Server-Verstehen.de

Veröffentlicht von:

JanHill

OpenWRT auf einer KVM + WireGuard und Hetzner

JanHill

OpenWRT auf einer KVM + WireGuard und Hetzner

YouTube Tutorial

Herzlich willkommen zu einem neuen Tutorial 🙂

In diesem folgenden Beitrag lernen wir Folgendes:

  • Wir virtualisieren OpenWrt auf einer KVM
  • Dabei werden wir auch OpenWrt konfigurieren
  • Zudem werden wir über einen Cloud-Anbieter / Hetzner einen WireGuard Server deployen
  • Und werden unseren Tunnel Aufbau mit OpenWrt, mit NAT realisieren

Was gehört noch dazu?:

  • Wir werden als Zusatzerklärung via Gparted eine Partition erweitern für OpenWrt
  • Eine neue vmbrX erstellen innerhalb Proxmox für den Firewall Ausgang (LAN)
  • DHCP Server hierfür aktivieren
  • Wir beschäftigen uns mit den Firewall Zonen innerhalb OpenWrt
  • Pakete installieren in OpenWrt, um dies zu ermöglichen z.B luci-proto-wireguard

Das sind erstmal die ersten wichtigsten Schritte um das Resultat eines einfachen NAT VPN Systems zu ermöglichen. Dabei bekommen alle unter LAN_OUT die jeweiligen lokalen IP-Adressen zugewiesen (DHCPv4), die dann auch direkt zu den Hetzner VPN-Tunnel geroutet sind.

Hilfreiche Links für das Tutorial

Hier sind alle verfügbaren Links, die in diesem Tutorial vorkommen. Manche müssen aber als Werbung markiert sein.

1. KVM / VM erstellen und anpassen für OpenWrt

Wir laden zunächst das .img.gz Archiv herunter – Link im oberen Teil des Beitrags.

Bitte den Download am besten im Verzeichnis /root ablegen und in der Haupt Shell das ganze ausführen.

1. Wir wählen unter OS => Kein Medium
2. Unter Disk werden wir zunächst keine hinzufügen da wir die Disk manuell importieren.

Bei den anderen Bereichen wie CPU und RAM Einstellung könnt das ganze individuell anpassen. Aber ich kann euch vorab sagen das OpenWrt sehr Ressourcen sparend ist, 🙂 1024MB RAM und ein paar Cores werden selbst, das ganze schon meistern können.

Achtet aber darauf, die virtuelle Maschine noch nicht zu starten, da erst noch die .img File importiert werden muss und die Bootreihenfolge geändert werden muss.

Bash
qm importdisk <vmid> <source> <local>

Bitte vergisst nicht vmId → 119 ist NUR ein Beispiel, bitte diese ID zu eurer VM ID ersetzen. Auch local ist nur eine Vorlage, die Ihr auch ersetzen könnt. Es ist der Storage / Speicherort. Die Bezeichnungen findet Ihr in den Proxmox gemounteten Storage’s und diesen exakten Namen genauso eingeben eben wie der Storage benannt wurde in Proxmox. 🙂

Um nach den Import die Disk nutzen zu können: 1. Cache: Write through 2. Discard: ON 3. Hinzufügen klicken

Um nach dem Import die Disk nutzen zu können:

  1.  Cache: Write through
  2.  Discard: ON
  3.  Hinzufügen klicken
Jetzt die scsi0 hinter ide2 setzen fertig!

Bitte ladet euch für den zweiten Schritt jetzt Gparted herunter und lädt diese entweder selbst auf Proxmox hoch oder mit dem Proxmox Downloader direkt auf eine beliebige Storage. Gparted werden wir hierfür nutzen, um von 104MB rootfs Storage Speicher von OpenWRT auf 2GB zu vergrößern.

2. Gparted – OpenWrt Partition vergrößern

Bitte geht jetzt auf die jeweilige VM unter CDrom Laufwerk und mountet jetzt die frisch heruntergeladene Gparted.iso ein.

Bitte beachtet auch, dass ide2 auf die erste Bootreihenfolge während der Vergrößerung der Partition bleibt, um dann OpenWrt im Anschluss zu booten – sofern wir diese vorab aber partitioniert haben.

Wir wählen scsi0 aus gehen auf Disk aktion und Größe anpassen => 2GB
Jetzt wollen wir /dev/sda2 um satte 2GB komplett vergrößern
Jetzt übernehmen wir innerhalb Gparted die Änderungen und fertig!
Jetzt können wir bei der ide2/CDrom das Medium entfernen bzw. Kein Medium verwenden

3. Netzwerk Vorbereitung für OpenWrt

Wir haben mindestens zwei Schnittstellen, jeweils WAN und LAN. WAN bezieht das Internet von beispielsweise Hausrouter und OpenWrt (LAN – OUTPUT) erstellt ein neues eigenes sicheres LAN, wo in unserem ersten Tutorial hier das ganze vorab über Proxmox Host Aufteilung fungiert. Sagen wir die Linux Brücke vmbr2, da lauscht ein zweiter DHCP Server von OpenWrt. Dieser ist aber nur innerhalb des Hosts erreichbar, um andere Heimnetzwerke oder auch Online Server von Ihren Grundfunktionen nicht zu stören. Hier eine Modifikation die auch Proxmox annimmt um darauf auch LXC / VMs mit OpenWrt zu connecten.

3.1 OpenWrt manuelle temporäre IP Zuweisung

Bash
# Netzwerk [WAN Schnittstelle flushen]
ip addr flush dev br-lan
# WAN -> IPv4 zur Schnittstelle hinzufügen
ip addr add 192.168.8.100/24 dev br-lan

# Jetzt WAN -> Default Gateway Route setzen
ip r a default via 192.168.8.1 dev br-lan onlink 
# onlink nur bei unterschiedlichen Subnetz Bereichen nutzen

# Fertig!
# Dies ist im normalfall wenn alles im Anschluss in GUI nochmals dauerhaft eingetragen ist, nur einmalig der manuelle Prozess.
# Web-GUI ist unter https://192.168.8.100/ zu erreichen
# Nutzername: root
# Passwort: * von euch gesetzt *
Startmenü von OpenWRT

Achtung: Innerhalb der KVM Konsole ist ein nur Englisches Layout aktiv.

Bitte also auf eingaben achten bei der Tastatur.

Warnung: Bitte jetzt root Passwort setzen.

Bash
passwd

Jetzt könnt Ihr normalerweise innerhalb des WAN / Hausnetzes auf OpenWrt zugreifen.

3.2 Wir konfigurieren OpenWrt / Interfaces
Hier zu sehen die OpenWRT GUI
Wir gehen auf: Network => Interfaces => Devices
Jetzt löschen wir alle Interfaces und setzen unsere eigenen Einstellungen
eth0 => Erste Netzwerkkarte von Proxmox für WAN eth1 => zweite Netzwerkarte für LAN (vmbr2)
Für WAN hier meine Zusammenstellung => eth0 + Beispiel IP-Adressen
Unter erweitert, können wir was z.B für Software Updates wichtig ist, DNS Server setzen.
Hier setzen wir das Interface in die Firewall Zone (WAN)

INFO: Für WAN bitte keinen DHCP Server konfigurieren, das machen wir nur bei LAN Interfaces

10.15.0.1/24 – Diese Subnet Reihe würden alle Clients per NAT und DHCP bekommen
openwrt-lan-firewall-zone
Das LAN Interface kommt also nun in die Firewall Zone LAN.
openwrt-dhcp-lan-server
Jetzt aktivieren wir den DHCP Server für LAN
openwrt-wan-firewall-rule-adden
Unter Network => Firewall => Traffic Rules: Wir fügen die Regel für WAN Acces GUI / OpenWRT
Jetzt verbinde ich einen LXC Container mit OpenWRT (vmbr2)
Hier zu sehen via DHCP haben wir eine Lokale IPv4 zugewiesen bekommen

4. WireGuard auf OpenWrt

Jetzt können wir das Wireguard Protokoll nachinstallieren

Wir gehen dazu in OpenWrt auf: System → Software.

Und installieren das Paket: luci-proto-wireguard.

Beachtet hierfür, dass die ersten Updates von der Repository erfolgen.

Für jedes neues Protokoll Installation sei es WireGuard etc., empfehle ich die OpenWrt einmal neu-starten.

Dazu geht Ihr auf System → Reboot.

Bei der Hetzner Cloud können wir unter Apps einfach die Wireguard Installation mit ausführen
Jetzt erstellen wir einen A Record für das Wireguard UI Panel von Hetzner
Fertig! Jetzt können wir uns Anmelden.
Innerhalb der Wireguard UI können wir jetzt einen Peer erstellen
Jetzt in den Globalen Server Einstellungen => MTU 1420 setzen und danach übernehmen
Jetzt können wir in OpenWRT ein neues Interface „Wireguard VPN“ erstellen
Jetzt tragen wir PrivateKey, Public Key ein sowie die Lokalen VPN Adressen hier ein
Jetzt erstellen wir eine Firewall Zone namens „wireguard“
Jetzt erstellen wir einen peer in OpenWRT. Bitte auch hier von der Config die benötigten Daten eintragen
Jetzt nur noch die Zonen weiterleiten mit Masquerade und dann übernehmen.
Super! Wir haben erfolgreich eine Verbindung zu wireguard für alle Clients z.B im Subnet 10.15.0.0/24

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Toggle Dark Mode