zzaaiiggaa
Goto Top

Wireguard - Windows

Hallo zusammen,

ich habe folgenden Einstellungen in Wireguard.
Der Port auf der Server Seite sollte Forwarded sein (Lancom Router).

Server
[Interface]
PrivateKey = Privat
ListenPort = 51820
Address = 10.0.0.1/24

[Peer]
PublicKey = Public vom Client
AllowedIPs = 10.0.0.2/32

Client:
[Interface]
PrivateKey = Privat
Address = 10.0.0.2/24
DNS = 8.8.8.8

[Peer]
PublicKey = Public vom Server
AllowedIPs = 10.0.0.1/32
Endpoint = 87.xxx.21.xx:51820
PersistentKeepalive = 25

Was funktioniert:
1.) Handshake
2.) Ping vom Client zum Server: ping 10.0.0.1
3.) Ping vom Server zum Client: ping 10.0.0.2 (funktioniert, nachdem ich die Windows Firewall deaktiviert habe)

Hat jemand eine Idee was ich noch ausprobieren kann?

Gruß!

Content-ID: 11019251621

Url: https://administrator.de/en/wireguard-windows-11019251621.html

Ausgedruckt am: 22.12.2024 um 08:12 Uhr

7907292512
7907292512 29.10.2023 aktualisiert um 16:31:05 Uhr
Goto Top
1.) Handshake
2.) Ping vom Client zum Server: ping 10.0.0.1
3.) Ping vom Server zum Client: ping 10.0.0.2
Wo ist das Problem? Works as designed!
AllowedIPs = 10.0.0.1/32
Das sagt das du nur den Wireguard Server vom Client aus erreichen willst sonst nüscht, ergo alles wie erwartet OK 😎. Wenn du andere Subnetze erreichen willst müssen die auch in die AllowedIPs.
funktioniert, nachdem ich die Windows Firewall deaktiviert habe
Täglich grüßt das Murmeltier kommt hier täglich 20 mal...
Du musst nur in der Firewall in der Regel Datei- und Druckerfreigabe (echo ICMPv4) den Bereich auf alle Subnetze erweitern, genauso für SMB wenn du das nutzen willst, deaktivieren der FW ist Blödsinn.

Lesen und verstehen
Merkzettel: VPN Installation mit Wireguard

Sid.
ZZaaiiggaa
ZZaaiiggaa 29.10.2023 aktualisiert um 20:06:28 Uhr
Goto Top
Hi Danke für den Link.
Meine Config sieht jetzt folgendermaßen aus:

Server
[Interface]
PrivateKey = Privat
ListenPort = 51820
Address = 10.0.0.1/24

[Peer]
PublicKey = Public vom Client
AllowedIPs = 10.0.0.2/32

Client:
[Interface]
PrivateKey = Privat
Address = 10.0.0.2/24
DNS = 8.8.8.8

[Peer]
PublicKey = Public vom Server
AllowedIPs = 192.168.9.0/24, 10.0.0.1/32
Endpoint = 87.xxx.21.xx:51820
PersistentKeepalive = 25

Routing im Lancom (hier unsicher ob richtig)
2

Routing im Server eingestellt:
1

Leider kriege ich mmernoch nur ein ping face-sad zwischen 10.0.0.1 und 2, aber auf keine anderen Geräte im Netz.
Ich hab doch jetzt das Wireguard Netz 10.0.0.0/24 mit dem LAN verbunden und ebenfalls das Routing im Server erlaubt.

Gruß!


Routing Tabelle auf dem Server:
unbenannt
7907292512
7907292512 29.10.2023 aktualisiert um 20:09:17 Uhr
Goto Top
Du hast zwar für das Wireguard Transfernetz eine statische Route angelegt aber nicht für das Netz des Clients, wenn dort mit der LAN-IP ins Netz geroutet wird, fehlt dieses am anderen Ende und auch in den AllowedIPs am Server. Leider erzählst du rein gar nichts was du überhaupt vorhast, ob am Client nur der Client hängt oder ob da noch ein Netz dahinter steht das über den Client Routen soll 😵‍💫
Server nach der Anpassung neu durchstarten.

Lies das Tutorial nochmal gründlich durch, vor allem den Teil mit dem Cryptokey-Routing und den Allowed-IPs.

p.s. Alter Verwalter, wer installiert einen Wireguard Server unter Winblows?? Wie schräg muss man dafür bitte sein?! 🙃
ZZaaiiggaa
ZZaaiiggaa 29.10.2023 aktualisiert um 21:02:36 Uhr
Goto Top
Quote from @7907292512:

Du hast zwar für das Wireguard Transfernetz eine statische Route angelegt aber nicht für das Netz des Clients, wenn dort mit der LAN-IP ins Netz geroutet wird, fehlt dieses am anderen Ende und auch in den AllowedIPs am Server. Leider erzählst du rein gar nichts was du überhaupt vorhast, ob am Client nur der Client hängt oder ob da noch ein Netz dahinter steht das über den Client Routen soll 😵‍💫
Server nach der Anpassung neu durchstarten.

Lies das Tutorial nochmal gründlich durch, vor allem den Teil mit dem Cryptokey-Routing und den Allowed-IPs.

p.s. Alter Verwalter, wer installiert einen Wireguard Server unter Winblows?? Wie schräg muss man dafür bitte sein?! 🙃


Hi, danke für die Antwort!

Also der Client ist ein einfacher PC
Der Server (Ist ein Windows PC) hängt im Lan hinter einem Lancom Router. Im Lan sind einige Rechner.
Möchte nun vom Client über Wireguard auf den PC zugreifen.

bin jetzt nochmal das Tutorial durch, soweit ich das jetzt muss die config so aussehen

When the interface receives a packet, this happens:
*I just got a packet from UDP port 7361 on host 98.139.183.24. Let's decrypt it!
*It decrypted and authenticated properly for peer LMNOPQRS. Okay, let's remember that peer LMNOPQRS's most recent Internet endpoint is 98.139.183.24:7361 using UDP.
*Once decrypted, the plain-text packet is from 192.168.43.89. Is peer LMNOPQRS allowed to be sending us packets as 192.168.43.89?
*If so, accept the packet on the interface. If not, drop it.

Das müsste doch funktionieren face-sad


Server
[Interface]
PrivateKey = Privat
ListenPort = 51820
Address = 10.0.0.1/24

[Peer]
PublicKey = Public vom Client
AllowedIPs = 10.0.0.2/32, 192.168.9.0/24,

Client:
[Interface]
PrivateKey = Privat
Address = 10.0.0.2/24
DNS = 8.8.8.8

[Peer]
PublicKey = Public vom Server
AllowedIPs = 192.168.9.0/24, 10.0.0.1/32
Endpoint = 87.xxx.21.xx:51820
PersistentKeepalive = 25
aqui
aqui 30.10.2023 aktualisiert um 10:57:59 Uhr
Goto Top
Hat jemand eine Idee was ich noch ausprobieren kann?
Funktioniert doch alles wie es soll! Was willst du denn noch mehr testen?!

Der einzige Fehler ist das du einen Google DNS verwendest. Das das heutzutage nur noch Dummies tun denen ihre Datensicherheit egal ist liegt auf der Hand.
Abgesehen davon ist es nur dann wirklich sinnvoll explizit im Client einen DNS anzugeben wenn man lokale DNS Nabem auflösen will also einen internen DNS zu verwenden.
Dort extra öffentliche DNS anzugeben ist überflüssiger Unsinn. Ohne DNS Angabe nutzen die Client immer ihren lokalen DNS der so oder so allemal performanter ist!

Möchte nun vom Client über Wireguard auf den PC zugreifen.
Klappt ja alles fehlerlos wie dir dein Ping auf die interne Wireguard IP ja auch bestätigt. Wo ist also das Problem? 🤔 Bedenke das wenn du Anwendungen über den WG Tunnel auf diesem Rechner nutzen willst das auch in seiner lokalen Firewall freigibst! ("Windows Firewall mit erweiterter Sicherheit" im Suchfeld)
Alles Weitere erklärt dir das hiesige Wireguard Tutorial im Detail.
ZZaaiiggaa
ZZaaiiggaa 30.10.2023 um 23:32:07 Uhr
Goto Top
Quote from @aqui:

Hat jemand eine Idee was ich noch ausprobieren kann?
Funktioniert doch alles wie es soll! Was willst du denn noch mehr testen?!

Der einzige Fehler ist das du einen Google DNS verwendest. Das das heutzutage nur noch Dummies tun denen ihre Datensicherheit egal ist liegt auf der Hand.
Abgesehen davon ist es nur dann wirklich sinnvoll explizit im Client einen DNS anzugeben wenn man lokale DNS Nabem auflösen will also einen internen DNS zu verwenden.
Dort extra öffentliche DNS anzugeben ist überflüssiger Unsinn. Ohne DNS Angabe nutzen die Client immer ihren lokalen DNS der so oder so allemal performanter ist!

Möchte nun vom Client über Wireguard auf den PC zugreifen.
Klappt ja alles fehlerlos wie dir dein Ping auf die interne Wireguard IP ja auch bestätigt. Wo ist also das Problem? 🤔 Bedenke das wenn du Anwendungen über den WG Tunnel auf diesem Rechner nutzen willst das auch in seiner lokalen Firewall freigibst! ("Windows Firewall mit erweiterter Sicherheit" im Suchfeld)
Alles Weitere erklärt dir das hiesige Wireguard Tutorial im Detail.

Danke für die Antwort.
Aber ich kann nicht auf andere Rechner im Netzwerk zugreifen, ebenfalls kann ich nicht die Interne IP vom Rechner anpingen.
Ich kann kein RDP aufbauen.
aqui
aqui 31.10.2023 aktualisiert um 10:42:56 Uhr
Goto Top
Aber ich kann nicht auf andere Rechner im Netzwerk zugreifen
Dafür ist es dann zwingend notwendig das IPv4 Forwarding (Routing) auf deinem Windows Wireguard Server in der Registry zu aktivieren! Siehe dazu HIER!
Ist das passiert?
Du musst am Server ja dann Traffic vom internen WG IP Netz ins lokale LAN IP Netz routen. IPv4 Forwarding/Routing ist bei Windows immer deaktiviert im Default! Ansonsten kann dein Server niemals zwischen 2 oder mehr IP Netzen routen.
⚠️ Beachte das du im lokalen Internet Router am WG Server dann zusätzlich zwingend eine statische IP Route auf das interne WG IP Netz eintragen musst!
(Grundlagen zum IP Routing unter Windows auch hier)

Zusätzlich hast du auch einen weiteren Konfig Fehler bei den AllowedIPs gemacht!
Dort steht sowohl am Server als auch am Client das 192.168.9.0er IP Netz was unsinnig und falsch ist.
Der Parameter "AllowedIPs" definiert auf dem jeweiligen Wireguard WELCHE IP Zieladressen in den VPN Tunnel geroutet werden.
Dort darf niemals ein lokales IP Netz eingetragen werden!! 🧐
Nochmals: Das hiesige Wireguard Tutorial erklärt das alle diese einfach Basiseinstellungen im Detail. Du solltest dir das nochmal in aller Ruhe durchlesen und daraufhin die 2 o.a. Punkte bei dir im Setup checken und korrigieren! Dann klappt das auch sofort.
ZZaaiiggaa
ZZaaiiggaa 31.10.2023 um 23:29:02 Uhr
Goto Top
Quote from @aqui:

Aber ich kann nicht auf andere Rechner im Netzwerk zugreifen
Dafür ist es dann zwingend notwendig das IPv4 Forwarding (Routing) auf deinem Windows Wireguard Server in der Registry zu aktivieren! Siehe dazu HIER!
Ist das passiert?
Du musst am Server ja dann Traffic vom internen WG IP Netz ins lokale LAN IP Netz routen. IPv4 Forwarding/Routing ist bei Windows immer deaktiviert im Default! Ansonsten kann dein Server niemals zwischen 2 oder mehr IP Netzen routen.
⚠️ Beachte das du im lokalen Internet Router am WG Server dann zusätzlich zwingend eine statische IP Route auf das interne WG IP Netz eintragen musst!
(Grundlagen zum IP Routing unter Windows auch hier)

Zusätzlich hast du auch einen weiteren Konfig Fehler bei den AllowedIPs gemacht!
Dort steht sowohl am Server als auch am Client das 192.168.9.0er IP Netz was unsinnig und falsch ist.
Der Parameter "AllowedIPs" definiert auf dem jeweiligen Wireguard WELCHE IP Zieladressen in den VPN Tunnel geroutet werden.
Dort darf niemals ein lokales IP Netz eingetragen werden!! 🧐
Nochmals: Das hiesige Wireguard Tutorial erklärt das alle diese einfach Basiseinstellungen im Detail. Du solltest dir das nochmal in aller Ruhe durchlesen und daraufhin die 2 o.a. Punkte bei dir im Setup checken und korrigieren! Dann klappt das auch sofort.

Vielen Dank nochmals für die Antwort!
Ich werde das nochmal alles morgen in ruhe Durcharbeiten, die ersten beiden Punkte habe face-smile ich aber nach deinem ersten Post bereits geändert (siehe 1 Antwort mit Screenshots).
aqui
aqui 26.11.2023 um 15:10:38 Uhr
Goto Top
Wenn es das denn nun war:
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen!