Das geht leider nicht Docker verwendet den Kernel der VU und reichbt quasi die Befehle zum Container durch
Wiregurad ist deshalb wohl nicht möglich das linken funktioniert nicht (hab ich gehört)
Aus diesem Grund hab ich mich gestern an ein ZeroTier Paket gewagt

Das geht noch aus einem anderen Grund nicht (überall bzw. auf allen Boxen); Docker benutzt das overlayfs, und das ist nur in den neueren von den Vu's benutzten Kernel wenigstens theoretisch verfügbar - auf meiner Solo4k hätte ich damit kein Glück:

Wikipedia schrieb:

It [overlayfs] was merged into the Linux kernel mainline in 2014, in kernel version 3.18. It was improved in version 4.0, bringing improvements necessary for e.g. the overlay2 storage driver in Docker.

Bei WireGuard müsste jemand noch einmal in einer echten Build-Umgebung für das Original-Image von Vuplus schauen, ob man das als externes Modul hinzugefügt bekommt. So wie es aussieht, ist das im OATV erfolgreich gebaut worden. Ich werde mir das Modul mal irgendwann von da holen und schauen, ob das läuft. Sollte eigentlich, da der Kernel der gleiche ist.

Mit dem Compiler auf der Box hatte ich keinen Erfolg. Meine Vermutung ist inzwischen, dass mein Compiler zu neu ist. In 2014 war glaube ich der gcc-4.9.x akuell, und der Linux-Kernel hat an ein paar wenigen Stellen Abhängigkeiten, mit welchem Compiler er übersetzt wird. Ich kann zwar Kernel-Module übersetzen, nur lassen die sich nicht laden.

Auch auf die gefahr hin das ich gehauen werde warum nimmt man nicht einfach die Userspace variante?
Ja Userspace ist theoretisch inperformanter aber bei einem VPN Modul ist der limitierende Faktor mit Sicherheit der Upload

ich hab mir mal das OATV Image angeschaut in /lib/modules sehne ich da nix von Wireguard

hier ist jedenfalls die Wireguard Implemenation in Rust zu finden

GitHub - cloudflare/boringtun: Userspace WireGuard® Implementation in Rust
Nur so als Idee

Hast bei OATV auf dem Feed nachgeschaut? Für die Solo4k sollte es dort ein kernel-module-wireguard geben. Außerdem ein Paket namens wireguard-tools.

Wenn du jetzt noch einen Rust-Compiler hast, probiere ich auch die Userspace-Variante mal

Edit: jedenfalls gab es dort mal ein Modul kernel-module-wireguard, ich finde es auch nicht mehr.
Einen Rust-Compiler konnte ich installieren, nur steigt boringtun auf der Solo4k beim Start mit einer Fehlermeldung aus.

Wie lautet den die Fehlermeldung?

Failed to initialize tunnel: IOCtl("Invalid argument")

Invalid Argument deutet eher auf falsche Config hin würde ich tippen aber super wie weit du schon bist
Was spuckt

boringtun --verbosity debug wg0

aus

aber @vfb4ever testet ja schon ZeroTier mit mir sollten wir nicht erst ein IPK Paket fertig machen bevor wir die nächste VPN Lösung bauen ?

Das Problem ist der Kernel der Vu relativ alt, das weißt du ja selbst
Wiregurad ist ziemlich neu
Ich kann mir gut vorstellen das einfach gewisse Abhänigkeiten nicht passen
Wenn Wiregurad gewünscht und das ist es gefühlt vom halben Internet dann muss man auf Userspace implementierungen setzen

Ich muss glaube ich mal den Raspi aus der Kiste kramen

Edit hgdo: Bitte nicht mehrere Beiträge hintereinander erstellen. Du kannst einen Beitrag 3 Stunden lang bearbeiten und ergänzen.

Für die Solo4k habe ich es jetzt geschafft, ein Wireguard-Kernel-Modul zu bauen, das sich auch laden lässt:

# dmesg | tail -2

[22856.379999] wireguard: WireGuard 1.0.20210606-4-g7725610 loaded. See wireguard.com for information.
[22856.380017] wireguard: Copyright (C) 2015-2019 Jason A. Donenfeld <Jason@zx2c4.com>. All Rights Reserved.

Der Trick ist, dass im (bisher nicht existierenden) linux/source/include/linux/compiler-gcc11.h (ich benutze den GCC-11) fehlende Macros definiert werden müssen - insbesondere das Macro "__used" wird unbedingt benötigt, damit die Kernel-Modul-Informationen nicht einfach vom Compiler wegoptimiert werden.

Ich werde die Tage mal ein bisschen mit Wireguard experimentieren.

Das Modul sollte auch mit den Boxen Uno4k (nicht Uno4kSE) und Ultimo4k funktionieren, da alle drei den selben Kernel 3.14.28 benutzen.

Edit: leider Kernel-Dumps. Ich geb es auf, mit der Solo4k Wireguard benutzen zu wollen.

Sehr cool verdamit gut recherchiert

Ich hab "leider" den SE und folglich den 4.1.20-1.9
Macht es sinn einen so neuen Compiler zu verwenden wenn man Module für so alte Kernel bauen möchte?
Da kenn ich mich leider nicht aus
Ich weiss nur das neuer nicht immer besser ist gerade im embedded bereich

Aber es war nur eine Idee

Ich weiß es auch nicht besser. Am Ende ist der Kernel aber auch nur ein riesige Sammlung von C-Files, die von einem Compiler in Objekt-Code für den Prozessor übersetzt werden. Klar kann es zu Inkompatibilitäten kommen (deswegen existieren unter anderem die "compiler-xxx.h" Files). Aber ich hab grad außer in der Build-Umgebung für Vuplus keinen so alten Compiler mehr. Und nicht existierende Kernel-Module mit bitbake zu bauen ist echt kein Spass.

Ich werde einfach weiter mit dem Raspi und Wireguard spielen.

Hagelsturm47 schrieb:

aber @vfb4ever testet ja schon ZeroTier mit mir

Wireguard läuft bei mir auf einem OpenMediaVault Server im Docker, alle meine mobilen/externen Clients greifen darüber auf unser Heimnetz zu. Da wäre es halt geschickt gewesen wenn man die externen Boxen der Family hätte mit einbinden können.
Aber egal, ZeroTier läuft soweit stabil, ist schnell eingerichtet und es gibt Cients für fast alle OS. Die Performance ist mit der von Wireguard vergleichbar. RemoteStreaming (HD Content) von einem VDSL100/40 zu einem VDSL50/10 Anschluß ist kein Problem
funktioniert ohne Ruckler. Man ist halt nicht wie bei Wireguard oder OpenVPN autark, sondern benötigt zum Verbindungsaufbau (nicht für den Datenverkehr! der läuft dann verschlüsselt direkt zwischen den Clients) einen Verbindungsserver vom Anbieter der die Clients verwaltet.
Hat aber auch den Vorteil das man keine Ports am Router öffnen muss, oder einen DynDns Service benötigt. Also wer damit leben kann findet mit ZeroTier eine gute Alternative zu Wireguard.

vfb4ever schrieb:

Hagelsturm47 schrieb:

aber @vfb4ever testet ja schon ZeroTier mit mir

Hat aber auch den Vorteil das man keine Ports am Router öffnen muss, oder einen DynDns Service benötigt. Also wer damit leben kann findet mit ZeroTier eine gute Alternative zu Wireguard.

Das war der Grund weshalb ich mich für ZeroTier entschieden habe ich persönlich kann Portforwarding machen und habe auch ein Strongswan am laufen aber bei manchen soll oder muss es halt ohne zusätzliche Hardware laufen (meine Eltern)

Den Verbindungsserver (auch Controller genannt) kann man übrigens auch selber hosten so dass man keine fremde Infrastruktur dazwischen hat aber wie du ja schon richtig beschrieben hast ist es nur der Verbindungsaufbau
Kannst du nicht ZeroTier einfach auf den OpenMediaVault Server packen und dann hast du eine VPN Client die Netze von Zerotier und Wiregusard einfach via Iptables forwarden?

Wireguard Modul
Ab Sofort geht es hier weiter