USG en WireGuard (ssh in USG)

[pjdw]

Hi All,
Ik heb de controller voor mijn U-netwerk nu op een pi staan. Was ook bezig om daar WireGuard op te zetten (VPN).
Maar begrijp ik nu dat het ook gelijk op de USG kan?
Zie deze link
Heeft iemand hier ervaring mee?
Dank, Pieter

Edit:
Het is me in ieder geval gelukt om via ssh mijn USG te benaderen.
Heb wel zitten stoeien met de login. Het zouden de credentials van de controller moeten zijn, maar daar lukte het niet mee. Als hij nog niet geadopteerd zou zijn zou het ubnt/ubnt moeten zijn, maar dat was niet van toepassing.
Uiteindelijk vond in bij instellingen, Site helemaal onderaan bij apparaat authenticatie het wachtwoord
NB dit was dus niet mijn controller wachtwoord.

 

[mhriemers]

Hoi pjdw,

Ik ben hier toevallig gisteren uitgebreid mee bezig geweest. Is je doel om je apparaten vanaf een extern netwerk toegang te verschaffen tot je thuis netwerk of wil je site-to-site instellen? De guide die hier staat is in ieder geval een goed startpunt. In het geval van een normale VPN server moet je eerst een public/private key pair genereren voor de server:

wg genkey | tee /config/auth/wireguard/private-server.key | wg pubkey > /config/auth/wireguard/public-server.key

en daarna subsequent ook voor elk device dat je wilt verbinden:

wg genkey | tee /config/auth/wireguard/private-peer1.key | wg pubkey > /config/auth/wireguard/public-peer1.key

Daarna kun je het beste op je controller een config.gateway.conf maken onder /srv/unifi/data/sites/default/ (tenzij je meerdere sites hebt, dan in plaats van default je site id). Dit is het voorbeeld dat ik gebruik:

{
    "firewall":{
        "name":{
            "WAN_LOCAL":{
                "rule":{
                    "20":{
                        "action":"accept",
                        "description":"WireGuard",
                        "destination":{
                            "port":"51820"
                        },
                        "protocol":"udp"
                    }
                }
            }
        },
        "group":{
            "network-group":{
                "remote_user_vpn_network":{
                    "description":"Remote User VPN subnets",
                    "network":[
                        "10.0.10.0/24"
                    ]
                }
            }
        }
    },
    "interfaces":{
        "wireguard":{
            "wg0":{
                "address":[
                    "10.0.10.1/24"
                ],
                "firewall":{
                    "in":{
                        "name":"LAN_IN"
                    },
                    "local":{
                        "name":"LAN_LOCAL"
                    },
                    "out":{
                        "name":"LAN_OUT"
                    }
                },
                "listen-port":"51820",
                "mtu":"1492",
                "peer":[
                    {
                        "<public-peer1.key>":{ // handmatig invullen
                            "allowed-ips":[
                                "10.0.10.2/32" // ip adres van je peer op het interne netwerk, hier kun eventueel nog andere ip blocken aan toevoegen in het geval van site-to-site
                            ],
                            "persistent-keepalive":25
                        }
                    }
                ],
                "private-key": "/config/auth/wireguard/private-server.key",
                "route-allowed-ips":"true"
            }
        }
    }
}

Nu een provisioning triggeren van je security gateway via je unifi controller en de wireguard server zou moeten draaien. Nu nog een config maken voor je computer/iphone/ipad etc. Ik gebruik hier dit template voor:

[Interface]
Address = 10.0.10.2
PrivateKey = <private-peer1.key> # handmatig invullen
ListenPort = 51820
DNS = 10.0.0.1

[Peer]
PublicKey = <public-server.key> # handmatig invullen
Endpoint = <ip adres of domein server> # handmatig invullen
AllowedIPs = 0.0.0.0/0, ::/0 # welke ip blocken je over de tunnel wilt routen

Als je nog vragen hebt, stel ze gerust.

 

[Winehome]

Hoi @mhriemers ,

Dit onderwerp heeft ook mijn belangstelling, ik vroeg mij dan ook af of jij of anderen ook kijken naar de mogelijkheid naar VPN in de vorm van Private Internet Access. Mijn wens zou zijn om met behulp van een externe VPN-provider (vb NordVPN, Surfshark) mijn volledige netwerk achter de UDMp via VPN te laten verlopen.

https://github.com/tusc/wireguard-kmod#readme is een zeer interessant stuk toepassing, echter ik durf de stoute schoenen nog niet aan te trekken.

Iemand die het al heeft geprobeerd en bereid is om zijn ervaring te vermelden?

 

[Wimpie]

@Winehome , Kan je iets met het draadje van @Reddwarf (UDM-Pro-SE: cockpit & docker-ce geinstalleerd)?

 

[mhriemers]

Hoi @mhriemers ,

Dit onderwerp heeft ook mijn belangstelling, ik vroeg mij dan ook af of jij of anderen ook kijken naar de mogelijkheid naar VPN in de vorm van Private Internet Access. Mijn wens zou zijn om met behulp van een externe VPN-provider (vb NordVPN, Surfshark) mijn volledige netwerk achter de UDMp via VPN te laten verlopen.

https://github.com/tusc/wireguard-kmod#readme is een zeer interessant stuk toepassing, echter ik durf de stoute schoenen nog niet aan te trekken.

Iemand die het al heeft geprobeerd en bereid is om zijn ervaring te vermelden?

Moet zeker mogelijk zijn. De installatie van WireGuard staat daar uitgebreid beschreven. Voor de configuratie kun je mijn template gebruiken met de volgende aanpassing:

{
    "firewall":{
        "name":{
            "WAN_LOCAL":{
                "rule":{
                    "20":{
                        "action":"accept",
                        "description":"WireGuard",
                        "destination":{
                            "port":"51820"
                        },
                        "protocol":"udp"
                    }
                }
            }
        },
        "group":{
            "network-group":{
                "remote_user_vpn_network":{
                    "description":"Remote User VPN subnets",
                    "network":[
                        "10.0.10.0/24"
                    ]
                }
            }
        }
    },
    "interfaces":{
        "wireguard":{
            "wg0":{
                "address":[
                    "10.0.10.1/24"
                ],
                "firewall":{
                    "in":{
                        "name":"LAN_IN"
                    },
                    "local":{
                        "name":"LAN_LOCAL"
                    },
                    "out":{
                        "name":"LAN_OUT"
                    }
                },
                "listen-port":"51820",
                "mtu":"1492",
                "peer":[
                    {
                        "<public key Private Internet Access>":{
                            "allowed-ips":[
                                "0.0.0.0/0", // zorgt ervoor dat al het internet verkeer over deze tunnel gaat, kan specifieker (houd rekening met eventueel IPTV, etc.)
                                "::/0"
                            ],
                            "endpoint":"<domein PIA wireguard vpn server>:<port PIA wireguard vpn server>"
                            "persistent-keepalive":25
                        }
                    }
                ],
                "private-key": "/config/auth/wireguard/private-server.key",
                "route-allowed-ips":"true"
            }
        }
    }
}

De paden op de UDMp kunnen verschillen met die van de USG. Heb persoonlijk zelf nooit de behoefte gehad om alles over een VPN te routen. Je zou "allowed-ips" ook enkel als "10.0.10.2/32" kunnen definiëren en dynamische routering op basis van VLAN (o.i.d.) doen. De mogelijkheden zijn eindeloos.

 

[Reddwarf]

Jammer genoeg ondersteund de nieuwere hardware zoals de UDM, UDR etc de config.json niet meer. De USG en USG Pro gebruiken het router OS Vyatta.

Ik heb dus zelf wireguard draaien op de UDM SE onder een docker omgeving en na ik begreep moet dit ook mogelijk zijn met de UDM Pro die al draait op een podman omgeving.