Wireguard/PiVPN: wie VPN-IP am Mac/iPhone automatisch aktualisieren?

[heldausberlin]

Ich hab am Mac und iPhone eine dauerhafte VPN-Verbindung für alle DNS-Anfragen zu meinem Pi-hole zuhause, um auch unterwegs die Filter nutzen zu können.
Das ganze per DynDNS. Allerdings aktualisiert es sich nicht automatisch, wenn sich nach 24 h die IP meines Heimanschlusses geändert hat, so dass zwar am Mac und iPhone die VPN-Verbindung immer noch erfolgreich als aktiv gemeldet wird, aber kein Internetzugang möglich ist. Erst wenn ich VPN manuell de- und wieder aktiviere, geht es wieder.
Gibt es eine Möglichkeit, PiVPN oder die Clients so einzustellen, dass nach 24 (oder eine bestimmte Uhrzeit) automatisch aktualisiert wird?

 

[ElectricWizard]

Wireguard behält die IP-Adresse solange bis der Tunnel neu gestartet wird.
Einen automatischen Neustart könntest du z.B. per cron auf dem Server machen.

@daily /usr/bin/wg-quick down wg0 && /usr/bin/wg-quick up wg0

EDIT:
Das ist natürlich quatsch… Der Restart muss auf dem Client gemacht werden damit er die neue IP nimmt.
Sowas ist natürlich schwierig auf einem iPhone. Ich denke ich würde an deiner Stelle den Server bei einem günstigen Hoster mieten wo sich die IP nicht ändert.
Dann bist du all diese Probleme los.

 

[hutzi20]

Wieso gibst du dem Pi-hole nicht direkt eine dyndns Adresse? So könntest du ihn direkt als DNS angeben und müsstest nicht den Umweg über VPN ins Heimnetz und dann über lokale Adresse auf den pi-hole. Voraussetzung ist natürlich dass der pi-hole dann korrekt durch eine Firewall ect. geschützt

 

[ElectricWizard]

So wie ich das verstehe, soll der PiHole auch außerhalb des Heimnetzwerkes erreichbar sein.

 

[hutzi20]

Ja, das verstehe ich schon. Würde ihn dann direkt ins Netz stellen ohne VPN. Allerdings sollte man sich dann um die Sicherheit einen Kopf machen. Offene DNS Server werden im Netz schnell gefunden und sollten daher gut abgesichert sein. Ich glaube mich zu erinnern das pi-hole standardmäßig keine nennenswerten Schutzmaßnahmen enthalten hat. Wenn man das nicht kann, würde ich weiterhin mit der VPN Lösung arbeiten mit den Komforteinbußen des Neuverbindens.

EDIT: gerade nochmal nachgelesen: pi-hole = open resolver = nicht öffentlich ins Netz stellen

 

[heldausberlin]

Ja, genau.
Also Kurz:
Pi-hole hängt an der Fritzbox. Fritzbox hat DynDNS-Service eingerichtet. Ausgewählte Port-Weiterleitungen an den Raspi mit Pi-hole. Ist mir der sicherste Kompromiss.

Sehe das Problem aber eher bei Wireguard (als Client auf iPhone/Mac), das eine aktive Verbindung meldet, obwohl keine zustande kommt. Da ist die Frage, ob das jeweilige VPN-Profil eine Code-Zeile bekommen kann, die für eine Aktualisierung sorgt?

 

[ElectricWizard]

Auch wenn du einen dyn DNS-Dienst verwendest, um eine IP für Ihren WireGuard-Server zu bekommen, löst der WireGuard-Client diesen DNS-Record nur einmal beim Start auf.
Das bedeutet, dass du den WireGuard-Client jedes Mal neu starten musst, wenn sich die dynamische IP des Servers ändert.
Das kann WireGuard nicht von alleine.
https://lists.zx2c4.com/pipermail/wireguard/2017-November/002028.html
https://wiki.archlinux.org/title/WireGuard#Endpoint_with_changing_IP

 

[heldausberlin]

Okay, danke!
Hab mir das mal durchgelesen. Versteh ich das richtig, so ein Skript muss in diesem Fall auf dem Raspi installiert werden? Oder muss das auf jedem Client installiert werden?

 

[ElectricWizard]

Ich fürchte das muss auf dem Client passieren. Der muss ja die neue Adresse bekommen.
Habe aber leider keine Dev-Umgebung zum Testen parat.

Mein Lösungsvorschlag bleibt bestehen. Als VPN-Server eine 2-3€-VM mit fester IP mieten.

 

[drd[cc]]

Oder mal einfach bei seinem Internetprovider nachfragen, ob man keine feste IP optional dazu buchen kann.
Zumindest bei Business-Anschlüssen bieten das die meisten Provider inzwischen an.