Wireguard verbinding veilig?

[AnD]

Ik heb iets vreemd meegemaakt en zou eens willen horen wat jullie er van vinden.

Ik heb hier dus een Wireguard verbinding zodat ik met mijn smartphone kan inloggen op mijn thuisnetwerk zodat ik alles kan regelen.
De Wireguard verbinding is ingevoerd in m'n Fritzbox 7530, gegevens aangemaakt via ProtonVPN.

Gisteren om iets na 17:00 heb ik deze nog even aangehad en als die niet in gebruik is zet ik die uit.

Nu gisterenavond gaat buiten ineens een grote LED lamp aan die tegen het huis hangt.
Deze kan je aandoen met HomeAssistant want die is verbonden met een Zigbee relais
en in die relais zit ook een ontvanger zodat je die draadloos kan aandoen met een afstandsbediening.

Dus omdat ik zie dat die lamp ineens begint te branden, ga ik kijken in de logbestanden van HomeAssistant en
zie daar ook dat verschillende waardes van mijn robotstofzuiger zijn aangepast.

Daarna ga ik eens kijken in mijn Fritzbox en daar staat dan continue dat er een verbinding met Wireguard is opgezet en dan weer gecleared, maar de laatste is established.
Zover ik weet stond die verbinding naar Wireguard op m'n smartphone af en zeker op dat uur.
Ik dus gisterenavond toen ik dat zag m'n UTP kabel maar uitgetrokken uit de fritzbox die van m'n modem komt.

Nu ik terug ben van m'n werk heb ik die Wireguard verbinding maar uit mijn Fritzbox gegooid.

Maar zou het kunnen dat iemand toegang heeft verkregen?

Zie ook bijgevoegde screenshots

Homeassistant.png

Wireguard.png

[Data technicus]

Mss ook eens op tweakers horen.

[AnD]

Ja kan ik ook doen, maar ik weet dat hier ook veel mensen zijn die heel wat kennis hebben.

[Data technicus]

Controleer u log bestanden dan eens.

Screenshot_20250814_194053_Google.jpg

[AnD]

Ik vermoed dat dat op m'n Fritzbox dan is want op de website van Proton VPN zie ik niet veel staan (onder m'n account).
Eigenlijk niet echt een idee op welke server ik zo kan inloggen.

[devilkin]

Wireguard als protocol is veilig en geaudit.
De implementatie in een Fritzbox heb ik geen ervaring mee.
Het is me ook niet duidelijk wat protonvpn hierbij komt doen... je zet die vpn toch op tussen jouw smartphone en die fritzbox? Proton komt hier totaal niet in tussen zou ik denken?

[AnD]

Daar download ik dan een serverconfiguratie bestand dat ik moet instellen op m'n fritzbox.
Ik heb een screenshot erbij gedaan dan zie je het, maar je hebt wel gelijk.
Waarom doe ik dat via een derde? Omdat ik vroeger daar als eerste op uit kwam en dat ging totdat ik nu zo iets aan de hand heb denk ik dan.

protonwebsite.png

[devilkin]

Dus je gaat van je GSM -> Proton en van je F!B -> Proton - dus ProtonVPN als "middelman"?

Ik heb geen ervaring hoe hun service werkt, maar bestaat niet de kans dat wat er achter je F!B zet niet toegankelijk is voor gelijk wie ProtonVPN gebruikt?

[AnD]

Ja, inderdaad.
Maar waarom maken ze zo iets?

[Sasuke]

Goh, dit is exact hoe Cloudflare e.a. Zero-Trust / SASE providers ook werken, dus de setup an-sich is zeker niet verkeerd. Maar ben je zeker dat dat is hoe ProtonVPN gebruikt moet worden ?

Het lijkt me trouwens sterk dat iedereen vanaf ProtonVPN zo op jouw netwerk/fritbox kan, want dan zou elke ProtonVPN client defacto compromised zijn ...
Maar, je hebt gelijk dat het zeker iets vreemds is. Kan je bij ProtonVPN geen logs vinden ?

[AnD]

Nee ik heb al gezocht op hun website onder mijn account.
Ik zou echt niet weten waar ik nog moet gaan zoeken.
Had net wel iets gevonden dat je in de Fritzbox de Wireguard verbinding kon monitoren, maar ik heb die er volledig uitgegooid.

Edit: Ik begrijp het niet meer.
Net nog eens gekeken in de logs van de fritzbox en dan staat er weer:

Code: Selecteer alles

14.08.25 	20:06:44 	Established a successful WireGuard connection to the remote site "ProtonVPN" (212.8.250.217:51820).

Alhoewel ik er alles heb uitgeggooid van Wireguard en het hele VPN gedoe

[philippe_d]

Wireguard als protocol is veilig en geaudit.
De implementatie in een Fritzbox heb ik geen ervaring mee.

FritzBox Wireguard VPN kan je op 3 manieren gebruiken:

1. Fritz!Box als VPN server: hiermee kunnen clients een VPN verbining maken naar de Fritz!Box.
2. Fritz!Box als VPN client, die dan een verbinding maakt met een externe VPN server (zoals Proton VPN).
3. 2 Fritz!Boxen met elkaar verbinden, zodat ze één groot netwerk maken (toestellen van beide locaties zijn bereikbaar).

De set-up die @AnD hierboven beschrijft is dus optie 2 (Fritz!Box verbindt zich met de VPN server).
Wat hij nodig heeft is optie 1.

Het is me ook niet duidelijk wat protonvpn hierbij komt doen... je zet die vpn toch op tussen jouw smartphone en die fritzbox? Proton komt hier totaal niet in tussen zou ik denken?

Ik begrijp deze set-up ook niet, en geen idee hoe je via Proton VPN dan op je F!Box geraakt?

Ja, inderdaad.
Maar waarom maken ze zo iets?

De enige bedoeling om je Fritz!Box met een VPN server te verbinden is om je eigen IP te maskeren, of om kunnen surfen via een buitenlands IP.
Bijvoorbeeld om geolocatie restricties te vermijden.

Ik heb hier dus een Wireguard verbinding zodat ik met mijn smartphone kan inloggen op mijn thuisnetwerk zodat ik alles kan regelen.
De Wireguard verbinding is ingevoerd in m'n Fritzbox 7530, gegevens aangemaakt via ProtonVPN.

Dat laatste is toch niet nodig? Je kan gewoon je smartphone via Wireguard direct verbinden met je Frit!zBox!

• maak een myfritz account aan, of gebruik een dyndns account.
• In de FritzBox een VPN verbinding aanmaken: VPN (Wireguard) > Verbinding toevoegen > Enkel apparaat verbinden.
  Nu kan je een config bestand downloaden, of je gebruikt de QR code (deze QR code is éénmalig, en kan je achteraf niet terug genereren).
• Op je Smartphone Wireguard installeren > een nieuwe verbinding maken > QR code scannen
  Via de aan-uitschakelaar achter de naam van de VPN-verbinding kan je de verbinding maken/verbreken.

Jouw smartphone krijgt een intern IP adres van de Fritz!Box (vb 192.168.178.200) en je kan alles doen zoals je thuis met de WiFi zou verbonden zijn.

[CCatalyst]

Ja, is veilig.

Daarna ga ik eens kijken in mijn Fritzbox en daar staat dan continue dat er een verbinding met Wireguard is opgezet en dan weer gecleared, maar de laatste is established.
Zover ik weet stond die verbinding naar Wireguard op m'n smartphone af en zeker op dat uur.

Als je WireGuard-credentials gelekt zijn, kan iedereen binnen. Misschien heb je keys van een publieke tutorial gebruikt, of zit er malware op je smartphone (Android zeker?) die alle data doorgestuurd heeft. Het is zeer onwaarschijnlijk dat ProtonVPN zelf gehackt is, maar je maakt best je keys opnieuw aan (zelf, niet via ProtonVPN).

Check ook waar die WireGuard-verbinding vandaan komt - die info ontbreekt hier vreemd genoeg. Misschien is er niets gestolen en komt het van iemand die legitieme toegang heeft (partner, kinderen?). Of gewoon de app op je smartphone die in de achtergrond regelmatig verbinding maakt.

Dat iemand via WireGuard je stofzuigerinstellingen wijzigt, klinkt eerder als de buurjongen die je WiFi-PSK gekraakt heeft of binnenraakt via een Zigbee-beveiligingslek, dan als een echte hacker. Er zijn meer details nodig. Je ProtonVPN-config blijft wel verdacht (zie verder).

Alhoewel ik er alles heb uitgeggooid van Wireguard en het hele VPN gedoe

Reboot niet vergeten.

bestaat niet de kans dat wat er achter je F!B zet niet toegankelijk is voor gelijk wie ProtonVPN gebruikt?

Ik snap de rol van ProtonVPN niet. Bovendien zijn er blijkbaar alvast twee verschillende tunnels:

Established a successful WireGuard connection to the remote site "ProtonVPN"
Established a successful WireGuard connection to the remote site "PhoneHome"

Wat is dan precies de rol van die "ProtonVPN" tunnel als er ook een "PhoneHome" tunnel is? De "PhoneHome" tunnel is een tweede tunnel die opgezet wordt binnenin de "ProtonVPN" tunnel? Of de smartphone verbindt rechtstreeks met de router over "PhoneHome" en de "ProtonVPN" tunnel dient alleen maar on Netflix te kijken maar zou in principe dan wel als mogelijke attack vector vanaf ProtonVPN gebruikt kunnen zijn? En de config van de "PhoneHome" tunnel is gewoon copy/paste van de "ProtonVPN" tunnel waarbij enkel het IP van de server aangepast werd?

Nu, ik mag wel veronderstellen dat ProtonVPN verkeer per account isoleert, zoals @Sasuke ook reeds aanhaalde. Dat zou dus nog niet verklaren hoe er iemand binnengeraakt is via die manier - als dat al het geval is. Tenzij dan als we teruggaan naar wat ik eerst schreef: "Als je credentials gelekt zijn, kan iedereen binnen," maw iemand kon inloggen onder zijn account op ProtonVPN, en ProtonVPN plaatste die partij dan in hetzelfde overlay LAN als de router, en zo kon de partij lateraal in z'n thuisnetwerk. Maar zonder ProtonVPN logs is dit vooral flinke speculatie. Naar ik begrijp is het ook de "PhoneHome" tunnel die verdacht is, en niet de "ProtonVPN" tunnel.

[AnD]

Die ProtonVPN regel die ik het laatst heb gepost was dus een VPN verbinding die ook nog in de Fritzbox stond.
Met mijn domme kop heb ik die terug aangezet om te kijken of dat nog ging en daarom stond dat er ineens tussen in de log,
dat kan genegeerd worden, die heb ik er ook trouwens uitgegooid want dat ging niet meer en heb dat eigenlijk ook nooit gebruikt.

Wat ik nu gedaan heb is @philippe_d zijn raad opgevolgd.
En ik begrijp nog altijd niet waarom ik toen blindelings één of andere tutorial heb gevolgd want het is gewoon stap per stap volgen. Heb er ook screenshots van gemaakt zodat andere mensen dit zien voordat ze eraan beginnen, alleen van de Wireguard app heb ik er geen gemaakt dat wijst zijn eigen ook wel uit. (Wel spijtig dat ik maar 5 screenshots kan uploaden, had er in totaal 8 dan was het nog gedetailleerder).
Ervoor toen ik het oude systeem gebruikte kreeg ik thans ook een ip adres en was het net alsof mijn telefoon in het netwerk zat. En volgens mij zat dat er met die QR code toen ook nog niet in, nu wel wat nog handiger is.
Maar soit, deze nieuwe methode is veel beter.
Stap1:

Stap1.png

Stap2:

Stap2.png

Stap3:

Stap3.png

Stap4

Stap4.png

Stap5:

Stap5.png

Ik ga het nog wat in het oog houden of hier nog vreemde zaken gebeuren en regelmatig eens door de log bestanden gaan.
Aan allen bedankt om mee te denken en voor de goede tips!

[Flippi]

FritzBox Wireguard VPN kan je op 3 manieren gebruiken:

1. Fritz!Box als VPN server: hiermee kunnen clients een VPN verbining maken naar de Fritz!Box.
2. Fritz!Box als VPN client, die dan een verbinding maakt met een externe VPN server (zoals Proton VPN).
3. 2 Fritz!Boxen met elkaar verbinden, zodat ze één groot netwerk maken (toestellen van beide locaties zijn bereikbaar).

De set-up die @AnD hierboven beschrijft is dus optie 2 (Fritz!Box verbindt zich met de VPN server).
Wat hij nodig heeft is optie 1.

Is ook de combinatie van 1 én 2 mogelijk met Wireguard?

Ik snap de rol van ProtonVPN niet.

Misschien wil hij met zijn smartphone connecteren met zijn thuisnetwerk en tegelijkertijd voor het surfen zijn IP maskeren door Proton te gebruiken?
Geen idee hoe je dit opzet met Wireguard, maar ik heb dit hier zo werken via OpenVPN op een Raspberry Pi.

[devilkin]

Is ook de combinatie van 1 én 2 mogelijk met Wireguard?

Ik heb iets gelijkaardigs opgezet, heb je wel 2 wireguard tunnels voor nodig:

Tunnel 1: WG als server op VPS/F!B/..., client op je smartphone. Alles routeren naar die server.
Tunnel 2: WG als client op VPS/F!B/... en alle publieke traffic richting bvb ProtonVPN server sturen

Vereist wel dat je de nodige routing gaat instellen op je tussenstation

Ik route als ik niet thuis ben alles naar een VPS en van daar het internet op, en voor m'n thuisnetwerk is er een tunnel tussen die VPS en m'n OPNsense router.

[iamborg]

Zie ook bijgevoegde screenshots
Homeassistant.png
Wireguard.png

Ik denk niet dat iemand toegang gekregen heeft tot jouw HA instance. Wat er eerder gebeurd is, denk ik, gezien alles op hetzelfde moment gebeurd is in HA volgens jouw screenshot is dat jouw HA herstart is, of een integratie automatisch herstart werd.
De logs van HA (per entiteit) zijn daar niet altijd duidelijk in. Vaak zie ik zulke log entries in mijn HA na een reboot of als ik een integratie herlaad (in de log van de entiteit zie je niet dat je de integratie herstart hebt, enkel de status van de entiteit als HA de status terug uitleest of binnen krijgt, en dan nog met 'changed to' of 'gewijzigd naar'. Op z'n minst verwarrend.

Hoe benader je HA vanaf je GSM? Zou het kunnen dat de VPN logs gewoon aantonen dat jouw GSM iedere keer als de HA companion app de VPN verbinding opzet, en even later verbreekt (voor background updates, zoals locatie en status vanuint de HA Companion App)?

P.

[AnD]

Als ik de HA app gebruik en ik ben niet thuis zet ik altijd de Wireguard verbinding zelf aan
en dus achteraf ook weer zelf uit. Als ik thuis ben zit ik op m'n wifi waardoor dat niet nodig is.

Het zou inderdaad kunnen dat het verschillende zaken tegelijk waren,
daardoor zag ik wel dat er een wireguard verbinding is opgezet geweest en weer verbroken etc.

[iamborg]

Zeker dat de HA app jouw wireless verbinding gebruikt? Kijk dit toch eens na in instellingen of you HA app wel degelijk verbonden is via 'internal url' en dat je VPN verbinding niet 'on demand' geconfigureerd is (been there, done that...)

P.

[AnD]

Heb de wifi uitgezet op m'n telefoon, dan krijg ik volgende melding:

Screenshot_20250815-142246.Home Assistant.png

[iamborg]

Vreemd... vermits je over de externe URL gaat zou het over 5G ook moeten lukken, mits je VPN aan staat.
Wat zie je als je op 'instellingen' klikt?

[AnD]

De instellingen van de companion app zie ik dan als ik op instellingen druk.

[Joe de Mannen]

Is het probleem niet 'gewoon' dat jij verbinding maakt met de 'middleman' en je netwerk dat ook doet, ipv jij direct met je netwerk ?
Als die verbinding van je netwerk dan blijft open staan, lijkt het mij normaal dat je die in je logs ziet.
Of sla ik de bal mis en heb ik een stuk gemist ?

J.

[CCatalyst]

En ik begrijp nog altijd niet waarom ik toen blindelings één of andere tutorial heb gevolgd

Inclusief keys die ze in de tutorial gebruikten gekopieerd? Aka keys die publiek bekend zijn gebruikt?

Nog altijd geen verklaring voor de lamp die begon te branden. Dat van die stofzuiger schrijf ik af.

[AnD]

Zover ik me nog kan herinneren want het is al redelijk lang geleden heb ik alleen dat bestand aangemaakt op de website van Proton VPN en de gegevens van dat bestand overgenomen. Het is niet dat ik het via deze methode nog maar een paar maanden aan het gebruiken ben, het is al langer.
Via de wifi sluit ik ook uit zo goed als uit, de buren alhoewel het er maar twee zijn, zijn totaal niet mee met het informaticatijdperk, maar alles is inderdaad wel te hacken.