jimmmy
Goto Top

Wireguard geht nur auf einem Client nicht

Hallo allerseits!

Ich verzweifle mal wieder am wireguard!
Es läuft alles:
- Wireguard-Server
- Wireguard-Client GUI mit User-Rechten
- MTU gut eingepegelt
- Verbindung steht über Handy-Hotspot
- Verbindung steht über Wlan bei mir Zuhause
- Verbindung steht über Handy und Wlan von einigen Clients

und wenn ich über ein bestimmtes Wlan connecte, bekomme ich einfach keine Verbindung.
Wireguard verbindet zwar, aber das interne Netzwerk (Datendbank, Datenfreigabe) ist nicht ansteuerbar.
Es sind alle IPs erlaubt und es funktioniert ja überall anders.
Woran zum Teufel kann es liegen??

Meine einzige Vermutung - an irgendwelchen IP-Konflikten.
Der Router (Fritz) im besagten wLAN ist auf 192.168.178.1. Der Router im Geschäft, wo der Wireguard-Server steht, ebenfalls. Der WG-Server ist auf 192.168.178.2. Kann es allein deswegen probleme geben? Dass da irgendwas mit dem internen Netzwerk und dem VPN-Netzwerk durcheinander geht?

Als DNS habe ich extra schon nicht den Router genommen, sondern einen externen Server, damit da nichts durcheinander kommt. Die IP im VPN is ja eh 10.x.x.x.

Grüße
jim

Content-ID: 82740086368

Url: https://administrator.de/forum/wireguard-geht-nur-auf-einem-client-nicht-82740086368.html

Ausgedruckt am: 22.12.2024 um 17:12 Uhr

aqui
aqui 13.06.2024 aktualisiert um 17:20:24 Uhr
Goto Top
Kann es allein deswegen probleme geben?
Das Wireguard Tutorial hast du zu der Thematik gelesen und entsprechend umgesetzt??
Merkzettel: VPN Installation mit Wireguard

Sofern das bzw. die IP Netze in deinem gesamten Netzwerk einzigartig sind und das interne WG IP Netz damit nicht kollidiert macht das natürlich keine Probleme.
Die Hinweise zur VPN IP Adressierung hast du ja sicher auch gelesen und beachtet?!
Es ist natürlich nicht besonders intelligent in einem VPN Umfeld das Allerwelts Standard FritzBox Netz zu verwenden. Das dir das dann eher früher als später auf die Füße fällt dürfte klar sein wenn sich einer die Clients zufällig auch einmal in einem Fritzbox Netz befindet. (Siehe Adresshinweise oben!)
In so einem Falle ist es dann natürlich aus mit dem VPN.
Genau deshalb ist es bei VPN Nutzung sinnvoll für den Responder (Server) genau nicht diese dümmlichen Allerweltsnetze zu benutzen die Millionen andere Fritzbox User auch verwenden. Leider bist du vermutlich aus Unkenntnis wohl prompt und ohne ein VPN Adressdesign zu machen in diese Falle getappt! face-sad Etwas mehr Entropie ist da also angesagt!

aber das interne Netzwerk (Datendbank, Datenfreigabe) ist nicht ansteuerbar.
Damit meinst du das interne 10er IP Netz vom Wireguard und die (vermutlich) auf dem WG Server erreichbaren Dienste die du über die interne 10er WG Server IP ansprichst? 🤔

Leider fehlt einmal mehr dein Server und Client Setup und deine Topologie um das IP adresstechnisch, insbesondere die Subnatzmasken usw. wasserdicht beurteilen zu können. Das wenig intelligent gewählte Responder IP Netz ist aber wohl das größte NoGo im Design bzw. auch wenn das 10er Netz ebensowenig smart mit 10.1.1.0, 10.10.10.0 o.ä. Allerweltsnetzen gewählt wurde!
So bleibt dann leider auch uns nur Kristallkugeln. face-sad
jimmmy
jimmmy 13.06.2024 um 17:19:14 Uhr
Goto Top
Danke für die Links, werds nochmal alles prüfen.

Leider fehlt einmal mehr dein Server und Client Setup um das alles wasserdicht beurteilen zu können.

naja, welche Infos zum Setup wären hier denn noch gut?

Serverseitig:
- Router: 192.168.178.1 + Portweiterleitung
- WG-Server: 192.168.178.2 mit 10.x.x.x für die VPN-Adressen / läuft auf ner vorkonfigurierten Kiste von GliNet (Brume2 + Mango V2)

Clientseitig:
- Router: 192.168.178.1
- Client mit DHCP, also irgendwas im Bereich von 192.168.178.0/24

Da alle Clients problemlos laufen und nur dieses eine wLAN nicht läuft, gehe ich nicht vom Problem an der internen Konfiguration aus.

Ich vermute, wie bereits geschrieben, ein Konflikt wegen der gleichen Router IP (beim Client- und beim Server-Netzwerk). Ich komm von der 192.168.178.1 auf die gleiche 192.168.178.1, um dann auf den WG-Server geroutet zu werden und die 10er-IP vom VPN zu bekommen. Kann es sein, dass ich einfach die Router IP beim Client einfach ändern soll und fertig?
jimmmy
jimmmy 13.06.2024 um 17:22:01 Uhr
Goto Top
Damit meinst du das interne 10er IP Netz vom Wireguard und die (vermutlich) auf dem WG Server erreichbaren Dienste die du über die interne 10er WG Server IP ansprichst?

nope, damit meine ich 192.168.178.0/24 im Geschäftsnetz, welchem vom 10er-VPN-Netz erreichbar ist.
aqui
aqui 13.06.2024 aktualisiert um 17:24:48 Uhr
Goto Top
und nur dieses eine wLAN nicht läuft
Und das läuft nicht ganz zufällig auch in einem .178er Netz oder deinem internen 10er WG Netz was dein ein VPN Routing dann natürlich unmöglich macht??
Auch wenn nicht würde das über kurz oder lang immer passieren, denn .178er Netze gibt es Millionen und je nachdem wie die 10er IP gewählt wurde auch die ggf. in mehrstelliger Millionenzahl.
Kann es sein, dass ich einfach die Router IP beim Client einfach ändern soll und fertig?
Die Threadantwort mit den Adressierungs Tips oben hast du wirklich in aller Ruhe gelesen und auch verstanden? 🧐
jimmmy
jimmmy 13.06.2024 um 17:24:25 Uhr
Goto Top
Wenn der Provider-Router 192.168.178.1 hat, dann muss ja der WG-Server im gleichen Netz liegen, also bei 2 oder bei sonst was. VPN-Netz liegt dann bei 10.0.0.0/24.

Also ist es schlauer gleich die Router-Adresse auf irgendwas mit 172.x.x.x zu setzen (damit der WG-Server ebenfalls im 172er hängt), damit es nicht mit den gängigen 192ern kollidiert?
jimmmy
jimmmy 13.06.2024 um 17:26:21 Uhr
Goto Top
Und das läuft nicht ganz zufällig auch in einem .178er Netz oder deinem internen 10er WG Netz was dein ein VPN Routing unmöglich macht??

Der Client ist im 192.168.178.x (bei sich Zuhause), ja. Deswegen vermute ich, dass genau da das Problem ist. Also am besten die IP des Geschäfstrouters auf etwas nicht gängiges wechseln, oder?
aqui
aqui 13.06.2024 aktualisiert um 17:29:12 Uhr
Goto Top
Wenn dein Client aber auch in einem .178er oder .10er Netz liegt was dann??
Ein schlaues VPN IP Adressdesign ist also immer der Schlüssel zum (VPN) Erfolg. 😉
Ein .178er Netz auf Serverseite oder banale 10er Netz intern ist definitv nicht schlau!
Solche simplen Binsenweisheiten sollte man aber gerade als IT Sicherheitsberater aus dem FF kennen.
jimmmy
jimmmy 13.06.2024 um 17:28:52 Uhr
Goto Top
Wenn dein Client aber auch in einem .178er oder .10er Netz liegt was dann??

jupp, macht Sinn dem vorzubeugen.
Hatte bisher nicht viel mit VPN am Hut und wenn dann in einem sehr kleinen Rahmen.
aqui
aqui 13.06.2024 aktualisiert um 17:32:32 Uhr
Goto Top
Hatte bisher nicht viel mit VPN am Hut
Was man hier leider schmerzlich merkt...und du ja selber auch wie man oben lesen kann! face-wink
Warum hast du mit diesen Client nicht mal ein ipconfig (Winblows) oder ip a (unixoider Client) ausgeführt und dir die Client IP anzeigen lassen um das Drama zu sehen?
jimmmy
jimmmy 13.06.2024 aktualisiert um 17:39:46 Uhr
Goto Top
Warum hast du mit diesen Client nicht mal ein ipconfig (Winblows) oder ip a (unixoider Client) ausgeführt und dir die Client IP anzeigen lassen?

weil ich bisher das routing beim VPN nicht ganz verstanden habe.
Mir war nicht klar, wie ein Client-LAN mit dem Server-LAN konflikten kann.
Jetzt scheint es recht eindeutig zu sein.

Router niemals auf die 178er setzen, sondern auf etwas Unbekannteres. Somit wird auch der WG-Server dort sitzen.

Noch verstehe ich nicht ganz, inwiefern die 10er Adressen konflikten können? Weil jemand schlicht sie für den LAN vergibt, oder? Also auch dort auf etwas anderes gehen.

Ich werd mir das alles nochmal genau durchlesen, danke!
aqui
aqui 13.06.2024 aktualisiert um 17:47:01 Uhr
Goto Top
weil ich bisher das routing beim VPN nicht ganz verstanden habe.
Wenn es um Wireguard geht hast du das Tutorial oben gelesen?
Das IP Routing in VPNs ist immer abhängig vom verwendeten VPN Protokoll. Außer WG gibts da ja noch ein paar mehr und jeder macht es etwas anders.
Sofern du dich hier auf WG only fokussierst ist das das Cryptokey Routing.
Der Parameter AllowedIPs definiert dann die IP Destination (Ziel) Hostadressen und Netze deren Traffic in den WG Tunnel geroutet werden.
Dieser Parameter bestimmt also essentiell was in den Tunnel geroutet wird und was nicht. Zumindestens wenn du mit einem Performance schonenden Split Tunneling VPN arbeitest das nur relevanten Traffic routet.
Bei einem Gateway Redirect wird eh dumpf alles in den Tunnel geroutet. Dort gibts dann mehr oder weniger eh nur noch Schrotschussrouting.
Auch hier wieder alles frei geraten weil du keinerlei helfende Angaben zu deinem Setup machst. face-sad
Musst du aber auch nicht, du kannst es alles mit dem o.a. WG Tutorial vergleichen, dort ist das alles explizit im Detail aufgeführt. Sogar mit bunten Bildern! face-wink
jimmmy
jimmmy 13.06.2024 aktualisiert um 17:50:04 Uhr
Goto Top
Das Routing ist imemr abhängig vom verwendeten VPN Protokoll.
Sofern du dich hier auf WG only fokussierst ist das das Cryptokey Routing.

ah, good to know, danke.
Das war mir nicht klar.

Das Tutorial habe ich überflogen, werde mir da noch mehr Zeit nehmen später. Die bunten Bilder schon genossen! :D

Der Parameter AllowedIPs definiert dann die Destination (Ziel) Hostadressen und Netze deren Traffic in den WG Tunnel geroutet werden.

d.h. alles, zu was ein Client Zugang haben soll, korrekt?
Bisher ist da standardmäßig alles ausgenullt, also alles erlaubt, wie ichs verstehe.
Ich könnte es natürlich auf den Server mit der Datenbank begrenzen.

Ich änder schon mal die Router-IP und die IPs der WG-Server. Die 10er vom VPN bleiben erstmal. Die Sache ist zu klein, um da auf Probleme zu stoßen.
Lochkartenstanzer
Lösung Lochkartenstanzer 13.06.2024 um 18:20:04 Uhr
Goto Top
Zitat von @jimmmy:

Meine einzige Vermutung - an irgendwelchen IP-Konflikten.
Der Router (Fritz) im besagten wLAN ist auf 192.168.178.1. Der Router im Geschäft, wo der Wireguard-Server steht, ebenfalls. Der WG-Server ist auf 192.168.178.2. Kann es allein deswegen probleme geben? Dass da irgendwas mit dem internen Netzwerk und dem VPN-Netzwerk durcheinander geht?

Moin

Du vermutest richtig. Du hast einen Adresskonflikt. Wie der Highlander schon sagte: Es kann nur einen geben, der in einem Netzwerk ein IP-Subnetz benutzen darf. Gleiche Subnetze in einem VPN sind tabu.. Du musst eine der Fritten umstellen.

Solche Probleme vermeidet man. Indem man von Anfang an andere als die default-Netze der Router verwendet, z.B. Subnetze aus dem Bereich 172.16.0.0/12.

Also: Dubnetz von 192.168.178.0/24 auf ein anderes, z.B. 172.18.17.0/24 ändern am besten an der Serverfritte und alles wird gut.

lks
aqui
aqui 13.06.2024 um 19:31:55 Uhr
Goto Top
Bisher ist da standardmäßig alles ausgenullt,
Das ist die wenig performante und schlechtere Gateway Redirect Variante. Bitte das Tutorial dazu lesen es hat ein separates Kapitel zu dieser Thematik!
Zum Rest hat Kollege @lks schon alles gesagt.
jimmmy
jimmmy 14.06.2024 um 09:40:56 Uhr
Goto Top
Das ist die wenig performante und schlechtere Gateway Redirect Variante. Bitte das Tutorial dazu lesen es hat ein separates Kapitel zu dieser Thematik!

jipp, dachte ichs mir schon. Werds anpassen.


Ansonsten hab ich jetzt das Netz auf 192.168.212 gestellt. Das dürfte ausreichend sein, um zukünftige Konflikte zu vermeiden. Es verbinden sich nur Clients aus Heimnetzwerken. Das VPN-Netz hab ich aufm Standard 10.0.0 gelassen. In dem Fall sehe ich da auch keine Konflikte in Zukunft kommen.

Das Problem ist im Groben erstmal gelöst. Jetzt beschäftige ich mich mal einwenig mit den Feineinstellungen. Danke euch!
aqui
aqui 14.06.2024 aktualisiert um 09:52:28 Uhr
Goto Top
Ansonsten hab ich jetzt das Netz auf 192.168.212 gestellt.
👍
Das VPN-Netz hab ich aufm Standard 10.0.0.0 /24 gelassen
Leider noch ein grober Fehler, denn dieses Allerwelts 08/15 Netz gibt es nicht nur millionen- sondern milliardenfach weltweit.
Warum setzt du es nicht auf 10.212.212.0 /24 und hast dann Ruhe? Es ist doch nur eine Frage von kurzer Zeit bei so einer wenig smarten internen IP Netzadresse wann ein Client in einem 10.0.0.0er Netz landet und das o.a. Drama 2.0 wieder von vorne losgeht. Warum also hörst du auf halber Strecke auf und behältst ein latentes Problem was mit einer kleinen Änderung nicht sein müsste? Wie du selber sagst: Es ist nur "im Groben" gelöst... face-sad Ein Bauhandwerker würde sagen: Pfusch am Bau!
jimmmy
jimmmy 14.06.2024 um 10:06:29 Uhr
Goto Top
Warum setzt du es nicht auf 10.212.212.0 /24 und hast dann Ruhe?

ganz einfach. Es sind 16 Clients konfiguriert. Da müsste ich die Konfiguration bei denen neu machen. Da ich noch nie erlebt und noch nie gehört habe, dass jemand (als IT-Laie) seinen Home-Router auf 10.0.0 hat, wird da kein Problem auftreten. Wenn jemals jemand mit einem 10er-Netz von Zuhause kommen sollte, dann werde ich erstmal staunen, das VPN-Netz umstellen und alle Clients neu konfigurieren. Es jetzt zu tun wäre aus meiner Sicht einfach unnötige Zeitinvestition. Aber ich verstehe deinen Perfektionismus ;)

Ja, das ist Pfusch am Bau, aber in dem Fall musste ich den Bau so retten, wie er schon vorhanden war. Aus meiner Sicht, sinnvoll und mit geringem Aufwand face-smile
aqui
aqui 14.06.2024 um 10:50:23 Uhr
Goto Top
dass jemand (als IT-Laie) seinen Home-Router auf 10.0.0 hat
Solange du nur diese Benutzer Home Netze betrachtest und diese sich ausschliesslich dort bewegen mag das stimmen.
Hotelnetze, Hotspots und öffentliche Netze usw. bestehen in der Regel immer aus 10er Netzen. Solange sich also deine Clients niemals in solchen Umfeldern bewegen...alles gut.
Wenn doch war 10.0.0.0 /24 keine besonders intelligente Wahl. (Ist sie so oder so aus den o.a. Gründen generell nicht! face-wink )
jimmmy
jimmmy 17.06.2024 um 11:18:45 Uhr
Goto Top
Hotelnetze, Hotspots und öffentliche Netze usw. bestehen in der Regel immer aus 10er Netzen.

klar, außerhalb der home zone kanns passieren. Die Wahrscheinlichkeit ist jedoch in dem Fall SEHR gering.
Für die Zukunft weiß ichs ja :D
aqui
aqui 17.06.2024 um 12:17:11 Uhr
Goto Top
Die Wahrscheinlichkeit ist jedoch in dem Fall SEHR gering.
Wenn der Client eher häuslich ist und nur ab und zu mal Oma Grete um die Ecke besucht hast du zweifelsohne Recht, keine Frage!
jimmmy
jimmmy 17.06.2024 um 21:26:54 Uhr
Goto Top
Wenn der Client eher häuslich ist und nur ab und zu mal Oma Grete um die Ecke besucht

jupp, das ist so bisher der Kontext face-smile