27
DNS nutzen über Wireguard (piVPN)
Hallo,
ich habe bei mir zu Hause einen Raspberry Pi 4 mit piVPN installiert (Wireguard) und eine Client Config für meinen Laptop erstellt. Die VPN Verbindung funktioniert auch wunderbar, ich kann sämtliche Sachen nutzen von unterwegs.
Pings funktionieren auch wunderbar - allerdings nur wenn ich die IP eingebe - z. B. 192.168.1.2 für meine DS920+
Nun habe ich aber ein Netzlaufwerk auf meinem Laptop, welches mich im heimischen LAN über \\NASDS920\home auf meinen freigegebenen Ordner bringt.
Von Unterwegs kann ich das über VPN nicht nutzen, da geht es nur wenn ich das Laufwerk neu anlege über \\192.168.1.2\home
Bisher hatte ich mir geholfen und unter C:\Windows\system32\drivers\etc die Host-Datei gefüttert mit der Auflösung
192.168.1.2 NASDS920
Nehme ich das raus, gehts nicht mehr.
In der WG Config File für den Laptop ist unter DNS
dns = 192.168.1.1
eingetragen (Das ist meine FB7590 - wo auch die DS920+ hinterlegt ist mit dem Namen NASDS920)
Hat jemand ne Idee?
ich habe bei mir zu Hause einen Raspberry Pi 4 mit piVPN installiert (Wireguard) und eine Client Config für meinen Laptop erstellt. Die VPN Verbindung funktioniert auch wunderbar, ich kann sämtliche Sachen nutzen von unterwegs.
Pings funktionieren auch wunderbar - allerdings nur wenn ich die IP eingebe - z. B. 192.168.1.2 für meine DS920+
Nun habe ich aber ein Netzlaufwerk auf meinem Laptop, welches mich im heimischen LAN über \\NASDS920\home auf meinen freigegebenen Ordner bringt.
Von Unterwegs kann ich das über VPN nicht nutzen, da geht es nur wenn ich das Laufwerk neu anlege über \\192.168.1.2\home
Bisher hatte ich mir geholfen und unter C:\Windows\system32\drivers\etc die Host-Datei gefüttert mit der Auflösung
192.168.1.2 NASDS920
Nehme ich das raus, gehts nicht mehr.
In der WG Config File für den Laptop ist unter DNS
dns = 192.168.1.1
eingetragen (Das ist meine FB7590 - wo auch die DS920+ hinterlegt ist mit dem Namen NASDS920)
Hat jemand ne Idee?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6646931871
Url: https://administrator.de/contentid/6646931871
Printed on: May 8, 2024 at 12:05 o'clock
27 Comments
Latest comment
Die Lösung ist realtiv einfach und du hast sie ja auch schon selber richtig umgesetzt:
Trage einfach dein NAS statisch in die hosts und/oder lmhosts Datei auf deinem Laptop ein.
Siehe dazu auch HIER.
Die hosts Datei hat immer Priorität bei der DNS Namensauflösung. Damit ist dann auch eine mobile Nutzung problemlos möglich.
Welcher DNS Server bei aktivem Tunnel benutzt wird zeigt dir immer das Kommando ipconfig -all auf einem Winblows Client.
Die andere Option ist mit der Aktivierung des VPN Tunnels automatisch einen DNS Server an den WG Client zu übergeben. Hast du ja auch schon angesprochen.
Das geschieht durch das "DNS = <ip_addresse_DNS>" kommando im WG Clientsetup. (Siehe dazu auch hier)
Das ist aber nur dann sinnvoll wenn du einen internen DNS Server betreibst der auch lokale DNS Namen auflösen kann.
Du kannst das prüfen wenn du bei aktivem VPN Tunnel mit dem Kommando nslookup NASDS920 eingibst. Die Ausgabe ziegt dir welcher DNS Server befragt wird und die IP dazu.
In sofern ist die erste Variante oben einfacher umzusetzen und auch universeller.
Letztlich stellt sich aber auch die Frage warum du die zusätzliche und völlig überflüssige Frickelei mit dem RasPi VPN machst wenn deine 7590 FritzBox all das auch alleine kann. Und das sogar noch mit 2 VPN Optionen zur Wahl: IPsec und Wireguard.
Trage einfach dein NAS statisch in die hosts und/oder lmhosts Datei auf deinem Laptop ein.
Siehe dazu auch HIER.
Die hosts Datei hat immer Priorität bei der DNS Namensauflösung. Damit ist dann auch eine mobile Nutzung problemlos möglich.
Nehme ich das raus, gehts nicht mehr.
Logisch und wenig verwunderlich, denn dann fragt dein Client vermutlich einen öffentlichen DNS Server und der kann unmöglich einen lokalen Hostnamen wie NASDS920.fritz.box auflösen.Welcher DNS Server bei aktivem Tunnel benutzt wird zeigt dir immer das Kommando ipconfig -all auf einem Winblows Client.
Die andere Option ist mit der Aktivierung des VPN Tunnels automatisch einen DNS Server an den WG Client zu übergeben. Hast du ja auch schon angesprochen.
Das geschieht durch das "DNS = <ip_addresse_DNS>" kommando im WG Clientsetup. (Siehe dazu auch hier)
Das ist aber nur dann sinnvoll wenn du einen internen DNS Server betreibst der auch lokale DNS Namen auflösen kann.
Du kannst das prüfen wenn du bei aktivem VPN Tunnel mit dem Kommando nslookup NASDS920 eingibst. Die Ausgabe ziegt dir welcher DNS Server befragt wird und die IP dazu.
In sofern ist die erste Variante oben einfacher umzusetzen und auch universeller.
Letztlich stellt sich aber auch die Frage warum du die zusätzliche und völlig überflüssige Frickelei mit dem RasPi VPN machst wenn deine 7590 FritzBox all das auch alleine kann. Und das sogar noch mit 2 VPN Optionen zur Wahl: IPsec und Wireguard.
Hallo,
danke für deine Antwort.
ipconfig -all bringt die
diese Ausgabe, was m. M. n. richtig ist.
nslookup bringt die
Ausgabe, was für mich auch richtig aussieht.
Pings bringen diese Ausgabe:
Funktionieren tut es trotzdem nicht.
Warum ich die Raspi Variante nutzen: der Raspi ist performanter als die FritzBox (4GB RAM) und bringt mir mehr Datendurchsatz - nach diversen Tests bin ich daher bei der Raspi Variante geblieben.
danke für deine Antwort.
ipconfig -all bringt die
nslookup bringt die
Pings bringen diese Ausgabe:
Funktionieren tut es trotzdem nicht.
Warum ich die Raspi Variante nutzen: der Raspi ist performanter als die FritzBox (4GB RAM) und bringt mir mehr Datendurchsatz - nach diversen Tests bin ich daher bei der Raspi Variante geblieben.
Pings bringen diese Ausgabe:
Viel wichtiger und sinnvoller wäre ja mal die Ausgabe von ping nasds920 oder besser noch ping nasds920.fritz.box !!der Raspi ist performanter als die FritzBox
Ist dein Internet Zugang denn schneller als 150Mbit/s ?https://www.heise.de/news/Beta-Firmware-fuer-Fritzbox-7590-Krasse-VPN-Be ...
Ich hab 500MBits und die Ping Ausgabe von nasds920 ist ganz unten auf dem letzten Screenshot
OK, dann macht der RasPi natürlich Sinn. Es sei denn die 500 Mbit/s sind eine Kabel TV Internet Anbindung wo man sich bekanntlich die letzte Meile geshared mit Tausenden von anderen Nutzern in der Bandbreite teilen muss. 
und die Ping Ausgabe von nasds920 ist ganz unten auf dem letzten Screenshot
Leider nein bzw. nicht vollständig. Der Ping auf die TLD ping nasds920.fritz.box fehlt! Wenn dein VPN Client das nicht automatisch anhängt kann die FB es vermutlich ohne TLD nicht auflösen.
Hallo,
es geht jetzt mit dieser Config:
Hab die voreingestellten IPv6 Sachen vom PiVPN rausgenommen und bei DNS zusätzlich zur 192.168.1.1 das "fritz.box" hinzugefügt, damit gehts jetzt wunderbar.
es geht jetzt mit dieser Config:
Hab die voreingestellten IPv6 Sachen vom PiVPN rausgenommen und bei DNS zusätzlich zur 192.168.1.1 das "fritz.box" hinzugefügt, damit gehts jetzt wunderbar.
Glückwunsch 👏👍
Bedenke das mit der Gateway Redirect Konfig (Allowed IPs: 0.0.0.0/0) sämtlicher, auch lokaler Traffic in den Tunnel geht und den Tunnel performancetechnisch ziemlich belastet. Es ist meist besser mit Split Tunneling zu arbeiten so das nur relevanzer remoter Traffic in den Tunnel geht. Es sei denn du willst alles dediziert in den Tunnel routen.
Bedenke das mit der Gateway Redirect Konfig (Allowed IPs: 0.0.0.0/0) sämtlicher, auch lokaler Traffic in den Tunnel geht und den Tunnel performancetechnisch ziemlich belastet. Es ist meist besser mit Split Tunneling zu arbeiten so das nur relevanzer remoter Traffic in den Tunnel geht. Es sei denn du willst alles dediziert in den Tunnel routen.
Morgen,
Wie löse ich das dann?
Wie löse ich das dann?
Was hab ich geschrieben?
Was für Access-Listen?
Was für Access-Listen?
Ich stehe grad ganz aufm Schlauch
Was meinst du mit Accesslisten und was fürn Switch?
Sorry, für die Verwirrung mit einem anderen Thread thematisch verwechselt! 🙈
OK, wie kann ich aber das von dir angesprochene Problem noch Lösen mit den Allowed IP 0.0.0.0?
Zitat von @fmeyer84:
OK, wie kann ich aber das von dir angesprochene Problem noch Lösen mit den Allowed IP 0.0.0.0?
OK, wie kann ich aber das von dir angesprochene Problem noch Lösen mit den Allowed IP 0.0.0.0?
Na die AllowedIPs nur auf die Subnetze setzen die man erreichen können soll, dann werden auch nur Routen zu diesen Netzen gesetzt und kein GW Redirect.
Hallo,
danke für deine Antwort.
Also in meinem Fall: 192.168.1.0/24 für das Heimnetz hinter der FritzBox?
danke für deine Antwort.
Also in meinem Fall: 192.168.1.0/24 für das Heimnetz hinter der FritzBox?
Logisch. Dafür gibt es die AllowedIPs ja 
.
.
Hallo,
danke für deine Erklärung, wieder etwas schlauer...
Jetzt muss ich nur noch rausfinden, wie ich dem PiVPN beibringe, dass er meine per Hand geänderte Config auf dem Laptop auch standardmäßig ausspuckt, wenn ich ein neues Gerät/ Tunnel hinzufügen will (z.B. Handy, Tablet)
danke für deine Erklärung, wieder etwas schlauer...
Jetzt muss ich nur noch rausfinden, wie ich dem PiVPN beibringe, dass er meine per Hand geänderte Config auf dem Laptop auch standardmäßig ausspuckt, wenn ich ein neues Gerät/ Tunnel hinzufügen will (z.B. Handy, Tablet)
OK, wie kann ich aber das von dir angesprochene Problem noch Lösen mit den Allowed IP
Einfach mal das Tutorial dazu lesen! Dort ist das alles explizit erklärt mit den "Allowed IPs" und den korrekten Masken.Merkzettel: VPN Installation mit Wireguard
Hallo,
ich habe es nach einer Neuinstallation von PiVPN hinbekommen, nachdem ich die /etc/pivpn/wireguard/setupVars.conf folgend geändert habe:
Danach spuckt mir nach einem pivpn add der Wireguard Server folgende Config für das Endgerät aus:
Damit läuft die Konfiguartion so wie ich es möchte, also auch das DNS ansprechen über den Tunnel auf meine DS920 im Heimnetz.
Was mich nur wundert, wenn ich die voreingestellte Tunneladresse auf 192.168.2.0/24 ändere, geht es nicht. Obwohl die voreingestellte IP AdressRange ja auch ne /24er ist...
Hat da jemand ne Idee? Ich hatte die Tunneladresse gerne auf 192.168.2.0/24
ich habe es nach einer Neuinstallation von PiVPN hinbekommen, nachdem ich die /etc/pivpn/wireguard/setupVars.conf folgend geändert habe:
PLAT=Debian
OSCN=bullseye
USING_UFW=0
IPv4dev=eth0
IPv6dev=eth0
IPv4addr=192.168.1.10/24
IPv4gw=192.168.1.1
install_user=fabianm
install_home=/home/fabianm
VPN=wireguard
pivpnPORT=51820
pivpnDNS1=192.168.1.1
pivpnDNS2=fritz.box
pivpnHOST=meine-domain.de // geblurred
INPUT_CHAIN_EDITED=0
FORWARD_CHAIN_EDITED=0
INPUT_CHAIN_EDITEDv6=0
FORWARD_CHAIN_EDITEDv6=0
pivpnPROTO=udp
pivpnMTU=1420
pivpnDEV=wg0
pivpnNET=10.247.15.0
subnetClass=24
ALLOWED_IPS="192.168.1.0/24" // auf mein Heimnetz hinter meiner FritzBox angepasst
UNATTUPG=1
INSTALLED_PACKAGES=(dnsutils grepcidr bsdmainutils iptables-persistent wireguard-tools qrencode unattended-upgrades)Danach spuckt mir nach einem pivpn add der Wireguard Server folgende Config für das Endgerät aus:
[Interface]
PrivateKey = //mein PrivateKey
Address = 10.247.15.2/24
DNS = 192.168.1.1, fritz.box
[Peer]
PublicKey = //mein PublicKey
PresharedKey = // mein PreSharedKey
Endpoint = meine-domain.de:51820
AllowedIPs = 192.168.1.0/24Damit läuft die Konfiguartion so wie ich es möchte, also auch das DNS ansprechen über den Tunnel auf meine DS920 im Heimnetz.
Was mich nur wundert, wenn ich die voreingestellte Tunneladresse auf 192.168.2.0/24 ändere, geht es nicht. Obwohl die voreingestellte IP AdressRange ja auch ne /24er ist...
Hat da jemand ne Idee? Ich hatte die Tunneladresse gerne auf 192.168.2.0/24
Was mich nur wundert, wenn ich die voreingestellte Tunneladresse auf 192.168.2.0/24 ändere
Das kann ja auch nicht gehen, denn dein Tunnelnetz ist ja das 10.247.15.0 /24 Netz. Das wäre völlig sinnfrei eine Tunneladresse aus einem völlig fremden IP Netz einzustellen.OK, dies gilt für eine saubere und Standard konforme klassische Wireguard Konfiguration.
Warum man für so einen simplen und banalen 8 Zeiler eine völlig überflüssige Software installiert weisst wohl nur du selber. Das ist im nano Text Editor in 5 Minuten per Hand eingetippt...aber egal.
Wenn es eine Konfig ist die für eine FritzBox als WG Server gedacht ist kannst du eine solche "normale" Konfig NICHT verwenden weil AVM eine etwas "spezielle" und proprietäre Konfig nutzt die WG so nicht vorsieht.
Hier muss eine 2te Tunneladresse konfiguriert werden aus dem lokalen FB LAN die NICHT in Benutzung ist.
wenn ich die voreingestellte Tunneladresse auf 192.168.2.0/24 ändere
Das wäre auch völliger Quatsch, denn du hast hier eine Netzwerk Adresse verwendet die keine Host IP Adresse ist und man deshalb auch nicht verwenden kann. Bei einer Netzwerk Adresse sind die Hostbits alle auf 0 gesetzt. Das ist bekanntlich keine gültige IP Adresse.Wie man den RasPi korrekt für die Anbindung an einen FritzBox Wireguard Server konfiguriert erklärt dir dieser Heise Artikel im Detail!
Warum Krieg ich dann von der Fritzbox über Wireguard Eine IP aus meine Netz?
Weil die bei AVM einen an der Klatsche haben und mal wieder außer der Reihe tanzen und bei ihrer Implementierung kein Transfernetz verwenden wie es bei Wireguard in der Regel üblich ist.
Frittengemüse mit Beigeschmack eben.
1
Und "Krieg" haben wir eigentlich schon genug...!
Entschuldige, das lag an der Autokorrektur vom Telefon
Ich hab jetzt alles am laufen wie ich das möchte. Danke für eure Hilfe und Hilfen.
Ich hab jetzt alles am laufen wie ich das möchte. Danke für eure Hilfe und Hilfen.
