Frage zu Wireguard

marcus552
Goto Top
Hallo an alle,

der Wiregurad Server läuft auf Debian 11.

Konfiguration:
[Interface]
Address = 15.15.0.1/24
ListenPort = 62820
PrivateKey = xx
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
PublicKey = xx
AllowedIPs = 15.15.0.2/32
PersistentKeepalive = 25

Client:
Allowed Ips: 192.168.188.0/24, 0.0.0.0/24

Mit dieser Konfiguration steht die Verbindung auf das entfernte LAN die Internetverbindung des Clienten wird nicht getunnelt.


Mein Ziel ist, das der gesamte Verkehr vom Client über den Tunnel läuft.

Der Eintrag 0.0.0.0 bei den Zulässigen IP des Clienten führt dazu, dass überhaupt keine Internetverbindung mehr zustande kommt.

Wo liegt der Fehler?

Vielen Dank für die Hilfe !

Marcus.

Content-Key: 3158332483

Url: https://administrator.de/contentid/3158332483

Ausgedruckt am: 27.06.2022 um 12:06 Uhr

Mitglied: BirdyB
BirdyB 23.06.2022 um 22:41:44 Uhr
Goto Top
Moin,
Fehler Nr.1: Du verwendest keine RFC1918-IP für deinen Tunnel. 15.15.0.1 gehört HP Inc. und das bist wahrscheinlich nicht du…
Fehler Nr.2: Wenn du schon 0.0.0.0 angibst, dann bitte auch mit der Netzmaske 0. Also 0.0.0.0/0.
Ausserdem ist der Eintrag für die 192.168.188.0/24 dann überflüssig.

VG
Mitglied: marcus552
marcus552 23.06.2022 um 23:07:05 Uhr
Goto Top
Moin,

ich habe umgestellt auf:

[Interface]
Address = 192.168.195.1/32
ListenPort = 62820
PrivateKey = x
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
PublicKey = x
AllowedIPs = 192.168.195.2/24
PersistentKeepalive = 25

Den Eintrag am Peer habe ich auf 0.0.0.0/0 geändert.

Mit dieser Konfiguration hat der Client Zugriff keine Verbindung zum Internet.

Ich bin am verzweifeln!
Mitglied: BirdyB
BirdyB 24.06.2022 um 00:33:11 Uhr
Goto Top
Mitglied: aqui
aqui 24.06.2022 aktualisiert um 10:45:10 Uhr
Goto Top
Wo liegt der Fehler?
Wie immer im fehlerhaften und überflüssigen NAT im Tunnel bzw. auf den Tunnelinterfaces. Wird immer und immer wieder falsch gemacht. :-( face-sad
Allerdings ist das Interface dort immer wg0 und nicht eth0. Fragt sich also warum der TO gerade auf seinem lokalen LAN Interfece (geraten) NAT macht was sogar noch kontraproduktiver ist. :-( face-sad
https://administrator.de/forum/wireguard-site2site-mit-roadwarrior-31334 ...
https://administrator.de/forum/vpn-wireguard-seite-zu-seite-verbindung-m ...
Alle Details dazu stehen, wie immer, im Wireguard Tutorial.
Mitglied: BirdyB
BirdyB 24.06.2022 um 10:23:24 Uhr
Goto Top
Zitat von @aqui:
Wie immer im fehlerhaften und überflüssigen NAT im Tunnel bzw. auf den Tunnelinterfaces. Wird immer und immer wieder falsch gemacht. :-( face-sad

@marcus552: Denke nur daran, dass du auf deinem Router dann noch die statischen Routen setzen musst.

BTW: Heißt dein Netzwerkinterface auf deinem Debian-Server eigentlich eth0?
Mitglied: marcus552
marcus552 24.06.2022 um 11:08:18 Uhr
Goto Top
Das Interface heißt ens3, ich habe es geändert - gleiches Phänomen.
Das IP-Forwarding ist aktiv, die statische Route ist gesetzt.

Zuletzt habe ich PostUp und PostDown gelöscht.

Der Client kommt mit dem Eintrag 0.0.0.0/0 in das entfernte Netzwerk, aber
nicht ins Internet.
Mitglied: BirdyB
BirdyB 24.06.2022 um 11:33:22 Uhr
Goto Top
Gibt es eine Firewall, die den Internet-Traffic aus dem fremden Netz blockiert?
Mitglied: marcus552
marcus552 24.06.2022 um 13:31:52 Uhr
Goto Top
Nein, es gibt keine Firewall.
Mitglied: aqui
Lösung aqui 24.06.2022, aktualisiert am 25.06.2022 um 12:12:24 Uhr
Goto Top
aber nicht ins Internet.
Was ist denn für dich genau "nicht ins Internet"?? Generell ja eine wenig fundierte Aussage wenn man nicht weiss ob direkt die Internet Connectivity gemeint ist oder z.B. nur ein DNS Problem vorliegt.
Um DNS Probleme aus dem Wege zu gehen sollte man einmal einen Ping auf eine nackte IP wie z.B. 8.8.8.8 machen.
Klappt das hat man zumindestens Internet Connectivity.
Wenn ein DNS Auflösungstest mit nslookup oder dig scheitert hast du "nur" ein DNS Problem.
Dreh- und Angelpunkt ist der Wireguard Server UND welchen DNS Server dieser definiert hat.
Bei einem Client Gateway Redirect, wie du es mit der 0.0.0.0/0 betreibst, MUSS auf dem Server sowohl ein Ping auf eine nackte IP klappen also auch eine DNS Auflösung sicher klappen.
Wichtig wäre es dann noch wenn man dem WG Client einen dedizierten DNS Server mitgibt der im Zielnetz erreichbar ist. Z.B. der dortige Internet Router.

[Interface]
Address = 100.64.64.101/24
PrivateKey = OMjSCv6e/iXECZwq0ZVL5Ywf/KzZvdsGpYKv1512345=
DNS = 192.168.178.1


So ist sichergestellt das der WG Client einen DNS Server erreichen kann im WG Servernetz nach dem Redirect.
Da deine Client Absender IP immer eine IP aus dem internen WG VPN Netz ist ist es zwingend erforderlich das auf dem Internet Router im Server Netz eine statische Route ins WG Netz definiert ist wie im Tutorial beschrieben.
Zu all diesen Troubleshooting Tests machst du leider keinerlei hilfreiche Aussagen so das hier wiedermal nur kristallkugeln hilft. :-( face-sad
Mitglied: marcus552
marcus552 24.06.2022 um 20:34:08 Uhr
Goto Top
Hallo,

der Eintrag des DNS-Servers beim Client war die Lösung.

Vielen Dank für die Hilfe !