21
Wireguard Ping Probleme cl01 geht, cl02 geht nicht
Hallo,
ich mache mich gerade mit Wireguard vertraut und bin wirklich begeistert wie "einfach" es ist.
Zur Situation:
Am Ende möchte ich in der Lage sein über Wireguard ein VPN zu einem Windows Server herzustellen damit die User sich durch das VPN per RDP auf den Server schalten können.
Als Anleitung habe ich mich an folgende Leitfaden gehalten:
WireGuard AndysBlog
smarthomebeginner.com - wireguard-windows-setup
Es funktioniert auch. Also bis zu einem gewissen Punkt und ich finde den Fehler einfach nicht.
Ich habe mir 2 Clients gemacht um zu schauen ob es möglich ist mehrere Clients zu erstellen, zu testen und dann die config einfach auf den Client-PC/Mac zu übertragen. Der Ping von Client01 geht von Client02 geht es nicht.
Was übersehe ich?
Zu der Konfiguration
Der Server:
Client01 mit Ping
Client02 mit Ping
Ich freue mich auf euren Input.
Vielen Dank schon einmal.
P.S. Falls jemand gleich meckert zwecks der PrivateKeys. Das ist nur ein Test. Für den "richtigen" Einsatz wird alles neu erstellt.
ich mache mich gerade mit Wireguard vertraut und bin wirklich begeistert wie "einfach" es ist.
Zur Situation:
Am Ende möchte ich in der Lage sein über Wireguard ein VPN zu einem Windows Server herzustellen damit die User sich durch das VPN per RDP auf den Server schalten können.
Als Anleitung habe ich mich an folgende Leitfaden gehalten:
WireGuard AndysBlog
smarthomebeginner.com - wireguard-windows-setup
Es funktioniert auch. Also bis zu einem gewissen Punkt und ich finde den Fehler einfach nicht.
Ich habe mir 2 Clients gemacht um zu schauen ob es möglich ist mehrere Clients zu erstellen, zu testen und dann die config einfach auf den Client-PC/Mac zu übertragen. Der Ping von Client01 geht von Client02 geht es nicht.
Was übersehe ich?
Zu der Konfiguration
Der Server:
Client01 mit Ping
Client02 mit Ping
Ich freue mich auf euren Input.
Vielen Dank schon einmal.
P.S. Falls jemand gleich meckert zwecks der PrivateKeys. Das ist nur ein Test. Für den "richtigen" Einsatz wird alles neu erstellt.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3210565677
Url: https://administrator.de/contentid/3210565677
Ausgedruckt am: 19.11.2024 um 07:11 Uhr
21 Kommentare
Neuester Kommentar
Hi.
Hast du mal die beiden Peers mit eineindeutigen Public Keys ausgestattet?
Die scheinen identisch zu sein. Eventuell wird hier der Server sagen, dass ihm das nicht schmeckt und das Routing dadurch entsprechend nicht klappt.
In deiner verlinkten Anleitung wird ja auch der Hinweis gegeben, für jeden weiteren Peer, eine eigene Config anzulegen.
Gruß
Marc
Hast du mal die beiden Peers mit eineindeutigen Public Keys ausgestattet?
Die scheinen identisch zu sein. Eventuell wird hier der Server sagen, dass ihm das nicht schmeckt und das Routing dadurch entsprechend nicht klappt.
In deiner verlinkten Anleitung wird ja auch der Hinweis gegeben, für jeden weiteren Peer, eine eigene Config anzulegen.
Gruß
Marc
1
Moin Marc,
danke für deine Antwort.
Ich verstehe aber nicht so ganz was du meinst.
Jeder Peer hat doch einen eindeutigen PublicKey.
Peer1 = g/1...
Peer2 = BH0...
Die Verbindungen klappen ja. Nur kann ich den Server also die .1 mit client2 nicht anpingen. Mit client1 funktioniert es.
Was wird mit eigener Config gemeint? Auf dem Server pro Peer? Kann ich mehrere VPN Netzwerke gleichzeitig aufbauen? =-O
danke für deine Antwort.
Ich verstehe aber nicht so ganz was du meinst.
Jeder Peer hat doch einen eindeutigen PublicKey.
Peer1 = g/1...
Peer2 = BH0...
Die Verbindungen klappen ja. Nur kann ich den Server also die .1 mit client2 nicht anpingen. Mit client1 funktioniert es.
Was wird mit eigener Config gemeint? Auf dem Server pro Peer? Kann ich mehrere VPN Netzwerke gleichzeitig aufbauen? =-O
Ich gucks mir morgen nochmal an aber Du müsstest mMn. beim Host (dort in den peers) die allowed IPs auf /32 enden lassen. Das ist ja immer nur ein peer.
Allgemein: Bei Wireguard definierst Du im Client(!) welche IP-Adressen Du im Host-Netz erreichen kannst.
(auch wenn host/client bei Wireguard ja nicht so richtig gilt) 😉
Allgemein: Bei Wireguard definierst Du im Client(!) welche IP-Adressen Du im Host-Netz erreichen kannst.
(auch wenn host/client bei Wireguard ja nicht so richtig gilt) 😉
1
Die Suchfunktion ist dein bester Freund... 
Das hiesige Tutorial zum fehlerfreien Setup hast du gelesen und auch umgesetzt???
Dieses Tutorial beantwortet alle deine Fragen.
Nur so viel: Deine Serverkonfig ist vollkommen falsch. Preshared Key gibt es nicht und die Allowed IPs sind vollkommen fehlerhaft. Korrigiere das, dann rennt das auch sofort.
Merkzettel: VPN Installation mit Wireguard
Tip:
In einem Winblows Umfeld solltest du immer die lokale Winblows Firewall auf dem Radar haben. Diese blockt per Default das ICMP Protokoll (Ping).
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Außerdem blockiert sie per Default immer den Zugriff aus Fremdnetzen, was in einem gerouteten VPN immer der Fall ist. Ggf. musst du diese also auch customizen für entsprechende Anwendungen wie z.B. RDP.
Zum Troubleshooting hilft auch dieser Thread:
Wireguard Site2Site mit Roadwarrior
bzw.
Wireguard Site2Site mit Roadwarrior
Das hiesige Tutorial zum fehlerfreien Setup hast du gelesen und auch umgesetzt???
Dieses Tutorial beantwortet alle deine Fragen.
Nur so viel: Deine Serverkonfig ist vollkommen falsch. Preshared Key gibt es nicht und die Allowed IPs sind vollkommen fehlerhaft. Korrigiere das, dann rennt das auch sofort.
Merkzettel: VPN Installation mit Wireguard
Tip:
In einem Winblows Umfeld solltest du immer die lokale Winblows Firewall auf dem Radar haben. Diese blockt per Default das ICMP Protokoll (Ping).
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Außerdem blockiert sie per Default immer den Zugriff aus Fremdnetzen, was in einem gerouteten VPN immer der Fall ist. Ggf. musst du diese also auch customizen für entsprechende Anwendungen wie z.B. RDP.
Zum Troubleshooting hilft auch dieser Thread:
Wireguard Site2Site mit Roadwarrior
bzw.
Wireguard Site2Site mit Roadwarrior
1Zitat von @radiogugu:
@MarFra, hast ja recht, hatte mich da irgendwie verguckt 😑
Was @Visucius schrieb ist auf jeden Fall richtig.
Es wäre aber nur logisch, dass Peer 1 + 2 dasselbe Verhalten zeigen würden.
Das 192.168.0.0 Netz ist aber nicht dein lokales, sondern das Transfernetz, richtig?
@MarFra, hast ja recht, hatte mich da irgendwie verguckt 😑
Was @Visucius schrieb ist auf jeden Fall richtig.
Es wäre aber nur logisch, dass Peer 1 + 2 dasselbe Verhalten zeigen würden.
Das 192.168.0.0 Netz ist aber nicht dein lokales, sondern das Transfernetz, richtig?
Ja, das ist das Transfernetz!
Zitat von @aqui:
Die Suchfunktion ist dein bester Freund...
Das hiesige Tutorial zum fehlerfreien Setup hast du gelesen und auch umgesetzt???
Dieses Tutorial beantwortet alle deine Fragen.
Nur so viel: Deine Serverkonfig ist vollkommen falsch. Preshared Key gibt es nicht und die Allowed IPs sind vollkommen fehlerhaft. Korrigiere das, dann rennt das auch sofort.
Merkzettel: VPN Installation mit Wireguard
Tip:
In einem Winblows Umfeld solltest du immer die lokale Winblows Firewall auf dem Radar haben. Diese blockt per Default das ICMP Protokoll (Ping).
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Außerdem blockiert sie per Default immer den Zugriff aus Fremdnetzen, was in einem gerouteten VPN immer der Fall ist. Ggf. musst du diese also auch customizen für entsprechende Anwendungen wie z.B. RDP.
Zum Troubleshooting hilft auch dieser Thread:
Wireguard Site2Site mit Roadwarrior
bzw.
Wireguard Site2Site mit Roadwarrior
Die Suchfunktion ist dein bester Freund...
Das hiesige Tutorial zum fehlerfreien Setup hast du gelesen und auch umgesetzt???
Dieses Tutorial beantwortet alle deine Fragen.
Nur so viel: Deine Serverkonfig ist vollkommen falsch. Preshared Key gibt es nicht und die Allowed IPs sind vollkommen fehlerhaft. Korrigiere das, dann rennt das auch sofort.
Merkzettel: VPN Installation mit Wireguard
Tip:
In einem Winblows Umfeld solltest du immer die lokale Winblows Firewall auf dem Radar haben. Diese blockt per Default das ICMP Protokoll (Ping).
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Außerdem blockiert sie per Default immer den Zugriff aus Fremdnetzen, was in einem gerouteten VPN immer der Fall ist. Ggf. musst du diese also auch customizen für entsprechende Anwendungen wie z.B. RDP.
Zum Troubleshooting hilft auch dieser Thread:
Wireguard Site2Site mit Roadwarrior
bzw.
Wireguard Site2Site mit Roadwarrior
Hallo Aqui,
vielen Dank für deine Antwort. Ich werde mir die Anleitungen direkt einmal anschauen. Wirklich super dass du dir soviel arbeit machst und solche Anleitungen online stellst.
Ich danke euch und werde mich bei Erfolgreicher umsetzung direkt melden oder weitere Fragen stellen.
Beste Community!
Ja, das ist das Transfernetz!
Keine besonders intelligente Wahl und wenig nachgedacht in einem VPN Umfeld!! 
Lesen und verstehen:
VPNs einrichten mit PPTP
1Zitat von @aqui:
Lesen und verstehen:
VPNs einrichten mit PPTP
Ja, das ist das Transfernetz!
Keine besonders intelligente Wahl und wenig nachgedacht in einem VPN Umfeld!! Lesen und verstehen:
VPNs einrichten mit PPTP
Danke für die Info.
Werde ich in der Produktivumgebung so umsetzen bzw. darauf achten.
Servus @aqui
Nope, den gibt es auch in der Wireguard-Config, der PreSharedKey ist aber optional und muss dann sowohl auf Server als auch Client-Seite im jeweiligen Peer identisch sein
https://www.wireguard.com/protocol/
Nope, den gibt es auch in der Wireguard-Config, der PreSharedKey ist aber optional und muss dann sowohl auf Server als auch Client-Seite im jeweiligen Peer identisch sein
https://www.wireguard.com/protocol/
If an additional layer of symmetric-key crypto is required (for, say, post-quantum resistance), WireGuard also supports an optional pre-shared key that is mixed into the public key cryptography. When pre-shared key mode is not in use, the pre-shared key value used below is assumed to be an all-zero string of 32 bytes.
Grüße Uwe1
ES IST GESCHAFFT!
Vielen Dank an euch alle und natürlich möchte ich euch an der Lösung teilhaben lassen.
Ich habe alles nach der Anleitung von @aqui neu aufgesetzt und auch diesmal die IP-Range so angepasst wie es empfohlen wurde. Leider gab es nach der Konfiguration wieder dasselbe Problem. Habe also erneut rumprobiert und gemerkt dass es wirklich an den mehreren Peers in der Server Config lag.
Ich habe dann einfach mal nach "mehrere Peers an einen WireguardServer verbinden" gegoogelt und ein kleines Textkästchen brachte die Erlösung.
Es ist also absolut notwendig die Peers in ein /32 Subnetz zu stellen. Warum weiß ich leider nicht, falls mir dass noch jemand erklären könnte wäre das SUPER.
Ich danke euch noch einmal für eure Zeit und die tollen Ratschläge.
Grüße Marcel
Vielen Dank an euch alle und natürlich möchte ich euch an der Lösung teilhaben lassen.
Ich habe alles nach der Anleitung von @aqui neu aufgesetzt und auch diesmal die IP-Range so angepasst wie es empfohlen wurde. Leider gab es nach der Konfiguration wieder dasselbe Problem. Habe also erneut rumprobiert und gemerkt dass es wirklich an den mehreren Peers in der Server Config lag.
Ich habe dann einfach mal nach "mehrere Peers an einen WireguardServer verbinden" gegoogelt und ein kleines Textkästchen brachte die Erlösung.
Es ist also absolut notwendig die Peers in ein /32 Subnetz zu stellen. Warum weiß ich leider nicht, falls mir dass noch jemand erklären könnte wäre das SUPER.
Ich danke euch noch einmal für eure Zeit und die tollen Ratschläge.
Grüße Marcel
Zitat von @MarFra:
Es ist also absolut notwendig die Peers in ein /32 Subnetz zu stellen. Warum weiß ich leider nicht, falls mir dass noch jemand erklären könnte wäre das SUPER.
Die AllowedIPs auf Server-Seite sagen dem WG Server von welchen IP-Adressen er von diesem Peer verschlüsselten Traffic annehmen darf und nur von diesen (Cryptokey Routing). Trägst du hier statt einer eindeutigen 32er Maske bei mehreren Peers immer das gleiche Subnetz ein dann kann der Server keine eindeutige Route zu jedem Peer erstellen.Es ist also absolut notwendig die Peers in ein /32 Subnetz zu stellen. Warum weiß ich leider nicht, falls mir dass noch jemand erklären könnte wäre das SUPER.
Du kannst nämlich auch ganze Netze in den AllowedIPs auf Server-Seite eintragen, dann nimmt der Server Traffic von diesem ganzen Subnetz an und er erstellt dann auch eine Route für dieses Subnetz mit dem jeweiligen Peer als Gateway.
Die 32 Maske sagt dabei aber nicht aus das die Clients nicht untereinander kommunizieren könnten, das können sie sehr wohl (sofern die Firewall es erlaubt) und weil die Maske auf Clientseite im Interface und den AllowedIPs meist mit einer 24 Maske auf das WG Transfernetz zeigt.
Wie immer direkt beim Hersteller und in unseren Tutorials aufmerksam lesen dann muss man sich auch nicht durch x Seiten wühlen
https://www.wireguard.com/#:~:text=At%20the%20heart%20of%20WireGuard,pee ....
Hth
@colinardo
2
Vielen Dank @colinardo.
Das war sehr verständlich erklärt.
Ihr habt solche, sehr guten, Anleitungen nicht noch zufällig für:
- Über Wireguard VPN auf lokales Netzwerk zugreifen (also so dass ich über die VPN eine IP im lokalen Netz erhalte)
- Über Wireguard VPN IPv4 Pakete über eine IPv6 Tunneln (DG gibt nur IPv6 und mein Bekannter würde gern von seinem Handy auf die Sicherheitskameras etc. kommen. Die hatten das vorher wohl mit DynDNS und Portforwarding gemacht.) Gerade bei diesem Thema weiss ich garnicht nach was ich suchen soll geschweige denn ob das überhaupt funktioniert.
Beste Community!
Das war sehr verständlich erklärt.
Ihr habt solche, sehr guten, Anleitungen nicht noch zufällig für:
- Über Wireguard VPN auf lokales Netzwerk zugreifen (also so dass ich über die VPN eine IP im lokalen Netz erhalte)
- Über Wireguard VPN IPv4 Pakete über eine IPv6 Tunneln (DG gibt nur IPv6 und mein Bekannter würde gern von seinem Handy auf die Sicherheitskameras etc. kommen. Die hatten das vorher wohl mit DynDNS und Portforwarding gemacht.) Gerade bei diesem Thema weiss ich garnicht nach was ich suchen soll geschweige denn ob das überhaupt funktioniert.
Beste Community!
Zitat von @MarFra:
- Über Wireguard VPN auf lokales Netzwerk zugreifen (also so dass ich über die VPN eine IP im lokalen Netz erhalte)
Das ist überflüssig und Bridging ist kontraproduktiv, denn die Clients können sich problemlos untereinander via normalem Routing miteinander unterhalten. Voraussetzung dafür ist das auf dem Gateway des Server Netzes eine statische Route auf den Wireguard Server zeigt sofern der Wireguard Server nicht selbst das Default GW für die Clients ist.- Über Wireguard VPN auf lokales Netzwerk zugreifen (also so dass ich über die VPN eine IP im lokalen Netz erhalte)
Man kann zwar auf dem WG Server nach intern auch NATen, aber das ist dann wie bekannt eine Einbahnstraße und innerhalb von VPNs performance und routing technischer Blödsinn. Es gilt hier immer der Grundsatz: Route where you can, NAT where you must.
Steht auch im verl. Tutorial von @aqui.
- Über Wireguard VPN IPv4 Pakete über eine IPv6 Tunneln (DG gibt nur IPv6 und mein Bekannter würde gern von seinem Handy auf die Sicherheitskameras etc. kommen. Die hatten das vorher wohl mit DynDNS und Portforwarding gemacht.) Gerade bei diesem Thema weiss ich garnicht nach was ich suchen soll geschweige denn ob das überhaupt funktioniert.
Das funktioniert out of the box, Wireguard ist es schnuppe ob die äußeren Transport-Adressen über IPv6 laufen, im Tunnel kannst du weiterhin IPv4 benutzen und übertragen. Du musst also nur sicherstellen daß du die aktuelle öffentliche IPv6 des Wireguard-Servers über einen DynDNS Dienst aktuell hältst, mehr braucht es nicht.Beste Community
Thanks for the 💐👍Grüße Uwe
2und ein kleines Textkästchen brachte die Erlösung.
Ist oben aber auch mehrfach drauf hingewiesen worden und steht auch deutlich im hiesigen Wireguard Tutorial!Aber gut wenn es nun rennt wie es soll. 👏
Ich gucks mir morgen nochmal an aber Du müsstest mMn. beim Host (dort in den peers) die allowed IPs auf /32 enden lassen. Das ist ja immer nur ein peer.
Ich zitiere mich mal selber. Wenn das die Lösung war, die Du dann später lange recherchiert hast, dann könntest Du mir aber gerne auch ein "Lösungsbutten" geben
Was sind den "Butten" ??
Zitat von @Visucius:
Ich zitiere mich mal selber. Wenn das die Lösung war, die Du dann später lange recherchiert hast, dann könntest Du mir aber gerne auch ein "Lösungsbutten" geben
Ich gucks mir morgen nochmal an aber Du müsstest mMn. beim Host (dort in den peers) die allowed IPs auf /32 enden lassen. Das ist ja immer nur ein peer.
Ich zitiere mich mal selber. Wenn das die Lösung war, die Du dann später lange recherchiert hast, dann könntest Du mir aber gerne auch ein "Lösungsbutten" geben
Oh KRASS! Das habe ich scheinbar voll überlesen! :-O Sorry, klar. Die Krone geht definitiv an dich!
Danke!Zitat von @aqui:
Aber gut wenn es nun rennt wie es soll. 👏
und ein kleines Textkästchen brachte die Erlösung.
Ist oben aber auch mehrfach drauf hingewiesen worden und steht auch deutlich im hiesigen Wireguard Tutorial!Aber gut wenn es nun rennt wie es soll. 👏
Ich muss einfach anfangen konzentrierter zu lesen. Das ist echt eine schwäche von mir. Sorry und nochmal vielen Dank für deine Tutorials.
Zitat von @colinardo:
Man kann zwar auf dem WG Server nach intern auch NATen, aber das ist dann wie bekannt eine Einbahnstraße und innerhalb von VPNs performance und routing technischer Blödsinn. Es gilt hier immer der Grundsatz: Route where you can, NAT where you must.
Steht auch im verl. Tutorial von @aqui.
Grüße Uwe
Zitat von @MarFra:
- Über Wireguard VPN auf lokales Netzwerk zugreifen (also so dass ich über die VPN eine IP im lokalen Netz erhalte)
Das ist überflüssig und Bridging ist kontraproduktiv, denn die Clients können sich problemlos untereinander via normalem Routing miteinander unterhalten. Voraussetzung dafür ist das auf dem Gateway des Server Netzes eine statische Route auf den Wireguard Server zeigt sofern der Wireguard Server nicht selbst das Default GW für die Clients ist.- Über Wireguard VPN auf lokales Netzwerk zugreifen (also so dass ich über die VPN eine IP im lokalen Netz erhalte)
Man kann zwar auf dem WG Server nach intern auch NATen, aber das ist dann wie bekannt eine Einbahnstraße und innerhalb von VPNs performance und routing technischer Blödsinn. Es gilt hier immer der Grundsatz: Route where you can, NAT where you must.
Steht auch im verl. Tutorial von @aqui.
- Über Wireguard VPN IPv4 Pakete über eine IPv6 Tunneln (DG gibt nur IPv6 und mein Bekannter würde gern von seinem Handy auf die Sicherheitskameras etc. kommen. Die hatten das vorher wohl mit DynDNS und Portforwarding gemacht.) Gerade bei diesem Thema weiss ich garnicht nach was ich suchen soll geschweige denn ob das überhaupt funktioniert.
Das funktioniert out of the box, Wireguard ist es schnuppe ob die äußeren Transport-Adressen über IPv6 laufen, im Tunnel kannst du weiterhin IPv4 benutzen und übertragen. Du musst also nur sicherstellen daß du die aktuelle öffentliche IPv6 des Wireguard-Servers über einen DynDNS Dienst aktuell hältst, mehr braucht es nicht.Beste Community
Thanks for the 💐👍Grüße Uwe
MEGA! Vielen Dank
Und bitte nicht immer in Einzelthreads kommentieren die man auch intelligent und übersichtlich in einem zusammenfassen kann. 😉
