Site-to-Site VPN einfach mit WireGuard einrichten! Schritt-für-Schritt Anleitung
HTML-код
- Опубликовано: 13 июл 2024
- In diesem Video zeige Ich euch, wie ihr in wenigen Schritten euere eigene Site-to-Site VPN mit Hilfe von WireGuard einrichten könnt. Hierbei spielt es keine Rolle welchen Router bzw. welche Firewall ihr nutzt.
» Unterstütze meinen Kanal auf Patreon: / apfelcast
» AWOW miniPC als VPN-Server: amzn.to/3FHjmVR
» Im Video verwendetet Befehle: cc.apfelcast.com/i1xrv
» DynDNS einrichten: cc.apfelcast.com/8738z
» Meine Website: apfelcast.com
Du benötigst Unterstützung bei der Installation oder Konfiguration von deinem VPN-Server oder deinem Netzwerk? Ich helfe dir gerne weiter! Schreib mir einfach eine Mail an (Daniel): service@apfelcast.com
» Abschnitte:
00:00 Begrüßung
01:29 Funktionsweise
05:04 Voraussetzungen
09:21 Portfreigaben & Static Routes
12:36 WireGuard Installation
14:26 VPN Konfiguration
20:55 Verbindungstest
24:07 abschließende Empfehlungen
Mein Equipment:
» Kamera: amzn.to/2M4fQuL
» Objektiv: amzn.to/2M13bsA
» Ton: amzn.to/2M1EBHX
» Recorder: amzn.to/2QhsnJC
» Beleuchtung: amzn.to/2JxF96e
Hinweis:
Alle Links beginnend mit „amzn.to“ sind Affiliate Links. Wenn du über einen dieser Links ein Produkt kaufst, bekomme ich einen kleinen Anteil des Kaufpreises gutgeschrieben. 
Наука
![Natanael Cano x Oscar Maydon - Giza [Official Video]](http://i.ytimg.com/vi/eXCS6-MSQ_Y/mqdefault.jpg)
Funktioniert perfekt! Dein Tutorial ist Gold wert. Ich wünschte mir mehr Infos zum Routing allgemein, vlt. ein Ansatz für weitere Themen. Danke vielmals!
Wirklich Klasse gemacht! Endlich nach langer Zeit mit einem Standort 900 km entfernt erfolgreich verbunden!
Statische Route konfigurieren ist der wichtige Teil ..danke
Top Video ❤
Top...wie immer..!
Tolles Video. Danke. Ich habe eine Frage: Würde das auch mit einem WireGuard Docker Container funktionieren, wenn ich diesen via macvlan eine IP aus dem eigenen Netz gebe?
Hallo Daniel,
deinen Ansatz finde ich richtig gut. Dazu habe ich aber eine weitere Frage. Kann man dieses auch lösen mit jeweils 2 Clients in den beiden Netzen, wenn ich den Wireguardserver zentral bei Hetzner installieren möchte. Wenn du dazu eine Lösung hast, wären Probleme mit DSLITE Vergangenheit und ich könnte so viele Netze miteinander verbinden, wie ich möchte.
Beste Grüße
Walter
Hi, wirklich Klasse gemacht! Kann man auch zwei Docker Images nehmen? Hast Du Tipps zur Konfiguration?
@apfelcast Super Anleitung, gut nachvollziehbar. Ich habe für die beiden Wireguard-Server virtuelle debian-11 Maschinen getestet. Debian 11 hat allerdings keine iptables mehr an Board, sondern nftables. Hast du damit Erfahrung? Wie lauten da die entsprechenden Kommandos in der wg0.conf?
Hallo und Danke für das Video! Mich würde durchaus interessieren wie es funktioniert, wenn keine der beiden Seiten ein Portforwarding machen kann. Ich vermute es läuft dann über ein Server im Internet, zu dem beide Sites dann eine VPN Verbindung aufbauen?
Hi super Video! Ich habe da noch ein paar Fragen: Wozu machst Du NAT im WG-Tunnel sollte doch auch ohne gehen wenn beide Seiten in meiner Hand sind? Und warum werden die IPs in der Config unter "Address" mit einer 24er Maske statt mit einer 32er Maske angegeben?
Hallo, kannst du einmal ganz kurz bitte sagen, warum lxc ungeeignet ist? Danke!
Hallo Daniel👋🏻 Super Interessantes Video. Für mich auch gerade top aktuell. Ich versuche gerade eine WireGuard Verbindung zu meinen Hetzner Cloud Server aufzubauen auf dem pfSense läuft. Mein Problem ist aber dass ich eine UDM-Pro habe die (noch) kein WireGuard unterstützt. Wie mache ich das dann am besten? Würde mir da so ein Mini PC Zuhause mit Debian und WireGuard weiter helfen?
LG Udo
Hallo Daniel,
Wireguard VPNs lassen sich aus meiner Sicht am einfachsten direkt mit einem beliebigen MikroTik Router realisieren.
Können bereits die günstigsten ab ca. 20€.
LG R
Super erklärt vielen dank, wäre super wenn ein Video machen würdest wo man keine Portfreigabe machen muss, bin tendenziell dagegen.
Tja und schon keine Verbindung. Du benötigst immer einen freigegebenen Port um Verbindungen zu erstellen. Sonst geht im Netzwerk nichts. Auch in deinem von der Außenwelt abgeschlossenem Netzwerk daheim, musst Du Ports offen haben damit deine Rechner sich untereinander unterhalten können. Diese Ports sind aber zunächst in der jeweilige Firewall freigeschaltet wenn man das interne Netzwerk einrichtet. Bei Linux könnte es sein das man selbst Hand anlegen muss.
Für die Anbindungs ins Internet ist das vorab auf dem Router eingerichtet. Bei einigen Routern wie der Fritzbox ist das für das eigene AVM eigene VPN bereits vorab eingerichtet. Für eigenes VPN müssen dann Ports freigeschaltet werden. Da führt kein Weg vorbei.
@@alexander_fromm was meint er dann bei 08:55?
Tolles Video, muss ich den Forward=1 auch auf der B-Seite aktivieren?
Ja, dass solltest du auch auf Site B aktivieren.
Hey, kurze Frage, hat super funktioniert, OPNsense bei Hetzner und Raspberry Pi hinter der Fritzbox Zuhause, VPN-Verbindung steht. Habe das Subnetz der OPNsense als statische Route hinterlegt, Ping vom Raspi rüber funktioniert, allerdings nicht von meinem PC oder anderen Endgeräten aus. Laut route print kennt er die Route nicht und ein tracert startet bei der Fritzbox und bekommt dann nen Timeout. Woran kann das liegen?
Super Video, danke. Was bei mir leider nicht funktioniert ist der “letzte“ Test ab Min. 23. Kann vom PC Site A nicht auf die Weboberfläche von Geräten auf Site B zugreifen. Per Iphone und Ipad (clients) bei Aktivierung der wireguard app funktioniert es. Haben Sie einen Tipp für mich?
Nur mal ne Frage zum Verständnis...
Wenn ein Mini-Server als VPN-Server eingesetzt wird:
Mich irritiert der nur 1 Ethernet-Anschluß......
Läuft dann der gesamte Trafic durch den Tunnel nur über 1 Kabel? Das müßte doch die Geschwindigkeit enorm verlangsamen? Oder habe ich nen Denkfehler?
Also ich meine den Fall, wenn ein PC aus Netzwerk A ein Gerät aus B erreichen will, dann leitet der Router zunächst alle Daten zum VPN Server (hin) .... und dieser geht dann über das gleiche Kabel wieder zurück zum Router - und von dort durch den Tunnel ins B-Netzwerk. Im selben Augenblick könnten ja auch Anfragen aus Netz B eintreffen.
LG
Hallo Daniel,
Auf dieses Video habe ich schon gewartet. Super toll erklärt!
Wie funktioniert das mit weiteren "Clients"?
Also Site A zu Site B sowie Ste A zu SITE C bzw Site B zu Site C?
Danke schon im Voraus !
Wenn du Site A zu Site C verbinden willst trägst du Site C einfach als weiteren Peer bei Site A ein. Wenn du Site B zu Site C verbinden willst, ohne dass Site A im Spiel ist, solltest du Site C als Server konfigurieren und Site B als Client. Auch hier kannst du einfach in der wg0.conf mehrere Verbindungen eintragen..
Ich hab das von UniFi selbst gemacht. Wenn schon die Produkte von Ubiquiti im Einsatz sind, wäre es doof, immer auf Alternativen auszuweichen, bei Anwendungen wie z. B. Site-to-Site VPN. Ist ja eingebaut bei UniFi. :-)
Das ist richtig. Wenn du auf beiden Seiten UniFi hardware hast, ist das die einfachste Lösung. Diese Variante eignet sich gut, wenn du z.B. nur an einer Seite UniFi Hardware hast.
wenn ich ein wire guard VPN habe zu meinem Server nach hause kann ich es auch dann benutzen wenn der ip adressbereich bei beiden netzwerken gleich ist?
Hi sehr gerne wprde ich mir das wünschen ohne portfreigaben bzw auch mit ipv6 DANKE !
Hallo, genau eine solche Anleitung habe ich gesucht. Ich würde gerne einen meiner Rasperries an der entfernten Stelle als Vpn Server hinstellen. Als Router dient ein TP Link LTE Router. Weisst Du ob es möglich ist mich auf diesem einzuloggen aus der Ferne, um den ganzen Kram von meinem Heimnetzwerk einzurichten?
Hallo Daniel,
Danke für dies gut erklärte Video.
Ich habe ein Anschluss von der Deutschen Glasfaser mit keiner von außen erreichbaren IPv4
Wenn ich WG Server auf einen Server bei 1&1 installiere, und mich mit meinem Reversproxy per WG mit dem Server bei 1&1 verbinde,
komme ich so dann auf meine Nextcloud zuhause?
Oder muss ich da dann anders vorgehen?
Ja, dein Vorgehen sollte funktionieren. Gerne kann ich mal ein Video dazu machen, wie genau man das konfiguriert.
@@apfelcast das wäre echt super 👍
Leider sind die Informationen nur sehr spärlich zu finden.
Moin. Nutze Wireguard schon eine Weile. Hatte das obige Setup auch am laufen, leider kann Wireguard nicht damit um, wenn sich die IP des Wireguard "Server" dynamisch ändert. Habe deshalb einen externen (fixed IP) Server als Endpoint. Da läuft auch WG-Easy im Docker für die einfache Konfig.. Aber jetzt will das Routing nicht mehr. Heisst, die Verbindung des Tunnel steht, aber in das andere Netz pingen geht nicht. Ich habe, weil das ganze aktuell mit IPSEC in Production läuft, die Routen auf dem DSL Router wieder raus genommen, aber es sollten doch trotzdem die beiden Debian OS mit dem Wireguard drauf über eine Route die andere Seite erreichen können... Oder habe ich einen Gedankenfehler?
Gruß von der Nordsee
ich habe eine frage sieht man bei dieser einstellung dann auch die Rechner(geräte) von der andern seite in der Windwos Netzwerkung? Wen nicht muss man da was anders einstellen oder geht das nicht.
Am besten du verbindest du die gerate auf der anderen Seite manuell via IP.
geht das auch mit 2 gl-net router ?
Ist es mit ipv6 mit ds-lite nicht möglich? Zuhause hinter der FRITZ!Box 6490 am Kabel mit 250/50mbs, zum Beispiel mit Brume 2 und im Hotel mit slate ax unterwegs?
würde eigentlich dafür als Client auch ein (4 x Intel(R) Celeron(R) N5105 @ 2.00GHz mit 32RAm) ausreichend sein wenn gleichzeitig 6 user über den Tunnel gehen?
Wieso kein Container? Die Frage stelle ich mir auch - Ich habe bereits einen Wireguard Server (für Handys und co.) auf einem Container am laufen. Es war zwar einen besonderer Kniff innerhalb von Proxmox nötig, aber das war mit 2 Befehlszeilen abgehandelt (unter Anleitung von Daniels Apflecast😉)
Hängt das mit der Site to Site Verbindung zusammen, oder hätte das nur den Rahmen für das Video gesprengt (da kein Proxmox Erklärvideo)?
Genau bei der Verwendung eines Containers, musst du hier eine zusätzliche Konfiguration in Proxmox vornehmen, dann klappt das auch. Das Zeil des Videos ist aber, dass jeder dies unabhängig von der verwendeten Hardware bzw. Software umsetzten kann. Also egal ob es Proxmox, VMWare, Hyper-V, BareMetal, etc. nutzt. Deshalb hier die Empfehlung für eine VM.
Da würde ich mich doch ganz spontan anschliessen - mit einer Realisierung eines Containers in Proxmox. Ich habe zwar noch nicht angefangen, aber bei Schwierigkeiten können wir uns gerne kurschliessen :-)
@@apfelcast Bin grade dabei das nachzubasteln. Allerdings auf Proxmox. Auf welche Einstellung beziehst Du dich denn?
Das neueste FritzOS hat Wireguard von Haus aus. Könnte man nun die FRITZ!Box auf eine der beiden Seiten nutzen?
Ja - auch auf beiden Seiten.
vielen Dank für das Video. Bei mir ist es der Fall, dass ich auf beiden Seite nur IPv6 habe.
Wie kann ich es dort lösen? Als Server ein VPS anmieten mit einer Ipv4?
Kann ich mehre Standort anbinden?
Genau, mit einem VPS als VPN-Server kannst du beide IPv6 Standorte als Client anbinden.
Wie kann ich dann noch zusätzlich vom Handy aus aufschalten?
@@Sid19881988 Ja klar, du kannst dann ein weiteres Peer für dein Smartphone einrichten.
@@apfelcast jetzt stellt sich mir nur die Frage, wo ich auf dem VPS das Statische Routing einstelle.
@@Sid19881988 Brauchst du in dieser Stelle nicht. Der VPS hat ja kein Netzwerk mit weiteren Clients, sondern stellt ja einen einzigen Client dar.
so etwas wollte ich mit unserem Haus in Kroatien und meinem Standort hier in Deutschland umsetzen. ABER in Kroatien hat man noch einen Router-Zwang und auf dem Router vom Anbieter sind viele Sachen gesperrt, zum Beispiel auch die Option statische Routen zu setzen.....
Du kannst einen eigenen Router (z.B. Fritzbox) an den Router in Kroatien hängen, musst dann natürlich andere IP-Adressen verwenden als die die der Router vergibt. Dann muss der Traffic von deinem Router zum Provider-Router geNATet werden.
Echt cool! Blöd, dass es WireGuard anscheinend nicht mit GUI unter Linux Mint gibt😢. Apropos Linux, kannst du mal ein Video machen, wie man ein Tablet (Android) als zweiten Bildschirm für Linux nutzen kann?
Das wäre eigentlich ganz cool :)
Wäre vielleicht noch interessant, wenn du mal ein Video zu Wireguard machst. Wenn das VPN in einem öffentlichen WLAN (Hotel, Krankenhaus etc.) blockiert wird. Ist mir nämlich in letzter Zeit häufiger passiert und aufgefallen.
Das Problem hier ist, dass du den Wireguard-Server nicht auf z.B. Port 443/tcp (ist in allen öffentliche WLANs frei weils der Standard für https ist) laufen lassen kannst, da WG nur UDP verwendet. Hier wäre die Alternative OpenVPN. Dieser kann auch tcp.
@@maxmustermann524 Jup aber nicht bei DPI
Warum ist IpV6 schlecht hmm?
Kurzgesagt: Weil IPv4 und IPv6 nicht untereinander kompatibel ist.
@@apfelcast Stimmt aber die Zukunft ist nun Mal Ipv6. Also bei mir läuft's trotz CGNAT mit IPv6
@@jensg.5256 Das wird noch lange dauern bis das mal ansatzweise in diese Richtung geht.
Frag mal bspw. bei Microsoft an wann die gedenken Ihre Dienste über v6 verfügbar zu machen
kann man nicht nachmachen ohne Geld zu zahlen bei seinen Links, PFUI
Hab noch keinen CT zahlen müssen.... Irgendwas machst Du falsch....
Hallo ich habe Mal eine hypothetische Frage. Wenn solche VPN Server im Ausland stehen, haben die Strafverfolgungsbehörden eine Möglichkeit im Nachgang den Traffic überhaupt zu analysieren?
Wenn dort nichts mitgeschnitten und gespeichert wird, haben die doch keine Chance oder?
Man müsste die schon vorher Zugang haben und mit einem Programm alles mitschneiden, was da abläuft.
Weißt du das?
Danke.
Das kommt darauf an, wie viel Aufwand der Angreifer betreibt.
Grundsätzlich sollte es außerhalb der Netzwerke der beiden Standorte nicht möglich sein, das ist ja eigentlich der Sinn der VPN. Es hat aber natürlich auch schon Sicherheits-Probleme der Protokolle gegeben.
Ist der Angreifer in einem der beiden Netzwerke drin, sieht die Geschichte schon anders aus. Dann wäre er im Zweifel nicht nur in der Lage den Traffic von einem sondern von beiden Netzwerken zu lesen, dank der VPN. Eine komplette Katastrophe.
Solltest du denken von Cyberangriffen betroffen zu sein, dann würde ich so oder so nicht mit Verbindungstechnologien hantieren an deiner Stelle. Der Angriffsvector erhöht sich, und zwar drastisch, wenn du alles was du benutzt, so getrennt wie möglich voneinander hältst!
Gewisse Länder hab auch immer gewisse lokale Gesetze. Ich würde an deiner Stelle mal nicht so einen Server in Russland oder China stehen haben. Benutzt du dort eine VPN hast du für diese Regierungen automatisch ja „was zu verbergen“ laut deren paranoiden Denken.
Grundsätzlich bleibt zu sagen (und dir selbst die Frage zu stellen): brauchst du das wirklich?