Wireguard

WireGuard | CIFS mount in Abhängigkeit zu WireGuard

Peter Lange

28 Okt. 2025 — 1 min read

CIFS-Mount automatisch wiederverbinden, wenn WireGuard-Tunnel neu aufgebaut wird

Wenn ein CIFS-(SMB)-Mount von einem WireGuard-Tunnel abhängt, sollte der Mount beim Neuaufbau des Tunnels automatisch neu verbunden werden.
Hier sind bewährte Varianten für Linux (systemd-basiert).

1. Systemd-Mount-Unit mit Abhängigkeit zu WireGuard

Beispiel: /etc/systemd/system/mnt-share.mount

[Unit]
Description=CIFS Share
[email protected]
[email protected]

[Mount]
What=//server.example.local/share
Where=/mnt/share
Type=cifs
Options=credentials=/root/.smbcred,vers=3.0,iocharset=utf8,uid=1000,gid=1000

[Install]
WantedBy=multi-user.target

Aktivieren:

systemctl daemon-reload
systemctl enable mnt-share.mount

Sobald wg-quick@wg0 neu gestartet wird, wird der Mount automatisch neu eingehängt.

2. ExecUp/Down in der WireGuard-Konfiguration

In /etc/wireguard/wg0.conf:

[Interface]
PrivateKey = ...
Address    = 10.0.0.2/24
PostUp     = mount -a -t cifs
PostDown   = umount -a -t cifs

PostUp läuft jedes Mal, wenn wg-quick up wg0 ausgeführt wird – perfekt für ein erneutes Mounten.
Verwende in /etc/fstab den Eintrag mit noauto (und ggf. x-systemd.automount).

3. systemd.automount (empfohlen bei instabilen Verbindungen)

In /etc/fstab:

# //server/share  /mnt/share  cifs  credentials=/root/.smbcred,_netdev,x-systemd.automount,[email protected]  0  0

x-systemd.automount: Mount erst, wenn auf /mnt/share zugegriffen wird.
[email protected]: Stellt sicher, dass der Tunnel steht.

Das ist besonders robust, da systemd automatisch neu mountet, sobald wieder darauf zugegriffen wird.

Zusätzliche Tipps

Verwende sinnvolle CIFS-Optionen, z. B.:

soft,vers=3.0,iocharset=utf8,cache=strict,actimeo=30

Prüfe ggf. NetworkManager-wait-online.service oder systemd-networkd-wait-online.service, um Race Conditions beim Boot zu vermeiden.

Kurzfassung:
Die eleganteste Lösung ist ein systemd-Mount mit [email protected] oder ein x-systemd.automount-Eintrag in /etc/fstab.
So wird der CIFS-Share automatisch neu verbunden, sobald der WireGuard-Tunnel (wg-quick) sich erneut verbindet.

TLSA | Transportverschlüsselung mit DANE

TLSA DANE TLSA/DANE-Records für Mailserver sind ein wirkungsvolles Mittel, um die Transportverschlüsselung abzusichern, auch (und gerade) bei Wildcard-Zertifikaten. Ich erkläre mit diesem Beitrag, wie du einen TLSA-Record für ein Wildcard-Zertifikat einrichtest (z. B. *.example.com). Grundprinzip von TLSA/DANE Ein TLSA-Record (port.protocol.hostname) verknüpft DNS mit dem verwendeten

SSHd | Ubuntu 22.10 und später

Alternativer Port Der SSHd service wurde bis dato immer in der sshd_conf datei mit dem Flag Port 4711 konfiguriert. Nachdem ihr eine neuere Version als Ubuntu 22.10 installiert habt, wirst du feststellen, dass der Dienst - trotzt änderung in der sshd_config Datei - nur auf Port 22

TLSA | Validiere TLSA Records mit CheckMK

🧩 Checkmk TLSA Validation Plugin Dieses Dokument beschreibt, wie du das TLSA Validation Script als Active Check in Checkmk einbindest und über ein Custom Attribute Ports pro Host konfigurierbar machst. 📜 1. Skriptinstallation Kopiere das Skript check_tlsa nach: /usr/lib/nagios/plugins/check_tlsa chmod +x /usr/lib/nagios/plugins/check_

Wireguard | Tunnel Status überwachen

Automatischer Neustart des WireGuard-Tunnels bei Verbindungsverlust Diese Anleitung beschreibt, wie du deinen WireGuard-Tunnel (wg-quick) automatisch neu starten kannst, wenn der Remote-Endpunkt nicht erreichbar ist. 1️⃣ systemd-Konfiguration für automatischen Neustart WireGuard-Interfaces, die mit wg-quick up wg0 gestartet werden, erzeugen normalerweise einen systemd-Dienst namens [email protected]. Bearbeite die Service-Konfiguration: sudo systemctl