17
Wireguard Konfiguration OpenSuse
Hallo zusammen,
ich versuche gerade meine alte VPN Verbindung mittels Shrewsoft und der Fritzbox abzulösen. Dabei bin ich auf Wireguard gestoßen und habe es mal eingerichtet. Irgendein Puzzle-Teil fehlt mir jedoch noch.
Ich kann z.B. vom Handy aus eine Verbindung öffnen. Ich sehe sowohl auf dem Handy, dass Daten geschickt und empfangen werden und auf dem VPN-Server auf dem ich Wireguard laufen habe sehe ich auch die Handshakes mit meinem Handy.
Leider funktioniert jedoch dann der Browser auf dem Handy nicht mehr. Ich bekomme immer ein DNS-Fehler. Ich vermute mal, dass ich irgendeine DNS Einstellung falsch gemacht habe.
Kann mir jemand auf die Sprünge helfen, wo der Fehler ist?
Bevor ich meine Netztopologie beschreibe, habe ich ein Bild angefertigt. Ich hoffe es sind alle Infos enthalten, die ihr braucht. (wenn nicht, dann einfach fragen
).
Mein Ziel ist es, dass ich vom Handy aus auf meine Daten vom NAS mittels VPN Zugriff habe und dass ich von meinem Laptop per VPN eine Remotedesktop-Verbindung (mstsc) auf meinen Windows-Rechner (VM) machen kann. Mit meiner aktuellen Shrewsoft Lösung funktioniert dies aktuell alles.
Schon mal Danke für die Unterstützung!
lg
Flo
ich versuche gerade meine alte VPN Verbindung mittels Shrewsoft und der Fritzbox abzulösen. Dabei bin ich auf Wireguard gestoßen und habe es mal eingerichtet. Irgendein Puzzle-Teil fehlt mir jedoch noch.
Ich kann z.B. vom Handy aus eine Verbindung öffnen. Ich sehe sowohl auf dem Handy, dass Daten geschickt und empfangen werden und auf dem VPN-Server auf dem ich Wireguard laufen habe sehe ich auch die Handshakes mit meinem Handy.
Leider funktioniert jedoch dann der Browser auf dem Handy nicht mehr. Ich bekomme immer ein DNS-Fehler. Ich vermute mal, dass ich irgendeine DNS Einstellung falsch gemacht habe.
Kann mir jemand auf die Sprünge helfen, wo der Fehler ist?
Bevor ich meine Netztopologie beschreibe, habe ich ein Bild angefertigt. Ich hoffe es sind alle Infos enthalten, die ihr braucht. (wenn nicht, dann einfach fragen
).Mein Ziel ist es, dass ich vom Handy aus auf meine Daten vom NAS mittels VPN Zugriff habe und dass ich von meinem Laptop per VPN eine Remotedesktop-Verbindung (mstsc) auf meinen Windows-Rechner (VM) machen kann. Mit meiner aktuellen Shrewsoft Lösung funktioniert dies aktuell alles.
Schon mal Danke für die Unterstützung!
lg
Flo
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 554146
Url: https://administrator.de/contentid/554146
Printed on: May 7, 2024 at 21:05 o'clock
17 Comments
Latest comment
Dein Fehler ist das NAT (Masquerading) was du im VPN Tunnel machst. VPNs NATet man in der Regel nicht. Das wird der Grund des Übels sein denn damit ist kein transparentes Routing im VPN mehr möglich da die NAT Firewall eine Seite komplett blockt. Das solltest du besser deaktivieren !
Die richtige statische Route hast du ja schon eingetragen !
Kompletter Unsinn ist ebenso das Port Forwarding von 10.10.10.0 auf der FritzBox. Einerseits technisch komplett falsch, denn IP Adressen kannst du nicht forwarden sonder nur TCP oder UDP Ports.
Diese RFW Regel ist also Quatsch und solltest du richtig machen. Der Default Port von WireGuard ist UDP 51820
Die entsprechende Port Weiterleitungsregel in der FB muss also lauten:
Inbound UDP 51820 auf Lokal IP 192.168.2.102 Port UDP 51820
Wenn du diese 2 Punkte korrigierst sollte es sofort zum Fliegen kommen !
Weitere Infos findest du hier:
Merkzettel: VPN Installation mit Wireguard
Die richtige statische Route hast du ja schon eingetragen !
Kompletter Unsinn ist ebenso das Port Forwarding von 10.10.10.0 auf der FritzBox. Einerseits technisch komplett falsch, denn IP Adressen kannst du nicht forwarden sonder nur TCP oder UDP Ports.
Diese RFW Regel ist also Quatsch und solltest du richtig machen. Der Default Port von WireGuard ist UDP 51820
Die entsprechende Port Weiterleitungsregel in der FB muss also lauten:
Inbound UDP 51820 auf Lokal IP 192.168.2.102 Port UDP 51820
Wenn du diese 2 Punkte korrigierst sollte es sofort zum Fliegen kommen !
Weitere Infos findest du hier:
Merkzettel: VPN Installation mit Wireguard
Danke, aber leider funktioniert es immer noch nicht. Irgendwas stimmt hier nicht...
Falsches Subnet fuer die Clients ... nicht /32 sondern /24. Beim Wireguard Server genau anders herum ... Subnet /32 anstatt /24. Dann darauf aufpassen das Du weiterhin auf Dein Netzwerk zugreifen kannst. Denn der Client sieht die DNS IP 192.168.2.1 nicht mehr wenn er Verbindung zum Wireguard Server 10.10.10.1 hat. Das macht es aber nicht sicherer. Welchen Wireguard Client benutzt Du? Direkt Wireguard oder TunSafe?
Ich wuerde ausserdem vorschlagen den DNS Server auf dem Wireguard Server zu machen (PiHole? mit Unbound?). Dann bleibt alles komplett abgeschottet.
Die Persistkeepalive - Einstellung wuerde ich modifizieren. Ich habe auf dem Mobile alle 9 oder 4 Sekunden. Auf wichtigen Server Verbindungen 1Sek.
VG Sato
Ich wuerde ausserdem vorschlagen den DNS Server auf dem Wireguard Server zu machen (PiHole? mit Unbound?). Dann bleibt alles komplett abgeschottet.
Die Persistkeepalive - Einstellung wuerde ich modifizieren. Ich habe auf dem Mobile alle 9 oder 4 Sekunden. Auf wichtigen Server Verbindungen 1Sek.
VG Sato
Danke, leider funktioniert es immer noch nicht.
Das mit dem DNS muss ich mir mal überlegen. Aber aktuell sollte der DNS der Fritzbox erstmal reichen.
Ich nutze Wireguard direkt.
Ich habe mal meine aktuelle Topologie erneuert:
lg
Flo
Das mit dem DNS muss ich mir mal überlegen. Aber aktuell sollte der DNS der Fritzbox erstmal reichen.
Ich nutze Wireguard direkt.
Ich habe mal meine aktuelle Topologie erneuert:
lg
Flo
Ich bin der Meinung, wenn Du direkt mit Wireguard auf Linux arbeitest, dann bist Du mit AllowedIP 0.0.0.0/0 chancenlos auf 192.x.x.x zu kommen und Du blockst alles was nicht durch den Tunnel gehen soll. Da 192.x.x.x aber ausserhalb der 10.10.10.x ist, sieht er den DNS gar nicht. Versuch den doch mal zu pingen. Ich nehme an das wird nicht gehen.
Versuche dann mal bitte: 0.0.0.0/1, 128.0.0.0/1 und gib ein Update.
VG Sato
Versuche dann mal bitte: 0.0.0.0/1, 128.0.0.0/1 und gib ein Update.
VG Sato
OK, also 0.0.0.0/1 bei Allowed Ips und 128.0.0.0/1 hat nichts verändert.
Von wo aus soll ich denn versuchen, den DNS zu pingen? Von einem Rechner der per VPN verbunden ist?
Von wo aus soll ich denn versuchen, den DNS zu pingen? Von einem Rechner der per VPN verbunden ist?
Habe gerade noch den ping durchgeführt. Der einzige, der durchgeht ist der auf die 192.168.2.102.
Würde es was bringen, wenn ich vom 10.10.10.0 Netz in das 192.168.2.0 Netz wechseln würde? Dann wäre das VPN Netz und das lokale Netz gleich.
Würde es was bringen, wenn ich vom 10.10.10.0 Netz in das 192.168.2.0 Netz wechseln würde? Dann wäre das VPN Netz und das lokale Netz gleich.
Nur mal so eine Frage. Deine Interfaces heissen auch 'eth0' und was passiert wenn Du DNS Client seitig auf 9.9.9.9 aenderst?
Ja, es ist eth0. Ich habe es jetzt mal mit DNS 9.9.9.9 versucht. Mit dem Handy klappt es teilweise, aber sehr langsam. Mit dem Laptop klappt es nicht.
Ich werde diese Woche mal einen DNS-Server auf dem Linux-System installieren und dann wieder versuchen.
Ich melde mich dann wieder.
Danke und lg
Ich werde diese Woche mal einen DNS-Server auf dem Linux-System installieren und dann wieder versuchen.
Ich melde mich dann wieder.
Danke und lg
Mit dem Laptop klappt es nicht.
Vermutlich Winblows, richtig ?Hier musst du auf die lokale Winblows Firewall aufpassen. Da am virtuellen Tunnel Interface die automatische Netzwerk Detection scheitert deklariert die Win FW das dann als Public Interface und blockt folglich jeglichen Traffic. Das ist vermutlich bei dir der Fall.
Du musst also das FW Profil in der Firewall mit erweiterten Eigenschaften auf ein Privates Profil umstellen. Damit klappt es dann in der Regel sofort.
route print zeigt dir bei aktivem Client zudem unter Winblows an ob die Tunnel Routen richtig übertragen wurden.
so, jetzt habe ich mal unbound noch auf dem Linux System installiert und eingerichtet. Der Befehl "dig www.google.de @127.0.0.1" funktioniert auch.
Jetzt habe ich am Handy mal den DNS 10.10.10.1 hinterlegt. Leider geht wieder mal gar nichts. Was ich jedoch noch nicht gemacht habe, ist dass ich den DNS in der Fritzbox ändere. Das kann ich erst am Wochenende machen, da ich unterwegs bin und den DNS aus der Ferne nicht ändern kann.
Kann es daran liegen oder funktioniert was anderes noch nicht?
Danke und lg
Jetzt habe ich am Handy mal den DNS 10.10.10.1 hinterlegt. Leider geht wieder mal gar nichts. Was ich jedoch noch nicht gemacht habe, ist dass ich den DNS in der Fritzbox ändere. Das kann ich erst am Wochenende machen, da ich unterwegs bin und den DNS aus der Ferne nicht ändern kann.
Kann es daran liegen oder funktioniert was anderes noch nicht?
Danke und lg
Was sollen denn die Klimmzüge mit der DNS Frickelei. Gib als DNS Server doch immer deine FritzBox an die ist doch zentral Proxy DNS in deinem Netz ?
Wichtig ist ja auch erstmal nicht das DNS sondern das die VPN Tunnelverbindung sauber steht und sich erstmal via IP Adresse alles erreichen kann. DNS kommt dann immer danach !
Wichtig ist ja auch erstmal nicht das DNS sondern das die VPN Tunnelverbindung sauber steht und sich erstmal via IP Adresse alles erreichen kann. DNS kommt dann immer danach !
Naja, ich dachte dass das Hauptproblem ist, dass mein VPN in einem 10.10.10.x Netz ist und der DNS der Fritzbox im 192.168.2.x Netz ist.
Kann es ja wieder auf die Fritzbox umstellen, aber es funktioniert irgendwie trotzdem nichts.
Kann es ja wieder auf die Fritzbox umstellen, aber es funktioniert irgendwie trotzdem nichts.
Nöö, denn dein VPN Server routet ja wohl (hoffentlich) zwischen dem VPN IP Netz und dem lokalen LAN ?!
In sofern ist dann die IP des DNS Servers Latte.
IPv4 Forwarding sollte natürlich im Server schon aktiv sein dafür !!
Auf einem GL.inet Router ebenso !
Irgendwas machst du also falsch ?? PEBKAC Problem ??
Am besten das o.a. Tutorial nachmal gaaaanz genau lesen....
In sofern ist dann die IP des DNS Servers Latte.
IPv4 Forwarding sollte natürlich im Server schon aktiv sein dafür !!
aber es funktioniert irgendwie trotzdem nichts.
Was komisch ist denn mit den ToDos des heise Artikel kam das hier sofort zum Fliegen !Auf einem GL.inet Router ebenso !
Irgendwas machst du also falsch ?? PEBKAC Problem ??
Am besten das o.a. Tutorial nachmal gaaaanz genau lesen....
so, ich habe jetzt meinen VPN-Server neu aufgesetzt und habe Debian anstelle von Suse genommen. Anschließend habe ich es gem. der Anleitung von CT eingestellt und siehe da, es funktioniert!
Warum ich es mit Suse nicht zum laufen bekommen habe, verstehe ich zwar nicht ganz, aber was solls. Hauptsache es funktioniert!
Danke an alle, die mich unterstützt haben!
Thread ist hiermit gelöst!
Warum ich es mit Suse nicht zum laufen bekommen habe, verstehe ich zwar nicht ganz, aber was solls. Hauptsache es funktioniert!
Danke an alle, die mich unterstützt haben!
Thread ist hiermit gelöst!
👍
Danke an alle, die mich unterstützt haben!
Immer gerne ! 