WireGuard der Nerdtunnel

[Hightech]

Moinsen.
Ich hab ja einen Wireguard Netzwerktunnel gebastelt und frage mich, was ich da eigentlich getan habe und ob das alles so ist wie ich mir das gedacht habe.

Die Clients hinter der Fritzbox will ich von außen erreichen und die sollen aber nicht über den Tunnel ins Internet.
Den DNS bekommen die von der Fitzbox mitgeteilt, der läuft über einen PiHole auf der .100
Das Iphone soll über den Tunnel alle Clients erreichen und soll über Mein_Server die DNS Abfragen machen, damit ich auch hier über den PiHole DNS bekomme.
Dazu läuft auf dem Mein_Server auch ein PiHole auf das wg0 Interface.
Das Iphone tunnelt den Internet Traffic aber über den Mein_Server, weil ich ja da unter AllowedIps 0.0.0.0/0 eingetragen habe.
Die anderen Clients machen den Internet Traffic aber über den normalen Weg über die FritzBox, da dort unter AllowedIps nur der Mein_Server eingetragen ist und dort nur die Anfragen mit den 192.168.206.x erlaubt sind.
Ist das so korrekt?

Extrapunkte gibt es für die Antwort auf folgende Frage:
Wie kann ich Clients von außen erreichen, wenn ich die nicht in den Tunnel bekomme, weil ich da kein Wireguard drauf installieren kann.
Kann ich auf Client2 z.B eine Route oder sowas installieren, die eine Anfrage auf 192.168.1.123 umleitet auf 192.168.206.123?

[Thorhall]

Moinsen.
Ist das so korrekt?

Ja.

Extrapunkte gibt es für die Antwort auf folgende Frage:
Wie kann ich Clients von außen erreichen, wenn ich die nicht in den Tunnel bekomme, weil ich da kein Wireguard drauf installieren kann.
Kann ich auf Client2 z.B eine Route oder sowas installieren, die eine Anfrage auf 192.168.1.123 umleitet auf 192.168.206.123?

Das verstehe ich nicht so ganz.
Das 192.168.206./0/24 ist doch das Tunnel/Transfernetz.
IPs in dem Netz kannst du nur erreichen, wenn du ein Interface in dem Tunnel hast.
Es gibt natürlich nachvollziehbare Gründe, warum man nicht wireguard nutzen möchte (Windows!).
EDIT/Nachdenk:
Ach so nun verstehe ich.
Es gibt also hypothetisch noch einen weiteren Client. Der soll dann über Client2 mit dem Tunnel kommunizieren.
Man könnte auf dem Client2 ein NAT machen, und auf dem hypo Client eine route ins entsprechende Netz eintragen.
Aber einfach zu debuggen ist das im Fehlerfall nicht.

Micha

[Hightech]

Hat jemand eine Idee, wie ich den Wireguard auf dem Bananapi installiert bekommen, irgendwie geht das nicht.
Zum selber compilieren fehlen zudem die linux-headers-3.10.108-BPI-M2U-Kernel.
Wenn ich es mit apt installiere mit den unstable debian packages, kommt der Speicherzuordnungsfehler.
Ich hab echt schon alles versucht.
Ich kaufe nie wieder eine Banana.

[Thorhall]

Mit dem Banana selbst habe ich gar keine Erfahrung.
Ich denke aber, dass das compilieren auf dem Ding ewig dauern wird.
Habe ich da bei Linux nie mit beschäftigt, aber auf NetBSD konnte man wunderbar crosscompilen und das binary dann auf dem leistungsschwachen Rechner installieren...
Könnte man sich ja mal mit beschäfigen, einen crosscompiler für die ganzen Kleinstrechner aufbauen...

Micha

[Jannyboy]

Hat jemand eine Idee, wie ich den Wireguard auf dem Bananapi installiert bekommen, irgendwie geht das nicht.
Zum selber compilieren fehlen zudem die linux-headers-3.10.108-BPI-M2U-Kernel.
Wenn ich es mit apt installiere mit den unstable debian packages, kommt der Speicherzuordnungsfehler.
Ich hab echt schon alles versucht.
Ich kaufe nie wieder eine Banana.

Ich habe letztens das aktuelle yocto Zeus (04.2020) auf den Bananen-Rechner M2+ portiert.
Die Kiste bootet von SD-Card und eMMC... Ethernet und Wifi gehen.... USB auch und ich habe den Prozessor (600MHz im Idle) gedrosselt und 2 von 4 Kernen abgeschaltet. (Das lässt sich problemlos rückgängig machen).
Wenn du ein Image(250MB) oder das Rezeptbuch haben willst... einfach melden.
Die vorcompilierte Buildroot wird schwieriger. Das sind dann über 100GB.

Grüße Jan

[Landjunge]

Würde man das alles nicht mit einer pfsense realisieren können?