10
Wireguard Lan to Lan Fritzbox Raspberry Pi
Hallo an alle VPN Profi´s,
Zweigstellennetz zu Hauptstellennetz Verbindung OK
Hauptstellennetz zu Zweigstellennetz nicht erreichbar.
Hauptstellennetz 192.168.1.0/24 Gateway 192.168.1.254
Im Hauptstellennetz ein Raspberry PI als Wireguardserver und WDDashboard GUI auf eth0 192.168.1.104/32
Installation nach: https://www.bachmann-lan.de/raspberry-pi-mit-wireguard-und-wgdashboard-w ...
wg0 Schnittstelle 10.10.10.1/24 wg0 pro gerät eine feste ip.
wg0 für Zweigstellennetz 10.10.10.2/32
Andere Verbindungen von extern Client PC´s Handy´s von extern zur Hauptstelle über Wireguardserver OK Hauptnetz 192.168.1.0 erreichbar alles supi !
IP Forwarding ist aktiv: in /etc/sysctl.conf
IP Tables für wg0:
Lancom Einstellungen Hauptstelle:
UDP Port 51820 Portweiterleitung auf 192.168.1.104/32
Statische Route bei anfragen auf IP Adressen 192.168.0.0/24 weiter zu 192.168.1.104/32
Haupstelle WG0 conf:
Zweigstellenconfig in der Fritzbox:
Ich bekomme die Route nicht hin das der Raspberry versteht das die Anfragen vom Netz 192.168.1.0 der Hauptstelle auf das Netz 192.168.0.0/24 sollen.
über wg0 bzw auf 10.0.0.2/32 gehen wo die Zweigstelle verbunden ist.
Was mache ich falsch ?
Zweigstellennetz zu Hauptstellennetz Verbindung OK
Hauptstellennetz zu Zweigstellennetz nicht erreichbar.
Hauptstellennetz 192.168.1.0/24 Gateway 192.168.1.254
Im Hauptstellennetz ein Raspberry PI als Wireguardserver und WDDashboard GUI auf eth0 192.168.1.104/32
Installation nach: https://www.bachmann-lan.de/raspberry-pi-mit-wireguard-und-wgdashboard-w ...
wg0 Schnittstelle 10.10.10.1/24 wg0 pro gerät eine feste ip.
wg0 für Zweigstellennetz 10.10.10.2/32
Andere Verbindungen von extern Client PC´s Handy´s von extern zur Hauptstelle über Wireguardserver OK Hauptnetz 192.168.1.0 erreichbar alles supi !
IP Forwarding ist aktiv: in /etc/sysctl.conf
net.ipv4.ip_forward=1PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -A FORWARD -o wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -D FORWARD -o wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADEUDP Port 51820 Portweiterleitung auf 192.168.1.104/32
Statische Route bei anfragen auf IP Adressen 192.168.0.0/24 weiter zu 192.168.1.104/32
Haupstelle WG0 conf:
[Interface]
Address = 10.10.10.1/24
SaveConfig = true
ListenPort = 51820
PrivateKey = XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -A FORWARD -o wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -D FORWARD -o wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
[Peer]
PublicKey = XXX
PresharedKey = XXX
AllowedIPs = 10.10.10.2/32Zweigstellenconfig in der Fritzbox:
[Interface]
PrivateKey = XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
ListenPort = 51820
Address = 10.10.10.2/32
DNS = 192.168.0.254
[Peer]
PublicKey = XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
PresharedKey = XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
AllowedIPs = 10.10.10.0/24,192.168.1.0/24
Endpoint = feste WAN IP :51820
PersistentKeepalive = 25Ich bekomme die Route nicht hin das der Raspberry versteht das die Anfragen vom Netz 192.168.1.0 der Hauptstelle auf das Netz 192.168.0.0/24 sollen.
über wg0 bzw auf 10.0.0.2/32 gehen wo die Zweigstelle verbunden ist.
Was mache ich falsch ?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 5100109633
Url: https://administrator.de/contentid/5100109633
Printed on: April 20, 2024 at 03:04 o'clock
10 Comments
Latest comment
Moin.
Erstens: NAT ist bei einem reinen Routing Setup vollkommen kontraproduktiv und auf einem Raspi absolute Ressourcen Verschwendung, vom Geachwindigkeitsverlust mal ganz abgesehen, also als erstes rausnehmen, zweitens die WG Config auf der Fritte ist etwas speziell die hält sich nicht an die Standards eines Transfernetzes, da muss als Interface IP ihre eigene Adresse aus ihrem eigenen Subnetz rein (ich tippe mal bei der Zweigstelle das sie dort die 192.168.0.1, hat, wenn nicht, anpassen), und die AllowedIPs auf Serverseite für den Peer muss das Remote-Netz inkludieren
Config Haupstelle
Config Fritzbox
Dann lüppt dat.
Das aktivierte Forwarding am Raspi und die statischen Route am Hauptstandort auf dem Default GW sind schon korrekt so.
Gruß S.
Erstens: NAT ist bei einem reinen Routing Setup vollkommen kontraproduktiv und auf einem Raspi absolute Ressourcen Verschwendung, vom Geachwindigkeitsverlust mal ganz abgesehen, also als erstes rausnehmen, zweitens die WG Config auf der Fritte ist etwas speziell die hält sich nicht an die Standards eines Transfernetzes, da muss als Interface IP ihre eigene Adresse aus ihrem eigenen Subnetz rein (ich tippe mal bei der Zweigstelle das sie dort die 192.168.0.1, hat, wenn nicht, anpassen), und die AllowedIPs auf Serverseite für den Peer muss das Remote-Netz inkludieren
Config Haupstelle
[Interface]
Address = 10.10.10.1/24
SaveConfig = true
ListenPort = 51820
PrivateKey = XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -A FORWARD -o wg0 -j ACCEPT
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -D FORWARD -o wg0 -j ACCEPT
[Peer]
PublicKey = XXX
PresharedKey = XXX
AllowedIPs = 10.10.10.2/32,192.168.0.0/24Config Fritzbox
[Interface]
PrivateKey = XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
ListenPort = 51820
Address = 192.168.0.1/24
DNS = 192.168.0.254
[Peer]
PublicKey = XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
PresharedKey = XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
AllowedIPs = 10.10.10.0/24,192.168.1.0/24
Endpoint = feste WAN IP :51820
PersistentKeepalive = 25Das aktivierte Forwarding am Raspi und die statischen Route am Hauptstandort auf dem Default GW sind schon korrekt so.
Gruß S.
1
Dein Kardinalsfehler im Setup ist das überflüssige NAT (Adress Translation, Masquerade) im VPN Tunnel. Damit kreierst du dir eine routingtechnische Einbahnstrasse und deutlichen Performanceverlust. Kollege @4863114660 hat es ja schon gesagt.
Siehe dazu das WG Tutorial:
Merkzettel: VPN Installation mit Wireguard
Zudem ist die AVM WG Konfig nicht WG standardkonform und eine "Sonderlocke" mit einigen AVM eigenen Fallstricken (kein internes IP Tunnelnetz wie sonst üblich!) Das gilt es zu beachten.
Die korrekte Lösung für die Anbindung der Fritzbox an an „klassisches“ Wireguard findest du HIER!
Siehe dazu das WG Tutorial:
Merkzettel: VPN Installation mit Wireguard
Zudem ist die AVM WG Konfig nicht WG standardkonform und eine "Sonderlocke" mit einigen AVM eigenen Fallstricken (kein internes IP Tunnelnetz wie sonst üblich!) Das gilt es zu beachten.
Die korrekte Lösung für die Anbindung der Fritzbox an an „klassisches“ Wireguard findest du HIER!
@Shadowdream kurze frage, in was für einem unternehmen setzt man RASPI als VPN Server ein?
- wie groß ist euer unternehmen
- welchen Bereich ist euer unternehmen tätig?
mich beschäftigen die fragen, wenn ich mir vorstelle das da 100 Kollegen den RASPI als VPN Gateway nutzen wann so ein RASPI in die knie geht?
ich persönlich würde da schon wenn überhaupt auf eine ordentliche VM gehen.
- wie lange Bist du schon als Admin tätig?
- wie groß ist euer Admin Team?
- ist deine Lösung doch eher für Privat (dann kann ich es verstehen das man einen RASPI einsetzt)?
- wie groß ist euer unternehmen
- welchen Bereich ist euer unternehmen tätig?
mich beschäftigen die fragen, wenn ich mir vorstelle das da 100 Kollegen den RASPI als VPN Gateway nutzen wann so ein RASPI in die knie geht?
ich persönlich würde da schon wenn überhaupt auf eine ordentliche VM gehen.
- wie lange Bist du schon als Admin tätig?
- wie groß ist euer Admin Team?
- ist deine Lösung doch eher für Privat (dann kann ich es verstehen das man einen RASPI einsetzt)?
Hallo,
erstmal DANKE für die Vorschläge und DENKANSTÖßE.
Ich habe mich jetzt zwei Abende mit der Konfiguration auseinandergesetzt mit verschiedenen iptables.
Leider mit dem Ergebnis das es nicht anders wie vorher ist.
Raspi in der Hauptstelle mit IP 192.168.1.104 auf eth0 wg0 im Raspi 10.10.10.1/24
Beim Anlegen von Peers braucht man eine feste IP von 10.10.10.2 bis 10.10.10.254
Zugriff vom Zweigstellennetz Fritzbox 192.168.0.254 nach 192.168.1.0/24 OK
Zugriff von Hauptstelle 192.168.1.254 nach 192.168.0.0/24 Ping Zeitüberschreitung NG
Hauptstelle
Raspi Config Hauptstelle:
Fritzbox Config Zweigstelle:
Unter Address 10.10.10.2/32 feste IP für wg0 wenn diese nicht vorhanden ist geht die Verbindung von
Zweigstelle zu Hauptstelle nicht mehr.
Problematik ist das eth0 192.168.1.104 nicht versteht das 10.10.10.2/32 der Tunnel für 192.168.0.0/24 ist.
Fritzbox Config für Wireguard ist irgendwie auch nicht so konform.
Doch wieder Richtung OpenVPN ?
@micneu
Raspi4 ist erst mal zum Testen der Wireguard Verbindung max 10 VPN Tunnel.
Zumal habe ich dann für VPN zumindest eine eigene Hardware. (Hypervisor Shutdown VPN !down!)
Wenn der Raspi4 wirklich zu langsam ist dann kommt halt ein Awow MiniPC oder sowas.
ca. 20 Personen im Unternehmen
Admin Team Ha Ha = leider Einzelkämpfer
Admin = teilweise Nebenaufgabe.
Grüße Shadowdream
erstmal DANKE für die Vorschläge und DENKANSTÖßE.
Ich habe mich jetzt zwei Abende mit der Konfiguration auseinandergesetzt mit verschiedenen iptables.
Leider mit dem Ergebnis das es nicht anders wie vorher ist.
Raspi in der Hauptstelle mit IP 192.168.1.104 auf eth0 wg0 im Raspi 10.10.10.1/24
Beim Anlegen von Peers braucht man eine feste IP von 10.10.10.2 bis 10.10.10.254
Zugriff vom Zweigstellennetz Fritzbox 192.168.0.254 nach 192.168.1.0/24 OK
Zugriff von Hauptstelle 192.168.1.254 nach 192.168.0.0/24 Ping Zeitüberschreitung NG
Hauptstelle
C:\>tracert 192.168.0.254
Routenverfolgung zu 192.168.0.254 über maximal 30 Hops
1 <1 ms <1 ms <1 ms 192.168.1.254
2 1 ms 1 ms 1 ms 192.168.1.104
3 * * * Zeitüberschreitung der Anforderung.
4 * * * Zeitüberschreitung der Anforderung.
Raspi Config Hauptstelle:
[Interface]
Address = 10.10.10.1/24
SaveConfig = true
PostUp = /etc/wireguard/addrouting.sh # zum Testen angelegt
PostDown = /etc/wireguard/removerouting.sh # zum Testen angelegt
ListenPort = 51820
PrivateKey = XXXXXXXXXX
[Peer]
PublicKey = XXXXXXXXXXX
PresharedKey = XXXXXXXXXXXX
AllowedIPs = 10.10.10.2/32, 192.168.0.254/32
Endpoint = feste WAN IP:51370Fritzbox Config Zweigstelle:
[Interface]
PrivateKey = XXXXXXXXXXXXXXXX
ListenPort = 51370
Address = 192.168.0.254/24,10.10.10.2/32 #192.168.0.254/24 automatisch von FB eingefügt
DNS = 192.168.0.254
DNS = fritz.box # automatisch von FB eingefügt
[Peer]
PublicKey = XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
PresharedKey = XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
AllowedIPs = 10.10.10.0/24,192.168.1.0/24
Endpoint = feste IP Hauptstelle:51820
PersistentKeepalive = 25Zweigstelle zu Hauptstelle nicht mehr.
Problematik ist das eth0 192.168.1.104 nicht versteht das 10.10.10.2/32 der Tunnel für 192.168.0.0/24 ist.
Fritzbox Config für Wireguard ist irgendwie auch nicht so konform.
Doch wieder Richtung OpenVPN ?
@micneu
Raspi4 ist erst mal zum Testen der Wireguard Verbindung max 10 VPN Tunnel.
Zumal habe ich dann für VPN zumindest eine eigene Hardware. (Hypervisor Shutdown VPN !down!)
Wenn der Raspi4 wirklich zu langsam ist dann kommt halt ein Awow MiniPC oder sowas.
ca. 20 Personen im Unternehmen
Admin Team Ha Ha = leider Einzelkämpfer
Admin = teilweise Nebenaufgabe.
Grüße Shadowdream
Falsch, schau dir die Config oben nochmal genau an deine stimmt überhaupt nicht damit überein.
Klappt hier im Test ja einwandfrei mit ner Fritze 😉, kann ich dir gerne zeigen.
Aber was sag ich, wer nimmt schon Frittengemüse und Raspis zur Firmenvernetzung??? Dazu muss man echt ganz schön einen gebechert haben 🍻🍻🍻🍻🍻
Klappt hier im Test ja einwandfrei mit ner Fritze 😉, kann ich dir gerne zeigen.
Aber was sag ich, wer nimmt schon Frittengemüse und Raspis zur Firmenvernetzung??? Dazu muss man echt ganz schön einen gebechert haben 🍻🍻🍻🍻🍻
1
Hallo schlepper !
Schande über mein Haupt. Deine Config ist perfekt und geht !!! 😉 Danke Danke Danke.
Mein Fehler Dienst erst Anhalten.
Dann die wg0.conf bearbeiten.
Dann den dienst wieder Starten.
Ohne Stop und Start ändert er eine IP nicht richtig !
Mein Fehler !!
Vielleicht hat jemand noch einen Vorschlag zur VPN Server Hardware + Software bzw. VM Ja/Nein.
.
Schande über mein Haupt. Deine Config ist perfekt und geht !!! 😉 Danke Danke Danke.
Mein Fehler Dienst erst Anhalten.
systemctl stop wg-quick@wg0.serviceDann den dienst wieder Starten.
systemctl start wg-quick@wg0.serviceMein Fehler !!
Vielleicht hat jemand noch einen Vorschlag zur VPN Server Hardware + Software bzw. VM Ja/Nein.
.
Vernünftige Router/Firewall auf beiden Seiten.
VPN gehört auf den Perimeter und nicht dahinter.
Hardware-Empfehlungen dafür haben wir erst vor kurzem hier ausführlich gegeben.
Benötige Empfehlung für guten Internet Router
Gruß S.
VPN gehört auf den Perimeter und nicht dahinter.
Hardware-Empfehlungen dafür haben wir erst vor kurzem hier ausführlich gegeben.
Benötige Empfehlung für guten Internet Router
Gruß S.
Vorschlag zur VPN Server Hardware
Wenn dir RasPi Niveau reicht dann einen Miktrotik hEX Router oder eins der RB Modelle wenn du etwas mehr "Wumms" benötigst.
ich persönlich mag die (OPN/pf)sense. ich würde entweder https://shop.opnsense.com/product/dec840-opnsense-desktop-security-appli ... oder Netgate 4100/6100 damit kannst du alles machen, auf alle fälle besser als eine Fritzbox
