linux-nerds.org

Your browser does not seem to support JavaScript. As a result, your viewing experience will be diminished, and you have been placed in read-only mode.

Please download a browser that supports JavaScript, or enable it if it's disabled (i.e. NoScript).

Wireguard

Verschoben Wireguard

4 Beiträge 1 Kommentatoren 952 Aufrufe

FrankM

schrieb am

Diese Anleitung ignoriert ein paar Sicherheitseinstellungen. Einige Daten dürfen nicht von anderen einsehbar sein. Dazu bitte die Anleitung von wireguard beachten! Das hier ist ein Test im lokalen Netz, da interessiert mich das nicht so sehr. Im "bösen" Internet bitte unbedingt beachten!

In letzter Zeit liest man immer von Wireguard und das es bald evt. in den Kernel aufgenommen wird. Das macht doch jemanden wie mich furchtbar neugierig.

Was kann man mit einem VPN-Tunnel anstellen?

Man verbindet zwei unterschiedliche Standorte zu einem Netz
Man möchte evt. seine eigene IP-Adresse tarnen
Man möchte auf sein Heimnetzwerk von unterwegs aus drauf zugreifen
Man möchte zwei Server verbinden, die dann z.B. die Redis-Datenbank in Master/Slave Modus betreiben
und vieles andere

Dann geht es mal ans Ausprobieren, wie immer auf einem ROCKPro64 bzw. zwei

Installation Kernel-Modul

Dieser Teil ist überflüssig geworden mit dem Release RC12, bitte den nächsten Beitrag von mir lesen.

Wir brauchen für Wireguard ein Kernelmodul, das aber nicht vorhanden ist. Dann bauen wir das mal selber.

sudo apt-get install libmnl-dev libelf-dev linux-headers-$(uname -r) build-essential pkg-config
git clone https://git.zx2c4.com/WireGuard
cd WireGuard/src
make
sudo make install

Konfiguration Tunnel

Danach ist alles vorhanden, was wir benötigen. In diesem Beispiel wollen wir eine Peer-to-Peer Verbindung aufbauen.

Peer-to-Peer Tunnel

RP64 Nr.1

LAN Adresse: 192.168.3.208
Wireguard IP 192.168.10.1

RP64 Nr.2

LAN Adresse: 192.168.3.14
Wireguard IP 192.168.10.2

Unter /etc/wireguard legt man alle Keys und Konfigdateien ab.

cd /etc/wireguard

Der Ordner ist standardmäßig leer!

Keys erzeugen:

private.key erzeugen

root@rp64_nextcloud:/etc/wireguard# wg genkey > private.key
Warning: writing to world accessible file.
Consider setting the umask to 077 and trying again.

public.key erzeugen

root@rp64_nextcloud:/etc/wireguard# wg pubkey > public.key < private.key

psk.key erzeugen

root@rp64_nextcloud:/etc/wireguard# wg genpsk > psk.key

Schnittstelle erzeugen

sudo ip link add wg0 type wireguard
sudo ip addr add 192.168.10.1/24 dev wg0

Ausgabe: Nur Schnittstelle angelegt

root@rp64_nextcloud:/etc/wireguard# wg
interface: wg0

Key hinzufügen

cd /etc/wireguard
wg set wg0 private-key ./private.key

Ausgabe: Key hinzugefügt!

root@rp64_nextcloud:/etc/wireguard# wg
interface: wg0
public key: gqiCgt5+X3na+wZ1e9gnR1pTujFO3jIudnwDIttDPEo=
private key: (hidden)

Schnittstelle IP-Adresse löschen

Falls man sich mal vertan hat, kann man hiermit alle IP-Adressen einer Schnittstelle löschen.

ip addr flush dev wg0

Schnittstelle aktivieren

ip link set wg0 up

Wenn man das vergisst, wird einem beim Befehl wg kein Port angezeigt.

Nicht richtig

interface: wg0
  public key: gqiCgt5+X3na+wZ1e9gnR1pTujFO3jIudnwDIttDPEo=
  private key: (hidden)

Korrekt

interface: wg0
  public key: gqiCgt5+X3na+wZ1e9gnR1pTujFO3jIudnwDIttDPEo=
  private key: (hidden)
  listening port: 35866

Peer bekanntmachen

wg set wg0 peer zj1ajjcBhgFSe+NUHtnTNQ4+emsVgHDPVOeQHVKK4U4= allowed-ips 192.168.10.2/32 endpoint 192.168.3.14:53751

wg = Programm wireguard
set = Befehl
wg0 = Interface
peer = Peer to Peer Verbindung
PUBLICKEY = Den public.key vom ZIEL
allowed-ips IP-Adresse des Ziels, hier 192.168.10.2 gewählt
endpoint 192.168.3.14:PORT / LAN IP Schnittstelle und PORT

Das ganze ist dann auf beiden Rechner auszuführen, nicht besonders viel Arbeit wenn man es einmal verstanden hat. Ich habe hier nur die Schritte auf dem einen Rechner aufgelistet.

Test

Ping Test RP Nr. 1

root@rp64_nextcloud:/etc/wireguard# ping 192.168.10.2
PING 192.168.10.2 (192.168.10.2) 56(84) bytes of data.
64 bytes from 192.168.10.2: icmp_seq=1 ttl=64 time=2.50 ms
64 bytes from 192.168.10.2: icmp_seq=2 ttl=64 time=2.99 ms
64 bytes from 192.168.10.2: icmp_seq=3 ttl=64 time=2.75 ms
64 bytes from 192.168.10.2: icmp_seq=4 ttl=64 time=2.59 ms
64 bytes from 192.168.10.2: icmp_seq=5 ttl=64 time=2.91 ms
^C
--- 192.168.10.2 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4007ms
rtt min/avg/max/mdev = 2.509/2.755/2.998/0.194 ms

Ping Test RP Nr. 2

root@rockpro64:/etc/wireguard# ping 192.168.10.1
PING 192.168.10.1 (192.168.10.1) 56(84) bytes of data.
64 bytes from 192.168.10.1: icmp_seq=1 ttl=64 time=2.95 ms
64 bytes from 192.168.10.1: icmp_seq=2 ttl=64 time=2.83 ms
64 bytes from 192.168.10.1: icmp_seq=3 ttl=64 time=2.43 ms
^C
--- 192.168.10.1 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2003ms
rtt min/avg/max/mdev = 2.430/2.740/2.958/0.225 ms

Nach erfolgreichem Pingtest, kann man mit dem Befehl wg sehen, wie viel Daten man transferiert hat.

root@rp_64_test:/etc/wireguard# wg
interface: wg0
  public key: zj1ajjcBhgFSe+NUHtnTNQ4+emsVgHDPVOeQHVKK4U4=
  private key: (hidden)
  listening port: 41908

peer: gqiCgt5+X3na+wZ1e9gnR1pTujFO3jIudnwDIttDPEo=
  endpoint: 192.168.3.208:35866
  allowed ips: 192.168.10.1/32
  latest handshake: 52 seconds ago
  transfer: 4.84 KiB received, 4.93 KiB sent

Iperf3

Iperf3 Test RP Nr. 1 (Server)

root@rp64_nextcloud:/etc/wireguard# iperf3 -B 192.168.10.1 -s
-----------------------------------------------------------
Server listening on 5201
-----------------------------------------------------------
Accepted connection from 192.168.10.2, port 32876
[  5] local 192.168.10.1 port 5201 connected to 192.168.10.2 port 32878
[ ID] Interval           Transfer     Bandwidth
[  5]   0.00-1.00   sec  75.5 MBytes   633 Mbits/sec                  
[  5]   1.00-2.00   sec   106 MBytes   891 Mbits/sec                  
[  5]   2.00-3.00   sec   107 MBytes   895 Mbits/sec                  
[  5]   3.00-4.00   sec   107 MBytes   901 Mbits/sec                  
[  5]   4.00-5.00   sec   107 MBytes   900 Mbits/sec                  
[  5]   5.00-6.00   sec   107 MBytes   899 Mbits/sec                  
[  5]   6.00-7.00   sec   107 MBytes   901 Mbits/sec                  
[  5]   7.00-8.00   sec   107 MBytes   895 Mbits/sec                  
[  5]   8.00-9.00   sec   107 MBytes   896 Mbits/sec                  
[  5]   9.00-10.00  sec   107 MBytes   897 Mbits/sec                  
[  5]  10.00-10.02  sec  1.91 MBytes   893 Mbits/sec                  
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bandwidth
[  5]   0.00-10.02  sec  0.00 Bytes  0.00 bits/sec                  sender
[  5]   0.00-10.02  sec  1.02 GBytes   871 Mbits/sec                  receiver
-----------------------------------------------------------
Server listening on 5201
-----------------------------------------------------------
^Ciperf3: interrupt - the server has terminated

Iperf3 Test RP Nr. 2 (Client)

root@rockpro64:/etc/wireguard# iperf3 -c 192.168.10.1
Connecting to host 192.168.10.1, port 5201
[  4] local 192.168.10.2 port 32878 connected to 192.168.10.1 port 5201
[ ID] Interval           Transfer     Bandwidth       Retr  Cwnd
[  4]   0.00-1.00   sec  80.3 MBytes   673 Mbits/sec    3   1.52 MBytes       
[  4]   1.00-2.00   sec   106 MBytes   889 Mbits/sec    1    910 KBytes       
[  4]   2.00-3.00   sec   106 MBytes   891 Mbits/sec    0   1.01 MBytes       
[  4]   3.00-4.00   sec   108 MBytes   910 Mbits/sec    0   1.11 MBytes       
[  4]   4.00-5.00   sec   107 MBytes   899 Mbits/sec    0   1.21 MBytes       
[  4]   5.00-6.00   sec   107 MBytes   900 Mbits/sec    0   1.30 MBytes       
[  4]   6.00-7.00   sec   107 MBytes   900 Mbits/sec    0   1.39 MBytes       
[  4]   7.00-8.00   sec   106 MBytes   891 Mbits/sec    1    811 KBytes       
[  4]   8.00-9.00   sec   107 MBytes   900 Mbits/sec    0    942 KBytes       
[  4]   9.00-10.00  sec   107 MBytes   896 Mbits/sec    0   1.04 MBytes       
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bandwidth       Retr
[  4]   0.00-10.00  sec  1.02 GBytes   875 Mbits/sec    5             sender
[  4]   0.00-10.00  sec  1.02 GBytes   872 Mbits/sec                  receiver

iperf Done.

Iperf3 normales LAN

root@rp64_nextcloud:/etc/wireguard# iperf3 -s
-----------------------------------------------------------
Server listening on 5201
-----------------------------------------------------------
Accepted connection from 192.168.3.14, port 39548
[  5] local 192.168.3.208 port 5201 connected to 192.168.3.14 port 39550
[ ID] Interval           Transfer     Bandwidth
[  5]   0.00-1.00   sec   110 MBytes   925 Mbits/sec                  
[  5]   1.00-2.00   sec   112 MBytes   942 Mbits/sec                  
[  5]   2.00-3.00   sec   112 MBytes   940 Mbits/sec                  
[  5]   3.00-4.00   sec   112 MBytes   940 Mbits/sec                  
[  5]   4.00-5.00   sec   112 MBytes   939 Mbits/sec                  
[  5]   5.00-6.00   sec   112 MBytes   938 Mbits/sec                  
[  5]   6.00-7.00   sec   112 MBytes   938 Mbits/sec                  
[  5]   7.00-8.00   sec   112 MBytes   939 Mbits/sec                  
[  5]   8.00-9.00   sec   112 MBytes   940 Mbits/sec                  
[  5]   9.00-10.00  sec   111 MBytes   927 Mbits/sec                  
[  5]  10.00-10.02  sec  1.97 MBytes   924 Mbits/sec                  
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bandwidth
[  5]   0.00-10.02  sec  0.00 Bytes  0.00 bits/sec                  sender
[  5]   0.00-10.02  sec  1.09 GBytes   937 Mbits/sec                  receiver
-----------------------------------------------------------
Server listening on 5201
-----------------------------------------------------------
Accepted connection from 192.168.3.14, port 39552
[  5] local 192.168.3.208 port 5201 connected to 192.168.3.14 port 39554
[ ID] Interval           Transfer     Bandwidth       Retr  Cwnd
[  5]   0.00-1.00   sec   114 MBytes   958 Mbits/sec    0   1.36 MBytes       
[  5]   1.00-2.00   sec   112 MBytes   943 Mbits/sec    0   1.36 MBytes       
[  5]   2.00-3.00   sec   111 MBytes   936 Mbits/sec    0   1.84 MBytes       
[  5]   3.00-4.00   sec   111 MBytes   933 Mbits/sec    0   1.84 MBytes       
[  5]   4.00-5.00   sec   108 MBytes   901 Mbits/sec    0   1.84 MBytes       
[  5]   5.00-6.00   sec   111 MBytes   934 Mbits/sec    0   1.84 MBytes       
[  5]   6.00-7.00   sec   112 MBytes   944 Mbits/sec    0   1.84 MBytes       
[  5]   7.00-8.00   sec   112 MBytes   944 Mbits/sec    0   1.84 MBytes       
[  5]   8.00-9.00   sec   112 MBytes   943 Mbits/sec    0   1.84 MBytes       
[  5]   9.00-10.00  sec   111 MBytes   934 Mbits/sec    0   1.84 MBytes       
[  5]  10.00-10.01  sec  1.25 MBytes  1.15 Gbits/sec    0   1.84 MBytes       
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bandwidth       Retr
[  5]   0.00-10.01  sec  1.09 GBytes   937 Mbits/sec    0             sender
[  5]   0.00-10.01  sec  0.00 Bytes  0.00 bits/sec                  receiver
-----------------------------------------------------------
Server listening on 5201
-----------------------------------------------------------

Fazit

Ultra coole Sache Ich habe noch nie so schnell einen Tunnel aufgebaut! Meine Erinnerungen an OpenVPN kommen da hoch, was war das ein Gefummel bis da mal eine Verbindung stand. Die Perfomance der Verbindung war ebenfalls überraschend schnell. Bitte beachten, das war ein Test zweier ROCKPro64 in meinem lokalem Netz. Ein Test in der freien Wildbahn folgt aber!

Und zum Schluss folgender Hinweis der wireguard Webseite!

WireGuard is not yet complete. You should not rely on this code. It has not undergone proper degrees of security auditing and the protocol is still subject to change. We're working toward a stable 1.0 release, but that time has not yet come. There are experimental snapshots tagged with "0.0.YYYYMMDD", but these should not be considered real releases and they may contain security vulnerabilities (which would not be eligible for CVEs, since this is pre-release snapshot software). If you are packaging WireGuard, you must keep up to date with the snapshots.

FrankM

schrieb am

So, gibt was Neues Kamil hat mit dem Release RC12 ein paar Dinge verbessert.

Software

root@rockpro64:~# uname -a
Linux rockpro64 4.4.167-1189-rockchip-ayufan-gea9ef7a80268 #1 SMP Tue May 28 14:37:31 UTC 2019 aarch64 aarch64 aarch64 GNU/Linux

https://github.com/ayufan-rock64/linux-build/releases/download/0.8.0rc12/bionic-minimal-rockpro64-0.8.0rc12-1132-arm64.img.xz

## Wireguard

Installing Wireguard is very simple with DKMS and makes Wireguard to be auto-updated
after kernel change.

Following the documentation from https://www.wireguard.com/install/:

```bash
sudo add-apt-repository ppa:wireguard/wireguard
sudo apt-get install python wireguard
```

Ok, DKMS !?

DKMS steht für Dynamic Kernel Module Support. Das von Dell entwickelte Hilfsprogramm überwacht, ob zusätzliche >Kernelmodule manuell installiert wurden und aktualisiert die Module immer dann, wenn ein neuer oder aktualisierter Kernel installiert wird. Dies ist insofern praktisch, dass das Kompilieren des Kernelmoduls nicht immer von Hand durchgeführt werden muss, wenn der Kernel aktualisiert wurde.
Quelle: https://wiki.ubuntuusers.de/DKMS/

So für mich als normaler User, ich muss mir Wireguard jetzt nicht mehr bauen, sondern kann es ganz bequem installieren. Die dazu benötigten Befehle stehen weiter oben.

Repository adden

rock64@rockpro64:~$ sudo add-apt-repository ppa:wireguard/wireguard
 WireGuard is a novel VPN that runs inside the Linux Kernel. This is the Ubuntu packaging for WireGuard. More info may be found at its website, listed below.

More info: https://www.wireguard.com/
Packages: wireguard wireguard-tools wireguard-dkms

Install with: $ apt install wireguard

For help, please contact <email address hidden>
 More info: https://launchpad.net/~wireguard/+archive/ubuntu/wireguard
Press [ENTER] to continue or Ctrl-c to cancel adding it.

Wireguard installieren

rock64@rockpro64:~$ sudo apt-get install python wireguard
Reading package lists... Done
Building dependency tree       
Reading state information... Done
The following additional packages will be installed:
  dkms libpython-stdlib libpython2.7-minimal libpython2.7-stdlib python-minimal python2.7 python2.7-minimal wireguard-dkms wireguard-tools
Suggested packages:
  python3-apport menu python-doc python-tk python2.7-doc binfmt-support
Recommended packages:
  fakeroot
The following NEW packages will be installed:
  dkms libpython-stdlib libpython2.7-minimal libpython2.7-stdlib python python-minimal python2.7 python2.7-minimal wireguard wireguard-dkms
  wireguard-tools
0 upgraded, 11 newly installed, 0 to remove and 0 not upgraded.
Need to get 4451 kB of archives.
After this operation, 21.4 MB of additional disk space will be used.
Do you want to continue? [Y/n] 
Get:1 http://ppa.launchpad.net/wireguard/wireguard/ubuntu bionic/main arm64 wireguard-dkms all 0.0.20190406-wg1~bionic [553 kB]
Get:2 http://ports.ubuntu.com/ubuntu-ports bionic-security/main arm64 libpython2.7-minimal arm64 2.7.15~rc1-1ubuntu0.1 [334 kB]
Get:3 http://ports.ubuntu.com/ubuntu-ports bionic-security/main arm64 python2.7-minimal arm64 2.7.15~rc1-1ubuntu0.1 [1142 kB]
Get:4 http://ppa.launchpad.net/wireguard/wireguard/ubuntu bionic/main arm64 wireguard-tools arm64 0.0.20190406-wg1~bionic [84.1 kB]
Get:5 http://ports.ubuntu.com/ubuntu-ports bionic/main arm64 python-minimal arm64 2.7.15~rc1-1 [28.1 kB]
Get:6 http://ports.ubuntu.com/ubuntu-ports bionic-security/main arm64 libpython2.7-stdlib arm64 2.7.15~rc1-1ubuntu0.1 [1851 kB]
Get:7 http://ppa.launchpad.net/wireguard/wireguard/ubuntu bionic/main arm64 wireguard all 0.0.20190406-wg1~bionic [4168 B]
Get:8 http://ports.ubuntu.com/ubuntu-ports bionic-security/main arm64 python2.7 arm64 2.7.15~rc1-1ubuntu0.1 [238 kB]
Get:9 http://ports.ubuntu.com/ubuntu-ports bionic/main arm64 libpython-stdlib arm64 2.7.15~rc1-1 [7620 B]
Get:10 http://ports.ubuntu.com/ubuntu-ports bionic/main arm64 python arm64 2.7.15~rc1-1 [140 kB]
Get:11 http://ports.ubuntu.com/ubuntu-ports bionic-updates/main arm64 dkms all 2.3-3ubuntu9.2 [68.0 kB]
Fetched 4451 kB in 1s (6651 kB/s)
Selecting previously unselected package libpython2.7-minimal:arm64.
(Reading database ... 47070 files and directories currently installed.)
Preparing to unpack .../0-libpython2.7-minimal_2.7.15~rc1-1ubuntu0.1_arm64.deb ...
Unpacking libpython2.7-minimal:arm64 (2.7.15~rc1-1ubuntu0.1) ...
Selecting previously unselected package python2.7-minimal.
Preparing to unpack .../1-python2.7-minimal_2.7.15~rc1-1ubuntu0.1_arm64.deb ...
Unpacking python2.7-minimal (2.7.15~rc1-1ubuntu0.1) ...
Selecting previously unselected package python-minimal.
Preparing to unpack .../2-python-minimal_2.7.15~rc1-1_arm64.deb ...
Unpacking python-minimal (2.7.15~rc1-1) ...
Selecting previously unselected package libpython2.7-stdlib:arm64.
Preparing to unpack .../3-libpython2.7-stdlib_2.7.15~rc1-1ubuntu0.1_arm64.deb ...
Unpacking libpython2.7-stdlib:arm64 (2.7.15~rc1-1ubuntu0.1) ...
Selecting previously unselected package python2.7.
Preparing to unpack .../4-python2.7_2.7.15~rc1-1ubuntu0.1_arm64.deb ...
Unpacking python2.7 (2.7.15~rc1-1ubuntu0.1) ...
Selecting previously unselected package libpython-stdlib:arm64.
Preparing to unpack .../5-libpython-stdlib_2.7.15~rc1-1_arm64.deb ...
Unpacking libpython-stdlib:arm64 (2.7.15~rc1-1) ...
Setting up libpython2.7-minimal:arm64 (2.7.15~rc1-1ubuntu0.1) ...
Setting up python2.7-minimal (2.7.15~rc1-1ubuntu0.1) ...
Linking and byte-compiling packages for runtime python2.7...
Setting up python-minimal (2.7.15~rc1-1) ...
Selecting previously unselected package python.
(Reading database ... 47818 files and directories currently installed.)
Preparing to unpack .../python_2.7.15~rc1-1_arm64.deb ...
Unpacking python (2.7.15~rc1-1) ...
Selecting previously unselected package dkms.
Preparing to unpack .../dkms_2.3-3ubuntu9.2_all.deb ...
Unpacking dkms (2.3-3ubuntu9.2) ...
Selecting previously unselected package wireguard-dkms.
Preparing to unpack .../wireguard-dkms_0.0.20190406-wg1~bionic_all.deb ...
Unpacking wireguard-dkms (0.0.20190406-wg1~bionic) ...
Selecting previously unselected package wireguard-tools.
Preparing to unpack .../wireguard-tools_0.0.20190406-wg1~bionic_arm64.deb ...
Unpacking wireguard-tools (0.0.20190406-wg1~bionic) ...
Selecting previously unselected package wireguard.
Preparing to unpack .../wireguard_0.0.20190406-wg1~bionic_all.deb ...
Unpacking wireguard (0.0.20190406-wg1~bionic) ...
Processing triggers for mime-support (3.60ubuntu1) ...
Setting up wireguard-tools (0.0.20190406-wg1~bionic) ...
Setting up dkms (2.3-3ubuntu9.2) ...
Setting up libpython2.7-stdlib:arm64 (2.7.15~rc1-1ubuntu0.1) ...
Setting up wireguard-dkms (0.0.20190406-wg1~bionic) ...
Loading new wireguard-0.0.20190406 DKMS files...
Building for 4.4.167-1189-rockchip-ayufan-gea9ef7a80268
Building initial module for 4.4.167-1189-rockchip-ayufan-gea9ef7a80268
Done.

wireguard:
Running module version sanity check.
 - Original module
   - No original module exists within this kernel
 - Installation
   - Installing to /lib/modules/4.4.167-1189-rockchip-ayufan-gea9ef7a80268/updates/dkms/

depmod...

DKMS: install completed.
Setting up python2.7 (2.7.15~rc1-1ubuntu0.1) ...
Setting up libpython-stdlib:arm64 (2.7.15~rc1-1) ...
Setting up wireguard (0.0.20190406-wg1~bionic) ...
Setting up python (2.7.15~rc1-1) ...

Danach ein Reboot und wie im ersten Beitrag beschrieben installieren.

ROCKPro64 Nr.1

root@rp64_nextcloud:/etc/wireguard# wg
interface: wg0
  public key: gqiCgt5+X3na+wZ1e9gnR1pTujFO3jIudnwDIttDPEo=
  private key: (hidden)
  listening port: 53984

peer: WU2zYy8EcQvGT2SlqcbY8O8DN1o28TlOT/9yS1+tcAk=
  endpoint: 192.168.3.18:34774
  allowed ips: 192.168.10.2/32
root@rp64_nextcloud:/etc/wireguard# ping 192.168.10.2
PING 192.168.10.2 (192.168.10.2) 56(84) bytes of data.
64 bytes from 192.168.10.2: icmp_seq=1 ttl=64 time=15.2 ms
64 bytes from 192.168.10.2: icmp_seq=2 ttl=64 time=2.22 ms
64 bytes from 192.168.10.2: icmp_seq=3 ttl=64 time=2.42 ms
^C
--- 192.168.10.2 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2003ms
rtt min/avg/max/mdev = 2.221/6.629/15.247/6.094 ms

ROCKPro64 Nr.2

root@rockpro64:~# wg
interface: wg0
  public key: WU2zYy8EcQvGT2SlqcbY8O8DN1o28TlOT/9yS1+tcAk=
  private key: (hidden)
  listening port: 34774

peer: gqiCgt5+X3na+wZ1e9gnR1pTujFO3jIudnwDIttDPEo=
  endpoint: 192.168.3.208:53984
  allowed ips: 192.168.10.1/32
root@rockpro64:~# ping 192.168.10.1
PING 192.168.10.1 (192.168.10.1) 56(84) bytes of data.
64 bytes from 192.168.10.1: icmp_seq=1 ttl=64 time=3.16 ms
64 bytes from 192.168.10.1: icmp_seq=2 ttl=64 time=2.54 ms
64 bytes from 192.168.10.1: icmp_seq=3 ttl=64 time=2.51 ms
^C
--- 192.168.10.1 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2003ms
rtt min/avg/max/mdev = 2.514/2.740/3.163/0.299 ms

Fazit

Tunnel steht, Ping Test erfolgreich.

FrankM

schrieb am

Was machen, damit Wireguard auch einen Neustart übersteht?

Das Image von Kamil basiert auf einem Ubuntu Minimal und nutzt systemd.

Wir brauchen zwei Dateien, das Beispiel bezieht sich auf den Rechner Nr.2

/etc/systemd/network/wg0.network

[Match]
Name=wg0

[Network]
Address=192.168.10.2
#Address=2001:db8:1234:5678::1

/etc/systemd/network/wg0.netdev

[NetDev]
Name=wg0
Kind=wireguard
Description=Wireguard tunnel

[WireGuard]
PrivateKey=<PrivateKey Rechner Nr.2>
ListenPort=34774

[WireGuardPeer]
PublicKey=<PublicKey Rechner Nr.1>
AllowedIPs=192.168.10.1/32
#AllowedIPs=
Endpoint=192.168.3.208:53984

Danach

systemctl daemon-reload
systemctl start systemd-networkd

Einmal durchstarten

reboot

Danach müßte der Tunnel wg0 automatisch gestartet sein. Kontrollieren mit

sudo wg

Ausgabe:

root@rockpro64:~# wg
interface: wg0
  public key: WU2zYy8EcQvGT2SlqcbY8O8DN1o28TlOT/9yS1+tcAk=
  private key: (hidden)
  listening port: 34774

peer: gqiCgt5+X3na+wZ1e9gnR1pTujFO3jIudnwDIttDPEo=
  endpoint: 192.168.3.208:53984
  allowed ips: 192.168.10.1/32
  latest handshake: 9 minutes, 49 seconds ago
  transfer: 1.28 KiB received, 1.30 KiB sent

Tunnel testen mit

root@rockpro64:~# ping 192.168.10.1
PING 192.168.10.1 (192.168.10.1) 56(84) bytes of data.
64 bytes from 192.168.10.1: icmp_seq=1 ttl=64 time=14.4 ms
64 bytes from 192.168.10.1: icmp_seq=2 ttl=64 time=2.82 ms

--- 192.168.10.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1002ms
rtt min/avg/max/mdev = 2.828/8.662/14.497/5.835 ms

Den Daemon von systemd kontrollieren

root@rockpro64:~# networkctl status wg0
● 4: wg0
       Link File: /lib/systemd/network/99-default.link
    Network File: /etc/systemd/network/wg0.network
            Type: none
           State: routable (configured)
         Address: 192.168.10.2

FrankM

schrieb am

Etwas schnellerer Weg den Tunnel aufzubauen, Voraussetzung

wireguard modul installiert
Keys erzeugt

Danach dann einfach

ip link add wg0 type wireguard
wg setconf wg0 /etc/wireguard/wg0.conf

Datei /etc/wireguard/wg0.conf

[Interface]
PrivateKey = <Private Key>
ListenPort = 60563

[Peer]
PublicKey = <Public Key Ziel>
Endpoint = <IPv4 Adresse Zielrechner>:58380
AllowedIPs = 10.10.0.1/32

Die Rechte der Dateien von wireguard müssen eingeschränkt werden.

sudo chmod 0600 /etc/wireguard/wg0.conf

Das ganze per rc.local beim Booten laden. Datei /root/wireguard_start.sh

###############################################################################################
#       Autor: Frank Mankel
#       Startup-Script
#       Wireguard
#       Kontakt: frank.mankel@gmail.com
#
###############################################################################################

ip link add wg0 type wireguard
ip address add dev wg0 10.10.0.1/8
wg setconf wg0 /etc/wireguard/wg0.conf
ip link set up dev wg0

Danach Datei ausführbar machen

chmod +x /root/wireguard_start.sh

In rc.local

/root/wireguard_start.sh

eintragen - Fertig!

Anmelden zum Antworten

F

MongoDB - Erste Erfahrungen
Beobachtet Ignoriert Geplant Angeheftet Gesperrt Verschoben Linux mongodb linux ki-generiert
2

2

0 Stimmen

2 Beiträge

227 Aufrufe

F

So frisch von der MongoDB Front und wieder viel gelernt, weil beim Üben macht man Fehler Oben war ja mongodump & mongorestore von der KI empfohlen. Hier das wie ich es gemacht habe. mongodump frank@redis-stack:~$ mongodump -u frank -p '<password>' --host 192.168.3.9 --authenticationDatabase admin -d portfolio -o mongodump/ 2024-04-06T09:29:25.174+0200 writing portfolio.stockList to mongodump/portfolio/stockList.bson 2024-04-06T09:29:25.175+0200 writing portfolio.users to mongodump/portfolio/users.bson 2024-04-06T09:29:25.175+0200 done dumping portfolio.stockList (8 documents) 2024-04-06T09:29:25.176+0200 writing portfolio.total_sum to mongodump/portfolio/total_sum.bson 2024-04-06T09:29:25.177+0200 done dumping portfolio.total_sum (1 document) 2024-04-06T09:29:25.177+0200 writing portfolio.old_total_sum to mongodump/portfolio/old_total_sum.bson 2024-04-06T09:29:25.177+0200 writing portfolio.stocks to mongodump/portfolio/stocks.bson 2024-04-06T09:29:25.177+0200 done dumping portfolio.users (4 documents) 2024-04-06T09:29:25.178+0200 writing portfolio.settings to mongodump/portfolio/settings.bson 2024-04-06T09:29:25.178+0200 done dumping portfolio.settings (1 document) 2024-04-06T09:29:25.179+0200 done dumping portfolio.old_total_sum (1 document) 2024-04-06T09:29:25.179+0200 done dumping portfolio.stocks (34 documents) mongorestore mongorestore -u frank -p '<password>' --host 192.168.3.9 --authenticationDatabase admin -d portfolio mongodump/meineDatenbank/ Hier wird die Datensicherung mongodump/meineDatenbank/ in die neue Datenbank portfolio transferiert. Grund für das Ganze? Mich hatte der Datenbank Name meineDatenbank gestört. Benutzerrechte Jetzt der Teil wo man schnell was falsch machen kann Ich hatte also die neue Datenbank, konnte sie aber nicht lesen. Fehlten halt die Rechte. Ich hatte dann so was hier gemacht. db.updateUser("frank", { roles: [ { role: "readWrite", db: "meineDatenbank" }, { role: "readWrite", db: "portfolio" }]}) Ging auch prima, kam ein ok zurück. Nun das Problem, ich hatte beim Einrichten, den User frank als admin benutzt. Durch den oben abgesetzten Befehl (frank ist ja admin), wurden die neuen Rechte gesetzt und die Rechte als Admin entzogen!! Das war jetzt nicht wirklich das was ich gebrauchen konnte. LOL Ich hatte jetzt keine Kontrolle mehr über die DB. Das war aber nicht so wirklich kompliziert, das wieder zu ändern. Die Authentication temporär abstellen. Also /etc/mongod.conf editieren und #security: security.authorization: enabled eben mal auskommentieren. Den Daemon neustarten und anmelden an der DB. mongosh --host 192.168.3.9 Danach neuen User anlegen db.createUser({ user: "<name>", pwd: "<password>", roles: [ { role: "userAdminAnyDatabase", db: "admin" } ] }) mongod.conf wieder ändern und neustarten. Danach hat man wieder eine DB mit Authentifizierung und einen neuen Admin. Ich bin diesmal, man lernt ja, anders vorgegangen. Es gibt nun einen Admin für die DB und einen User zum Benutzen der Datenbanken! So wie man es auch auf einem produktiven System auch machen würde. Wenn ich jetzt mal was an den Benutzerrechten des Users ändere, kann mir das mit dem Admin nicht mehr passieren. Hoffe ich
F

PyWebIO vs. Flask
Beobachtet Ignoriert Geplant Angeheftet Gesperrt Verschoben Python3 pywebio flask linux python
2

0 Stimmen

2 Beiträge

243 Aufrufe

F

Mist, jetzt habe ich auch noch Streamlit gefunden. Jetzt geht mir langsam die Zeit aus...
F

Debian Bookworm 12.5 released
Beobachtet Ignoriert Geplant Angeheftet Gesperrt Verschoben Linux linux debian
3

0 Stimmen

3 Beiträge

227 Aufrufe

F

Und hier taucht es dann auf -> https://www.debian.org/News/2024/20240210
F

Firefox - Dolphin Dateibrowser benutzen
Beobachtet Ignoriert Geplant Angeheftet Gesperrt Verschoben Linux firefox linux
1

1

0 Stimmen

1 Beiträge

505 Aufrufe

Niemand hat geantwortet
F

Rest-Server Version 0.12.1 released
Beobachtet Ignoriert Geplant Angeheftet Gesperrt Verschoben Linux rest-server restic linux
1

0 Stimmen

1 Beiträge

130 Aufrufe

Niemand hat geantwortet
F

Nextcloud 23.0.3
Beobachtet Ignoriert Geplant Angeheftet Gesperrt Verschoben Nextcloud nextcloud linux
1

0 Stimmen

1 Beiträge

172 Aufrufe

Niemand hat geantwortet
F

NanoPi R2S - OpenWRT
Beobachtet Ignoriert Geplant Angeheftet Gesperrt Verschoben NanoPi R2S nanopir2s openwrt linux
6

6

0 Stimmen

6 Beiträge

746 Aufrufe

F

@thrakath1980 Ich wollte noch auf ein Thema zurück kommen. Das Original OpenWRT auf dem R2S ist ja ein Snapshot. Den kann man ohne Probleme aktualisieren. Unten ist dann ein Haken mit "Keep settings...." Gerade probiert, ging einwandfrei. Netzwerkeinstellungen und Firewall Settings blieben erhalten.
F

Restic - Rootserver als Datenablage nutzen
Beobachtet Ignoriert Geplant Angeheftet Gesperrt Verschoben Restic linux restic
2

0 Stimmen

2 Beiträge

798 Aufrufe

F

Ok, das erste Backup dauert immer was länger In meinem Fall 5 Std. 16 Minuten. Files: 33408 new, 0 changed, 0 unmodified Dirs: 1 new, 0 changed, 0 unmodified Data Blobs: 20849 new Tree Blobs: 2 new Added to the repo: 6.278 GiB processed 33408 files, 8.604 GiB in 5:16:03 snapshot 5beg1cb3 saved Aber, das Schöne ist, das die Backups inkrementell angelegt werden. Das nächste geht schneller open repository repository 3gg202a2 opened successfully, password is correct lock repository load index files using parent snapshot 5beg1cb3 start scan on [/home/frank] start backup on [/home/frank] scan finished in 3.791s: 33788 files, 8.611 GiB Files: 496 new, 74 changed, 33218 unmodified Dirs: 0 new, 1 changed, 0 unmodified Data Blobs: 292 new Tree Blobs: 2 new Added to the repo: 43.661 MiB processed 33788 files, 8.611 GiB in 2:15 snapshot fag41bf7 saved Eine tägliche Sicherung sollte dann wohl reichen.