[Fli4l_dev] WireGuard VPN

[Harvey]

Hallo,

 > bitte halte mich/uns hier auf dem laufenden.
 > Siet2Site hatte ich nach meinem ersten Scheitern erst gar nicht probiert.
 > Wenn aber OpenVPN abgelöst werden soll, muss ich das natürlich auch 
hinbekommen.

Nicht falsch verstehen: _ich_ löse OpenVPN ab, soweit ich weiß, bleibt 
es aber weiterhin als VPN-Variante für fli4l erhalten. Es müsste nur mal 
ein Update auf die aktuelle Version erhalten, aber das ist ein anderes 
Thema...

Zum weiteren Verlauf bei mir: der Linux-Laptop läuft, aber die Wireguard 
Unterstützung in den einzelnen Netzwerkmanagern ist noch sehr rudimentär 
bis nicht existent. Ich habe es nicht hinbekommen, dass grafisch zu 
konfigurieren und musste alles in der Kommandozeile machen. Aber der 
Download der Peer-Konfiguration vom fli4l ist ein guter Ausgangspunkt. 
Zwei Dinge sind m.E. zu beachten:

1. Die Weitergabe eines PUSH_DNS[]= leitet alle DNS-Anfragen des Clients 
erst mal über diesen DNS Server, was nicht wirklich sinnvoll ist. 
Normaler Internetverkehr sollte über die Default-Route laufen, denke 
ich. Zumindest ist das mein Anwendungsfall. Dann lassen sich aber die 
Rechnernamen im internen Netz des fli4l erst mal nicht auflösen.

Es gibt ein paar Möglichkeiten, das zu umschiffen. Ich habe eine 
statische hosts-Datei auf dem Laptop angelegt, die meine Domain hinter 
dem Tunnel auflöst. Das erschien mir am einfachsten. Wenn viele Rechner 
involviert sind, ist das sicherlich nicht sinnvoll, dann sollte man eher 
dem Network-Manager (welcher auch immer es ist) klar machen, dass er die 
interne Domain über den Tunnel am fli4l aufzulösen hat. ToDo

2. Es ist nicht nötig in DEFAULT_ALLOWED_IPS[]= das interne 
Wireguard-Netz einzutragen, das macht OPT_WIREGUARD anscheinend 
automatisch, obwohl die Doku das nicht erwähnt. Trägt man es doch ein, 
resultiert das in einem doppelten Eintrag, der von mkfli4l nicht 
angemeckert wird.

Weiter mit Site2Site

Gruß
Harvey