Wireguard VPN "IP Adressenpool" korrigieren

raspido

Member
Feb 9, 2023
46
5
8
Hey Leute,

ich weiß nicht ob hier der "optimale" Punkt und das optimale Forum für meine Frage ist, aber ich dachte mir, ich versuche mal mein Glück und gucke was passiert. Vielleicht kann mir ja jemand helfen oder hat eine "bessere" Idee wo ich mal nachhören könnte.

Nun aber endlich zu meinem "Vorhaben", ich bin aktuell dabei mein Netzwerk zuhause etwas besser zu Strukturieren. Also ich steige aktuell von einer FritzBox auf Geräte von UniFi um. Damit ich aber für die Zukunft etwas mehr Sicherheit und Ordnung ins Netzwerk bekomme, habe ich das ganze nicht aus reinem "Spaß" und vergnügen gemacht, sondern damit ich mein Netzwerk in VLANs aufteilen kann und über Firewall Regeln dann die VLANs von einander Trennen kann und nur meine gewünschten Verbindungen zueinander möglich sind. Also das zu dem was drum herum noch so läuft.

Mein eigentliches "Vorhaben" oder "Problem" ist, ich habe ein Wireguard Server in meinem Netzwerk am laufen. Der tut so auch alles was er soll. Ich würde nur gerne den IP Adressenbereich korrigieren. Aktuell arbeitet der VPN Teil in einem "10.x.x.x/24" Netzwerk. Ich hatte aber ein VLAN extra für VPN Geräte geplant ohne DHCP im Bereich "192.168.60.x/24". Das hat damit zu tun, dass ich gerne zumindest die Möglichkeit habe die Firewallregeln auf einzellne Geräte zu "begrenzen". Also dass die sich zwar aus dem Internet über VPN ins Netzwerk einwählen können aber kein Zugriff auf das "Servernetzwerk" haben.

Ich jedoch, hätte schon die Möglichkeit über VPN und meinem Laptop an die Server zu kommen. Nun wäre die Frage wie bekomme ich es hin, die IP Adressen zu "korrigieren" die Wireguard ausgibt? Oder wäre es ggf. einfacher das VLAN auf den Adressbereich zu verändern und so ans Ziel zu kommen?

Ich persönlich wäre eher für den Weg über meinen geplanten IP Bereich, würde mein inneren "Monk" etwas beruhigen :cool:

Ich hoffe man versteht noch was ich vor habe und wo mein Problem ist?
 
Eine Möglichkeit ist eine Opnsense mit einem Wireguard Server. Damit kann man mit Regeln alles einstellen.
 
Bislang nutze ich die Firewall Möglichkeiten von Unifi selber. Hatte mit Opnsense und der gleichen bislang keine Berührungspunkte.

Wie gesagt ich suche erstmal die Möglichkeit wie ich die IP Adressen in Wireguard an zu passen. Habe ja ein VLAN für VPN mir angelegt ;)
 
Das Config-File für Wireguard befindet sich standardmäßig hier: /etc/wireguard/wg0.conf
Da lassen sich die IPs für den Server und die Peers konfigurieren.
Die IP-Konfiguration ist aber auch dann in jeder Client-Config anzupassen...
 
@JensF Okay habe ich gefunden, danke. Ich hatte gedacht es gibt eine "IP Range" wo sich der Wireguard die Adressen holt, aber okay. Also müsste ich einfach die Adresse in "Interface" auf die vom UniFi VLAN (192.168.60.0/24) anpassen, dann hätte ich z.B. für Gerät 1 "192.168.60.2" und Gerät 2 "192.168.60.3", usw. Werde ich später oder die Tage mal rum probieren. Habe aktuell alles noch in einem Testsystem, wenn was schief geht heißt es BackUp von davor einspielen und nochmal auf ein neues.

@noPa$$word Werde mir dein Link nachher mal genauer angucken, sah auf den ersten Blick sehr hilfreich aus für das was ich vor habe. Danke.

Ich weiß, dass anpassen der IPs für die VPN Clients ist kein muss. Aber ein "Problem" sollte das noch nicht dastellen was ich überlege oder?
 
Also eigentlich nimmt man für die VPN-Verbindung einen IP-Bereich, welcher nicht bereits existiert. Sonst wird das wohl nicht funktionieren.
Die Geräte, welche die VPN-Verbindung aufbauen, dürfen selbst nicht in einen Netz mit 192.168.60.0/24 sein. Aber ich denke das dürfte klar sein.
Das Routing erledigt man dann mit "AllowedIPs".
 
Last edited:
@JensF Ich glaub da habe ich mich ggf. etwas "falsch" ausgedrückt oder so. Also das VLAN für VPN Geräte an sich ist leer, ohne DHCP usw. die Geräte sind normalerweise im "Haupt VLAN" was bei mir HomeNet heißt. Und bekommen da ihre IP per DHCP zugeiwesen. Also falls es anders verstanden wurde.
 
Wenn das HomeNet nicht 192.168.60.0/24 ist und den Clients mit AllowedIPs das HomeNet mitgegeben wird, sollte das funktionieren.
 
Ich kam endlich gerade mal dazu es zu testen. Es funktionierte an sich auch, nur nicht ganz wie erhofft.

Ich hatte gehofft, wenn ich in der Config Datei die IP Adresse des Interface auf den "IP Bereich" von mir geplant "verbiege", dass die "neuen" WG Clients automatisch in diesem Bereich eine IP bekommen. Aber leider bekommen die eine aus dem "originalen" Bereich.

Die Clienten lege ich mittels des Scripts ./wireguard-install.sh an. Also nur als Hintergrundinformation
 
Die IP-Konfiguration ist aber auch dann in jeder Client-Config anzupassen...
Wie ich bereits oben anmerkte...

Edit: Gerade erst den letzten Satz gelesen...
In der wireguard-install.sh ist die Range 10.7.0.x fest vorgegeben. Auch bei der Installation wird man nicht gefragt, on man diesen IP-Bereich verwenden möchte. Bedeutet, Du müsstest die Datei bearbeiten und dort drin Deinen gewünschten IP-Bereich festlegen. Sind einige Stellen, 23 genau genommen...
 
Last edited:
@JensF okay, dann werde ich vermutlich eher das "VLAN" für VPN anpassen auf den IP Bereich von Wireguard und nicht andersrum. Wird zwar mein kleinen inneren Monk etwas "triggern" aber naja, so dürfte es einfacher werden.

Danke für eure Hilfe.
 
Mach doch einfach eine Sicherung der Datei und führe anschließend folgenden Befehl aus:
sed -i 's/10.7.0/192.168.60/g' /<Pfad_zur_Datei>/wireguard-install.sh
Dann sollte das passen.
Edit: Dann müsstest Du aber immer noch die Firewall Rules anpassen (siehe iptables -L & iptables -S )
Besser wäre es gewesen, die Datei vor dem ersten Start zu ändern.
 
Last edited:
@JensF Kann ich -morgen testen, werde heute nicht dazu kommen.

Es handelt sich aber alles in allem noch mein "Testsystem". Also ich bin noch bei der Umstellung auf UniFi Hardware von der FritzBox. Doch bevor ich das "ganze" Netzwerk umstelle habe ich mir erstmal eine "Laborumgebung" geschaffen, wo ich alles ausprobieren kann. Inklusive Testserver (wozu alte Hardware immer wieder auch gut sein kann), ein paar IoT Geräten, 2-3 Client Geräte und ein Netzwerkdrucker.

Also im Produktiven System läuft noch kein VPN Server, möchte ich aber dann nachholen, sobald ich alles auf UniFi umgestellt habe. Wird aber noch ein wenig dauern. Ein paar Tests stehen noch aus. Bevor ich dann alles auf UniFi umstelle wollte ich eh den DreamRouter nochmal auf Werkseinstellung zurück setzen und alles vorkonfigurieren. Also damit das Heimnetzwerk möglichst "natlos" umgestellt werden kann. Also von einem IP Bereich in mehrere VLANs usw.

Also nur zur Hintergrunderklärung, wollte ich das mal erwähnt haben.

Sobald ich das morgen Abend getestet habe, werde ich ein kurzes Feedback geben.
 
Hab schnell nochmal nach den Firewall-Regeln geschaut. Hier sollte Dir
sed -i 's/10.7.0/192.168.60/g' /etc/systemd/system/wg-iptables.service helfen.
 
@JensF Habe es getestet, also mit der Anpassung vom Script, die IP Adressen wären jetzt in dem "Bereich" den ich gerne hätte. Ob das ganze funktioniert muss ich die Tage noch testen. Habe mein Handy als Clientgerät gerade nicht zur Hand. Aber Danke schonmal bis hier hin auf jedem Fall.
 

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!