rahe77
Goto Top

Routingproblem über Wireguardverbindung

Guten Abend zusammen,

ich habe ein Problem mit (vermutlich) dem Routing über meine Wireguard Verbindung.

Der Aufbau ist wie im Bild zu sehen.

Die Wireguard Verbindung selbst steht, die IP der Gegenseite lässt sich ja jeweils anpingen.

Auf PC2 und PC3 ist auch net.ipv4.ip_forward=1 in der /etc/sysctl.conf gesetzt.

Zumindest auf dem PC3 müsste ich ja noch eine Route setzen, damit das Netz 172.17.17.0/24 korrekt über 172.17.19.4 als Gateway geroutet wird, oder?

Ich hatte dort bereits einmal "ip route add 172.17.17.0/24 via 172.17.19.4" (OS: Debian 11) ausprobiert, allerdings ging der Ping auf die 172.17.17.20 trotzdem nicht.
Auf PC1 (OS: Win11) habe ich bereits testweise mal direkt die Route (route add 172.17.19.0/24 172.17.17.20) gesetzt, aber das hat keine Änderung gebracht, ausser dass ein Ping auf die 172.17.19.4 nicht mehr über den Router geht, sondern direkt von PC1 nach PC2 geht.

Solange der Ping von PC3 auf PC2 (auf die 172.17.17.20) nicht geht, wird vermutlich auch der Ping von PC1 auf PC3 nicht gehen, da PC3 ja irgendwie die Info über den Rückweg des Pings fehlt, oder?

Ich hatte schon probiert danach zu googlen, aber dann immer nur den Hinweis auf die Routen gefunden, die ja im Prinzip schon gesetzt sind/waren.

Hätte jemand noch eine Idee, woran es liegen könnte?
wireguard

Content-Key: 3382277432

Url: https://administrator.de/contentid/3382277432

Printed on: June 20, 2024 at 23:06 o'clock

Member: aqui
Solution aqui May 28, 2024, updated at May 29, 2024 at 06:54:40 (UTC)
Goto Top
Das hiesige Wireguard Tutorial hast du genau gelesen und entsprechend in deinem Setup auch richtig umgesetzt?? ­čĄö
Merkzettel: VPN Installation mit Wireguard

Statische Routen sind bei Wireguard bekanntlich ohne jegliche Funktion, da Wireguard auf Basis des Crypto Key Routings funktioniert.
Welcher Traffic in den Tunnel geroutet wird bestimmst du mit dem was unter dem "AllowedIPs" Parameter definiert ist.

Leider hast du deine Konfig Dateien hier nicht gepostet was ein Troubleshooting dann zur Kristallkugelei macht wenn diese wichtige Info fehlt. face-sad
Ohne dein Setup zu kennen ist eine zielführende Hilfe schwer möglich. Sagt einem eigentlich auch schon der gesunde IT Verstand! face-wink
Alle Schritte zu einem korrekten WG Setup sind im o.a. Tutorial und den weiterführenden Links beschrieben.
Lesen und verstehen...
Member: rahe77
rahe77 May 30, 2024 updated at 12:48:27 (UTC)
Goto Top
Hallo Aqui,

danke für deine Antwort.
Da hatte ich wohl ein "Brett vorm Kopf" bei "AllowedIPs" hatte ich, das Subnet 172.17.17.0/24 vergessen es war nur 172.17.19.4/32 eingetragen. Dabei ist mir eigentlich bekannt, dass man damit bestimmt, welcher Traffic durch den Tunnel geht. Jetzt funktioniert alles. Ich hatte die Configs nicht gepostet, weil ich die Wireguard-Config nicht verdächtig hatte, die Fehlerquelle zu sein.

Vielen Dank für die Hilfe!

EDIT: Falsche Angabe korrigiert.
Member: aqui
aqui May 30, 2024 at 12:28:39 (UTC)
Goto Top
es war nur das 172.17.19.0/24 Subnet eingetragen
Was dann auch falsch ist denn das ist wenn man die Zeichnung richtig interpretiert dein internes WG IP Netz.
Die Clients darin müssen aber zwingen /32er Hostmasken haben ansonsten scheitert das Cryptokey Routing!!
Das Tutorial weisst in extra roten Warnhinweise bei der Server und Client Konfig explizit auf diesen wichtigen Punkt hin!!
Merkzettel: VPN Installation mit Wireguard

Das solltest du, wenn es falsch sein sollte, zwingend korrigieren!
Member: rahe77
rahe77 May 30, 2024 at 12:46:15 (UTC)
Goto Top
Stimmt, das hatte ich aus dem Kopf hier im Beitrag getippt, hätte ich vorher nochmal nachschauen sollen. Es war/ist "172.17.19.4/32" eingetragen.
Member: aqui
aqui May 30, 2024 at 12:55:40 (UTC)
Goto Top
Alles richtig gemacht... ­čĹŹ