8
GL iNet - Wireguard überschreibt Firewall-Config
Guten Abend Zusammen,
ich habe folgendes Problem und hoffe Ihr könnt mir da weiterhelfen:
Ich habe mir für unterwegs einen GL iNet Mango besorgt und betreibe dort einen Wireguard Client drauf, welcher eine Verbindung zu meinem Mikrotik zu Hause aufbaut. Dies war schnell eingerichtet und funktioniert soweit dass ich vom LAN des Mangos auf mein Home-LAN zugreifen kann.
Nun möchte ich dies aber als Site-to-Site Setup betreiben. Heißt ich möchte vom Mango-LAN auf mein Home-LAN zugreifen und andersherum.
Hierfür habe ich die Erweiterung "Luci" installiert und für das WG-Interface erstmal das "Masquerading" ausgeschaltet. Anschließend auf meinem Mikrotik zu Hause eine statische Route in das Mango-LAN gesetzt und in der WG-Config das Mango-LAN unter "Allowed Addresses" hinzugefügt.
Im Mango route ich zurzeit sämtlichen Traffic (Allowed Addresses 0.0.0.0/0) in den Tunnel. Ist aber erstmal nur zu Testzwecken, wird hinterher nur auf mein Home-LAN angepasst.
Dieses Setup funktioniert nun auch soweit!
ABER:
Starte ich den Mango neu oder trenne nur die WG-Verbindung und baue diese wieder auf, erstellt der Mango wieder seine "WG-Default-Config" in der Firewall und ich habe wieder dieses blöde Masquerading aktiv.
Gibt es eine Möglichkeit den Mango dazu zu bringen diese Config nicht mehr zu bearbeiten und einfach nur den Tunnel aufzubauen.
Ich habe mal bewusst darauf verzichtet die ganze WG/Routing-Config zu posten, da dies ja soweit funktioniert. Sollte ihr dennoch Infos hierzu benötigen, reiche ich das natürlich gerne nach
Schonmal besten Dank!
Gruß
ich habe folgendes Problem und hoffe Ihr könnt mir da weiterhelfen:
Ich habe mir für unterwegs einen GL iNet Mango besorgt und betreibe dort einen Wireguard Client drauf, welcher eine Verbindung zu meinem Mikrotik zu Hause aufbaut. Dies war schnell eingerichtet und funktioniert soweit dass ich vom LAN des Mangos auf mein Home-LAN zugreifen kann.
Nun möchte ich dies aber als Site-to-Site Setup betreiben. Heißt ich möchte vom Mango-LAN auf mein Home-LAN zugreifen und andersherum.
Hierfür habe ich die Erweiterung "Luci" installiert und für das WG-Interface erstmal das "Masquerading" ausgeschaltet. Anschließend auf meinem Mikrotik zu Hause eine statische Route in das Mango-LAN gesetzt und in der WG-Config das Mango-LAN unter "Allowed Addresses" hinzugefügt.
Im Mango route ich zurzeit sämtlichen Traffic (Allowed Addresses 0.0.0.0/0) in den Tunnel. Ist aber erstmal nur zu Testzwecken, wird hinterher nur auf mein Home-LAN angepasst.
Dieses Setup funktioniert nun auch soweit!
ABER:
Starte ich den Mango neu oder trenne nur die WG-Verbindung und baue diese wieder auf, erstellt der Mango wieder seine "WG-Default-Config" in der Firewall und ich habe wieder dieses blöde Masquerading aktiv.
Gibt es eine Möglichkeit den Mango dazu zu bringen diese Config nicht mehr zu bearbeiten und einfach nur den Tunnel aufzubauen.
Ich habe mal bewusst darauf verzichtet die ganze WG/Routing-Config zu posten, da dies ja soweit funktioniert. Sollte ihr dennoch Infos hierzu benötigen, reiche ich das natürlich gerne nach
Schonmal besten Dank!
Gruß
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 23596340396
Url: https://administrator.de/contentid/23596340396
Ausgedruckt am: 22.11.2024 um 09:11 Uhr
8 Kommentare
Neuester Kommentar
Hallo Marvin,
hier hat einer ein ähnliches Problem mit einem Firmwarupdate behoben. Vielleicht liegt das Problem bei Dir ähnlich. Prüfe doch mal den FW-Stand.
All in all ist das natürlich die Strafe dafür, dass Du statt eines mAP mit vollem RouterOS so eine GLI-Büchse genommen hast
Viele Grüße, commodity
hier hat einer ein ähnliches Problem mit einem Firmwarupdate behoben. Vielleicht liegt das Problem bei Dir ähnlich. Prüfe doch mal den FW-Stand.
All in all ist das natürlich die Strafe dafür, dass Du statt eines mAP mit vollem RouterOS so eine GLI-Büchse genommen hast
Viele Grüße, commodity
"Ich habe mal bewusst darauf verzichtet die ganze WG/Routing-Config zu posten, da dies ja soweit funktioniert."
schlecht für mich für meine Antwort.
Ich muß somit schätzen.
Schau mal in deiner WG-Config nach ob du eine Zeile namens "SaveConfig = true" findet.
Wenn ja = dann erstmal den VPN Tunnel abbauen und dann den Eintrag auf FALSE setzen.
Dann bleibt immer alles erhalten.
Andernfalls würde WG immer beim Beenden die config neu schreiben (mit dem Wissen, was er hat).
schlecht für mich für meine Antwort.
Ich muß somit schätzen.
Schau mal in deiner WG-Config nach ob du eine Zeile namens "SaveConfig = true" findet.
Wenn ja = dann erstmal den VPN Tunnel abbauen und dann den Eintrag auf FALSE setzen.
Dann bleibt immer alles erhalten.
Andernfalls würde WG immer beim Beenden die config neu schreiben (mit dem Wissen, was er hat).
1
All in all ist das natürlich die Strafe dafür, dass Du statt eines mAP mit vollem RouterOS so eine GLI-Büchse genommen hast
Ich befürchte es auch :D
Schau mal in deiner WG-Config nach ob du eine Zeile namens "SaveConfig = true" findet.
Wenn ja = dann erstmal den VPN Tunnel abbauen und dann den Eintrag auf FALSE setzen.
Dann bleibt immer alles erhalten.
Andernfalls würde WG immer beim Beenden die config neu schreiben (mit dem Wissen, was er hat).
Wenn ja = dann erstmal den VPN Tunnel abbauen und dann den Eintrag auf FALSE setzen.
Dann bleibt immer alles erhalten.
Andernfalls würde WG immer beim Beenden die config neu schreiben (mit dem Wissen, was er hat).
Das werde ich mal überprüfen. Gebe dann Bescheid.
Besten Dank!
Zitat von @mrvn1992:
Das werde ich mal überprüfen. Gebe dann Bescheid.
Besten Dank!
Schau mal in deiner WG-Config nach ob du eine Zeile namens "SaveConfig = true" findet.
Wenn ja = dann erstmal den VPN Tunnel abbauen und dann den Eintrag auf FALSE setzen.
Dann bleibt immer alles erhalten.
Andernfalls würde WG immer beim Beenden die config neu schreiben (mit dem Wissen, was er hat).
Wenn ja = dann erstmal den VPN Tunnel abbauen und dann den Eintrag auf FALSE setzen.
Dann bleibt immer alles erhalten.
Andernfalls würde WG immer beim Beenden die config neu schreiben (mit dem Wissen, was er hat).
Das werde ich mal überprüfen. Gebe dann Bescheid.
Besten Dank!
Ich habe mich mal per SSH eingeloggt und die WG-Conf gefunden. Diese wird aber beim Aktivieren des WG-Clients dynamisch erzeugt. Selbst wenn ich hier etwas ändere, verschwindet die Conf-Datei beim Abbauen der Verbindung wieder.
Zudem habe ein Script unter /lib/netifd/proto/wireguard.sh gefunden welches die WG-Conf Datei erzeugt. Leider fehlen hier drin aber die Firewall-Zone Parameter. Vermutlich verstecken diese sich in einem anderen Script. Dieses habe ich aber noch nicht gefunden.
Cleanes OpenWRT drauf geflasht und schon ist Ruhe
https://openwrt.org/toh/gl.inet/gl-mt300n_v2
https://openwrt.org/toh/gl.inet/gl-mt300n_v2
Hallo Zusammen,
ich bin mittlerweile fündig geworden!
Auf dem Mango existiert unter /etc/init.d/ ein Script "wireguard". Hier werden u.a. sämtliche Firewallkonfigurationen vorgenommen, sobald eine WG-Verbindung aufgebaut wird. Hier habe ich die Zeile "masq=" gefunden welche per default auf "1" steht. Diese habe ich nun auf "0" gesetzt und jetzt habe ich ein sauberes Routing zwischen meinen LANs.
Danke nochmal für die Hinweise und Ratschläge!
Gruß
Marvin
ich bin mittlerweile fündig geworden!
Auf dem Mango existiert unter /etc/init.d/ ein Script "wireguard". Hier werden u.a. sämtliche Firewallkonfigurationen vorgenommen, sobald eine WG-Verbindung aufgebaut wird. Hier habe ich die Zeile "masq=" gefunden welche per default auf "1" steht. Diese habe ich nun auf "0" gesetzt und jetzt habe ich ein sauberes Routing zwischen meinen LANs.
Danke nochmal für die Hinweise und Ratschläge!
Gruß
Marvin
Danke für's Feedback!
Viele Grüße, commodity
Viele Grüße, commodity
