Jan 31, 2023, updated at 10:26:00 (UTC)

9698

Wireguard für Windows Verbindung klappt aber keine Ping

Hallo zusammen,

ich habe einen Windows Server 2022 (Dedicated von Strato).
Hier habe ich Wireguard installiert und mithilfe des Tool WireGuard-Tool installiert.

Die Verbindung zwischen Client und Server steht.

Aber es funktioniert nichts.
Ich kann vom Client aus den Server nicht anpingen (mit der neu vergebenen IP) und genauso wenig andersherum.

Server:

[Interface]
Name=Server
ListenPort=49312
AllowedIPs=10.8.0.0/32
Endpoint=WAN_IP:49312
SaveConfig = true
Address=10.8.0.0/32
PersistentKeepalive=0
PrivateKey=Versteckt 
PublicKey=Versteckt

Client:

# Administrator
[Interface]
Address=10.8.0.2
DNS=8.8.8.8,1.1.1.1
PrivateKey=Versteckt

# Server
[Peer]
Endpoint=Wan_IP:49312
AllowedIPs=10.8.0.0/32
PublicKey=Versteckt

Habe beim WireGuard.Tunnel Adapter die IP und DNS auf automatisch.

Habe ich irgendwo einen Fehler?

Vielen Dank

Please also mark the comments that contributed to the solution of the article

Content-Key: 5753905651

Url: https://administrator.de/contentid/5753905651

Printed on: April 26, 2024 at 11:04 o'clock

30 Comments

Latest comment

Moin,

ICMP in der Windows Firewall freigegeben?

Gruß
Jasper

a) Warum nicht das Original, sondern so ne obskures Setup-Tool?!

b) Deine IPs können so nicht stimmen.

Zitat von @JasperBeardley:

Moin,

ICMP in der Windows Firewall freigegeben?

Gruß
Jasper

Alles Freigegeben.

Zitat von @Visucius:

a) Warum nicht das Original, sondern so ne obskures Setup-Tool?!

b) Deine IPs können so nicht stimmen.

habe keine wirkliche Anleitung für Wireguard und Windows gefunden.

Daher das mit dem Tool probiert.
An sich sind ja trotzdem alle Keys etc. generiert wurden.

Wieso stimmen die IP's denn nicht?

Hallo.

"Die Verbindung zwischen Client und Server steht."
Woran machst du das fest? Nur weil die verb. im client grün ist? Das sagt wenig aus. Hast du traffic auf der verbindung.

Zitat von @Xerebus:

Hallo.

"Die Verbindung zwischen Client und Server steht."
Woran machst du das fest? Nur weil die verb. im client grün ist? Das sagt wenig aus. Hast du traffic auf der verbindung.

JA genau. bin ein Noob was VPN angeht.
Also ich ging von dem grünen Client aus. Aber auf dem Client steht auch folgendes:

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0    192.168.0.254     192.168.0.36     25
         10.8.0.0  255.255.255.255   Auf Verbindung          10.8.0.2      5
         10.8.0.2  255.255.255.255   Auf Verbindung          10.8.0.2    261
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    331
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    331
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    331
      192.168.0.0    255.255.255.0   Auf Verbindung      192.168.0.36    281
     192.168.0.36  255.255.255.255   Auf Verbindung      192.168.0.36    281
    192.168.0.255  255.255.255.255   Auf Verbindung      192.168.0.36    281
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    331
        224.0.0.0        240.0.0.0   Auf Verbindung      192.168.0.36    281
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    331
  255.255.255.255  255.255.255.255   Auf Verbindung      192.168.0.36    281
===========================================================================

Aber es funktioniert nichts.

Das hiesige Tutorial zu der Thematik hast du gelesen und umgesetzt?!
Merkzettel: VPN Installation mit Wireguard

Alles Freigegeben.

Bei einer Winblows Gurke die bei einem Hoster dann direkt nackt im Internet steht?? Nicht dein Ernst, oder?
Von solchen omninösen "Tools" aus zweifelhaften Quellen kann man dir nur dringend abraten. Ist auch gar nicht nötig wenn man das Original verwendet: https://www.wireguard.com/install/
Tutorial lesen und verstehen...! 😉

Hallo,

10.8.0.0/32 ist kein Subnetz, vielleicht mal 10.8.0.0/24 probieren, dann ist 10.8.02 wenigstens mal in deinem Subnetz

cya

Hallo,

Zitat von @gammelobst:
10.8.0.0/32 ist kein Subnetz,

Doch schon, aber nicht sinnvoll (Das Subnetz hat halt nur eine (1) IP). https://www.adminsub.net/ipv4-subnet-calculator/10.8.0.0/32

Gruß,
Peter

Hallo,

habe es hinbekommen, das nun auch angepingt werden kann.
Soweit so gut.
Aber: was bzw. wo müsste ich etwas einstellen, das man ausschließlich mit Wireguard bzw. nur mit VPN-Verbindung auf den Server kommt. Noch ist es dem Server egal. ob wireguard läuft oder nicht. komme per RDP immer auf den Server.

Besten Dank

Zitat von @Pjordorf:

Hallo,

Zitat von @gammelobst:
10.8.0.0/32 ist kein Subnetz,

Doch schon, aber nicht sinnvoll (Das Subnetz hat halt nur eine (1) IP). https://www.adminsub.net/ipv4-subnet-calculator/10.8.0.0/32

Gruß,
Peter

müsste das dann aber nicht wenigstens 10.8.0.1/32 sein?

das man ausschließlich mit Wireguard bzw. nur mit VPN-Verbindung auf den Server kommt.

Wie immer nimmt man dazu die Firewall und lässt dort einzig nur den UDP Port passieren auf den du deiner WG Konfig eingestellt hast. Bei dir dann UDP 49312

komme per RDP immer auf den Server.

Ungeschützt über das Internet? Nicht dein Ernst bei einem Winblows Server, oder?

Der Port 49312 ist Frei.

Leider ja.. bin ja am basteln. da ist ja nichts drauf. Bis auf Windows.

Hatte überlegt, das ich den Port 3389 schließe. Aber dann komme ich mit Wireguard und RDP nicht mehr drauf.

Hatte überlegt, das ich den Port 3389 schließe. Aber dann komme ich mit Wireguard und RDP nicht mehr drauf.

Jaja, das ist die Kunst 😂

Da kommen nostalgische Erinnerungen an meinen ersten Post hier im Forum hoch:
V-Server Windows 2016, RDP und VPN

Der Trick ist im Prinzip, dass Du innerhalb der VPN andere IP-Adresse hast. Und jetzt sagst Du dem RDP-Port, dass er nur noch auf die IP-Adressen aus der VPN reagieren darf. Sowas nennt sich "scopen".

Aber um Himmels willen mach nen Snapshot/Backup vorm testen

Aber dann komme ich mit Wireguard und RDP nicht mehr drauf.

Das ist ja ziemlicher Quatsch. RDP nutzt TCP 3389 und Wireguard bei dir UDP 49312.
2 Ports die nichts miteinander zu tun haben!!

Wenn du allerdings dein Firewall Regelwerk falsch oder fehlerhaft konfiguriert hast dann kann sowas schon mal passieren. Da liegt der Fehler dann aber nicht an der Firewall sondern ist ein typisches PEBKAC Problem!
Gerade einen Winblows Server so offen im Internet zu exponieren ist fahrlässig. Bei Linux mit fail2ban könnte man wenigstens etwas ruhiger schlafen... 😉

Also die Firewall einstellen, das nur noch die VPN IP's einen RDP zugriff haben?
Wäre das dann in der Windowsfirewall dann als Remote-IP oder als Lokale IP einzugeben?

Ist bei mir ne Weile her, ich glaube aber, mehr Spaß machts mit den "remoten" ... also Dir. 🤭

PS: Du gibts nicht die IP ein, sondern das Netz!

Zitat von @Visucius:

Ist bei mir ne Weile her, ich glaube aber, mehr Spaß machts mit den "remoten" ... also Dir. 🤭

PS: Du gibts nicht die IP ein, sondern das Netz!

Wie kann ich dies tätigen?

Keine Ahnung - kenne ja Dein internes IP-Netz nicht?!

Wenn das immer noch 10.8.0.0/32 ist, dann würde ich da nur statt 32 auf max 30 gehen.

Ach ja und wenn Du fertig bist, machste möglichst nen Portscan auf Deinen Server! Und guckst vorsichtshalber nach ein paar Tagen bei https://www.shodan.io vorbei ob die Dich schon "empfehlen"

Zitat von @Visucius:

Keine Ahnung - kenne ja Dein internes IP-Netz nicht?!

Wenn das immer noch 10.8.0.0/32 ist, dann würde ich da nur statt 32 auf max 30 gehen.

Ach ja und wenn Du fertig bist, machste möglichst nen Portscan auf Deinen Server! Und guckst vorsichtshalber nach ein paar Tagen bei https://www.shodan.io vorbei ob die Dich schon "empfehlen"

Werde ich machen

Zur Firewall:
Also gehe ich Eigehende Regeln / Remotedesktopdienste / Bereich / Remote IP und dann 10.8.0.0/32 eintragen?

Mit der 32 hastes aber 😂

Da muss ich an die Kollegen abgeben, ich habe gerade kein Windows (mehr) vor der Nase. Aber Du kannst da recht fein einschränken, wann, wer wo darauf zugreifen kann. Und Du schränkst eben auch die IP-Bereiche auf Deine eigenen ein.

Du kannst übrigens (zusätzlich) auch den TCP-Port von RDP verändern. Für den UDP-Port habe ich aber keine Lösung gefunden.

Wenn das immer noch 10.8.0.0/32 ist, dann würde ich da nur statt 32 auf max 30 gehen.

Nicht das du hier etwas missverstehst!!!
Die Crypto Route ("Allowed IPs") wird hier im Servernetz beim Client immer mit einem /32er Prefix angegeben!
Das hat aber nichts mit der Größe des internen VPN Netzes selber zu tun.
Allerdings hat der TO hier auch einen Kardinalsfehler begangen und dort im Server Setup natürlich unsinnigerweise mit "Address=10.8.0.0/32" auch einen falschen 32er Prefix definiert der natürlich Quatsch ist und ursächlich ist für die Connectivity Fehler!
Analog im Client wo zwar richtigerweise ein 32er Prefix für den Server definiert wurde dort aber die Netzwerk Adresse statt der Hostadresse des Servers definiert wurde.
Das ist natürlich ein völlig sinnfreies IP Setup und fürhrt direkt zum Scheitern.

Siehe Wireguard Tutorial wie man es richtig macht:
Merkzettel: VPN Installation mit Wireguard
Alles andere größer als 32 wäre richtig.

Die Crypto Route ("Allowed IPs") wird hier im Servernetz beim Client immer mit einem /32er Prefix angegeben!

Wir reden aber doch hier von der Firewall auf der WinDose?! Und der scope sollte nicht auf EINE IP-Adresse zielen.

Da hast du natürlich Recht. Sollte auch nir nochmal ein Hinweis auf die völlig falsche WG Komnfig oben sein.
Auf der lokalen Firewall reicht es eingehend nur den Port UDP 49312 freizugeben. RDP macht man dann sinnigerweise immer über den VPN Link, denn RDP ist unverschlüsselt. Kann also die ganze Internet Welt mitsehen was da gemacht wird wenn man es nicht im VPN Tunnel macht wie es üblich ist...

Zitat von @aqui:

Da hast du natürlich Recht. Sollte auch nir nochmal ein Hinweis auf die völlig falsche WG Komnfig oben sein.
Auf der lokalen Firewall reicht es eingehend nur den Port UDP 49312 freizugeben. RDP macht man dann sinnigerweise immer über den VPN Link, denn RDP ist unverschlüsselt. Kann also die ganze Internet Welt mitsehen was da gemacht wird wenn man es nicht im VPN Tunnel macht wie es üblich ist...

Der Port ist frei.
Aber: Genau wie stelle ich an, das RDP verschlüsselt über den VPN läuft und sonst RDP nicht zu erreichen ist.

Besten Dank

Ich würde ja RDP-Port und WG-Port zusammenlegen. Ist doch logisch?! 😂

SPASS beiseite. Ich habe Dir oben beschrieben wie es konzeptionell geht. Wir sind hier ja nicht in der Kindergruppe beim vorkauen. Versuch Dich doch auf dem Weg mal selbstständig durchzubeißen?!

Ich hatte das Ding über Wochen immer wieder neu aufgesetzt, bis ich das Thema Backup, Snapshot und ebenso die Hintertüren bei strato verstanden hatte und die VPN lief

Zitat von @Visucius:

Ich würde ja RDP-Port und WG-Port zusammenlegen. Ist doch logisch?! 😂

SPASS beiseite. Ich habe Dir oben beschrieben wie es konzeptionell geht. Wir sind hier ja nicht in der Kindergruppe beim vorkauen. Versuch Dich doch auf dem Weg mal selbstständig durchzubeißen?!

Ich hatte das Ding über Wochen immer wieder neu aufgesetzt, bis ich das Thema Backup, Snapshot und ebenso die Hintertüren bei strato verstanden hatte und die VPN lief

Hilft einen weiter....
Genau deshalb weil man das nicht alles weiß, liest man viel und stellt auch noch paar Fragen in ein Forum.
Von Vorkauen kann nicht die Rede sein.
Dann werde ich es wo anders probieren.

Danke trotzdem

Genau wie stelle ich an, das RDP verschlüsselt über den VPN läuft und sonst RDP nicht zu erreichen ist.

Das ist doch kinderleicht und solltest du auch von selber drauf kommen.
Du erlaubst den RDP Port TCP 3389 nur eingehend mit Absender IPs aus deinem internen Wireguard IP Netz. Bei dir (wenn du es dann mal richtig konfigurierst!) dann das 10.8.0.0 /24 Netz.
Damit ist dann der RDP Zugang von allen öffentlichen IP Adressen als Absender aus dem Internet dicht. Auch andere gefährliche Windows Dienste solltest du so durch die Firewall unbedingt schützen. Nur RDP aus dem WG VPN wird zugelassen.
Gerade Windows Endgeräte sind generell immer ein potenzielles Angriffsziel wenn man sie im Internet exponiert.
Genau deshalb ist auch dein grundlegendes Design auch schon generell kein Gutes!
Es wäre deutlich besser wenn du deinem Windows Server noch eine Firewall vorschaltest. Das kann z.B. eine kostenlose OPNsense oder pfSense sein die in einer VM davor betrieben wird.
Damit erreichst du einen deutlich höheren Schutz des Servers und kannst zudem das VPN auf der Firewall terminieren und NICHT auf dem Server selber was VPN technisch erheblich besser ist.
Mit dem richtigen VPN Protokol das auch alle möglichen Betriebssysteme und Smartphoens etc. von sich aus gleich onboard haben erspartst du dir die unnötige und überflüssige VPN Client Installation und Frickelei mit externen Clients. Siehe dazu hier:
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Ein deutlich besseres Konzept als das was du da zusammenfrickelst...

Dann werde ich es wo anders probieren.

Viel Erfolg!

Zitat von @aqui:

Genau wie stelle ich an, das RDP verschlüsselt über den VPN läuft und sonst RDP nicht zu erreichen ist.

Dann werde ich es wo anders probieren.

Viel Erfolg!

Vielen Dank... Werde mich mal darauf stürzen

Du erlaubst den RDP Port TCP 3389 nur eingehend mit Absender IPs aus deinem internen Wireguard IP Netz. Bei dir (wenn du es dann mal richtig konfigurierst!) dann das 10.8.0.0 /24 Netz.

Damit ist dann der RDP Zugang von allen öffentlichen IP Adressen als Absender aus dem Internet dicht. Auch andere gefährliche Windows Dienste solltest du so durch die Firewall unbedingt schützen. Nur RDP aus dem WG VPN wird zugelassen.

Mein Gott. Das ist doch inhaltlich das gleiche wie gestern um 16.00 Uhr? Man muss es halt einfach mal machen! 🫢
Wireguard für Windows Verbindung klappt aber keine Ping

German solved Question Microsoft Windows Server