17.07.2025
660
17
0Wireguard Client zerstört eigene Konfiguration
Hallo,
habe ein sehr seltsames Verhalten beim Wireguard Client.
Installiert ist die aktuelle Version, die Config-Datei stammt vom einer Fritzbox. Hat bisher einwandfrei funktioniert, aber seit ein paar Tagen tritt folgendes Verhalten auf:
Ein paar Minuten nach dem Verbindungsaufbau, in denen alles funktioniert, bricht die Verbindung ab und der Client schließt sich. Er kann nun nicht mehr geöffnet werden, da der Prozess noch als Hintergrundprozess läuft, und im Task Manager manuell beendet werden muss.
Das Startverhalten des Wireguard-Dienstes ist nun auf "deaktiviert" gesetzt. Laut Ereignisanzeige wurde das vom System gesetzt. Man muss ihn manuell wieder auf automatisch setzen.
Startet man nun den Wireguard Client wieder, stellt man fest dass die Config-Datei verändert wurde. Statt den üblichen Daten (PrivateKey, Address, DNS, PublicKey, PresharedKey, AllowedIPs, Endpoint, PersistentKeepalive) sieht die Datei nun so aus:
[Interface]
PrivateKey = AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=
Sonst steht nichts mehr drin. Es muss jetzt die Verbindung neu importiert werden, damit es wieder geht. Bis das Verhalten nach ein paar Minuten wieder auftritt.
OS ist Windows 11 Pro, es wurde nichts bewusst verändert (also keine Software manuell installiert/deinstalliert). Ansonsten treten keine Probleme auf. Virenschutz meldet alles ok.
habe ein sehr seltsames Verhalten beim Wireguard Client.
Installiert ist die aktuelle Version, die Config-Datei stammt vom einer Fritzbox. Hat bisher einwandfrei funktioniert, aber seit ein paar Tagen tritt folgendes Verhalten auf:
Ein paar Minuten nach dem Verbindungsaufbau, in denen alles funktioniert, bricht die Verbindung ab und der Client schließt sich. Er kann nun nicht mehr geöffnet werden, da der Prozess noch als Hintergrundprozess läuft, und im Task Manager manuell beendet werden muss.
Das Startverhalten des Wireguard-Dienstes ist nun auf "deaktiviert" gesetzt. Laut Ereignisanzeige wurde das vom System gesetzt. Man muss ihn manuell wieder auf automatisch setzen.
Startet man nun den Wireguard Client wieder, stellt man fest dass die Config-Datei verändert wurde. Statt den üblichen Daten (PrivateKey, Address, DNS, PublicKey, PresharedKey, AllowedIPs, Endpoint, PersistentKeepalive) sieht die Datei nun so aus:
[Interface]
PrivateKey = AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=
Sonst steht nichts mehr drin. Es muss jetzt die Verbindung neu importiert werden, damit es wieder geht. Bis das Verhalten nach ein paar Minuten wieder auftritt.
OS ist Windows 11 Pro, es wurde nichts bewusst verändert (also keine Software manuell installiert/deinstalliert). Ansonsten treten keine Probleme auf. Virenschutz meldet alles ok.
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 673897
Url: https://administrator.de/forum/wireguard-client-verbindungsprobleme-windows-673897.html
Ausgedruckt am: 18.07.2025 um 01:07 Uhr
17 Kommentare
Neuester Kommentar
Moin,
klingt nicht gut.
Möglicherweise ist dein AV zu aggressiv eingestellt und denkt, WG sei ein Virus (eher unrealistisch) oder Malware macht sich breit auf dem System (realistischer).
Teste mal ohne Echtzeitschutz.
Wenns nichts hilft: Mach einen Defender Offlinescan oder eben sonst eine Offlinelösung (LiveLinux, ...), installiere Malwarebytes, und lass auch das drüber rennen.
Ich denke, dein System ist nicht ganz in Ordnung, auch wenn der AV was anderes behauptet.
Gruß
Kannst Du uns die generierte Config zur Verfügung stellen? Ggf. gibts da ein komisches Pattern was als böse erkannt wird?
klingt nicht gut.
Möglicherweise ist dein AV zu aggressiv eingestellt und denkt, WG sei ein Virus (eher unrealistisch) oder Malware macht sich breit auf dem System (realistischer).
Virenschutz meldet alles ok.
Aha, na dann ..Teste mal ohne Echtzeitschutz.
Wenns nichts hilft: Mach einen Defender Offlinescan oder eben sonst eine Offlinelösung (LiveLinux, ...), installiere Malwarebytes, und lass auch das drüber rennen.
Ich denke, dein System ist nicht ganz in Ordnung, auch wenn der AV was anderes behauptet.
Gruß
Kannst Du uns die generierte Config zur Verfügung stellen? Ggf. gibts da ein komisches Pattern was als böse erkannt wird?
Kannst Du uns die generierte Config zur Verfügung stellen?
Na, doch sicher nicht 😂
Das hiesige Wireguard Tutorial hast du in aller Ruhe dazu gelesen und entsprechend umgesetzt?
Dort sind alle Details erklärt!
Nach den Symptomen zu urteilen ist das aber eher ein Winblows 11 Problem statt eines WG Problems.
Ein hiesiges Win 11 (23H2) arbeit völlig unauffällig sowohl an einem unixoiden WG Server, Fritzbox oder Mikrotik Router und das auch wenn man 10 oder mehr Male die Konfig wechselt. Alles andere wäre auch verwunderlich...
Möglich das deine importierte WG Konfig Datei einen Syntax Fehler hat was dazu führt das die relevanten Kommandos der betroffenen "[...]" Sektion vollständig gelöscht werden.
Ansonsten die übliche Winblows Prozedur: WG Client über die die installierten Programme vollständig aus Winblows entfernen, rebooten und nochmal neu installieren.
Dort sind alle Details erklärt!
Nach den Symptomen zu urteilen ist das aber eher ein Winblows 11 Problem statt eines WG Problems.
Ein hiesiges Win 11 (23H2) arbeit völlig unauffällig sowohl an einem unixoiden WG Server, Fritzbox oder Mikrotik Router und das auch wenn man 10 oder mehr Male die Konfig wechselt. Alles andere wäre auch verwunderlich...
Möglich das deine importierte WG Konfig Datei einen Syntax Fehler hat was dazu führt das die relevanten Kommandos der betroffenen "[...]" Sektion vollständig gelöscht werden.
Ansonsten die übliche Winblows Prozedur: WG Client über die die installierten Programme vollständig aus Winblows entfernen, rebooten und nochmal neu installieren.
Wenn der Virenschutz da eingreifen würde, würde der sich ja melden, und das protokollieren. Und vor allem, warum sollte der Virenschutz das letzte Woche noch ok finden, und diese Woche nicht?
Und vor allem, warum wird der Großteil der Config-Datei gelöscht, bis auf die ersten zwei Zeilen, und der PrivateKey wird zu einem Schrei?
Die generierte Config zur Verfügung stellen? Sorry, aber wenn ich das mache, kriege ich wahrscheinlich so einen auf den Deckel, dass ich nebenher meinen Job verliere.
Und vor allem, warum wird der Großteil der Config-Datei gelöscht, bis auf die ersten zwei Zeilen, und der PrivateKey wird zu einem Schrei?
Die generierte Config zur Verfügung stellen? Sorry, aber wenn ich das mache, kriege ich wahrscheinlich so einen auf den Deckel, dass ich nebenher meinen Job verliere.
dass ich nebenher meinen Job verliere.
Na ja, wer als Administrations Verantwortlicher für Fernzugänge ernsthaft WG in einem Firmen- bzw. Enterprise Umfeld nutzt der hat sicher nicht viel zu befürchten. Das und eine Plaste Fritte zeugt von einer im Bereich Router, Firewalls und VPNs eher wenig fachkundigen IT... 
Was ist das Problem mit WireGuard @aqui?
Wer die Wireguard Conf hat hat den Zugang, egal welches Gerät diese nutzt.
Vernünftige VPN überprüfen paar Sachen mehr als nur die in der Konfig hinterlegten Key's
Vernünftige VPN überprüfen paar Sachen mehr als nur die in der Konfig hinterlegten Key's
1
Okay, ich dachte, wir seien hier unter "Profis" - Auch dachte ich nicht, dass ich erklären muss, dass sensible Daten entweder *GESNIPPED* oder ganz ausgelassen werden bei einer Config. Aber ja, Dinge ändern sich.
Außerdem sage ich nicht (nur), dass dein AV daran schuld haben könnte.
Aber: besser auf das stille Schlangenöl verlassen, als sich selbst überzeugen. Machen Admins immer so. /s
Hey, ich rate auch nur ;)
Fakt ist: irgendwer oder irgendwas darf in der Config schreiben.
Gruß
Wenn der Virenschutz da eingreifen würde, würde der sich ja melden, und das protokollieren
Gibt natürlich keine neuen Signaturen die dein AV nicht kennt.Und vor allem, warum sollte der Virenschutz das letzte Woche noch ok finden, und diese Woche nicht?
Signaturen... Locky wurde von der DB damals auch nicht sofort erkannt. Ich hoffe, Du verstehst.Außerdem sage ich nicht (nur), dass dein AV daran schuld haben könnte.
Aber: besser auf das stille Schlangenöl verlassen, als sich selbst überzeugen. Machen Admins immer so. /s
Und vor allem, warum wird der Großteil der Config-Datei gelöscht, bis auf die ersten zwei Zeilen
Ggf. sind die nachfolgende Zeilen in ein Pattern gerutscht was ein falsepositive oder ähnliches auslöste. Vielleicht im PostUp oder ähnliches. Würde mich nicht wundern, wenn es eine SW gibt, die nach WG Configs sucht und ggf. "Dinge" einbaut. Nach dem Motto: Lass den User die Verbindung aufbauen, dann verbinde den C2 Server, zerstöre anschließend die Cfg um nichts zu hinterlassen. Einem Linuxjünger würde ich "inotifywait" bzw. auditd empfehlen um in Echtzeit zu sehen, wer in das File schreibt. Dem Windowsuser mal SysInternalTools vorstellen.Hey, ich rate auch nur ;)
Fakt ist: irgendwer oder irgendwas darf in der Config schreiben.
Gruß
1
@Delta9
Naja, das ist ja leicht gesagt. Der Punkt ist halt, habe ich nur eine Fritzbox, und soll da Windows-Clients per VPN anbinden, ist das doch nicht mit den integrierten Win10/11-VPN-Clients kompatibel. Warum auch immer AVM das über Jahre nicht hinbekommen wollte.
Wurde dazu nicht sogar auf nen lütten, 10 Jahre lang nicht mehr gepflegter Client von so ner Berliner Klitsche verwiesen?!
Da ist WG imho durchaus der sinnvollere Weg.
@shebang
Klar kann man die "kürzen und modifzieren". Nur, ist es doch dann nicht mehr das "selbe" ggfs. problembehaftete Dokument?!
Naja, das ist ja leicht gesagt. Der Punkt ist halt, habe ich nur eine Fritzbox, und soll da Windows-Clients per VPN anbinden, ist das doch nicht mit den integrierten Win10/11-VPN-Clients kompatibel. Warum auch immer AVM das über Jahre nicht hinbekommen wollte.
Wurde dazu nicht sogar auf nen lütten, 10 Jahre lang nicht mehr gepflegter Client von so ner Berliner Klitsche verwiesen?!
Da ist WG imho durchaus der sinnvollere Weg.
@shebang
Klar kann man die "kürzen und modifzieren". Nur, ist es doch dann nicht mehr das "selbe" ggfs. problembehaftete Dokument?!
Klar kann man die "kürzen und modifzieren". Nur, ist es doch dann nicht mehr das "selbe" ggfs. problembehaftete Dokument?!
Willst Checksummen Vergleiche anstellen? Ich nicht. Ich würde einfach nur schauen wollen, was im PostUp/Down so eingerichtet ist. Aber ich hab auf so TO schon gar keine Lust mehr. AV gut -> Alles gut.
Schönen Feierabend
ist das doch nicht mit den integrierten Win10/11-VPN-Clients kompatibel.
Dafür gibts ja genügend Hardware am Markt die entsprechend kompatibel ist und das sogra teilweise für umsonst! 😉PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
L2TP VPN Server mit Mikrotik Routern
L2TP VPN Server mit Cisco Routern
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
Usw. usw.
Die Liste ist da ja beliebig lang und in der Tat sind die im OS embeddeten VPN Clients bekanntlich immer die beste Wahl.
Ich bin mir nicht sicher ob dem TE geholfen ist, wenn wir ihm eine andere Firewall-HW empfehlen 😉
Mag ja sein – die läuft aber nicht auf seiner AVM-HW ...
@Dexx024: Ist das immer nur bei einem Client?
@Dexx024: Ist das immer nur bei einem Client?
Das Startverhalten des Wireguard-Dienstes ist nun auf "deaktiviert" gesetzt. Laut Ereignisanzeige wurde das vom System gesetzt. Man muss ihn manuell wieder auf automatisch setzen.
Das gehört wohl so. Ist der WG Tunnel nicht gestartet wird der Dienst deaktiviert.
Wird WG verbunden wir der Dienst gestartet und die verbindung wird auch nach einem neustart wieder automatisch auffgebaut.
Was sagen denn die WG logs ?
Mag ja sein – die läuft aber nicht auf seiner AVM-HW ...
Unabhängig davon das wir aber nicht Wissen welche Fritzbox das ist könnte man nen RPI oder so als alternativer VPN Server nehmen.
Die VPN Implementationen von AVM waren schon immer "merkwürdig".
Denke aber eher da ist Ungeziefer auf dem Client bzw. der WG Client hat nen Bug.
Aber da keine Versionsangaben usw --> Glaskugel
1Mag ja sein – die läuft aber nicht auf seiner AVM-HW ...
Zum Thema Plaste Fritten in Enterprise Umgebungen ist ja oben schon alles gesagt...
