Onion Information

Page Clicks: 0

First Seen: 03/11/2024

Last Indexed: 10/22/2024

Domain Index Total: 337

Kontakt Mobile Endgeräte von OpenVPN auf Wireguard, mit Wireguard Server auf PFSense, umstellen. Die Ausgangsbasis Wie in verschiedenen Einträgen hier im Blog beschrieben wurden schon seit Jahren alle Smartphones und Tablets auf LineageOS umgestellt. Eine Übersicht über die Beiträge findet sich hier: http://wmv7y4tehgsvghaabiqvrm76uag7c6vdxufzoorjso3escefkiwo4tid.onion/inhaltsverzeichnis/ . Der Ist-Zustand meines Setups: alle Geräte auf LineageOS ohne Google Playstore und auch ohne Gapps nur Open Source Apps aus dem F-Droid Store oder selbst compiliert (Eine App-Update Liste folgt hier im Blog später) gerootet mit Magisk volle Absicherung mit AWall+ IPTables Firewall damit nur ausgewählte Apps ins Internet kommen Orbot als Proxy am Gerät der einige Apps (z.B. 2 der 3 installierten Browser) nur über das Tor Netz mit dem Internet verbindet custom AFWall+ Script, welches alle DNS Anfragen zum Orbot DNS Port umleitet und damit alle sonst lesbaren DNS Abfragen nur verschlüsselt über Tor durchführt Easer Automation App um bei Netzwechsel (Home WLAN->LTE und retour), z.B. Ontracks umgeschalten, bzw. OpenVPN verbunden, oder getrennt wird. Dienste wie die eigene Nebenstelle, Zugriff auf das mit Home Assistant gesteuerte Smart Home und andere gesicherte Services werden nur durch VPN betrieben Das aktuelle Problem Generell bin ich mit dem entworfenem Setup hier im Hause sehr zufrieden. Die Geräte werden in diesem Umfeld auch extrem nachhaltig verwendet, teilweise sind diese 7-8 Jahre alt und haben einen Sicherheitsstand der Patches der maximal 1 Monat alt ist. Alle Geräte funktionieren mit feiner Geschwindigkeit und hinterlassen sehr wenige Datenspuren im Internet, es werden keine Massenüberwachungs-Accounts verwendet und alle verwendeten Dienste, inkl. E-Mail Server sind auf eigenen Servern im eigenen Haus. Soweit, so gut. Bis auf ein in den letzten Monaten sehr nerviges Problem mit dem OpenVPN Client unter Android. Seit irgendeinem Update passiert es oft, dass, wenn Easer das OpenVPN beim Verlassen des Home-WLAN’s aktivieren will, dieses sich nicht verbindet. Da sich das bei OpenVPN for Android 0.7.51 noch immer nicht gebessert hat, war immer das Risiko, dass die Nebenstelle des Telefons, mangels VPN, nicht funktioniert und auch andere Dienste versagen. Ja, ich weis, den IOS Usern dreht Apple das OpenVPN nach einer gewissen Zeit ab und ein geniales Setup wie dieses funktioniert auf IOS Geräte nicht. Da ich aber Apple seit langem entfernt habe und all diese alten IOS Geräte (4, 5, und 5S) in den Müll geworfen habe, tangiert mich nur LineageOS/Android. Der geplante Umbau Da es auf F-Droid einen alternativen Wireguard Client gibt, der ein paar wirklich geniale Funktionen unterstützt ist der Plan, OpenVPN durch Wireguard zu ersetzen, diese genialen, später beschriebenen, Funktionen zu nutzen und Easer nur mehr die On/Off Schaltung, von z.B. Owntracks zu überlassen. Der Tausch betrifft vorerst nur die LineageOS (Android) Geräte. Serverseitige Einrichtung Die verwendeten pfSense Firewalls unterstützen Wireguard bereits und damit ist die Einrichtung der Zugangspunkte sehr einfach. Bei HA Setups, wie bei meinem, muss man noch bedenken, dass Wireguard aktuell noch nicht auf CARP Interfaces reagiert, d.h. ein HA Setup muss etwas anders als üblich ausfallen. Für den Blog Eintrag wird eine Single pfSense/Wireguard Installation beschrieben. Wir werden einen Zugangspunkt am Port 25123 einrichten. Das Port kann frei gewählt werden. Zuerst mit dem Package Manager das Wireguard Package installieren: Danach ist es ganz wichtig Die Punkte Assigment, Interface und Firewall Rules im WireGuard Tunnel Setting auszuführen. Im Assignments dann das tun_wg0 einem Interface zuordnen und am besten umbenennen. Bei mir war das OPT4, welches in Wireguard_OPT4 umbenannt wird. Insbesondere bei Firewalls mit vielen Interfaces, wie auch bei mir hier, bietet das eine bessere Übersicht. Im Setting für das Interface ist es wichtig die IPv4 Adresse anzulegen. Das ist mehr oder weniger das Default Gateway für die Clients. Wir richten ein VPN auf der Basis 192.168.6.0/24 ein. D.h. die Clients bewegen sich alle in diesem Netz, die Interface Adresse als Gateway. Bei den Firewall Regeln werden Rules, wie für andere Interfaces auch gesetzt. Wichtig ist hier, das die Rules bei der WireGuard Gruppe und nicht beim WireGuard_OPT4 Interface gesetzt werden! Dann kann der Tunnel fertig eingerichtet werden. Wichtig ist, wie oben beim Bild des Tunnel Setup markiert, einen Key zu generieren. Mit “copy” kann man den Public Key zur Verwendung im Client kopieren. Den Tunnel_Public_Key kopieren und ablegen! Nun sollte der wgtunnel am Endgerät installiert werden. Danach kann man das Peer konfigurieren. Dazu Serverseitig “Add Peer” aufrufen. Am Client durch das + hinzufügen. Serverseitig: WICHTIG: Unter Public Key, den Public Key vom Client (wgtunnel) eintragen. Deswegen beide gleichzeitig aufmachen und dann vom Client kopieren und einfügen. Allowed IP’s ist die IP des Clients. Z.B. 192.168.6.101 Die Netzmaske muss /32 sein. Sonst gibt es Routing Probleme! Clientseitig: WICHTIG: Adresses ist die IP des CLient, diese muss mit dem Peer Setting am Server zusammen stimmen. Im Beispiel z.B. 192.168.6.101. Hier mit Netzmaske /24 !! Extrem wichtig für das Routing. DNS Servers: Ich verwende hier meine beiden PI-Hole Systeme die mir die Werbung dramatisch reduzieren. Peer Public Key ist der Tunnel_Public_Key von oben Peer Pre-shared Key ist der Tunnel_Pre-shared_Key von oben Endpoint ist die IP, oder der Hostname und das Port der pfSense, bei uns also pfsense.domain.com:25123 Allowed IP’s sind die gerouteten Netze, welche durch das VPN transportiert werden. Bei kleinen Installationen ist das LAN Netz, z.B. 192.168.100.0/24 . Damit werden alle Pakete für das LAN durch das VPN geroutet. Da ich 7 Netze benötige gibt es bei mir hier eine Komma getrennte Liste. Nun sollte es möglich sein, den Tunnel zu aktivieren: Dazu einfach den Regler auf “ein” stellen und alle Funktionen testen. Unter Status->Wireguard kann man einsehen, wer verbunden ist. Danach das Routing und den Zugriff komplett durchtesten. Wenn alles einwandfrei funktioniert kann man die genialen Funktionen des wgtunnel Clients aktivieren: Z.B.: Wenn man das eigene WLAN verlässt, bei der Verwendung von mobilen Daten, das VPN automatisch aktivieren. Und/oder auch bei nicht vertrauten Hotspots. Dazu die eigene SSID auf trusted setzen. Den Battery Saver sollte man aktivieren und danach “Start auto tunneling” aktivieren. So macht das jetzt richtig Laune und die Umschaltung auf VPN beim Verlassen des eigenen WLANs funktioniert stabil, ohne dass man sich darum kümmern muss. Links https://www.wireguard.com/ https://github.com/zaneschepke/wgtunnel (Wireguard Client) pfSense.org LineageOS.org https://f-droid.org/ https://github.com/ukanth/afwall https://support.torproject.org/glossary/orbot/ https://f-droid.org/packages/ryey.easer/ https://www.freepbx.org/ linphone.org https://www.home-assistant.io Fragen? Wenn Ihnen dieser Blogeintrag gefällt, können Sie sich gerne meinem öffentlichen Raum anschließen. Betreten mit /join #kmj:matrix.ctseuro.com in der Chat Box des Element Matrix Messenger ( https://element.io ) oder mit diesem Link: https://matrix.to/#/#kmj:matrix.ctseuro.com Fragen nur in diesem Raum stellen! Gewerbliche Kunden Die von mir gegründete CTS IT Solutions ( https://ctssupport.at ) bietet gewerblichen Kunden seit 1985 perfekte und bestens erprobte IT Lösunge n! Gerne beraten Sie die Spezialisten bei allen Fragen rund um die IT! Ihr Karl M. Joch http://wmv7y4tehgsvghaabiqvrm76uag7c6vdxufzoorjso3escefkiwo4tid.onion/contact/