Wireguard Client und Server simultan auf VPS. Netzwerke verbinden

Gude catrell,

danke für die schnelle Antwort. Ich habe die Configs beider Interfaces mal nach Deinem Vorschlag angepasst. Die Fritze hat das ohne Meckern gemacht und eine Route angelegt. WG-Quick meldet folgendes:

Soweit so gut. Beim Server sieht das anders aus:

Hier gibt es Mecker beim Anlegen der Route. Da beißt sich die Katze auch in den Schwanz.
Je nachdem welches WG Interface als erstes gestartet wird entsteht der Fehler beim Start des zweiten Interfaces. Starte ich also den WGServerVPS als erstes entsteht der Fehler dann beim Starten des WGFritzClient.


Ja, da gebe ich Dir Recht. Vielleicht bleibt am Ende nichts anderes übrig. Die angestrebte Lösung hat aber den Charme, dass ich bei Verlust des VPS immer noch an mein Netz komme. Vorausgesetzt es ist überhaupt möglich mit meiner Konfiguration so ein VPN aufzusetzen. Außerdem ist die AVM-Lösung wohl leider und bekanntermaßen, nicht ganz kompatibel mit WG-Standard.

Gruß Thomas

Danke Dir für den Hinweis. Ich sehe, genau da habe ich eine gewaltige Verständnislücke und das ändert natürlich einiges. Ich komme erst im Laufe der Woche dazu das auszuprobieren.
Die Konfig habe ich verstanden und der Link, um das ganze auf die Reihe zu bekommen, ist auch äußerst hilfreich. Ich folge erst einmal Deinem Rat und studiere den Thread noch mal ausführlich. Ein Berichte folgt sobald ich neue Erkenntnisse habe. Insgesamt denke ich wohl zu kompliziert. "Keep it simple stupid" scheint zielführend zu sein.😊

Anfänglich hatte ich mit der Lösung schon experimentiert, aber immer eine Fehlermeldung von der Fritze beim Erstellen
des Tunnels erhalten. Wahrscheinlich Mist gebaut bei der Konfig. Wenn ich mir die IP's in Deinem Beispiel anschaue glaube ich auch zu wissen warum.

Gruß Thomas

Hallo aqui,

vielen Dank für die klaren Worte. Ich bin dankbar für jeden kompetenten Hinweis. Ich bin jetzt seit zwei Monaten mit dem Thema unterwegs und versuche 20Jahre Netzwerktechnik nachzuholen. Erst das im Link genannte Tutorial brachte mich erst einmal ansatzweise in die Nähe des Verständnisses. (Der Tab ist seit etwa vier Wochen offen und fast jeden Abend besucht.)
Die "iptables" entferne ich Samt und Sonders aus der Konfig. Ich dachte nur, dass das Forwarding nicht zum NAT gehört. Ich gestehe, der Mechanismus dahinter liegt für mich noch im Nebel.

Auch vielen Dank für den Link auf die richtige Wahl der IP Netze. Es ist schwer etwas im Netz zu finden, wenn man die Frage nicht kennt. Der Input war sehr gut und ich werde das auch gleich umsetzen. Die Argumente sind unschlagbar.
Ich tue mich im Tutorial manchmal mit der Terminologie noch etwas schwer. Lesen hilft, aber den Transfer muss man auch hinbekommen. Aber das wird schon und dumme Fragen stellen kann ich immer noch.

Gruß Thomas

Guten Morgen zusammen,

ich hatte gestern noch Zeit mich mit dem von aqui empfohlenen "Lesestoff" auseinander zu setzen. Aufgrund der gesammelten Erkenntnisse aus allen vorangegangenen Beiträgen habe ich die "WGServerVPS.conf" und auch den Client "WGFritzCLient.conf", der in die Fritze importiert werden soll, angepasst. Die neue Serverkonfig ist bereits Online und ich kann mich mit meinem Bürorechner darauf verbinden und auch eine Terminalsitzung starten.
Hier erst einmal die Serverconfig "WGServerVPS.conf".

Und natürlich das Pendant für die Fritzbox "WGFritzClient.conf". Das ist noch nicht implementiert, da mögen die "Meister" erst einmal, hoffentlich wohlwollend, drauf schauen. 😊

und der Vollständigkeit halber auch noch die Konfig vom Firmenrechner, der erwiesenermaßen läuft.

Jetzt habe ich noch ein paar kleine Fragen zum Thema NAT und Routing.
Wenn ich das richtig verstanden habe ist ein Routingeintrag insgesamt in der VPS-Konfig unnötig. Der VPS verfügt ja über zwei Netzwerkkarten. Die eine ist die von IONOS bereitgestellte NIC in dem Fall heißt das Ding "ens6" und natürlich meine WGServerVPS NIC. Damit verfüge ich über zwei "Netzwerkkarten", wenn auch nur virtuell und es genügt in der sysctl.conf das IP-Forwarding für IPv4 und gerne auch IPv6 zu aktivieren. Ansonsten sind die beiden Schnittstellen, weil auf einem einzigen Rechner, diesem auch bekannt. Wozu also mehr eintragen als das Forwarding (Das Beispiel mit dem reisenden Paket ist richtig gut)
Ein NAT mit masquerading und Furz und Feuerstein hat zwar nicht unbedingt Auswirkungen auf den Tunnel selbst, verursacht aber einen haufen Offset in der Übertragung, der erst einmal wieder raussortiert werden muss. Bringt also nichts außer Performanceproblemen.
Ich hoffe, dass ich nicht zu sehr falsch liege.

Gruß Thomas

Kleiner Nachtrag zum Thema NAT. Kann es sein, das das eingeschaltete NAT auf den VPS zu Problemen auf dem Firmenrouter geführt hat? Wenn ich mich in der alten Serverkonfig von der Firma aus dort angemeldet habe schmierten alle internen Verbindungen ab. D.h. ich konnte nur noch den VPS anpingen. Mit der neuen Konfig kann ich alles wieder anpingen, Firmenintern und VPS. Sogar das interne Routing auf das Maschinennetz läuft problemlos.

So wie ich es sehe sind alle relevanten routen eingetragen. Ist das richtig?


Hoppla, stimmt. Das war ich. Ist aber jetzt rausgeflogen. Danke

Ich würde mich freuen, wenn noch mal jemand was zu der Peerconfig der Fritze und der Firmenanbindung sagen könnte. (Beiträge oben) Vermeidet bei der Fritze u.U. Schiffbruch. Die Firma geht. Zumindest bis auf den VPS. Rest werde ich sehen.

Mein Plan war den Faden zu schließen, wenn ich die Konfig in die Fritze geladen habe und das Gesamtsystem läuft und keine Fragen mehr zum Thema auftauchen.

Alles Andere in einem neuen Faden

Gruß Thomas

Und genau das wäre für die Werkstatt wichtig. Dann kann ich nämlich die Fräsdaten auf der Maschine ablegen ohne sie vor Ort abholen zu müssen. Ursprünglich hatte ich da übrigens 32 Masken. Das habe ich übrigens gelesen und auch verstanden.


Nun, so wie ich es oben verstanden habe kann die Fritzbox beides Client und Server?!? Ursprünglich war das ja Thema des Fadens. Insofern habe ich jetzt reine IPv6 Responder auf der Fritze und will noch einen Initiator zum VPS installieren. (Die Frage warum will ich auch gleich beantworten. Sollte der VPS mal Tot sein, kann ich immer noch auf mein Netz.) Wie kriege ich unter den Umständen jetzt den PSK aus der Fritze? Insgesamt tritt jetzt etwas Verwirrung auf.

Hallo zusammen,

hoffentlich bekommt ihr Euch wegen mir nicht in die Haare. Ich habe jetzt die Konfig versucht in die Fritze zu laden. Wohlgemerkt, die Fritze sollte als Responder und Initiator arbeiten können. Das ist das Ergebnis des erstenVersuchs.


Jetzt kann ich wahrscheinlich die erste brauchbare Information zu dem Thread hinzufügen.
Damit die Fritze gleichzeitig als Initiator(Client) und Responder(Server) arbeiten kann muss zuerst der Client eingerichtet werden! Erst nachdem ich alle Einträge unter Wireguard gelöscht hatte konnte ich das Clientsetup laden und dann hat die Fritze auch die Verbindung sofort aufgebaut. Erst danach die Einzelverbindungen zu den Endgeräten neu anlegen. Auch das funktioniert dann einwandfrei über die AVM-Standards.


Um es Vorweg zu nehmen die Geschichte klappt in beide Richtungen und ich komme an alle Geräte in meinem Netz von außen dran. Auch an meine Werkstatt CNC. Was übrigens mit einer 32 Maske in der Clientconfig nicht funktioniert! (Ich wollte es wissen und habe es getestet) Bin ich wohl doch nicht zu blöd Tutorials zu lesen. Sorry, aqui.😜
Was ich noch nicht getestet habe sind die Verbindungen auf meine freigegebenen Laufwerke. Also die Netbios Zugriffe.
auf den Server.
Das probiere ich noch aus. (Heute schaffe ich das nicht mehr).

Trotzdem an dieser Stelle vorab ganz herzlichen Dank an alle Beteiligten. Einmal für die Hilfe und auch für die Geduld mit dem Opa. Richtig was gelernt und der nächste Faden kommt gewiss.

Nach den letzten Tests mache noch mal eine Zusammenfasssung in meinen Worten. So dass es ein Laie, wie ich mich bezeichnen würde, auch versteht und schließe den Faden dann.

Gruß Thomas

Die letzten Tests sind gemacht und ich kann meine Netzlaufwerke von extern über den Tunnel erreichen. Ein DNS Eintrag in der Client-Datei war dazu noch nötig, aber dazu unten mehr.
Für Leute wie mich, die nur rudimentäre Kenntnisse in Netzwerktechnik haben, empfehle ich, zu allererst die Tutorials unter den oben aufgeführten Links zu studieren. Man findet Sie unter den Beiträgen von catrell und aqui. Mir sind dabei auch Begriffe begegnet, mit denen ich erst einmal nichts anfangen konnte. Das passiert leicht, wenn man als Fachmann dem Laien etwas erklären will und ist normal. Aber eine Recherche danach lohnt sich, will man das geschriebene in Gänze verstehen. Oder sagen wir mal zumindest die Basic’s.
Alles in Allem habe ich dabei auch für mein berufliches Umfeld einige Erkenntnisse gewonnen, die mit Sicherheit ihre Umsetzung finden.
Hier möchte ich noch einmal alle Schritte zusammenfassen. Die Details finden sich oben im Faden.
• Infrastruktur planen.
Zuerst einmal Gedanken machen, wie denn das Netzwerk insgesamt aufgebaut sein soll. Wie viele Clients sollen zugreifen können? VPS-Server oder nicht? Usw. Ein Blatt Papier und eine handgezeichnete Grafik erleichtern das Leben gewaltig. Zumal man die Zeichnung im Laufe des Aufbaues und der Vorbereitungen um IP-Adressen, Namen etc. ergänzen kann.
• Wie soll der Zugang auf mein Heimnetz erfolgen?
Habe ich eine öffentliche IPv4 von meinem Provider oder sitze ich hinter einem CGNAT, weil ich einen neuen Glasfaseranschluss bekommen habe. Das ist bei mir der Fall und somit habe ich keine öffentliche IPv4 mehr. Dafür aber eine öffentliche IPv6. Liefert mir mein Handyprovider eine IPv6, dann brauche ich nur noch den HOTSPOT auf dem Handy zu konfigurieren und kann über z.B. eine Fritze und WireGuard auf mein Netz zugreifen. Das ist supereinfach zu konfigurieren und „Malen nach Zahlen“. Wem das reicht, der kann sich den ganzen Aufwand sparen und hier aufhören zu lesen. Ich brauche allerdings auch Zugang zu meinem Netz, wenn ausschließlich IPv4 Netze zur Verfügung stehen.
• Wie komme ich an eine öffentliche IPv4 Adresse?
Hier gibt es natürlich viele Möglichkeiten. Mein Provider, die DG, bietet über einen externen Dienstleister eine feste IPv4 an. Das geht richtig gut, kostet aber satte 12 Euronen im Monat. Wen das nicht schreckt, der ist dann auch schon fast fertig. Eine andere und damit meine genutzte Möglichkeit ist, sich einen sogenannten VPS-Server (Virtual Private Server) anzumieten. Es gibt jede Menge Provider, die diesen Dienst anbieten. Ich habe mich für IONOS VPS entschieden. Das Ding kostet genau 1 Eurone im Monat und bietet eine statische öffentliche IPv4 und eine statische öffentliche IPv6. Warum ist eine statische öffentliche IP wichtig. Nun, diese IP bleibt für immer so festgelegt und man spart sich einen Mechanismus wie dyndns, der zudem ebenfalls Kosten verursacht. Für weitere 2 Euronen gibt es sogar eine eigene Domain dazu. Letzteres verwende ich im Moment nicht. Sollte ich mal mein eigener Bildhoster werden wollen, dann kann man das immer noch machen.
• Wie geht das mit dem VPS?
Einfach einen Provider suchen, der öffentliche IPv4 und IPv6 zur Verfügung stellt und den kleinsten Server für’s kleinste Geld bestellen. Den Server nach Anleitung des Providers aufsetzen. Auf jeden Fall ein Linux vorzugsweise UBUNTU nehmen. Das System ist schlank und schnell und für unsere Zwecke absolut ausreichend. Nicht vergessen die Firewalleinstellungen für den Server anzupassen. Ich habe den gewünschten Wireguard Port auf UDP dort eintragen müssen, damit der Server überhaupt WG Anfragen angenommen hat. Alle anderen, nicht verwendeten Ports, sollte man schließen.
• IP Forward freigeben
Damit der VPS unsere Daten weitersenden kann muss auf dem VPS das IP„forwarding“ aktiviert werden. Steht im Netz wie es geht. (/etc/sysctl.conf)
• IP Adressbereiche für WG-Netz und Heimnetz aussuchen
Wenn man den Tutorials folgt, dann wird schnell klar, dass man sich nie um dieses Thema Gedanken gemacht hat. Einfach die Werkseinstellungen der Fritze genommen, den PC eigestöpselt und schon ist man im Internet. Soweit so gut aber für uns nicht brauchbar. Es ist erforderlich die Adressbereiche nach den einschlägigen RFC’s (Was das ist, steht in den Tutorials und Links) abzuändern. Ich verwende in dem Faden für das Heimnetz den Bereich 192.68.20.0/24 und für das WireGuard Netz den IP Bereich 100.64.114.0/24 (Das ist auf dem Echtsystem natürlich nicht mehr so, falls das hier jemand blind abtippt. 😉)
• Warum zwei Netze? Die Fritze verwendet doch auch immer das selbe Netz für die WG-Clients
Nun, die Fritze verwendet ein nicht 100% WG-kompatibles Setup. Da wir aber einen VPS einsetzen, auf dem die Standard WG Implementierung läuft, müssen wir uns auch an die Standard WG Vorgaben halten. Das setzt zwei getrennte Netze, eines für WG und eines fürs Heimnetz, was durch den WG-Tunnel den Teilnehmern Zugriff gewährt, voraus.
• Wie geht das jetzt mit dem WG und Heimnetz?
Am einfachsten kann man sich das vielleicht folgendermaßen vorstellen. Der VPS stellt mit dem WG-Netz auf dem VPS ein Tunnelsystem zur Verfügung. Die Tunnel sind miteinander verbunden und die Teilnehmer an unserem Heimnetz können sich in dem Tunnel frei bewegen. Und das so, dass von außen niemand unsere Kommunikation verstehen kann.
• WG-Server aufsetzen
Alles was hier steht kann man in den Tutorials nachlesen! Als nächstes ist WireGuard auf dem Server zu installieren. Nach der Installation empfiehlt es sich die Schlüsselpaare zu erzeugen. Sprechende Namen verwenden. Z.B. ServerPubKey, ServerPrivKey. Das macht man für alle zu erstellenden Clients immer mit dem gleichen Befehl. Außerdem brauchen wir noch für die Fritze einen sogenannten preshared Key. Da dieser immer der Gleiche ist genügt es den „preshared“ zu nennen.
Die Key‘s bitte vom Server entfernen und irgendwo sichern. Das wäre sonst so, wie wenn man den Schlüsselbund in der Eisdiele liegen lässt. Eine gute Praxis ist es, sich die Key’s mit Namen in eine Textdatei zu kopieren, die man bei der Erstellung der Konfigdateien zur Hand hat. Dann kann man die Schlüssel prima kopieren und kommt mit den Namen nicht durcheinander.
• WGServer.conf erstellen
Als nächstes erstellt man die Server Konfigurationsdatei wie oben gezeigt. Natürlich angepasst an die eigenen Bedürfnisse mit den eigenen Key’s und IP-Adressen
• WGClient.conf erstellen
Analog dazu kann man auch für alle Clients die Konfiguration erstellen. Bitte sprechende Namen verwenden, da jeder Client seine eigene Konfig bekommt. Man beachte unbedingt die außergewöhnliche Konfiguration der Fritzenanbindung. Ansonsten erleidet man Schiffbruch. (Oben im Faden) Die restlichen Clientkonfigurationen kann man kopieren und passt da lediglich die Schlüssel und die IP-Adressen an. Die Konfigs dann auch vom VPS sichern und ggf. löschen. Die werden da nicht mehr gebraucht
• WGServer mit „wg-quick up WGServer“ starten und testen
Ist der Server gestartet kann man mit dem Befehl „wg show“ den Status sehen. Erfolgt keine Ausgabe ist was schiefgelaufen. In dem Fall muss man auf die Ausgabe beim Starten des Servers achten. Meistens hat sich ein Fehler beim Tippen eingeschlichen. Mir passiert.
Bekommt man den Status angezeigt, dann läuft der WG-Server schon einmal.
• WGClientXXX auf dem Client PC einrichten und starten
Zuerst für das Betriebssystem des Client Rechners das passende WG Frontend herunterladen und installieren. Danach die passende ClientXXX.conf importieren und fertig. Danach kann man einfach auf Verbinden drücken. Hat alles geklappt, dann erscheinen im Status bei Sent und Receive aufsteigende Bytewerte. Auf der Kommandozeile sollte man dann noch die IP des VPS anpingen. Kriegt man eine Antwort geht die gesamte Mimik.
• Fritzbox Client installieren und starten
Bevor man die Clientkonfig in die Fritze einspielen kann, müssen alle existierenden und bereits konfigurierten Tunnel gelöscht werden. Das Problem ist, dass im Interfaceteil Konfigdatei der PublicKey unseres VPS steht. In einer bestehenden Konfiguration steht im Interfaceteil der PublicKey der Fritze. Das mag sie gar nicht und das Ergebnis kann man oben nachsehen. Ist die Tabelle leer kann man den Import ohne Probleme durchführen.
Bitte unbedingt die Sonderkonfiguration der Konfigdatei für die Fritze beachten. Ich widerhole mich. Tutorial, Links, lesen! Wenn alles OK ist baut die Fritze unmittelbar eine Verbindung zum VPS auf und die grüne LED im Listeneintrag der Fritze geht an. Jetzt kann man vom Heimnetz aus einen Ping auf den VPS absetzen. Bekommt man Antwort, dann läuft alles. Steht die Verbindung zum VPS kann man auch wieder Direktzugänge für einzelne Geräte konfigurieren. Damit arbeitet die Fritze gleichzeitig als Initiator(Client) und Responder(Server). Damit ist auch der Bezug zum Fadentitel hergestellt. 😊
• Besonderheiten beim Konfigurieren der Clients
Die Fritzbox bastelt ohne unser Zutun einen weiteren Eintrag in die Konfiguration, der da lautet: DNS = <IP der Fritze>, fritz.box.
Der Eintrag wird erzeugt, wenn man beim Laden der Konfigurationsdatei das Kontrollkästchen für „NETBIOS verwenden“ anklickt. Das ist sehr hilfreich, wenn man seine Netzlaufwerke unter dem Klarnamen erreichen will. Den gleichen Eintrag habe ich auch in meinen Clientdateien händisch hinzugefügt. Lässt man das weg, dann kann man seine Windows oder Samba Laufwerke nur noch durch die Angabe der IP als Servernamen erreichen bzw. verbinden. Aber das ist Geschmackssache. Noch etwas. Die Fritze hat die Angewohnheit bei den Allowed IP's neben dem Home- und WG-Netz auch noch einen "Gateway redirect" hinzuzufügen 0.0.0.0/0. Ich weiß nicht warum, weil damit die anderen Adressen außer Kraft gesetzt werden. Damit wird der gesamte Datenverkehr des Clients in den Tunnel geschaufelt. Man muss sich dann nicht wundern, wenn plötzlich alle Firmeninternen Netze perdü sind. Sinnvoll ist das nur, wenn man den gesamten Datenverkehr, insbesondere Internetverkehr, unsichtbar machen will. Im "Hackers Inn" sicher sinnvoll und der Chef muss auch nicht alles wissen. Ich habe mir zwei Konfigs gemacht, die ich entsprechend auswählen kann.


War doch mehr als gedacht, aber vielleicht hilft es dem Einen oder Anderen oder dem geplagten DG-Kunden. Insgesamt ist das WG-VPN sehr performant und wesentlich schneller als mein OpenVPN. Besonders an älteren Kabelanschlüssen (Meine Werkstatt). Hat man die Zusammenhänge erst einmal verinnerlicht auch wesentlich einfacher zu Administrieren.
Viele Grüße
Thomas

Hallo aqui,
Danke für den wirlich interessanten Link. Sicherlich findet sich hier im Forum ein Klientel was mit den verwendeten Fachbegriffen in dem Tutorial umgeht wie unsereins mit dem Brotmesser. Aus mehreren Fachartikeln weiß ich, dass die Impementation von IPSec nicht trivial ist. (Und wenn ich das Tutorial lese stimme ich dem zu) Ich denke, dass die Implementierung von WG, so wie hier im Forum und oben beschrieben mindestens 95% der Anforderung von Klein- und Privatanwendern erfüllt. Außerdem ist das für interessierte Laien auf dem Gebiet, zu denen ich mich auch zähle, nachvollziehbar und somit selbst umsetzbar. Darauf wird viel zu selten Wert gelegt und ich kenne das zu Genüge aus meiner beruflichen Praxis.

Das ganze läuft auf IPv6 und im Mischbetrieb mit IPv4 ohne Probleme. Peformance spielt da eine untergeordnete Rolle. Ein Formel 1 Wagen ist auch performanter als meine Limousine. Damit käme ich im Tagesgeschäft aber auch nicht viel schneller von A nach B. Erfordert aber viel Sachverstand und Aufwand und macht daher keinen Sinn. Abgesehen davon ist meine WG-Lösung schneller und performanter als jede bisher verwendete OVPN-Lösung, die bei den meisten Firmen, mit denen wir zu tun haben, auf einer z.B. pfSense implementiert sind. Das mag in anderen Regionen vielleicht anders sein.

"omnes viae Romam ducunt" Ich finde man sollte immer den Nutzen ins Verhältnis zum Aufwand stellen und den Wissensstand der Protagonisten berücksichtigen. Worum geht es eigentlich? Hätte ich nicht den Sonderfall mit meiner, Achtung! Hobbywerkstatt gehabt, dann gäbe es diesen Thread nicht. Dann hätte ich mir die Lösung auf der Fritze in 5 Minuten zusammengeklickt. Du und catrell habt mir in kurzer Zeit, mit eurer Expertise, sehr viel beigebracht und die Arbeit war von Erfolg gekrönt. Vielleicht ist sogar noch jemand dankbar für die oben (laienhaft) dokumentierte Lösung, weil er im Moment genauso hilflos da steht wie ich am Anfang. Was wollen wir also mehr?

Gruß Thomas

Nachdem ich mich weiter mit dem Thema WG beschäftigt habe sind noch ein paar Verständnisfragen aufgetaucht. Ich denke ich habe die Antworten, würde das aber gerne Verifizieren. Ich bin mal so frei.

• Der WGTunnel arbeitet mit dem Netz 100.64.114.0/24 und die Fritzbox mit 192.168.20.0/24.
• Damit ich auf jeden Rechner bzw. Peer, welcher den Tunnel nutzt zugreifen kann ist in der Client-Konfig bei "AllowedIPs" das gesamte Tunnelnetz anzugeben. Also 100.64.114.0.
• Um jetzt auf das Heimnetz, sagen wir von der Werkstatt aus zuzugreifen, benötige ich in der Clientconfig der Werkstatt unter "AllowedIPs" dessen Netzwerkadresse. Also 192.168.20.0/24.

Sieht so aus und klappt:

• Damit der WGServer jetzt weiß wohin er das Paket schicken soll, muss in der Server-Konfig unter dem Peer für die Fritzbox ebenfalls dieses Netz eingetragen sein. Sieht so aus.

• Solange auf dem VPS, also dem WGServer, das ipforwarding aktiviert ist kümmert sich wg-quick um die richtigen Routingeinträge.

Liege ich da mit meinem laienhaften Verständnis richtig oder habe ich etwas Wichtiges vergessen?

Gruß Thomas

Hallo catrell,

Zuerst einmal vielen Dank für die Info. Eine Wissenslücke nachhaltig gefüllt. 😊


Da sind wir schon beim Thema und bei meinen Überlegungen. Wenn ich also eine weitere Fritze bzw. ein weiteres Netzwerk an den Tunnel anbinden will müsste ich dann folgendes machen? (Site2Site) Mal angenommen dieses Netz hätte die Adresse 192.168.30.0/24.

• Dann müsste die Server Konfig für den neuen Peer wohl so aussehen, bzw um den Eintrag ergänzt werden?

• Die Konfig für die Fritzbox im "Weit weg Netz müsste wohl so aussehen?

• Der bestehende Eintrag in der Server Konfig für das Heimnetz müsste dann entsprechend um das "Weit weg Netz? erweitert werden?

Damit jetzt von einem beliebigen Teilnehmer im gesamten Netz auf einen beliebigen Teilnehmer im Netz zugegriffen werden kann muss die Client Konfig eines jeden Host's diese Netze unter AlowedIPs enthalten? Jedenfalls, wenn Datenpakete in und von diesen Netzen ausgetauscht werden sollen?

Bleibt eine Frage? Was ist mit den DNS Einträgen, die in den Client Dateien im Moment auf die Fritze im Heimnetz verweisen. Das klappt auch richtig gut. Ein Eintrag wie "DNS = 192.168.20.1, 192.168.30.1, fritz.box" dürfte wohl völliger Oppdeldock sein? Dazu fällt mir leider nichts ein.

Gruß Thomas

Hallo catrell,

habe den Denkfehler ekannt. Der Server legt das Routing an und somit braucht er nur zu wissen an welchen Peer er den Traffic für das 20er bzw. 30er Netz schicken muss. (Jeder Eintrag nur einmal!)

Beim Client sieht das natürlich anders aus. Der muss Routen in beide Netze incl. WG-Netz haben damit er weiß in welches Netz er den Traffic schicken soll. Der Client schickt also den Traffic für das 20er und 30er Netz über das WG-Netz an den Server. Dieser schaut in seinen Routen nach wohin das gehen soll (20er, 30er oder anderer WG-Client) und dann ab dahin.

Wenn ich Deine Worte richtig wiedergegeben habe, dann habe ich das verstanden. Ist eigentlich sehr einfach und logisch.

Bleibt die Frage nach dem DNS.

Gäbe es eine Möglichkeit auf dem VPS einen DNS-Dienst einzurichten, der nur auf dem WG- und angebundenen Netzen reagiert? Was macht man dann mit den DNS-Servern auf der Fritze?


Hmm. Auch wenn ich mich lächerlich mache. Da fällt mir spontan die LMHOSTS bei Windows ein. Wenn es das überhaupt noch gibt. Das setzt aber statische IP's voraus. Auch nicht das Gelbe vom Ei. Scheint beliebig kompliziert zu sein. Aber eigentlich müsste ein DNS auf dem Server sich doch "nur" die DNS-Einträge der beiden Fritzen holen und in seiner Tabelle ablegen? (Mal so ins Blaue gedacht)

Gruß Thomas

Hallo zusammen,

das mit dem DNS lasse ich lieber. Macht keinen Sinn bei den paar Hosts. Und diejenigen die relevant sind kann man leicht in der LMHOST pflegen. Man sollte auch die Kirche im Dorf lassen.

Was aber gut geht ist Profinet über den Tunnel routen. Ich habe seit gestern eine kleine S7-1200CPU als Telemetriehost laufen und der tauscht seine Messswerte ohne Murren und Knurren mit der 1500er hier im Büro aus. Die Latenzzeiten liegen bei unter 40ms. Geroutet wird folgendermaßen: SPS -> MiniPC mit WG -> FB(kann kein Wireguard. Update nicht gemacht, ist nicht meine Box) an einem Breitbandanschluss -> VPS -> Heimnetz.
Interessante Beobachtung: Die Latenzzeiten gingen kontinuierlich runter. Angefangen habe ich heute Morgen mit 125-150ms. Innerhalb des Vormittags pendelte sich das dann bei ca. 40ms ein. Dabei gab es auf dem Anschluss ab 8 Uhr ansteigenden Internet Traffic. Ich hätte es andersherum erwartet. Gibt es eine Erklärung dafür?

Gruß Thomas