Wireguard geht nur auf einem Client nicht
Hallo allerseits!
Ich verzweifle mal wieder am wireguard!
Es läuft alles:
- Wireguard-Server
- Wireguard-Client GUI mit User-Rechten
- MTU gut eingepegelt
- Verbindung steht über Handy-Hotspot
- Verbindung steht über Wlan bei mir Zuhause
- Verbindung steht über Handy und Wlan von einigen Clients
und wenn ich über ein bestimmtes Wlan connecte, bekomme ich einfach keine Verbindung.
Wireguard verbindet zwar, aber das interne Netzwerk (Datendbank, Datenfreigabe) ist nicht ansteuerbar.
Es sind alle IPs erlaubt und es funktioniert ja überall anders.
Woran zum Teufel kann es liegen??
Meine einzige Vermutung - an irgendwelchen IP-Konflikten.
Der Router (Fritz) im besagten wLAN ist auf 192.168.178.1. Der Router im Geschäft, wo der Wireguard-Server steht, ebenfalls. Der WG-Server ist auf 192.168.178.2. Kann es allein deswegen probleme geben? Dass da irgendwas mit dem internen Netzwerk und dem VPN-Netzwerk durcheinander geht?
Als DNS habe ich extra schon nicht den Router genommen, sondern einen externen Server, damit da nichts durcheinander kommt. Die IP im VPN is ja eh 10.x.x.x.
Grüße
jim
Ich verzweifle mal wieder am wireguard!
Es läuft alles:
- Wireguard-Server
- Wireguard-Client GUI mit User-Rechten
- MTU gut eingepegelt
- Verbindung steht über Handy-Hotspot
- Verbindung steht über Wlan bei mir Zuhause
- Verbindung steht über Handy und Wlan von einigen Clients
und wenn ich über ein bestimmtes Wlan connecte, bekomme ich einfach keine Verbindung.
Wireguard verbindet zwar, aber das interne Netzwerk (Datendbank, Datenfreigabe) ist nicht ansteuerbar.
Es sind alle IPs erlaubt und es funktioniert ja überall anders.
Woran zum Teufel kann es liegen??
Meine einzige Vermutung - an irgendwelchen IP-Konflikten.
Der Router (Fritz) im besagten wLAN ist auf 192.168.178.1. Der Router im Geschäft, wo der Wireguard-Server steht, ebenfalls. Der WG-Server ist auf 192.168.178.2. Kann es allein deswegen probleme geben? Dass da irgendwas mit dem internen Netzwerk und dem VPN-Netzwerk durcheinander geht?
Als DNS habe ich extra schon nicht den Router genommen, sondern einen externen Server, damit da nichts durcheinander kommt. Die IP im VPN is ja eh 10.x.x.x.
Grüße
jim
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 82740086368
Url: https://administrator.de/forum/wireguard-geht-nur-auf-einem-client-nicht-82740086368.html
Ausgedruckt am: 22.12.2024 um 17:12 Uhr
21 Kommentare
Neuester Kommentar
Kann es allein deswegen probleme geben?
Das Wireguard Tutorial hast du zu der Thematik gelesen und entsprechend umgesetzt??Merkzettel: VPN Installation mit Wireguard
Sofern das bzw. die IP Netze in deinem gesamten Netzwerk einzigartig sind und das interne WG IP Netz damit nicht kollidiert macht das natürlich keine Probleme.
Die Hinweise zur VPN IP Adressierung hast du ja sicher auch gelesen und beachtet?!
Es ist natürlich nicht besonders intelligent in einem VPN Umfeld das Allerwelts Standard FritzBox Netz zu verwenden. Das dir das dann eher früher als später auf die Füße fällt dürfte klar sein wenn sich einer die Clients zufällig auch einmal in einem Fritzbox Netz befindet. (Siehe Adresshinweise oben!)
In so einem Falle ist es dann natürlich aus mit dem VPN.
Genau deshalb ist es bei VPN Nutzung sinnvoll für den Responder (Server) genau nicht diese dümmlichen Allerweltsnetze zu benutzen die Millionen andere Fritzbox User auch verwenden. Leider bist du vermutlich aus Unkenntnis wohl prompt und ohne ein VPN Adressdesign zu machen in diese Falle getappt! Etwas mehr Entropie ist da also angesagt!
aber das interne Netzwerk (Datendbank, Datenfreigabe) ist nicht ansteuerbar.
Damit meinst du das interne 10er IP Netz vom Wireguard und die (vermutlich) auf dem WG Server erreichbaren Dienste die du über die interne 10er WG Server IP ansprichst? 🤔Leider fehlt einmal mehr dein Server und Client Setup und deine Topologie um das IP adresstechnisch, insbesondere die Subnatzmasken usw. wasserdicht beurteilen zu können. Das wenig intelligent gewählte Responder IP Netz ist aber wohl das größte NoGo im Design bzw. auch wenn das 10er Netz ebensowenig smart mit 10.1.1.0, 10.10.10.0 o.ä. Allerweltsnetzen gewählt wurde!
So bleibt dann leider auch uns nur Kristallkugeln.
und nur dieses eine wLAN nicht läuft
Und das läuft nicht ganz zufällig auch in einem .178er Netz oder deinem internen 10er WG Netz was dein ein VPN Routing dann natürlich unmöglich macht??Auch wenn nicht würde das über kurz oder lang immer passieren, denn .178er Netze gibt es Millionen und je nachdem wie die 10er IP gewählt wurde auch die ggf. in mehrstelliger Millionenzahl.
Kann es sein, dass ich einfach die Router IP beim Client einfach ändern soll und fertig?
Die Threadantwort mit den Adressierungs Tips oben hast du wirklich in aller Ruhe gelesen und auch verstanden? 🧐
Wenn dein Client aber auch in einem .178er oder .10er Netz liegt was dann??
Ein schlaues VPN IP Adressdesign ist also immer der Schlüssel zum (VPN) Erfolg. 😉
Ein .178er Netz auf Serverseite oder banale 10er Netz intern ist definitv nicht schlau!
Solche simplen Binsenweisheiten sollte man aber gerade als IT Sicherheitsberater aus dem FF kennen.
Ein schlaues VPN IP Adressdesign ist also immer der Schlüssel zum (VPN) Erfolg. 😉
Ein .178er Netz auf Serverseite oder banale 10er Netz intern ist definitv nicht schlau!
Solche simplen Binsenweisheiten sollte man aber gerade als IT Sicherheitsberater aus dem FF kennen.
weil ich bisher das routing beim VPN nicht ganz verstanden habe.
Wenn es um Wireguard geht hast du das Tutorial oben gelesen?Das IP Routing in VPNs ist immer abhängig vom verwendeten VPN Protokoll. Außer WG gibts da ja noch ein paar mehr und jeder macht es etwas anders.
Sofern du dich hier auf WG only fokussierst ist das das Cryptokey Routing.
Der Parameter AllowedIPs definiert dann die IP Destination (Ziel) Hostadressen und Netze deren Traffic in den WG Tunnel geroutet werden.
Dieser Parameter bestimmt also essentiell was in den Tunnel geroutet wird und was nicht. Zumindestens wenn du mit einem Performance schonenden Split Tunneling VPN arbeitest das nur relevanten Traffic routet.
Bei einem Gateway Redirect wird eh dumpf alles in den Tunnel geroutet. Dort gibts dann mehr oder weniger eh nur noch Schrotschussrouting.
Auch hier wieder alles frei geraten weil du keinerlei helfende Angaben zu deinem Setup machst.
Musst du aber auch nicht, du kannst es alles mit dem o.a. WG Tutorial vergleichen, dort ist das alles explizit im Detail aufgeführt. Sogar mit bunten Bildern!
Zitat von @jimmmy:
Meine einzige Vermutung - an irgendwelchen IP-Konflikten.
Der Router (Fritz) im besagten wLAN ist auf 192.168.178.1. Der Router im Geschäft, wo der Wireguard-Server steht, ebenfalls. Der WG-Server ist auf 192.168.178.2. Kann es allein deswegen probleme geben? Dass da irgendwas mit dem internen Netzwerk und dem VPN-Netzwerk durcheinander geht?
Meine einzige Vermutung - an irgendwelchen IP-Konflikten.
Der Router (Fritz) im besagten wLAN ist auf 192.168.178.1. Der Router im Geschäft, wo der Wireguard-Server steht, ebenfalls. Der WG-Server ist auf 192.168.178.2. Kann es allein deswegen probleme geben? Dass da irgendwas mit dem internen Netzwerk und dem VPN-Netzwerk durcheinander geht?
Moin
Du vermutest richtig. Du hast einen Adresskonflikt. Wie der Highlander schon sagte: Es kann nur einen geben, der in einem Netzwerk ein IP-Subnetz benutzen darf. Gleiche Subnetze in einem VPN sind tabu.. Du musst eine der Fritten umstellen.
Solche Probleme vermeidet man. Indem man von Anfang an andere als die default-Netze der Router verwendet, z.B. Subnetze aus dem Bereich 172.16.0.0/12.
Also: Dubnetz von 192.168.178.0/24 auf ein anderes, z.B. 172.18.17.0/24 ändern am besten an der Serverfritte und alles wird gut.
lks
Ansonsten hab ich jetzt das Netz auf 192.168.212 gestellt.
👍Das VPN-Netz hab ich aufm Standard 10.0.0.0 /24 gelassen
Leider noch ein grober Fehler, denn dieses Allerwelts 08/15 Netz gibt es nicht nur millionen- sondern milliardenfach weltweit.Warum setzt du es nicht auf 10.212.212.0 /24 und hast dann Ruhe? Es ist doch nur eine Frage von kurzer Zeit bei so einer wenig smarten internen IP Netzadresse wann ein Client in einem 10.0.0.0er Netz landet und das o.a. Drama 2.0 wieder von vorne losgeht. Warum also hörst du auf halber Strecke auf und behältst ein latentes Problem was mit einer kleinen Änderung nicht sein müsste? Wie du selber sagst: Es ist nur "im Groben" gelöst... Ein Bauhandwerker würde sagen: Pfusch am Bau!
dass jemand (als IT-Laie) seinen Home-Router auf 10.0.0 hat
Solange du nur diese Benutzer Home Netze betrachtest und diese sich ausschliesslich dort bewegen mag das stimmen.Hotelnetze, Hotspots und öffentliche Netze usw. bestehen in der Regel immer aus 10er Netzen. Solange sich also deine Clients niemals in solchen Umfeldern bewegen...alles gut.
Wenn doch war 10.0.0.0 /24 keine besonders intelligente Wahl. (Ist sie so oder so aus den o.a. Gründen generell nicht! )