Direkt zum Hauptinhalt

Einrichtung

Beschreibung:

Wireguardproxy, dient dazu einen wirguardclient über http zu tunnel.
Das bedueted auf dem Client Rechner läuft ein bridge Client (Der braucht keine Admin rechte) der den wireguard traffic in den http tunnel jagt. und der Server nimm den traffic an und leitet ihn an den wireguard Server weiter.
Der eigetliche wireguard client hat dann als IP Adresse nicht mehr den wireguard Server sondern 127.0.0.1 nämlich den Client rechner weil auf dem gleichen port der http proxy client lauscht

Verbindungsschema

Echte Wireguard Client (127.0.0.1:51820) -> HTTP PROXY_CLIENT_LOKAL -> Internet -> HTTP_PROXY_SERVER -> echter wireguard Server (127.0.0.1:51820)

Installtion Docker container:

Dieser braucht keinerlei Konfiguration.
Einfach auf dem wirgeuard Server starten fertig.

Download docker-compose Datei : docker-compose.yml
und Dockerfile : Dockerfile

Docker compose 

services:
  wstunnel:
    build: .
    image: wstunnel-custom
    container_name: wstunnel
    restart: unless-stopped
    network_mode: host
    # Laeuft als root -> darf Port 443 binden
    # Kein Gefummel mit Entrypoint oder Capabilities noetig
    # network_mode: host wird benötigt damit wstunnel
    # den WireGuard Port auf localhost erreichen kann (127.0.0.1:51820)

Dockerfile:

FROM debian:bookworm-slim

ARG TARGETARCH
ENV DEBIAN_FRONTEND=noninteractive

# curl fuer den Download, ca-certificates fuer HTTPS
RUN apt-get update && \
    apt-get install -y --no-install-recommends curl ca-certificates tar && \
    rm -rf /var/lib/apt/lists/*

# Aktuelle Version von GitHub API ermitteln und Binary herunterladen
RUN set -eux; \
    VERSION=$(curl -fsSL https://api.github.com/repos/erebe/wstunnel/releases/latest \
        | grep '"tag_name"' | sed 's/.*"tag_name": *"\([^"]*\)".*/\1/'); \
    VERNUM="${VERSION#v}"; \
    case "$(uname -m)" in \
        x86_64)  ARCH="amd64" ;; \
        aarch64) ARCH="arm64" ;; \
        armv7*)  ARCH="armv7" ;; \
        *)       echo "Unsupported arch: $(uname -m)"; exit 1 ;; \
    esac; \
    echo "Downloading wstunnel ${VERSION} for ${ARCH}..."; \
    curl -fsSL "https://github.com/erebe/wstunnel/releases/download/${VERSION}/wstunnel_${VERNUM}_linux_${ARCH}.tar.gz" \
        | tar -xz -C /usr/local/bin wstunnel; \
    chmod +x /usr/local/bin/wstunnel; \
    wstunnel --version

EXPOSE 443

ENTRYPOINT ["/usr/local/bin/wstunnel"]
CMD ["server", "--restrict-to", "127.0.0.1:51820", "wss://0.0.0.0:443"]

 

Proxy Client installtion:

Windows:

Hier den Servernamen und die IPs anpassen
Download bat : start_wstunnel.bat

@echo off
setlocal enabledelayedexpansion
:: ============================================================
::  wstunnel Client - WireGuard over WebSocket
::  Anpassen: PROXY_SERVER = Domainname eures wstunnel-Servers
:: ============================================================

set PROXY_SERVER=vpn.example.com

:: Lokaler UDP Port fuer WireGuard (muss mit WG Endpoint uebereinstimmen)
set LOCAL_WG_PORT=51820

:: Remote WireGuard Port auf dem Server
set REMOTE_WG_PORT=51820

:: wstunnel Binary
set WSTUNNEL=%~dp0wstunnel.exe

:: GitHub Download URL (latest release, Windows x64)
set DOWNLOAD_URL=https://github.com/erebe/wstunnel/releases/latest/download/wstunnel_x86_64-pc-windows-msvc.exe

:: ============================================================

echo.
echo  ############################################
echo   wstunnel WireGuard Proxy
echo  ############################################
echo.
echo  Server : %PROXY_SERVER%
echo  Tunnel : UDP localhost:%LOCAL_WG_PORT% --^> %PROXY_SERVER%:%REMOTE_WG_PORT%
echo.

:: --- Pruefen ob wstunnel.exe vorhanden ---
if exist "%WSTUNNEL%" goto :start

echo  [!] wstunnel.exe nicht gefunden.
echo  [*] Versuche automatischen Download via wget...
echo.

:: wget verfuegbar?
where wget >nul 2>&1
if %errorlevel% neq 0 (
    echo  [!] wget nicht gefunden. Versuche PowerShell...
    goto :download_ps
)

wget --no-check-certificate -q --show-progress -O "%WSTUNNEL%" "%DOWNLOAD_URL%"
if %errorlevel% neq 0 (
    echo  [!] wget Download fehlgeschlagen. Versuche PowerShell...
    goto :download_ps
)
goto :download_ok

:download_ps
echo  [*] Lade via PowerShell (Invoke-WebRequest)...
powershell -NoProfile -Command ^
  "Invoke-WebRequest -Uri '%DOWNLOAD_URL%' -OutFile '%WSTUNNEL%' -UseBasicParsing"
if %errorlevel% neq 0 (
    echo.
    echo  [FEHLER] Download fehlgeschlagen!
    echo  Bitte manuell herunterladen:
    echo  %DOWNLOAD_URL%
    echo  und als wstunnel.exe in diesen Ordner legen.
    echo.
    pause
    exit /b 1
)

:download_ok
if not exist "%WSTUNNEL%" (
    echo  [FEHLER] wstunnel.exe nach Download nicht gefunden!
    pause
    exit /b 1
)
echo  [OK] wstunnel.exe erfolgreich heruntergeladen.
echo.

:start
echo  Bitte WireGuard Endpoint auf 127.0.0.1:%LOCAL_WG_PORT% setzen!
echo  Fenster offen lassen solange VPN aktiv ist.
echo.
pause

"%WSTUNNEL%" client ^
  -L "udp://%LOCAL_WG_PORT%:127.0.0.1:%REMOTE_WG_PORT%?timeout_sec=0" ^
  "wss://%PROXY_SERVER%:443"

echo.
echo  wstunnel beendet.
pause

Linux:

Hier den Servernamen und die IPs anpassen
Download bat : start_wstunnel.sh

#!/bin/bash
# ============================================================
#  wstunnel Client - WireGuard over WebSocket
#  Anpassen: PROXY_SERVER = Domainname eures wstunnel-Servers
# ============================================================

PROXY_SERVER="vpn.example.com"

# Lokaler UDP Port fuer WireGuard (muss mit WG Endpoint uebereinstimmen)
LOCAL_WG_PORT=51820

# Remote WireGuard Port auf dem Server
REMOTE_WG_PORT=51820

# wstunnel Binary (im selben Ordner oder im PATH)
WSTUNNEL="wstunnel"

# ============================================================

# Farben
RED='\033[0;31m'
GREEN='\033[0;32m'
YELLOW='\033[1;33m'
NC='\033[0m'

echo ""
echo -e "${GREEN} *** wstunnel WireGuard Proxy ***${NC}"
echo -e " Server : ${YELLOW}${PROXY_SERVER}${NC}"
echo -e " Tunnel : UDP localhost:${LOCAL_WG_PORT} --> ${PROXY_SERVER}:${REMOTE_WG_PORT}"
echo ""
echo -e "${YELLOW} Bitte WireGuard Endpoint auf 127.0.0.1:${LOCAL_WG_PORT} setzen!${NC}"
echo " Skript laufen lassen solange VPN aktiv ist."
echo ""

# Pruefen ob wstunnel vorhanden
if ! command -v "$WSTUNNEL" &>/dev/null && [ ! -f "./$WSTUNNEL" ]; then
    echo -e "${RED} FEHLER: wstunnel nicht gefunden!${NC}"
    echo " Download: https://github.com/erebe/wstunnel/releases"
    echo " Binary nach /usr/local/bin/wstunnel kopieren oder in diesen Ordner legen."
    exit 1
fi

# Lokales wstunnel bevorzugen falls vorhanden
if [ -f "./wstunnel" ]; then
    WSTUNNEL="./wstunnel"
    chmod +x "$WSTUNNEL"
fi

echo -e "${GREEN} Starte Tunnel...${NC}"
echo ""

# Sauber beenden bei Strg+C
trap 'echo -e "\n${YELLOW} Tunnel beendet.${NC}"; exit 0' SIGINT SIGTERM

"$WSTUNNEL" client \
  -L "udp://${LOCAL_WG_PORT}:127.0.0.1:${REMOTE_WG_PORT}?timeout_sec=0" \
  "wss://${PROXY_SERVER}:443"

echo ""
echo -e "${YELLOW} wstunnel beendet.${NC}"

Der echte Wireguard Client:

Jetzt muss nur nur noch im Echten wireguard client der endpunkt auf 127.0.0.1 geändert werden

Endpoint = 127.0.0.1:51820

nach oben