapool/docs@today datapool/docs@17:02 | zfs receive Backup_Home/test send from datapool/docs@today to datapool/docs@17:02 estimated size is 38.6K total estimated size is 38.6K cannot receive incremental stream: destination Backup_Home/test has been modified since most recent snapshot

    Dazu schreibt die Anleitung, die ich unten verlinkt habe, das die Daten verändert wurden. Warum, verstehe ich aktuell noch nicht. Mit -F im send Befehl erzwingt man einen Rollback zum letzten Snapshot.

    zfs send -vi datapool/docs@today datapool/docs@17:02 | zfs receive -F Backup_Home/test send from datapool/docs@today to datapool/docs@17:02 estimated size is 38.6K total estimated size is 38.6K

    Und Kontrolle

    ls /mnt/datastore/Backup_Home/test/ data1.txt data2.txt data3.txt data4.txt data.txt

    Quelle: https://klarasystems.com/articles/introduction-to-zfs-replication/

  • FrankMF

    OpenWRT - Zonen

    Verschoben OpenWRT & Ubiquiti ER-X
    2
    0 Stimmen
    2 Beiträge
    493 Aufrufe
    FrankMF

    Es ist was heller geworden 🙂

    7b86e97c-31a5-44b6-809f-25d9d1c2ee4a-image.png

    Die besagte Forward Regel

    Zonen.png

    Diese Forward Regel zieht erst dann, wenn es mehrere Interfaces in einer Zone gibt. Aus der Doku

    INPUT rules for a zone describe what happens to traffic trying to reach the router itself through an interface in that zone. OUTPUT rules for a zone describe what happens to traffic originating from the router itself going through an interface in that zone. FORWARD rules for a zone describe what happens to traffic passing between different interfaces belonging in the same zone.

    Das heisst nun, das ein Forwarding zwischen zwei Zonen immer eine spezifische Regel unter Traffic Rules benötigt.

    Forwarding between zones always requires a specific rule.

    Somit ist ein Forwarding zwischen zwei Zonen in den Standard Einstellungen nicht erlaubt. Das kann ich hier auch so bestätigen. Das ist ja auch das was ich mit meiner "DMZ"-Zone erreichen möchte. Kein Zugriff auf LAN.

    Unter Zone ⇒ Forwardings kann man jetzt sehen, das das Forwarding von LAN in Richtung WAN und DMZ erlaubt ist. WAN ist logisch, sonst komme ich ja nicht ins Internet. DMZ habe ich eingestellt, damit ich auch Teilnehmer im DMZ Netz erreichen kann, wenn ich da mal ran muss.

    8a548c29-8bc5-4074-8099-66460bcea9a8-image.png

    Stelle ich das jetzt so ein.

    dca8b393-f613-4cab-a377-ffbc2bb8ddf5-image.png

    Dann kann ich von der DMZ Zone aus das LAN erreichen. Aha, so langsam verstehe ich 😉

    Quelle: https://forum.openwrt.org/t/firewall-zones-and-settings/84369

  • FrankMF

    Kopia - Mit Snapshots arbeiten

    Kopia
    2
    0 Stimmen
    2 Beiträge
    367 Aufrufe
    FrankMF

    Solltet Ihr mal snaps mit dem Status incomplete haben und möchtet diese loswerden

    :~$ kopia snap ls -i USER@HOST:/home/frank 2020-09-10 16:31:45 CEST k89770cab1061e00ada49efc41075ed34 incomplete:canceled 728.8 MB drwxr-xr-x files:8891 dirs:3033 (incomplete) 2020-09-10 16:40:05 CEST k27f028b63299983167cb0b4a0c85df80 incomplete:canceled 153.8 MB drwxr-xr-x files:1052 dirs:324 (incomplete)

    So was passiert z.B. wenn die Internetleitung rumzickt. Jarek meint, das wäre nicht schlimm, beim nächsten Snapshot wird das gefixt und die Daten genutzt, die schon verarbeitet wurden.

  • FrankMF

    NAS - Cups & Sane

    Linux
    1
    0 Stimmen
    1 Beiträge
    485 Aufrufe
    Niemand hat geantwortet