Wireguard Ping Probleme cl01 geht, cl02 geht nicht

marfra
Goto Top
Hallo,

ich mache mich gerade mit Wireguard vertraut und bin wirklich begeistert wie "einfach" es ist.

Zur Situation:

Am Ende möchte ich in der Lage sein über Wireguard ein VPN zu einem Windows Server herzustellen damit die User sich durch das VPN per RDP auf den Server schalten können.

Als Anleitung habe ich mich an folgende Leitfaden gehalten:
WireGuard AndysBlog
smarthomebeginner.com - wireguard-windows-setup


Es funktioniert auch. Also bis zu einem gewissen Punkt und ich finde den Fehler einfach nicht. face-big-smile

Ich habe mir 2 Clients gemacht um zu schauen ob es möglich ist mehrere Clients zu erstellen, zu testen und dann die config einfach auf den Client-PC/Mac zu übertragen. Der Ping von Client01 geht von Client02 geht es nicht.

Was übersehe ich?


Zu der Konfiguration

Der Server:
serv01

serv02


Client01 mit Ping
cl01_1

cl01_02

cl01_ping



Client02 mit Ping
cl02_1

cl02_02

cl02_ping



Ich freue mich auf euren Input.

Vielen Dank schon einmal.



P.S. Falls jemand gleich meckert zwecks der PrivateKeys. Das ist nur ein Test. Für den "richtigen" Einsatz wird alles neu erstellt. face-smile

Content-Key: 3210565677

Url: https://administrator.de/contentid/3210565677

Ausgedruckt am: 15.08.2022 um 16:08 Uhr

Mitglied: radiogugu
radiogugu 29.06.2022 um 19:27:36 Uhr
Goto Top
Hi.

Hast du mal die beiden Peers mit eineindeutigen Public Keys ausgestattet?

Die scheinen identisch zu sein. Eventuell wird hier der Server sagen, dass ihm das nicht schmeckt und das Routing dadurch entsprechend nicht klappt.

In deiner verlinkten Anleitung wird ja auch der Hinweis gegeben, für jeden weiteren Peer, eine eigene Config anzulegen.

Gruß
Marc
Mitglied: MarFra
MarFra 29.06.2022 um 21:35:28 Uhr
Goto Top
Moin Marc,

danke für deine Antwort.

Ich verstehe aber nicht so ganz was du meinst.

Jeder Peer hat doch einen eindeutigen PublicKey.

Peer1 = g/1...
Peer2 = BH0...

Die Verbindungen klappen ja. Nur kann ich den Server also die .1 mit client2 nicht anpingen. Mit client1 funktioniert es.

Was wird mit eigener Config gemeint? Auf dem Server pro Peer? Kann ich mehrere VPN Netzwerke gleichzeitig aufbauen? =-O
Mitglied: Visucius
Lösung Visucius 30.06.2022 aktualisiert um 01:03:31 Uhr
Goto Top
Ich gucks mir morgen nochmal an aber Du müsstest mMn. beim Host (dort in den peers) die allowed IPs auf /32 enden lassen. Das ist ja immer nur ein peer.

Allgemein: Bei Wireguard definierst Du im Client(!) welche IP-Adressen Du im Host-Netz erreichen kannst.

(auch wenn host/client bei Wireguard ja nicht so richtig gilt) 😉
Mitglied: radiogugu
radiogugu 30.06.2022 um 07:40:36 Uhr
Goto Top
Moin.

@MarFra, hast ja recht, hatte mich da irgendwie verguckt 😑

Was @Visucius schrieb ist auf jeden Fall richtig.

Es wäre aber nur logisch, dass Peer 1 + 2 dasselbe Verhalten zeigen würden.

Das 192.168.0.0 Netz ist aber nicht dein lokales, sondern das Transfernetz, richtig?

Gruß
Marc
Mitglied: aqui
Lösung aqui 30.06.2022 aktualisiert um 10:30:57 Uhr
Goto Top
Die Suchfunktion ist dein bester Freund... face-wink
Das hiesige Tutorial zum fehlerfreien Setup hast du gelesen und auch umgesetzt???
Dieses Tutorial beantwortet alle deine Fragen.
Nur so viel: Deine Serverkonfig ist vollkommen falsch. Preshared Key gibt es nicht und die Allowed IPs sind vollkommen fehlerhaft. Korrigiere das, dann rennt das auch sofort.
https://administrator.de/tutorial/merkzettel-vpn-installation-mit-wiregu ...

Tip:
In einem Winblows Umfeld solltest du immer die lokale Winblows Firewall auf dem Radar haben. Diese blockt per Default das ICMP Protokoll (Ping).
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Außerdem blockiert sie per Default immer den Zugriff aus Fremdnetzen, was in einem gerouteten VPN immer der Fall ist. Ggf. musst du diese also auch customizen für entsprechende Anwendungen wie z.B. RDP.
Zum Troubleshooting hilft auch dieser Thread:
https://administrator.de/forum/wireguard-site2site-mit-roadwarrior-31334 ...
bzw.
https://administrator.de/forum/wireguard-site2site-mit-roadwarrior-31334 ...
Mitglied: MarFra
MarFra 30.06.2022 um 11:30:42 Uhr
Goto Top
Zitat von @radiogugu:

@MarFra, hast ja recht, hatte mich da irgendwie verguckt 😑

Was @Visucius schrieb ist auf jeden Fall richtig.

Es wäre aber nur logisch, dass Peer 1 + 2 dasselbe Verhalten zeigen würden.

Das 192.168.0.0 Netz ist aber nicht dein lokales, sondern das Transfernetz, richtig?

Ja, das ist das Transfernetz!
Mitglied: MarFra
MarFra 30.06.2022 um 11:33:23 Uhr
Goto Top
Zitat von @aqui:

Die Suchfunktion ist dein bester Freund... face-wink
Das hiesige Tutorial zum fehlerfreien Setup hast du gelesen und auch umgesetzt???
Dieses Tutorial beantwortet alle deine Fragen.
Nur so viel: Deine Serverkonfig ist vollkommen falsch. Preshared Key gibt es nicht und die Allowed IPs sind vollkommen fehlerhaft. Korrigiere das, dann rennt das auch sofort.
https://administrator.de/tutorial/merkzettel-vpn-installation-mit-wiregu ...

Tip:
In einem Winblows Umfeld solltest du immer die lokale Winblows Firewall auf dem Radar haben. Diese blockt per Default das ICMP Protokoll (Ping).
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Außerdem blockiert sie per Default immer den Zugriff aus Fremdnetzen, was in einem gerouteten VPN immer der Fall ist. Ggf. musst du diese also auch customizen für entsprechende Anwendungen wie z.B. RDP.
Zum Troubleshooting hilft auch dieser Thread:
https://administrator.de/forum/wireguard-site2site-mit-roadwarrior-31334 ...
bzw.
https://administrator.de/forum/wireguard-site2site-mit-roadwarrior-31334 ...

Hallo Aqui,

vielen Dank für deine Antwort. Ich werde mir die Anleitungen direkt einmal anschauen. Wirklich super dass du dir soviel arbeit machst und solche Anleitungen online stellst. face-smile

Ich danke euch und werde mich bei Erfolgreicher umsetzung direkt melden oder weitere Fragen stellen.

Beste Community!
Mitglied: aqui
Lösung aqui 30.06.2022 aktualisiert um 11:34:13 Uhr
Goto Top
Ja, das ist das Transfernetz!
Keine besonders intelligente Wahl und wenig nachgedacht in einem VPN Umfeld!! face-sad
Lesen und verstehen:
https://administrator.de/tutorial/vpns-einrichten-mit-pptp-117700.html#t ...
Mitglied: MarFra
MarFra 30.06.2022 um 12:09:43 Uhr
Goto Top
Zitat von @aqui:

Ja, das ist das Transfernetz!
Keine besonders intelligente Wahl und wenig nachgedacht in einem VPN Umfeld!! face-sad
Lesen und verstehen:
https://administrator.de/tutorial/vpns-einrichten-mit-pptp-117700.html#t ...

Danke für die Info.
Werde ich in der Produktivumgebung so umsetzen bzw. darauf achten.
Mitglied: colinardo
colinardo 30.06.2022 aktualisiert um 18:01:33 Uhr
Goto Top
Servus @aqui
Zitat von @aqui:
Nur so viel: Deine Serverkonfig ist vollkommen falsch. Preshared Key gibt es nicht
Nope, den gibt es auch in der Wireguard-Config, der PreSharedKey ist aber optional und muss dann sowohl auf Server als auch Client-Seite im jeweiligen Peer identisch sein
https://www.wireguard.com/protocol/
If an additional layer of symmetric-key crypto is required (for, say, post-quantum resistance), WireGuard also supports an optional pre-shared key that is mixed into the public key cryptography. When pre-shared key mode is not in use, the pre-shared key value used below is assumed to be an all-zero string of 32 bytes.
Grüße Uwe
Mitglied: MarFra
Lösung MarFra 05.07.2022 aktualisiert um 21:05:54 Uhr
Goto Top
ES IST GESCHAFFT!

Vielen Dank an euch alle und natürlich möchte ich euch an der Lösung teilhaben lassen.

Ich habe alles nach der Anleitung von @aqui neu aufgesetzt und auch diesmal die IP-Range so angepasst wie es empfohlen wurde. Leider gab es nach der Konfiguration wieder dasselbe Problem. Habe also erneut rumprobiert und gemerkt dass es wirklich an den mehreren Peers in der Server Config lag.

Ich habe dann einfach mal nach "mehrere Peers an einen WireguardServer verbinden" gegoogelt und ein kleines Textkästchen brachte die Erlösung.

finish


Es ist also absolut notwendig die Peers in ein /32 Subnetz zu stellen. Warum weiß ich leider nicht, falls mir dass noch jemand erklären könnte wäre das SUPER.

Ich danke euch noch einmal für eure Zeit und die tollen Ratschläge.

Grüße Marcel
Mitglied: colinardo
colinardo 05.07.2022 aktualisiert um 19:56:12 Uhr
Goto Top
Zitat von @MarFra:
Es ist also absolut notwendig die Peers in ein /32 Subnetz zu stellen. Warum weiß ich leider nicht, falls mir dass noch jemand erklären könnte wäre das SUPER.
Die AllowedIPs auf Server-Seite sagen dem WG Server von welchen IP-Adressen er von diesem Peer verschlüsselten Traffic annehmen darf und nur von diesen (Cryptokey Routing). Trägst du hier statt einer eindeutigen 32er Maske bei mehreren Peers immer das gleiche Subnetz ein dann kann der Server keine eindeutige Route zu jedem Peer erstellen.
Du kannst nämlich auch ganze Netze in den AllowedIPs auf Server-Seite eintragen, dann nimmt der Server Traffic von diesem ganzen Subnetz an und er erstellt dann auch eine Route für dieses Subnetz mit dem jeweiligen Peer als Gateway.
Die 32 Maske sagt dabei aber nicht aus das die Clients nicht untereinander kommunizieren könnten, das können sie sehr wohl (sofern die Firewall es erlaubt) und weil die Maske auf Clientseite im Interface und den AllowedIPs meist mit einer 24 Maske auf das WG Transfernetz zeigt.

Wie immer direkt beim Hersteller und in unseren Tutorials aufmerksam lesen dann muss man sich auch nicht durch x Seiten wühlen
https://www.wireguard.com/#:~:text=At%20the%20heart%20of%20WireGuard,pee ....

Hth
@colinardo
Mitglied: MarFra
MarFra 05.07.2022 um 21:13:38 Uhr
Goto Top
Vielen Dank @colinardo.

Das war sehr verständlich erklärt.

Ihr habt solche, sehr guten, Anleitungen nicht noch zufällig für:

- Über Wireguard VPN auf lokales Netzwerk zugreifen (also so dass ich über die VPN eine IP im lokalen Netz erhalte)

- Über Wireguard VPN IPv4 Pakete über eine IPv6 Tunneln (DG gibt nur IPv6 und mein Bekannter würde gern von seinem Handy auf die Sicherheitskameras etc. kommen. Die hatten das vorher wohl mit DynDNS und Portforwarding gemacht.) Gerade bei diesem Thema weiss ich garnicht nach was ich suchen soll geschweige denn ob das überhaupt funktioniert.

Beste Community! face-smile
Mitglied: colinardo
colinardo 06.07.2022 aktualisiert um 08:57:05 Uhr
Goto Top
Zitat von @MarFra:
- Über Wireguard VPN auf lokales Netzwerk zugreifen (also so dass ich über die VPN eine IP im lokalen Netz erhalte)
Das ist überflüssig und Bridging ist kontraproduktiv, denn die Clients können sich problemlos untereinander via normalem Routing miteinander unterhalten. Voraussetzung dafür ist das auf dem Gateway des Server Netzes eine statische Route auf den Wireguard Server zeigt sofern der Wireguard Server nicht selbst das Default GW für die Clients ist.
Man kann zwar auf dem WG Server nach intern auch NATen, aber das ist dann wie bekannt eine Einbahnstraße und innerhalb von VPNs performance und routing technischer Blödsinn. Es gilt hier immer der Grundsatz: Route where you can, NAT where you must.
Steht auch im verl. Tutorial von @aqui.

- Über Wireguard VPN IPv4 Pakete über eine IPv6 Tunneln (DG gibt nur IPv6 und mein Bekannter würde gern von seinem Handy auf die Sicherheitskameras etc. kommen. Die hatten das vorher wohl mit DynDNS und Portforwarding gemacht.) Gerade bei diesem Thema weiss ich garnicht nach was ich suchen soll geschweige denn ob das überhaupt funktioniert.
Das funktioniert out of the box, Wireguard ist es schnuppe ob die äußeren Transport-Adressen über IPv6 laufen, im Tunnel kannst du weiterhin IPv4 benutzen und übertragen. Du musst also nur sicherstellen daß du die aktuelle öffentliche IPv6 des Wireguard-Servers über einen DynDNS Dienst aktuell hältst, mehr braucht es nicht.

Beste Community face-wink
Thanks for the 💐👍

Grüße Uwe
Mitglied: aqui
aqui 06.07.2022 um 11:01:37 Uhr
Goto Top
und ein kleines Textkästchen brachte die Erlösung.
Ist oben aber auch mehrfach drauf hingewiesen worden und steht auch deutlich im hiesigen Wireguard Tutorial!
Aber gut wenn es nun rennt wie es soll. 👏
Mitglied: Visucius
Visucius 06.07.2022 um 11:04:30 Uhr
Goto Top
Ich gucks mir morgen nochmal an aber Du müsstest mMn. beim Host (dort in den peers) die allowed IPs auf /32 enden lassen. Das ist ja immer nur ein peer.

Ich zitiere mich mal selber. Wenn das die Lösung war, die Du dann später lange recherchiert hast, dann könntest Du mir aber gerne auch ein "Lösungsbutten" geben face-wink
Mitglied: aqui
aqui 06.07.2022 um 11:54:44 Uhr
Goto Top
Was sind den "Butten" ??
Mitglied: MarFra
MarFra 06.07.2022 um 12:40:41 Uhr
Goto Top
Zitat von @Visucius:

Ich gucks mir morgen nochmal an aber Du müsstest mMn. beim Host (dort in den peers) die allowed IPs auf /32 enden lassen. Das ist ja immer nur ein peer.

Ich zitiere mich mal selber. Wenn das die Lösung war, die Du dann später lange recherchiert hast, dann könntest Du mir aber gerne auch ein "Lösungsbutten" geben face-wink

Oh KRASS! Das habe ich scheinbar voll überlesen! :-O Sorry, klar. Die Krone geht definitiv an dich! face-big-smile Danke!
Mitglied: MarFra
MarFra 06.07.2022 um 12:42:19 Uhr
Goto Top
Zitat von @aqui:

und ein kleines Textkästchen brachte die Erlösung.
Ist oben aber auch mehrfach drauf hingewiesen worden und steht auch deutlich im hiesigen Wireguard Tutorial!
Aber gut wenn es nun rennt wie es soll. 👏

Ich muss einfach anfangen konzentrierter zu lesen. Das ist echt eine schwäche von mir. Sorry und nochmal vielen Dank für deine Tutorials. face-smile
Mitglied: MarFra
MarFra 06.07.2022 um 12:43:40 Uhr
Goto Top
Zitat von @colinardo:

Zitat von @MarFra:
- Über Wireguard VPN auf lokales Netzwerk zugreifen (also so dass ich über die VPN eine IP im lokalen Netz erhalte)
Das ist überflüssig und Bridging ist kontraproduktiv, denn die Clients können sich problemlos untereinander via normalem Routing miteinander unterhalten. Voraussetzung dafür ist das auf dem Gateway des Server Netzes eine statische Route auf den Wireguard Server zeigt sofern der Wireguard Server nicht selbst das Default GW für die Clients ist.
Man kann zwar auf dem WG Server nach intern auch NATen, aber das ist dann wie bekannt eine Einbahnstraße und innerhalb von VPNs performance und routing technischer Blödsinn. Es gilt hier immer der Grundsatz: Route where you can, NAT where you must.
Steht auch im verl. Tutorial von @aqui.

- Über Wireguard VPN IPv4 Pakete über eine IPv6 Tunneln (DG gibt nur IPv6 und mein Bekannter würde gern von seinem Handy auf die Sicherheitskameras etc. kommen. Die hatten das vorher wohl mit DynDNS und Portforwarding gemacht.) Gerade bei diesem Thema weiss ich garnicht nach was ich suchen soll geschweige denn ob das überhaupt funktioniert.
Das funktioniert out of the box, Wireguard ist es schnuppe ob die äußeren Transport-Adressen über IPv6 laufen, im Tunnel kannst du weiterhin IPv4 benutzen und übertragen. Du musst also nur sicherstellen daß du die aktuelle öffentliche IPv6 des Wireguard-Servers über einen DynDNS Dienst aktuell hältst, mehr braucht es nicht.

Beste Community face-wink
Thanks for the 💐👍

Grüße Uwe

MEGA! Vielen Dank
Mitglied: aqui
aqui 06.07.2022 um 18:14:18 Uhr
Goto Top
Und bitte nicht immer in Einzelthreads kommentieren die man auch intelligent und übersichtlich in einem zusammenfassen kann. 😉