Wie groß ist das Risiko, einen WireGuard Server zu hosten?

Ich überlege einen WireGuard Server zu hosten, um von unterwegs Zugriff auf mein Heim-Netz zu haben. Dafür muss ich natürlich einen Port öffnen. Wie groß ist das Risiko eines Angriffs?

Ich könnte den Server entweder auf dem Router (OpenWRT) hosten, oder auf einem anderen Gerät im Netz. Welche Variante würdet ihr vorziehen?

3 Antworten

MichaelK411

10.03.2023, 10:25

Diese 2 Pakete werden meines Wissens nach von einer sehr großen Community auf dem neuesten Stand gehalten.

Noch dazu die Art der Verbindung ja nicht ein stupide Passwort darstellt.

Jenachdem was du im Netzwerk erreichen willst und von welchem Gerät aus ist die Frage ob ein DynDNS auch Abhilfe schaffen kann.

Indem die IP. Adresse hinter eine Domain gepackt wird und aktualisiert wird stetig und die Domain in der whitelist für das Netzwerk steht.

Bei bestimmten Diensten funktioniert das ich weiß nicht ob auch in deinem Fall das funktioniert.

xxxcyberxxx

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Netzwerk

09.03.2023, 00:47

Wie groß ist das Risiko eines Angriffs?

Mit einem geöffneten Port öffnest du natürlich ein Tor, was genutzt werden kann.

Hingegen sind Lösungen wie WireGuard und OpenVPN Open Source und jeder hat prinzipiell jederzeit die Möglichkeit, die Sicherheit selbst zu überprüfen - und Fehler / Bugs können schnell geschlossen werden. Gerade bei den beiden genannten Lösungen hätte ich weniger Bedenken, wenn du sie immer Up-to-Date hältst

Ich könnte den Server entweder auf dem Router (OpenWRT) hosten, oder auf einem anderen Gerät im Netz. Welche Variante würdet ihr vorziehen?

ich habe in meinem Setup meine VPN-Server auf dem Router mitlaufen.

Woher ich das weiß:Hobby – Eigenes Homelab - Netzwerk, Firewall, Server, Domain usw.

Waldelb3

Fragesteller

09.03.2023, 00:49

Hingegen sind Lösungen wie WireGuard und OpenVPN Open Source und jeder hat prinzipiell jederzeit die Möglichkeit, die Sicherheit selbst zu überprüfen - und Fehler / Bugs können schnell geschlossen werden.

Gibt halt trotzdem 0-day Lücken... Das ist so meine große Sorge, die ich habe. Habe schon überlegt, ob es sinnvoll wäre, IPv6 statt IPv4 zu nutzen, weil da der Addressraum was größer ist, was brute-force Attacken unwahrscheinlicher machen sollte?

xxxcyberxxx

09.03.2023, 00:50

@Waldelb3

Habe schon überlegt, ob es sinnvoll wäre, IPv6 statt IPv4 zu nutzen, weil da der Addressraum was größer ist, was brute-force Attacken unwahrscheinlicher machen sollte?

Aus dem Grund würde es mMn weniger Sinn machen, auf IPv6 statt IPv4 zu setzen

Waldelb3

Fragesteller

09.03.2023, 00:51

@xxxcyberxxx

Warum?

xxxcyberxxx

09.03.2023, 01:00

@Waldelb3

Ein Brute-Force passiert ja nicht einfach so ins Leere. Angreifer vergewissern sich zuerst, dass ein Ziel antwortet - und das frisst so gut wie keine Ressourcen.

Ja, der Raum möglicher Adressen ist größer, aber irgendwann wirst du halt doch gefunden und angepingt.

Zudem, wenn du daheim hostest, wirst du wahrscheinlich Dyndns nutzen. Damit ist dann deine aktuelle IP öffentlich hinterlegt

Waldelb3

Fragesteller

09.03.2023, 01:07

@xxxcyberxxx

Ein Brute-Force passiert ja nicht einfach so ins Leere

Der IPv4-Raum ist halt nicht so groß, dass man da nicht einfach mal alles durchtesten könnte. Das passiert tatsächlich ständig.

Zudem, wenn du daheim hostest, wirst du wahrscheinlich Dyndns nutzen

Hatte überlegt, einfach jedes mal wenn ich eine neue IP kriege, die einfach manuell zu ändern.

xxxcyberxxx

09.03.2023, 01:11

@Waldelb3

Hatte überlegt, einfach jedes mal wenn ich eine neue IP kriege, die einfach manuell zu ändern.

Was meinst du mit "manuell ändern"? Du bekommst ja dann eine neue ... Vom Anbieter... Automatisch ...

Oder meinst du jetzt einen DNS-Eintrag? Wenn du mit der Downtime leben kannst, kannst du das bestimmt tun, aber für dein Problem ist es egal, ob du das Automatisch machen lässt oder nicht

Waldelb3

Fragesteller

09.03.2023, 01:19

@xxxcyberxxx

Was ich meine ist, dass ich dann ja keinen DNS-Eintrag brauche.

LUKEars

09.03.2023, 05:16

@Waldelb3

ja... haben wir auch mal so gemacht... da musste man dann ab und zu anrufen und nach der aktuellen WAN IP fragen...

zudem verwenden wir auch noch einen ungewöhnlichen Port... die Hacker gucken meist nur nach 1194... oder 5060... oder 80... oder 22... aber nie nach 48123...

jort93

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer, Internet

09.03.2023, 02:40

Das risiko ist eigentlich gleich 0.

Das gilt als sicher.

Wichtig ist dass du die software aktuell hälst, dass du da nicht jahre alte sicherheitslücken hast.

Klar gibt immer zero day exploits usw., aber dagegen kann man eigentlich nichts machen, außer dein rechner ist komplett offline...

Ähnliche Fragen

PFSense - Routing mit WireGuard?

Guten Tag,

ich habe einen Hetzner-Server mit PFSense und Proxmox. Alles schön und gut, läuft soweit. Jetzt möchte ich einen Server mit WireGuard anbinden. Die WireGuard-Verbindung steht, allerdings time ich aus, wenn ich eine Verbindung aufbauen möchte. Es lief einmal kurz, allerdings nach dem 2. Peer nicht mehr. Ich vermute, dass es am Routing liegt, allerdings habe ich davon keine Ahnung. Das Server-Netz hinter der PFSense hat das Subnet 10.10.1.0/24 und das Wireguard-Netz das Subnet 10.30.1.0/24. Welche Gateways/Routen muss ich an der PFSense anlegen, damit ich auf das Server-Netz hinter der PF zugreifen kann über WireGuard?

Danke für jede Hilfe!
LG

...zur Frage

IPs über wireguard nicht erreichbar?

Mein wireguard-server (wg-easy) hat in meinem Heimnetz die IP 192.168.178.11. Die conf-Dateien:

# Server
[Interface]
PrivateKey = <key>
Address = 10.8.0.1/24
ListenPort = 51820
PreUp = 
PostUp =  iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE; iptables -A INPUT -p udp -m udp --dport 51820 -j ACCEPT; iptables -A FORWARD -i wg0 -j ACCEPT; iptables -A FORWARD -o wg0 -j ACCEPT; 
PreDown = 
PostDown = 


# Client: iphone
[Peer]
PublicKey = <key>
PresharedKey = <key>
AllowedIPs = 10.8.0.2/32

Auf meinem iPhone, über Mobilfunk (sowohl Telekom als auch Vodafone Netz) kann ich eine Verbindung aufbauen und erreiche alle IPs. Auch, wenn ich mein iPad mit dem Hotspot verbunden habe und darauf den VPN aktiviert habe, konnte ich alle Geräte erreichen.

Wenn ich in einem anderen WLAN bin (auch 192.168.178.X), kann ich weiterhin eine Verbindung aufbauen und komme auch ins Internet. Allerdings erreiche ich die IPs nicht mehr. 192.168.178.11 (der wireguard-host) ist im Gastnetz z.B. nicht vergeben, kann aber trotzdem nicht gepingt werden.

...zur Frage

Wie kann ich eine Minecraft Server von einem PC hosten trotz IPv4 DS Lite?

Ich möchte einen Minecraft Server hosten von meinem PC aus über die FRITZ!Box die eine IPv4 DS Lite hat. Gibt es da eine einfache und kostenfrei Variante die auch ich als unerfahrener machen kann?

Auf dem Server sollten wenn möglich auch andere joinen können die kein IPv6 haben.

...zur Frage

VPN auf Host Adapter?

Hallo,

ich benutze eine VPN um mich auf meinen Nextcloud Server zu verbinden, der WireGuard Client läuft direkt auf dem Server.

Die VPN geht automatisch an, wenn ich mich nicht mehr in meinem Heim WLAN befinde, also Mobilfunk oder fremdes WLAN.

Daheim verbinde ich mich lokal auf die 192.168.1.200. Die IP vom Server.

Die IP vom VPN Netzwerk Adapter hat aber die 10.9.0.2.

Das Problem ist, dass ich mit der VPN Tunnel IP nicht auf die 192.168.1.200 zugreifen kann, da diese einen anderen IP Bereich hat. Und ich kann ja nicht immer die IP je nach Verbindung immer erneut anpassen.

Kann man den Traffic vom VPN Adapter irgendwie auf den lokalen Adapter routen? Bzw. wie kann ich die 192.168.1.200 (PC) von der 10.9.0.2 aus erreichen?

Zur Info: Der NextCloud Server also wo auch der VPN Client läuft ist ein Ubuntu 22.04.

Der WG Server läuft auf einem VPS bei Hetzner mit Debian 10.

Danke schon mal für alle Antworten!

VG Paul

...zur Frage

Wireguard funktioniert nicht richtig?

Hallo zusammen,

ich habe vor, einen privaten VPN Server über meinen Raspberry Pi zu hosten. Ich habe mich bereits informiert und würde dies gerne über PiVPN machen. Ich habe auf meinem Raspberry Pi alles notwendige eingerichtet und wollte nun als test auf meinem Laptop einen Tunnel starten. Dies wollte ich über Wireguard machen (habe wireguard schon beim setup von PiVPN angegeben). Jedoch kriege ich beim ersten starten nur die Fehlermeldung, dass Wireguard versucht einen unsignierten treiben zu laden oder so ähnlich. Beim anderen Veruchen den Tunnel zu starten kommt nur noch: Das angegebene Gerät muss wegen Hardwarefehlern neu initialisiert werden. Wie tue ich das?

...zur Frage

Docker Wireguard VPN?

Ich habe bei mir zuhause einen NUC mit Debian und Docker am laufen.

Auf dem Docker läuft ein Wireguard Server (weejewel/wg-easy). Zusätzlich habe ich einen Virtuellen Server bei 1blue. aktuell ist es so das sich der virtuelle Server als Wireguard Client fungiert und sich zu mir nach Hause verbindet. Wie bekomme ich es hin, dass ich von zuhause auf den virtuellen Server komme, ohne ein extra VPN.
Ich kann von dem virtuellen Server alles zuhause per Ping erreichen nur nicht von zuhause zum virtuellen Server. Habe schon eine Router in der Fritzbox gesetzt. Problem ist denke mal, das der Docker Host selber nicht das Netz kennt und deshalb nicht routen kann.

...zur Frage

Ubuntu Traffic auf IPv6 leiten?

Hallo,

ich habe einen virtuellen Server bei Strato mit Ubuntu 20.04 LTS und möchte wohl das der ganze Traffic der auf die IP-Adressen der VPS auf meine öffentliche IPv6-Adresse meiner FritzBox geleitet werden. Die Firewall der FritzBox sollte den Verkehr auf ungebetenen Ports ja blockieren. Ich habe Zuhause keine öffentliche IPv4 und wollte über die eben beschriebene Methode abhilfe schaffen um meine WireGuard verbindung zu nutzen. Da WireGuard aber zufällige Eingangsport wählt, kann ich die nicht alle manuell hinzufügen. Ich habe in der Vergangenheit 6tunnel verwendet z.B für SSH verbindungen etc. Gibt es eine möglichkeit alle Ports bis auf Port 22 auf meine FritzBox umzuleiten?

...zur Frage

SSH server - nur von lokalem Netz erreichbar?

Guten Abend,

ich (Anfänger) hatte vor mein Notebook (mit openSuse) als kleinen SSH-Server zu nutzen um unterwegs auf meinem Tablet programmieren zu können.

Die anfänglichen Tests liefen gut, aber als ich dann wirklich weg war und mein Tablet mittels mobilem Hotspot betrieben habe, konnte ich leider keine Verbindung einrichten. Wie sich herausstellte funktioniert es nur innerhalb meines lokalen Netzwerks.

Ich hab es mittels meiner lokalen IPv4 Addresse versucht, sowie meiner öffentlichen IPv4 und IPv6 Addresse. Mit der lokalen IPv4 und der öffentlichen IPv6 konnte ich über mein lokales Netz verbinden, mit der öffentlichen IPv4 wiederum nicht. Über das Internet ging es mit keiner der genannten Addressen. (Anm.: habe immer den Standardport verwendet und dieser müsste [laut verfolgter Anleitung] auch in der Firewall freigeschalten sein)

Was kann ich tun um dieses Problem zu lösen? Wäre port forwarding an meinem Router eine Option und was müsste ich dafür einstellen?

Über Antworten würde ich mich sehr freuen!

...zur Frage

Kennt sich jemand mit OpenWRT aus?

Ich habe nach einer Anleitung in der c‘t eine Fritzbox 4040 mit OpenWRT geflasht. Wenn ich aber jetzt probiere, sie mit meiner Heim-Fritzbox (7490) zu verbinden (und wenn ich meinen PC an der 4040 anstecke), komme ich zwar über die OpenWRT-Box ins Internet, kann aber die Fritzbox (fritz.box) nicht erreichen. Ebenfalls kann ich aus dem Netz der Fritzbox die 4040 nicht erreichen. Die 4040 wird jedoch als „OpenWRT“ in der 7490 erkannt. Wie kann ich das beheben?

...zur Frage

Port Freigabe für Website lädt nicht trotz offenem Port?

Ich betreibe mehrere Server bei mir daheim hab auch schon recht viel mit Port freigaben gemacht meine Ubuntu Server sind alle aus dem Netz erreichbar meine Game Server auch.

Ich wollte jetzt meine eigene Website hosten ich hab dann alles in Ubuntu eingerichtet und den Port 80 TCP in meiner FritzBox freigegeben dieser wird mir auch auf Open Port Checkern als Offen angezeigt. Im eigenen Netzwerk ist meine Website auch erreichbar aber sollte ich außerhalb meines Netzwerks versuchen auf diese Seite zuzugreifen lädt diese nicht.

Bitte um Hilfe Mit freundlichen Grüßen

...zur Frage

Fritz!Box Freigabe falscher Port?

Ich möchte einen CSGO Server hosten. Ich habe dies gemacht: TCP: An Gerät ,bis Port und Port extern gewünscht 27015 eingegeben. Das gleiche nur mit UDP nur anstatt 27015 habe ich 27031 eingegeben. Im Bild ist zu sehen das die IPV4 einen andere Port angeben wird

danke im vorraus

...zur Frage

Firewall umgehen mit Tunneling?

Wenn ich zum Beispiel Zuhause einen Server habe und möchte, dass andere Leute darauf zugreifen können, muss ich ja den Port im Router freigeben.

Aber wenn ich jetzt zum Beispiel auf dem Heimserver eine Website gehostet habe und ich nur möchte dass ich selber oder nur bestimmte Personen außerhalb des Netzwerkes darauf zugreifen kann, zum Beispiel von dem Handy aus in einem öffentlichen oder fremden WLAN Netzwerk, reicht es dann Tunneling zu benutzen?

Und kann man das auch auf andere Dinge übertragen, also dass man nicht nur eine Website besucht, sondern zum Beispiel auch einen eigenen VPN Service hat, mit dem man sich ins Heim Netzwerk verbinden kann?

...zur Frage

Minecraft Server hosten Probleme mit IPV4?

Ich habe einen PC, auf dem ICh einen Minecraft-Server hosten will. Ich habe leider das Problem, dass Ich meine Ipv4(die vom Router zuhause) nicht als Adresse nehmen kann, weil dann nur der Error **** FAILED TO BIND PORT kommt. mit Ipv6 kann Ich mich verbinden. Also wenn Ich in der Server.properties Datei die IPv6 reinschreibe...

Wenn Ich da die IPv4 von meinem Router nehme kommt der oben besagte Error.

...zur Frage

OPNSense OpenVPN | CA CRT und KEY Dateien erstellen... wie?

Moin Moin,

ich muss für meine Arbeit einen OpenVPN Server erstellen auf den sich dann Geräte der Marke Teltonika und InsysIcom verbinden. (Mobilfunkrouter)

Ziel ist es am ende mit Port-Weiterleitungen, die WebUIs der angeschlossenen Geräte zu erreichen.

Einen Wireguard Tunnel mit dieser Funktion habe ich schon realisiert.

(Tunnel-IP des Gerätes):(Eingestellter Port) --> Erreicht bestimmtes Gerät in dem Netzwerk des Routers.

Das ganze soll jetzt nur mit OpenVPN umgesetzt werden, da leider nicht alle Geräte die Wireguard funktion unterstützen vorallem diese InsysIcom nicht.

Jetzt ist dann nur die Frage wie ich das hinbekomme das ich von dem Server für jeden Client folgende Dateien erhalte:

CA.crt

Clientname.crt

.Key

Danke im vorraus

...zur Frage

Was möchtest Du wissen?

Deine Frage stellen