UDM-Pro-SE Installatie Wireguard VPN Server

[SDeath]

Hierbij mijn bevindingen om Wireguard VPN server op de UDM Pro SE te installeren.
Dit gaat alleen over de installatie van Wireguard niet het instellen van Wireguard zelf, of over het configureren van je firewall.
Voor de installatie heb ik deze instructies gevolgd:

GitHub - tusc/wireguard-kmod: WireGuard for UDM series routers

WireGuard for UDM series routers. Contribute to tusc/wireguard-kmod development by creating an account on GitHub.

github.com

Dus de stappen 1,2 en 3.

Voor de stap Surviving reboots, heb ik zelf een andere tutorial gebruikt, namelijk omschreven in deze comment:

UDMPRO SE · Issue #214 · unifi-utilities/unifios-utilities

Describe the bug Hi just received the UDMPRO SE. I'm not able to get this package to install on it. Wondering if anyone has any ideas? When I SSH into the UDM there is no "unifi-os shell" anymore. ...

github.com

Deze had ik toch al draaiend omdat ik bepaalde iptable regels wil laden die alle hardcoded DNS requests afvangt en doorzet naar mijn piHoles.
Om Wireguard toe te voegen hoef je alleen een .sh bestandje in de map /mnt/data/on_boot.d toe te voegen en "chmod +x" op dat bestandje los te laten en ook deze script wordt tijdens de boot uitgevoerd. Mijn ervaring is dat deze opzet firmware updates overleeft.
Het Wireguard startup script bestandje bestaat bij mij uit de volgende regels:

#!/bin/bash
/mnt/data/wireguard/setup_wireguard.sh
wg-quick up wg0

Hierna maak je het config bestandje aan voor de server wg0.conf en de client config bestandjes voor alle clients.
Deze heb ik van mijn piVPN installatie met wireguard gehaald en kun je zo gebruiken weer op de UDM installatie.
Als je alles gewoon kopieert incl. de server config dan kun je de config op al je clients hetzelfde laten.

Hierna voer je de volgende regel uit, of reboot je de UDM:

systemctl start udm-boot

Het wg0 interface en de wireguard server wordt geladen.
Als er problemen met het laden van de modules zijn kun je dat zien met het commando:

dmesg

Als alles goed is gegaan staat er iets als:

[13540.520120] wireguard: WireGuard 1.0.20210219 loaded. See www.wireguard.com for information.
[13540.520126] wireguard: Copyright (C) 2015-2019 Jason A. Donenfeld <Jason@zx2c4.com>. All Rights Reserved.

Je kunt nu verbinden met je clients.

Afhankelijk van je setup moet je eventueel nog firewall regels aanmaken om alles te laten communiceren met elkaar door de tunnel.
Maar dat ga ik hier niet uitleggen.

Het voordeel van deze manier van Wireguard installeren ten opzichte van de manier van @Reddwarf die docker gebruikt is dat er bij deze methode niets geïnstaleerd wordt.
Het script laadt alleen de modules die nodig zijn, dus door het startup script in /mnt/data/on_boot.d te verwijderen en de UDM te rebooten dan is hij weer zo goed als stock firmware.
Er hoeft helemaal niets geïnstalleerd te worden aan packages om dit te laten werken.

Het mogelijke nadeel van deze setup is dat mogelijk de bestanden niet meer compatibel zijn met nieuwere firmwares/kernels en er dan op een nieuwe release gewacht moet worden van Tusc, de auteur van de tutorial en bestanden. Maar of dit ook echt zo is moet nog maar blijken aangezien deze bestanden ook al werken op de pas net uitgegeven 2.3.10 EA firmware, zonder dat er aanpassingen nodig waren.

 

[Eddie the Eagle]

Supercool maar is er een speciale reden om dit op je core gateway te zetten ipv op een willekeurige andere server in huis ? Mijn UDM is nou het enige apparaat waar ik liever geen issues mee heb (en mijn El Cheapo Ziggo melkbus Connect Box dan maar daar heb ik helaas geen invloed op ).

 

[Reddwarf]

Complimenten @SDeath voor jou duidelijk omschrevev bevindingen

Ook de mogelijkheid zelf de kernelmodule te compileren is een extra zekerheid als er ooit een andere kernelversie door UI gebruikt gaat worden.

En ja ik doe ook het liefste mijn VPN endpoint op het device terminaten dat de centrale router is voor mijn netwerk en altijd online is, anders heeft een VPN ook weinig zin als de UDM down is

 

[SDeath]

Supercool maar is er een speciale reden om dit op je core gateway te zetten ipv op een willekeurige andere server in huis ? Mijn UDM is nou het enige apparaat waar ik liever geen issues mee heb (en mijn El Cheapo Ziggo melkbus Connect Box dan maar daar heb ik helaas geen invloed op ).

Mijn voornaamste reden was een hogere VPN snelheid behalen.
Ik heb testen gelezen van doorvoersnelheden van 1,3-1,5gbps door de VPN tunnel.
Helaas zie ik wel een kleine toename in vergelijking met de VPN server op mijn Windows server.
Van 300-500mbps naar ongeveer 400-600mbps, met speedtest.net.
Maar nog niet wat ik gehoopt had.
Ik moet zeker ook nog het een en ander finetunen, maar ik denk dat ik er weinig snelheid mee kan winnen.
Verder moet ik nog even een goede test setup met iperf3 opzetten om betrouwbaardere resultaten te behalen.

 

[SDeath]

Complimenten @SDeath voor jou duidelijk omschrevev bevindingen

Ook de mogelijkheid zelf de kernelmodule te compileren is een extra zekerheid als er ooit een andere kernelversie door UI gebruikt gaat worden.

En ja ik doe ook het liefste mijn VPN endpoint op het device terminaten dat de centrale router is voor mijn netwerk en altijd online is, anders heeft een VPN ook weinig zin als de UDM down is

Als mijn UDM down is is er hoe dan ook geen internet meer in huis, al had ik 10 VPN servers draaien. ;-)

De bedoeling was UDM hoofd VPN server, met de Windows servers als backup VPN server mocht er intern in de UDM wireguard service iets fout gaan.
Ook heb ik het via Windows Wireguard server nog niet voor elkaar gekregen IPv6 te laten werken terwijl dit op een Linux Wireguard Server foutloos werkt, en dus op de UDM ook meteen out of the box beschikbaar is.

 

[Eddie the Eagle]

Mijn voornaamste reden was een hogere VPN snelheid behalen.
Ik heb testen gelezen van doorvoersnelheden van 1,3-1,5gbps door de VPN tunnel.

Wat heb je dan als WAN verbinding die dat soort VPN snelheden aankan ?

 

[Eddie the Eagle]

Als mijn UDM down is is er hoe dan ook geen internet meer in huis, al had ik 10 VPN servers draaien. ;-)

Ik durfde het al niet te vragen hahaha.

 

[SDeath]

Ik heb glas 1gbps/600mbps.
Maar waarom niet het beste apparaat voor het maximaal haalbare zien te vinden?
Ik lees veel over Wireguard als VPN server, en in vergelijking met OpenVPN is er echt wel een stuk meer snelheid te behalen, maar toch kan ik er niet uithalen wat andere uithalen in hun configuraties, terwijl ik toch best wel wat spul heb staan hier die het aan zou moeten kunnen. ;-)

Als ik dan zie dat sommige 800mbps uit een rPi4 halen dan, vraag ik me af waar het fout gaat en ga ik op zoek naar mogelijke oorzaken.
Aangezien ik zulke hoge snelheden tegenkwam op de UDM, was mijn interesse gewekt.
Het blijft hobby. ;-)

 

[Eddie the Eagle]

Het blijft hobby. ;-)

Got it . Ik lees ook met veel belangstelling jullie (jij en @Reddwarf) bevindingen. Jullie stretchen de gateway meer dan ik ooit zou durven.

 

[hutje]

Hoe zijn de ervaringen met Wireguard tot nu toe? Zie je significante snelheidsveranderingen?
Ik heb zelf ook glasvezel en wil graag mijn UDM-Pro met Wireguard laten werken ivm streaming vanuit een NAS.
Is het de moeite waard om deze setup door te voeren? Ik kan prima uit de voeten met de Unifi Controller, ben ook wel bekend met Linux systemen, maar heb hier wel een duidelijke stappenplan bij nodig.

 

[SDeath]

Op zich werkt het prima, maar het heeft me niet de snelheidswinst opgeleverd die ik had gehoopt.
Ik haal op de UDM dezelfde snelheden als op mijn Windows server setup. Rond de 400-600mbps.
Dan heeft het voor mij weinig voordelen om het op de UDM te draaien, behalve dat IPv6 wel werkt op de UDM en (nog) niet op Windows met ICS.
Het beheren is dan makkelijker op een Windows machine, ipv de UDM.