[Eisfair] wireguard, Beispiele?

Alex Busam abusam at gmx.de
Di Mai 14 09:13:55 CEST 2019 

>> W_1_ADDR: ist das die lokale Adresse eines wireguard-Subnetzes
>> (virtuelle NIC) auf dem eis?
> 
> Ja, inkl. Netzgröße (Beispiel: 2001:DB8::1/64).
ok
> 
>> Ist es auch korrekt, dass in und aus diesem
>> Netz Routen angelegt werden müssen/können?
> Kommt drauf an :). Wenn du nur die Gegenstelle und diese nur vom Eisfair
> erreichen willst, brauchst du keine Routen anlegen, da der Eisfair und
> die Gegenstelle ja quasi im selben Netz sind. Wenn auch noch weitere
> Ziele von der Gegenstelle oder zu der Gegenstelle erreicht werden
> sollen, sind (auf beiden Seiten) weitere Routen nötig.
> Hier kommt es darauf an, wie das Eisfair-Paket genau aufgebaut ist, denn
> eventuell werden diese Routen beim Setzen des Parameters
> WIREGUARD_%_PEER_%_ALLOWEDIPS (s.u.) automatisch generiert.
> 
Im ersten Schritt möchte ich meinen PC mit dem Netz des Eisfair 
verbinden (dort u.a. Samba, Mail usw erreichen können)
Der PC hängt in einem lokales Netz 192.168.0.x,  Fritzbox/DSL. Der 
Eisfair ist entfernt, Kabelnetz mit fester öffentlicher IP.

Im LAN des PCs soll sonst nichts errechenbar sein, d.h. ich brauche 
keine weiteren Routen aus Eisfair oder am PC anlegen, wenn ich Dicjh 
richtig verstehe.

> Allerdings scheint das Paket laut der Doku auch die Möglichkeit zu
> bieten, NAT einzurichten (WIREGUARD_%_MASQ_IF). Dann wären auf
> Eisfair-Seite bei einem einfachen Client-Server-Szenario keine weiteren
> Routen nötig.

> 
>>
>> w_1_PEER_1_ALLOWEDIPS: erlaubte, öffentliche IPs des entsprechenden
>> Clients? Das verstehe ich gar nicht. Die ist ja an jedem Gate (zuhause,
>> DSL mit dynamischer IP, Hotspots, WLANs.....) eine andere Adresse.
> 
> Das bezieht sich auf nicht auf die "öffentliche" IP, sondern ie im
> Tunnel verwendeten Adressen, d.h. welche Source-Adressen IP-Pakete haben
> dürfen, die (im Tunnel) von diesem Peer kommen. Wenn der Peer z.B. ein
> Laptop ist, wird sollte der in der Regel nur Pakete mit der auf dem
> WireGuard-Interface konfigurierten Adresse absenden (Beispiel:
> AllowedIPs = 2001:DB8::42/128). Wenn aber z.B. der gesamte Verkehr über
> die Gegenstelle laufen soll, kommen von dort zwangsläufig Pakete mit
> allen möglichen im Internet verwendeten IP-Adressen als Source-Adresse
> an (dann sollte beispielsweise AllowedIPs = ::/0 gesetzt werden).
Hier wäre also die IP des PCs des TAP-Devices gefragt? Wo bekommt diese 
virtuelle NIC die her? Analog zu Openvpn: Dort mittels DHCP beim 
Verbindungsaufbau zum OpenVPN-Server?
Mit "gesamtem Verkehr" meinst Du Anfragen von weiteren Geräten aus dem 
LAN des PCs, korrekt?

Danke, Hendrik!!!

Viele Grüße
Alex

Mehr Informationen über die Mailingliste Eisfair