Skip to content

Wireguard - Tunnel zur Fritz!Box 6591 Cable Part 3

Angeheftet Wireguard
1 1 575
  • Im dritten Teil beschäftigen wir uns mal mit dem Thema DNS-Leak. Im Wiki steht dazu folgendes.

    The vulnerability allows an ISP, as well as any on-path eavesdroppers, to see what websites a user may be visiting. This is possible because the browser's DNS requests are sent to the ISP DNS server directly, and not sent through the VPN.

    Ok, für meinen Wireguard-Server in der Hetzner Cloud habe ich dafür den Unbound DNS Dienst benutzt. Das ging dort relativ einfach aber jetzt hier im Heimnetz!? Da ich schon lange einen Proxmox 24/7 laufen habe, stand schnell der Plan das darauf laufen zu lassen. Vorher hatte ich das schnell mit einem ROCKPro64 probiert.

    Das schöne an Unbound ist, der ist relativ einfach zu konfigurieren.

    Installation

    apt install unbound
    

    Konfiguration

    Wir legen in cd /etc/unbound/unbound.conf.d/ die Datei user.conf an.

    server:
      interface: 0.0.0.0
      interface: ::0
      access-control: 127.0.0.0/8 allow
      access-control: 192.168.178.0/24 allow
      prefetch: yes
      hide-identity: yes
      hide-version: yes
      qname-minimisation: yes
    

    Das sollte relativ einfach zu verstehen sein. Wir lauschen auf allen Interfaces, der Zugriff ist nur loka (127.0.0.0) und 192.168.178.9/24 erlaubt. Das ist der Adressbereiche, den die Fritz!Box standardmäßig benutzt. Alle anderen Anfragen werden verworfen.

    Einmal neustarten und kurz testen...

    systemctl restart unbound
    

    Test

     frank@frank-MS-7C37:~$ dig @192.168.178.65 google.de
     
     ; <<>> DiG 9.16.1-Ubuntu <<>> @192.168.178.65 google.de
     ; (1 server found)
     ;; global options: +cmd
     ;; Got answer:
     ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 27957
     ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
     
     ;; OPT PSEUDOSECTION:
     ; EDNS: version: 0, flags:; udp: 1232
     ;; QUESTION SECTION:
     ;google.de.			IN	A
     
     ;; ANSWER SECTION:
     google.de.		300	IN	A	172.217.23.99
     
     ;; Query time: 404 msec
     ;; SERVER: 192.168.178.65#53(192.168.178.65)
     ;; WHEN: Sa Apr 02 17:48:09 CEST 2022
     ;; MSG SIZE  rcvd: 54
    

    Das hier zeigt uns, das wir die Antwort vom richtigen Server bekommen.

    SERVER: 192.168.178.65#53(192.168.178.65)
    

    Als Vergleich, ohne Angabe vom Server. Das würd den DNS benutzen, der auf meinem Haupt-PC konfiguriert ist.

    frank@frank-MS-7C37:~$ dig google.de
    
    ; <<>> DiG 9.16.1-Ubuntu <<>> google.de
    ;; global options: +cmd
    ;; Got answer:
    ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 17733
    ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
    
    ;; OPT PSEUDOSECTION:
    ; EDNS: version: 0, flags:; udp: 65494
    ;; QUESTION SECTION:
    ;google.de.			IN	A
    
    ;; ANSWER SECTION:
    google.de.		112	IN	A	216.58.212.131
    
    ;; Query time: 28 msec
    ;; SERVER: 127.0.0.53#53(127.0.0.53)
    ;; WHEN: Sa Apr 02 17:49:11 CEST 2022
    ;; MSG SIZE  rcvd: 54
    

    Damit läuft nun der Unbound DNS, jetzt muss man nur noch in der Wireguard die IP-Adresse des DNS-Servers ändern und das Problem mit dem DNS Leak ist Geschichte.

    Vor dem Eintragen des Unbound DNS-Servers.

    Screenshot_20220328-200418_Firefox.jpg

    Danach

    Screenshot_20220330-180940_Firefox.jpg

    Es gibt da noch ein kleines Leak im IPv6 Bereich, wo ich mit meinem Systemadministrator in Hamburg nochmal drüber sprechen muss 🙂 Es ging ohne ihn 🙂

    Update: Wichtig!

    Man muss nicht nur die IPv4 Adresse des DNS-Servers in der App eintragen, sondern auch die IPv6 Adresse. Er würde sonst immer noch den DNS-Servers des ISP benutzen, weil ja mittlerweile viele Anwendungen IPv6 bevorzugen. Das könnt ihr auch gut mit dieser Seite testen.

    ipleak.net

    Part 1 -> https://linux-nerds.org/topic/1164/wireguard-tunnel-zur-fritz-box-6591-cable-part-1
    Part 2 -> https://linux-nerds.org/topic/1165/wireguard-tunnel-zur-fritz-box-6591-cable-part-2
    Part 4 -> https://linux-nerds.org/topic/1167/wireguard-tunnel-zur-fritz-box-6591-cable-part-4-adblocker

  • FrankMF FrankM hat dieses Thema am angepinnt
  • FrankMF FrankM hat am auf dieses Thema verwiesen
  • FrankMF FrankM hat am auf dieses Thema verwiesen
  • FrankMF FrankM hat am auf dieses Thema verwiesen
  • Wireguard - Tunnel zur Fritz!Box 6591 Cable Part 1

    Angeheftet Wireguard wireguard fritzbox
    3
    9
    0 Stimmen
    3 Beiträge
    2k Aufrufe
    FrankMF
    Es gab wieder ein neues Update! [image: 1652207846229-bildschirmfoto-vom-2022-05-10-20-36-50.png] Wollen wir mal sehen, ob sich im Wireguard Bereich etwas getan hat. Es gibt jetzt einen eigenen Reiter, wenn ich mich korrekt erinnere. [image: 1652208116024-bildschirmfoto-vom-2022-05-10-20-35-04.png] Hier kann man jetzt die Wireguard Einstellungen sich anzeigen lassen, ein Feature was ich mir in der Feedback EMail gewünscht hatte. [image: 1652208256203-bildschirmfoto-vom-2022-05-10-20-35-47.png] Das sieht dann so aus. [image: 1652208437463-bildschirmfoto-vom-2022-05-10-20-36-06.png] [image: 1652208504112-bildschirmfoto-vom-2022-05-10-20-36-28.png] Ich denke, jetzt hat man ausreichend Informationen, um bei Problemfällen sich mit den Einstellungen zu beschäftigen. Danke AVM, das ihr so auf das Feedback der Kunden reagiert.
  • MariaDB - Wireguard

    MariaDB mariadb wireguard
    1
    0 Stimmen
    1 Beiträge
    320 Aufrufe
    Niemand hat geantwortet
  • Redis Replication über Wireguard

    Redis redis wireguard
    5
    0 Stimmen
    5 Beiträge
    570 Aufrufe
    K
    spart bischen zeit
  • Debian 10.4 released und Wireguard kaputt :(

    Linux linux wireguard
    1
    0 Stimmen
    1 Beiträge
    283 Aufrufe
    Niemand hat geantwortet
  • Wireguard - wg-quick

    Wireguard wireguard
    1
    0 Stimmen
    1 Beiträge
    1k Aufrufe
    Niemand hat geantwortet
  • Wireguard 1.0.0

    Wireguard linux wireguard
    1
    0 Stimmen
    1 Beiträge
    483 Aufrufe
    Niemand hat geantwortet
  • Wireguard - Links

    Angeheftet Wireguard wireguard
    1
    0 Stimmen
    1 Beiträge
    492 Aufrufe
    Niemand hat geantwortet
  • Wireguard

    Verschoben Wireguard linux rockpro64 wireguard
    4
    0 Stimmen
    4 Beiträge
    968 Aufrufe
    FrankMF
    Etwas schnellerer Weg den Tunnel aufzubauen, Voraussetzung wireguard modul installiert Keys erzeugt Danach dann einfach ip link add wg0 type wireguard wg setconf wg0 /etc/wireguard/wg0.conf Datei /etc/wireguard/wg0.conf [Interface] PrivateKey = <Private Key> ListenPort = 60563 [Peer] PublicKey = <Public Key Ziel> Endpoint = <IPv4 Adresse Zielrechner>:58380 AllowedIPs = 10.10.0.1/32 Die Rechte der Dateien von wireguard müssen eingeschränkt werden. sudo chmod 0600 /etc/wireguard/wg0.conf Das ganze per rc.local beim Booten laden. Datei /root/wireguard_start.sh ############################################################################################### # Autor: Frank Mankel # Startup-Script # Wireguard # Kontakt: frank.mankel@gmail.com # ############################################################################################### ip link add wg0 type wireguard ip address add dev wg0 10.10.0.1/8 wg setconf wg0 /etc/wireguard/wg0.conf ip link set up dev wg0 Danach Datei ausführbar machen chmod +x /root/wireguard_start.sh In rc.local /root/wireguard_start.sh eintragen - Fertig!