net-zwerk
Goto Top

GL-INET Router als VPN Tunnel im bestehenden Netzwerk

Moin!

Ich brauche mal eine kleine Denkhilfe bzw. ein bisschen Input.

Folgende Situation:

Wir haben in der Firma eine FritzBox die unser Internet macht. Dort dran hängt ein GL-INET AR150 der einen VPN Tunnel über WireGuard aufbaut (er ist also der VPN Server). Insgesamt haben wir 5 weitere GL-INET Router (2 AR 150 und 3 AR 300) die wir entsprechend mit nach Hause oder nach Unterwegs nehmen können um auf unser Netz in der Firma zuzugreifen. Das geht auch mit den Geräten wunderbar. Man schließt "seinen" GL-INET zu hause mit dem WAN Port an den Router an und mit dem Laptop/PC an den LAN Port des GL oder per WLAN. Schwupp... ist man im Netz der Firma und man kann auch noch zu Hause auf das Netz zugreifen. Wunderbar!!

Nun mein Anliegen:

Ich möchte zu Hause meinen GL Router so einbinden, dass ich meinen PC nicht "hinter" den Router schalten muss. Hintergrund ist die 100 MBit die der GL macht und ich gerne mit meinem Rechner zu Hause 1 GBit nutzen möchte (im internen Netz).

Zum Aufbau Zu Hause:

FritzBox 7590 192.168.178.1
Hauptrechner zu Hause 192.168.178.2 (Fest)
DHCP FritzBox 192.168.178.20 - 200

Der GL INET bekommt eine DCHP Adresse. Gut, kein Thema, kann man umstellen. Leider kann ich auf diese Adresse dann nicht zugreifen. Das scheint der WAN Port des GL zu blocken. Jetzt ist meine Überlegung, wenn ich dem GL jetzt sage, er möchte eine Feste IP am WAN Port annehmen, kann ich ihm eine Adresse im gleichen Bereich auch an den LAN Port geben (WAN 192.168.178.15 LAN 192.168.178.16 z.B.)? Dann den LAN Port mit an mein Netz und ich kann auf das Netz in der Firma zugreifen (192.168.1.usw.)
Oder habe ich da jetzt einen kompletten Denkfehler?

Falls etwas nicht klar sein sollte oder noch fragen sind, einfach fragen.
Danke schonmal!

Content-ID: 636036

Url: https://administrator.de/forum/gl-inet-router-als-vpn-tunnel-im-bestehenden-netzwerk-636036.html

Ausgedruckt am: 29.12.2024 um 02:12 Uhr

sabines
sabines 28.12.2020 aktualisiert um 12:40:35 Uhr
Goto Top
Moin,

so ganz ist mir nicht klar, was Du eigentlich willst.
Ist Dir der VPN "Access Point" zu langsam und willst Du deswegen den umgehen.
Wenn ja, wird euer Admin zu Recht das nicht wollen, daher rede mit ihm und ersetze die zu "langsamen" AP (auch in der Firma) durch leistungsfähigere.

Gruss
maretz
maretz 28.12.2020 um 12:44:17 Uhr
Goto Top
Am einfachsten wird es gehen wenn du dir einfach ne zweite Netzwerkkarte reinpackst. Alles andere wird schwer weil dein GL und deine Fritte zuhause ja beide DHCP machen würden - und deine einzelne Netzwerkkarte dann nicht weiss von wem die das nehmen soll (also nimmt die einfach den ersten).

Nur dran denken - vorher mit der IT darüber sprechen ob das so OK ist. Sollte zwar generell kein Problem sein (solang du an deinem Rechner kein Routing aktivierst) ABER wenn was schief geht und du an den Richtlinien vorbei arbeitst kann das natürlich auch mächtig was auf die Finger geben...
Net-ZwerK
Net-ZwerK 28.12.2020 um 13:00:57 Uhr
Goto Top
@sabines: Ich möchte mein bestehendes Netz zu hause so lassen, wie es ist. Möchte aber mit dem GL INET auf das Netz in der Firma zugreifen.

Das Problem ist halt, dass ich aktuell den GL INET zwischen meinen Router/switch und meinen Rechner zu hause schalten muss, damit ich mit meinem Rechner zu Hause in der Firma per RDP arbeiten kann. Und da kommt das Problem. Der GL hat nur 100MBit Lan Port. Damit kann ich meine Gigabit Verdrahtung zu hause nicht nutzen. Auch kann ich die volle Internetleistung nicht nutzen, da die bei 100MBit liegt und man ja bekanntlich weiss, dass trotz 100MBi Verkabelung man eigentlich "nur" gute 90MBit übertragungsrate bekommt.... jedenfalls ist meine Erfahrung so.
Und der Admin hat nix dagegen, der bin ich selber.

@maretz: Den DHCP im GL INET kann ich ja ausschalten, das sollte nicht das Problem sein.
Und auch hier, die IT hat nix dagegen, schon persönlich drüber gesprochen, im Selbstgespräch...
maretz
maretz 28.12.2020 um 13:11:07 Uhr
Goto Top
Nun - dann wäre es ja recht einfach: Du gibst dem GL eine IP aus deinem Netz was die Fritte öffnet (192.168.178.x normalerweise wenn du nix geändert hast). Jetzt lässt du die Fritte den DHCP machen und machst einfach bei dir am Rechner (bitte syntax prüfen, ich nutze mehr linux/mac):

route add -net a.b.c.d/24 gw <ip des GL>

wo a.b.c.d das Firmen-Netz mit der passenden Subnet-Mask ist (ich nehme mal an /24).

Schon hast du beides aktiv.
Net-ZwerK
Net-ZwerK 28.12.2020 um 13:20:52 Uhr
Goto Top
Also, mal aufgeschlüsselt (die IP Adressen am Ende sind nicht die richtigen, nur als beispiel)

Der GL-INET bekommt am WAN Port die fest IP 192.168.178.15
Am LAN Port DHCP aus und da die feste IP 192.168.178.16

WAN und LAN Port des GL hängen an meinem Switch.

Dann gehe ich bei meinem PC ins CMD und gebe ein

route add -net 192.168.1.0/24 gw 192.168.178.16

Bedeutet, wenn mein Rechner etwas von einer IP im Bereich 192.168.1.xxx möchte, geht er über den GL mit der IP 192.168.178.16

So korrekt verstanden?
maretz
maretz 28.12.2020 um 13:31:46 Uhr
Goto Top
jap - sollte so passen... beim route befehl einfach mal route /help glaub ich eingeben, da steht sogar die korrekte syntax für windows dann drin... die hab ich halt leider nich im kopf
Net-ZwerK
Net-ZwerK 28.12.2020 um 13:33:16 Uhr
Goto Top
Alles klar! Danke!

Werde ich die nächsten Tage testen und Rückmeldung geben!
aqui
aqui 28.12.2020 aktualisiert um 17:35:25 Uhr
Goto Top
Der GL-INET bekommt am WAN Port die fest IP 192.168.178.15
Am LAN Port DHCP aus und da die feste IP 192.168.178.16
Mit "LAN Port" meinst du hier aber den PC, oder ? Also Routerport wäre es Blödsinn, da dann beide Ports im gleichen Netz hängen.
Am einfachsten ist es das du das NAT (IP Adress Translation) auf dem GL.inet am WAN Port ausschaltest !!
ovpn
MSS Clamping kann bei Ethernet ebenso entfallen. (Haken auch entfernen)
Dann kannst du stinknormal ztransparent routen mit 2 IP Netzen wie es in diesem Tutorial haarklein erklärt ist:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
maretz
maretz 28.12.2020 um 17:42:33 Uhr
Goto Top
Moin, ich hätte schon gemeint beide Ports an die Fritte / den Switch da das eine ja vom GL das WAN-Interface wäre (was mit der Fritte reden will und im selben Netz sein muss), das zweite das LAN-Interface.. Aber jetz wo ich drüber nachdenke hast du recht, die wären beide im selben Netz, was natürlich sinnfrei ist wenn man einfach den Haken den du gezeigt hast (woher hast du eigentlich all die Screenshots - hast du zuhause ne Routerfarm mit jedem Router von jedem Hersteller?!?) weg macht wäre das deutlich besser face-smile
Net-ZwerK
Net-ZwerK 29.12.2020 um 14:14:24 Uhr
Goto Top
Alles klar, vielen Dank!

Die Haken habe ich schonmal hier am VPN Server gefunden, also werde ich sie auch beim Client zu Hause finden. Weiter muss ich nix einstellen, oder? Ich meine jetzt bezogen auf die Felder bei Input Output und Forward!?
aqui
aqui 29.12.2020 um 14:31:01 Uhr
Goto Top
Nein, nix weiteres.
Eine statische Route auf dem davor kaskadierten Router ist dann ohne NAT natürlich Pflicht wie oben im Tutorial beschrieben !
Net-ZwerK
Net-ZwerK 29.12.2020 aktualisiert um 15:10:21 Uhr
Goto Top
Jetzt stehe ich gerad auf dem Schlauch...
Das mit dem Routing ist mir klar, aber im Router? Oben weiter hatten wir von den Routen im PC gesprochen....
Ich danke, die statischen Routen im Router sind dafür da, wenn du zwei Netzwerke intern vernetzen möchtest? In meinem Fall macht das doch schon der GL.INET über das VPN..

Ich muss doch nur meinem PC sagen, dass, wenn ich die eine IP in der Firma erreichen will, er die Anfrage an den GL schickt...
Net-ZwerK
Net-ZwerK 02.01.2021 um 11:09:07 Uhr
Goto Top
Moin!

So, hat funktioniert!

Ich musste in der FritzBox noch eine Route einrichten und dann am GL.Inet noch in den Firewallsettings unter general Settings noch den Punkt "forward" auf accept stellen. Dann lief es!

Vielen Dank!
aqui
aqui 02.01.2021 um 11:46:24 Uhr
Goto Top
So, hat funktioniert!
👏 Glückwunsch !
diego1989
diego1989 22.01.2021 aktualisiert um 10:42:31 Uhr
Goto Top
Hallo, ich hab den Artikel mit Interesse gelesen und ich dachte es passt vielleicht hier rein.

Ich möchte etwas ähnliches aufbauen. 1x GL NET Router als Wireguard Client hinter einem LTE Router und 1x GL NET Router als Wireguard Server an einem IPv4 Anschluss mit öffentlicher IP und freigegebenen Port für Wireguard. Die Verbindung klappt auch soweit.

Was möglich ist, ist folgendes. ich kann aus dem GL Net Wireguard Client Netz auf das Netz vom Wireguard Server zugreifen inkl. der Endgeräte.

Was mir noch fehlt:
Ich möchte gern aus dem Netz in dem der Wireguard Server läuft auf das Netz zugreifen in dem der Wireguard Client läuft, also auf die Endgeräte am LTE Router.

Achso, was funktioniert nachdem ich in der Firewall an beiden GL NET Routern bei wan, für den Punkt forward auf accept gestellt habe, kann ich aus dem wireguard Server Netz zumindest auf die interne VPN IP des Client 10.0.0.2 anpingen. Das ging vorher nicht.
Der Server selbst hat die 10.0.0.1. Das Netz am Server ist die 192.168.11.0/24 und beim Client 192.168.10.0/24.


Welche Einstellung muss ich bearbeiten und wo? Fehlt mir lediglich eine Route oder gibt es hier ein NAT Problem? Ich suche schon eine ganze Weile nach einer Antwort. Ich freue mich sehr auf eine Hilfestellung.

Viele Grüße
diego1989
wireguard client
aqui
aqui 22.01.2021 aktualisiert um 11:29:36 Uhr
Goto Top
aus dem Netz in dem der Wireguard Server läuft auf das Netz zugreifen in dem der Wireguard Client läuft, also auf die Endgeräte am LTE Router.
Mit an Sicherheit grenzender Wahrscheinlichkeit fehlen dir die statischen Routen am Client Netz auf die interne IP des Wireguard und auch auf das Server IP Netz.
Das ist davon abhängig wie du den GL-inet als VPN Router installiert hast. Möglich wären eine [ Router_Kaskade] oder indem du si einfach mit einem Bein als sog. "one armed" Router ins jeweilige Netz geklemmt hast. Leider machst du dazu keinerlei Aussage was aber sehr wichtig ist zu wissen für das korrekte Routing !
Du kannst dir das hier an einem OpenVPN Design ansehen wo das exakt gleich ist mit den Routing ToDos:
OpenVPN - Erreiche Netzwerk hinter Client nicht

Eine weiteres sicheres KO Kriterium ist der Fakt das du im Tunnel selber NAT (IP Adress Translation / Masquerading) machst !
Das ist erstens völliger Unsinn, denn wozu sollte es gute sein im Tunnel mit deinen eigenen IP Adressen noch einmal NAT zu machen ?!
Die NAT Firewall verhindert explizit ein transparentes Routing so das ein erreichen der gegenseitigen IP Netze technisch unmöglich ist. Für ein transparentes Routing musst du das überflüssige NAT im Tunnel deaktivieren:
nat
Diese 2 Punkte fixen dein Anliegen im Handumdrehen !
diego1989
diego1989 22.01.2021 um 12:54:20 Uhr
Goto Top
Hallo aqui, und vielen Dank erstmal für die schnelle Antwort.

Ich habe mal versucht den Netzaufbau aufzuzeichnen.

netzaufbau

Die Errichtung des Wireguard Servers habe ich mit dem "Einrichtungsassistent" am GL Router direkt eingerichtet.

Serverseitig:
nur Voreinstellung das der Server die 10.0.0.1 hat und der lokale Port 51820 genutzt wird.
Dann ist der haken aktiviert, das ein Zugriff auf das lokale Netz erlaubt ist

wireguard server


Clientseite: der DNS ist so vorgegeben und vermutlich nur via ssh console anpassbar?

[Interface]
Address = 10.0.0.2/32
ListenPort = 23219
PrivateKey = *private key*
DNS = 64.6.64.6

[Peer]
AllowedIPs = 0.0.0.0/0,::/0
Endpoint = ÖFFENTLICHE IP:51820
PersistentKeepalive = 25
PublicKey = *public key*
aqui
aqui 23.01.2021, aktualisiert am 10.02.2022 um 19:24:58 Uhr
Goto Top
Deine Skizze ist etwas wirr. Wie muss man sich das Design auf Layer 3 (IP) Basis genau vorstellen ? Sieht das so aus ?

wg

Wenn ja, musst du im Wireguard Tunnel Interface in der OpenWRT Firewall das Masquerading auf beiden Seiten deaktivieren.

Grundlagen zum Wireguard an sich auch hier:
Merkzettel: VPN Installation mit Wireguard
diego1989
diego1989 23.01.2021 aktualisiert um 17:54:28 Uhr
Goto Top
Hallo auqi,

Danke für die Mühen. Du hast es richtig aufgefasst. Mein Netz sieht genauso aus wie auf deiner Skizze.

Für die Testzwecke verbinde ich mich per ssh auf die GL inet Router und versuche zum Beispiel von GL inet 2 ein ping auf den GL inet1 abzusetzen, in dem Fall 192.168.11.250, das schlägt fehl.
Ich hatte letztens auf beiden Geräten die Werkseinstellungen hergestellt, da ich dachte es hat sich irgendwo durch soviel rumprobieren ein Fehler eingeschlichen.

Vorher konnte ich von dem GL inet2 auf den GL inet1 ein ping absetzen, allerdings ausschließlich auf die tunnel ip 10.0.0.2. Das geht aktuell nicht.

Ich habe auf beiden Seiten also auf GL inet 1 und GL inet 2 das Masquerading deaktiviert.
Die Einstellung der Route ist mir noch nicht ganz klar, diese gelten ja dann für das interface "lan" richtig? oder muss ich ein wireguard interface erstellen? bzw in der Auswahl für die Routen gibt es nur lan, wan, wan6 und guest.

firewall setting

route auf server

auf der GL Net website steht übrigens noch folgender hinweis:
Titel

Visit Client’s LAN Subnet
Visit Client’s LAN Subnet from WireGuard Server LAN Subnet

1) Change WireGuard clients LAN IP to avoid IP confliction with Server

2) Modify Wireguard_Server Configuration

WinSCP or SSH into your the WireGuard Server (router) find and modify the file


/etc/config/wireguard_server
Add a line to the end of the config file of clients you want to visit.


list subnet '192.168.11.0/24'


Das habe ich auch gemacht, allerdings ohne Erfolg.
Ich habe das Gefühl das die Wireguard Konfiguration auf diesen GL Net Routern etwas anders ist, als zum Beispiel bei einem Raspberry oder ähnliches.

Kann ich sonst die komplette wireguard config per ssh console erledigen?

In einer amazon Rezension steht zudem noch folgendes:


aber die Kombination aus Hersteller-Oberfläche und Original-OpenWRT-Unterbau ist nicht optimal, sobald man an fortgeschrittenere Themen rangeht. Die Einrichtung als OpenVPN-Client in einer Site-to-Site Konfiguration mit Shared-Key war defacto unmöglich. Der Hersteller-Assistent akzeptiert nur Konfigurationsdateien externer VPN-Anbieter, während der OpenWRT-Assistent zwingend ein NAT auf das interne VPN-Interface legt und somit den Datenfluss nur in eine Richtung erlaubt.

Wie gesagt, das Gerät erfüllt im Normalfall sicher seinen Zweck und gerade die OpenWRT-Basis hat einen besonderen Charme. Sobald man aber von den vorgegebenen Usecases abweicht und die volle Power abrufen will, hat man eine stundenlange Sucherei vor sich.


Vielen Dank für deine Hilfe.
aqui
aqui 23.01.2021 um 18:24:45 Uhr
Goto Top
Die Einstellung der Route ist mir noch nicht ganz klar,
Routen muss man nicht eintragen. Normalerweise sollte der Wireguard Prozess in den beiden Routern beide jeweils lokalen IP Netze .10.0 und .11.0 in den GL.inet Routern der jeweils anderen Seite in der Routing Tabelle bekannt zu machen. Das ist analog zu anderen VPN Protokollen wie OpenVPN und IPsec.
Bei aktiviertem Wireguard Tunnel kannst du das in einem SSH Shell Zugang auf dem CLI auch mit netstat -r -n auch immer sehen denn das zeigt dir die Routing Tabelle des Routers. Hast du das mal gecheckt ? Ein Output wäre hier hilfreich. Ist das der Fall ist das gegenseitige Routing soweit OK.
Natürlich kannst du das ganze Wireguard Setup auch via SSH machen. In jedem Falle solltest du die Config Dateien einmal mit einem klassischen Setup beim RasPi u.a. vergleichen:
https://www.heise.de/select/ct/2019/5/1551091519824850
https://www.heise.de/select/ct/2019/15/1563187094653417

Das Masquerading im Tunnel muss zwingend deaktiviert sein, ansonsten könnte man das sonst im Tunnel vorhandene NAT Gateway nicht überwinden und Routing wäre immer eine Einbahnstrasse.
diego1989
diego1989 23.01.2021 um 18:42:22 Uhr
Goto Top
Danke sehr.

Ich kann aktuell nur den Output vom GL inet2 liefern, ab morgen im Laufe des Tages gerne noch vom GL inet1

sorry für die Formatierung.


Connecting to 10.0.0.1 port 22, please wait...
login as: 
root@10.0.0.1's password: 


BusyBox v1.28.3 () built-in shell (ash)

  _______                     ________        __
 |       |.-----.-----.-----.|  |  |  |.----.|  |_
  _  |  -__|       |  |     _
   __|_____|__|____________|  |____|
          |__| W I R E L E S S   F R E E D O M
 -----------------------------------------------------
 OpenWrt 18.06.1, r7258-5eb055306f
 -----------------------------------------------------
root@GL-AR300M:~# netstat -r -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         192.168.0.1     0.0.0.0         UG        0 0          0 eth0
10.0.0.0        0.0.0.0         255.255.255.0   U         0 0          0 wg0
192.168.0.0     0.0.0.0         255.255.255.0   U         0 0          0 eth0
192.168.10.0    0.0.0.0         255.255.255.0   U         0 0          0 br-lan
192.168.11.0    192.168.10.250  255.255.255.0   UG        0 0          0 br-lan
root@GL-AR300M:~# 


Ich denke mal das er die Route Jetzt aus meinem manuell hinzufügen eingetragen hat und nicht automatisch aus dem Tunnel generiert hat.
aqui
aqui 23.01.2021, aktualisiert am 24.01.2021 um 10:54:47 Uhr
Goto Top
sorry für die Formatierung.
Wenn du die FAQs hier einmal gelesen und verstanden hättest, dann hättest du dafür Code Tags verwendet ! face-sad
Formatierungen in den Beiträgen

Der o.a. Output zeigt ja das Drama und sagt schon alles !!
Kann es sein das du auf dem GL.inet aus Unwissenheit fälschlicherweise eine überflüssige statische Route zusätzlich eingetragen hast die das 192.168.11.0er Netz über die 192.168.10.250 als Gateway routet ??
Was ja dann (sorry) ziemlicher Schwachsinn wäre, denn das 11er Netz MUSS logischerweise natürlich auch über das Tunnel Interface wg0 geroutet werden. Der Router kann das ja niemals am lokalen Ethernet Interface (br-lan) erreichen !
Das sagt einem ja auch schon der gesunde IT Netzwerk Verstand !! face-wink
Gleiches gilt natürlich auch für ggf. falsche statische Routen auf der anderen Seite !
diego1989
diego1989 23.01.2021 um 20:11:01 Uhr
Goto Top
Da hast du recht mit dem FAQ face-sad
ich war auch eben nur am Smartphone und hab den Output mal "schnell eben" reinkopiert, ich beachte dies beim nächsten Beitrag.


ich werde morgen weiter testen und ausprobieren, dann habe ich Zugriff auf beide GL inet Router und kann dann sorgfältig prüfen und mich belesen.

Das kam nur durchs probieren mit den Routen und ist natürlich Schwachsinn. Ich hatte ein paar Mögliche Konstellation ausprobieren wollen und die Reste waren wohl noch drin.

Ich melde mich morgen, spätestens am Montag.

Vielen Dank nochmals!
aqui
aqui 24.01.2021 um 10:55:18 Uhr
Goto Top
Ich melde mich morgen, spätestens am Montag.
Wir sind gespannt... 😉
diego1989
diego1989 25.01.2021 um 08:53:11 Uhr
Goto Top
Guten Morgen,

nachdem ich nun die Route im Gi inet2 manuell eingetragen habe, funktioniert es!
ich habe folgenden Befehl auf der ssh Verbindung genutzt:

ip route add 192.168.11.0/24 dev wg0

Dennoch verhält sich der Router etwas eigenartig. Nach einem neustart z.B. ist das Masquerading in der wireguard Zone der Firewall wieder aktiv. Hast du dafür einen Tip?

Nun habe ich noch eine Frage:

Welche Route oder Firewall Eintrag muss ich noch hinterlegen, damit ich vom Gi inet2 Netz auf das Netz vom Gi inet1 im Bereich 192.168.1.0/24 kommen kann?


Vom Gi inet1 komme ich überall hin, auch im Netz von Ginet2. Da dachte ich nun ich mache wieder den gleichen Befehl mit der angepassten Route

ip route add 192.168.1.0/24 dev wg0

Nun vermute ich allerdings das ich auf dem Gi inet1 noch eine Anpassung machen muss, damit der Datenverkehr aus dem wireguard Netz in das interne eth0 bzw. dessen WAN interface? Also dem 192.168.1.0/24 Netz darf.


Vielen Dank für deine Hilfe.
aqui
aqui 25.01.2021 aktualisiert um 11:17:10 Uhr
Goto Top
nachdem ich nun die Route im Gi inet2 manuell eingetragen habe, funktioniert es!
Wie bereits mehrfach gesagt: Müsste man nicht, denn das macht der Wireguard Prozess automatisch. Beim Tunnelaufbau wird das jeweils remote Netz immer dynamisch in die Routing Tabelle injiziert so das man sich diese eigentlich überflüssigen statischen Routen sparen kann. Das ist bei (fast) allen VPN Protokollen aus gutem Grund so.
Hast du das vorab einmal mit netstat gestestet BEVOR du die statischen Routen gesetzt hast ?
Nach einem neustart z.B. ist das Masquerading in der wireguard Zone der Firewall wieder aktiv.
Grrr....da zieht sich der Router irgendwo vermutlich eine Default Konfig. Da müsste man einmal seine Konfig Dateien für die Firewall checken und das daraus entfernen.
Oder du korrigierst das immer mit einem Startup oder Cron Skript was ein bischen quick and dirty ist aber das Problem löst.
Welche Route oder Firewall Eintrag muss ich noch hinterlegen
Gar keinen !! Ist ja oben schon mehrfach gesagt worden !
WireGuard injiziert die Routen beidseitig automatisch und das NAT/Masquerading im Tunnel sollte auch beidseitig deaktiviert sein. Mehr ist nicht zu machen.
Wenn du dennoch mit den überflüssigen statischen Routen arbeitest müssen die natürlich beidseitig gesetzt sein !
ip route add 192.168.11.0/24 dev wg0 = GL.inet 2
ip route add 192.168.10.0/24 dev wg0 = GL.inet 1
Wie gesagt...normal sind die NICHT nötig wenn WireGuard richtig konfiguriert ist !
mache wieder den gleichen Befehl mit der angepassten Route
Das .1.0er Netz ist doch gar nicht das lokale IP Netz weder bei GL.inet 1 noch bei GL.inet 2. Hast du dich hier vertippt oder willst du auch die jeweiligen remoten Koppelnetze erreichen über den VPN Tunnel ?
Die jeweiligen Koppelnetze .0.0 /24 und .1.0 /24 zu erreichen wird wieder nur im Einbahnstrassen Modus funktionieren, weil du ja wieder auf dem WAN Port der GL.inet's NAT/Masquerading machst. Das wird dann also bloss wieder eingeschränkt funktionieren. Falsch ist es aber nicht.
Die vollständigen statischen Routen sähen dann so aus:

Auf GL.inet 2:
ip route add 192.168.11.0/24 dev wg0
ip route add 192.168.1.0/24 dev wg0


Auf GL.inet 1:
ip route add 192.168.10.0/24 dev wg0
ip route add 192.168.0.0/24 dev wg0


Auch die o.a. zusätzlichen Routen könnte man in die WireGuard Konfig aufnehmen das die beim Tunnelaufbau automatisch der jeweiligen anderen Seite in die Routing Tabelle initiiert werden.
diego1989
diego1989 28.01.2021 um 11:07:10 Uhr
Goto Top
Hallo, ich wollte mich einmal zurückmelden.

Ich hatte den GL inet Router via ssh mit folgenden Befehl zurückgesetzt:

firstboot && reboot now


Anscheinend gab es wirklich noch irgendeinen Konfigurationsrest der durch den GUI Factory Reset nicht bereinigt wurde.
Nun funktioniert alles wie es soll und das ohne manuelle ip routen.


Ich danke dir für alles!
aqui
aqui 28.01.2021 aktualisiert um 11:08:58 Uhr
Goto Top
Perfekt ! 👍
Ich danke dir für alles!
Immer gerne ! 😉
csp-68
csp-68 10.02.2022 um 17:01:15 Uhr
Goto Top
Hallo Net-ZwerK,

Kannst Du bitte noch einmal deine Config zusammen fassen, da Ich das selbe Problem, aber nicht Deine Lösung nach vollziehen kann.
Ist der Wan-Port und Lan-port im selben IP-Adressen Raum? (geht bei mir nicht)

Danke Dir
aqui
aqui 10.02.2022 um 19:22:47 Uhr
Goto Top
Ist der Wan-Port und Lan-port im selben IP-Adressen Raum?
Das wäre ja IP technischer Blödsinn bei einem Router ! Logisch das sowas nicht gehen kann.
csp-68
csp-68 10.02.2022 um 20:43:39 Uhr
Goto Top
"Net-ZwerK":

Der GL-INET bekommt am WAN Port die fest IP 192.168.178.15
Am LAN Port DHCP aus und da die feste IP 192.168.178.16

Ja das finde Ich auch.
Aber noch einmal Netz Fritz.box 192.168.178.x und da will Ich einen Wireguard VPN GL-Inet einbauen ohne die Fritz.box zu ändern.
Ich habe noch nicht getestet ob es über das Gastnetz funktioniert.
Desahlb bin Ich an der Config interessiert
Net-ZwerK
Net-ZwerK 11.02.2022 um 13:39:12 Uhr
Goto Top
Hallo csp-68,

ich bin zwar gerade nicht direkt in dem Thema drin, aber ich beschreibe Dir grob mein vorgehen:

Also, ich habe in der Firma einen GL-Inet als Wireguard Server und einen GL-Inet als Client eingerichtet. Der Server hängt in der Firma an der Fritz mit dem WAN Port.
Der Client hängt zu Hause an der Fritze mit dem WAN Port und einer festen IP im IP Bereich meiner Box zu Hause. 8IP Bereiche der Firma und Zu Hause sind unterschiedlich)
Dann habe ich am Client zu Hause diesen Punkt masquerading am WAN Port gesetzt und diesen Punkt forward...
Zuletzt aber in meiner Box zu hause eine Route gesetzt auf die IP der Firma über den GL-Inet...

Konnte ich dir helfen? Sorry, hab das damals gebaut, aber der genaue Vorgang ist mir im Moment aus dem Kopf raus...
csp-68
csp-68 12.02.2022 um 20:53:32 Uhr
Goto Top
Kein Streß,
Danke für die Info. ich glaube Ich werde einfach ein Wireguard Server in der Firma installieren. Zuerst auf Windows (ist nicht ganz einfach), später als VM mit Linux. In den Remote-Offices die GL-inet.

Danke euch
aqui
aqui 13.02.2022 um 13:50:07 Uhr
Goto Top
Auch auf Winblows ist es sehr einfach:
Merkzettel: VPN Installation mit Wireguard
Linux VM ist natürlich sinnvoller !
csp-68
csp-68 13.02.2022 um 13:59:11 Uhr
Goto Top
Ja. Für die nahe Zukunft kommt Wireguard auf die Fritzbox face-wink für die 7590 gibt es schon ein Beta. Dann kann Ich mir die VM sparen.

Danke euch