Wireguard Server ok Clients ohne Verbindung

Mitglied: winlin
Hallo Zusammen,

ich habe auf meiner Raspberry in einem Docker Container wireguard installiert. Zu erwähnen ist noch das die RPi4 per WLAN connected ist und nicht per LAN. Der Server wurde wie folgt eingerichtet:

UFW Status auf der RPI:

Start war erfolgreich mit sudo docker-compose up -d:

Konfiguration gecheckt mit sudo docker exec -it wireguard wg show:

Public IP check:

Und dann das gleiche vom container aus:

Logfile gecheckt:

wg0.conf:

peer1.conf:

Und wenn ich nun die peer1.conf nehme und auf meinem Windows 10 PC (wo schon wireguard client mit der conf eingerichtet ist erhalte ich folgenden Wireguard status:
Schnittstelle wg:
- Status: aktiv
- Öffentlicher Schlüssel (der aus der config)
- Eingangsport: 51820
- Adressen: 10.13.13.2./32
- DNS Server: 10.13.13.1
Teilnehmer:
- Öffentlicher Schlüssel (der aus der config)
- Erlaubte IPs: 0.0.0.0/0
- Endpunkt: 192.39.2xx.xx;51820
- Übertragen: 0B empfangen, 5,95KiN gesendet

Ipconfig zeigt den neuen adapter an:

Eine Internetverbindung ist leider nicht möglich.
Im Wireguard Protokoll steht folgendes:
2021-08-03 12:18:17.793: [TUN] [wg] peer(00xJ…bUXs) - Sending handshake initiation
2021-08-03 12:18:43.465: [TUN] [wg] peer(00xJ…bUXs) - Handshake did not complete after 5 seconds, retrying (try 2)

Im Router habe ich den Port 51820 freigegeben (siehe screenshot).

Kann mir einer evtl helfen?

Danke im voraus!!!
wg0
ports

Content-Key: 1118187888

Url: https://administrator.de/contentid/1118187888

Ausgedruckt am: 29.09.2021 um 04:09 Uhr

Mitglied: winlin
winlin 03.08.2021 um 12:55:40 Uhr
Goto Top
Zusätzliche Infos:

In der echt guten Beschreibung hier https://administrator.de/tutorial/merkzettel-vpn-installation-mit-wiregu ...

beziehe ich mich nun auf "Wireguard Server und Client Konfiguration".
Das IP Forwarding habe ich ja bereits in meiner o.g. compose.yml aktiviert.

Dann steht in dieser Anleitung ja auch noch unter "Konfiguration Wireguard Server" das man:

Das habe ich zwar gemacht und diese keys liegen bereit abe rich habe die peerX.conf nicht editiert sonder habe sie so genommen und dann auf dem Windows PC benutzt um den Wireguard client zu konfigurieren.

Aber was mache ich nun mit den keys??? Muss ich doch alle peerX.conf files editieren und dort die keys ersetzen?
Mitglied: winlin
winlin 03.08.2021 um 13:19:32 Uhr
Goto Top
UPDATE NR2:

Nachdem ich im Router unter DDNS die Daten erneut eingegeben hatte machte ich einen neuen Versuch - das ist dieselber ServerURL die ich in der compose file angegeben habe "mydomain-vpn.ddns.net".
Nun beim öffnen des Wireguard Clients am Windows PCs erhalte ich den Fehler von zuvor nicht mehr:
Status ist aktiv
Letzter Schlüssel tausch: vor 3 Minuten
Endpunkt: 109.192.xx.xxx:51820
Übertragen: 7,81MiB empfangen, 1.40 MiB gesendet.

Protokoll vom Wireguard client:
2021-08-03 13:15:07.923: [TUN] [wg] peer(00xJ…bUXs) - Sending keepalive packet
2021-08-03 13:15:38.648: [TUN] [wg] peer(00xJ…bUXs) - Receiving keepalive packet

Wenn ich nun die VPN Domain mydomain-vpn.ddns.net nehme um mich pr ssh anzumelden dann klapt das auch.Zudem habe ich ja auch noch zuvor im outer Oenmediavault unter den Port 81 freigegeben und da komme ich nun auch mit mydomain-vpn.ddns.net:81 drauf.

Das heisst die Connectin steht - ABER das ist ja sicherlich nicht eine gute Lösung hier, oder????
h bin für Tipps offen - Es handelt sich ja nur um einen Testaufbau:-) face-smile
Mitglied: winlin
winlin 03.08.2021 um 13:26:22 Uhr
Goto Top
Was mich aber interessieren würde:

route print output nachdem ich wireguard client aktiviert habe:


Wieso ist das Gateway 0.0.0.0ß???
Mitglied: aqui
aqui 04.08.2021 um 11:19:30 Uhr
Goto Top
Es ist völlig unsinnig im eigenen Netzwerk NAT (Adress Translation) auf dem Tunnel Interface zu machen. In sofern sind die postroute Kommandos mit NAT völlig überflüssig und kontraproduktiv, denn sie führen zu einer routingtechnischen Einbahnstrasse (NAT Firewall).
Siehe dazu das hiesige WG Tutorial:
https://administrator.de/tutorial/merkzettel-vpn-installation-mit-wiregu ...
Mitglied: winlin
winlin 04.08.2021 um 12:39:43 Uhr
Goto Top
Ich bin nach dem offizielle. Tutorial gegangen und habe Wireguard installiert. Verstehe nicht wo ich nun den Fehler gemacht habe? Sind diese dokus falsch?
Mitglied: aqui
aqui 04.08.2021 aktualisiert um 20:19:21 Uhr
Goto Top
Ja viele sind falsch weil sie ein NAT im Tunnel machen, was völlig falsch und überflüssig ist. Solltest du also besser löschen.
Die Original Anleitung redet übrigens zu keiner Zeit davon NAT im Tunnel zu machen. ;-) face-wink
Mitglied: winlin
winlin 04.08.2021 um 20:23:22 Uhr
Goto Top
An was erkenne ich an meiner config das ich NAT gemacht habe? Ich habe einfach die docker compose yml genommen. Danach lediglich die standard Dinge noch gemacht und das wars…
Kannst mir genau sagen wonach den Fehler gemacht habe?
Mitglied: canlot
canlot 05.08.2021 aktualisiert um 22:17:42 Uhr
Goto Top
Zitat von @winlin:


wg0.conf:

Hi,

bei PostUp wird ein NAT auf das Interface eth0 erstellt (iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE)
und bei PostDown wieder gelöscht ( iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE )
Mitglied: winlin
winlin 05.08.2021 um 23:20:54 Uhr
Goto Top
Ok und was heißt das für mich? Kannst du mir sagen wie es korrekt aussehen sollte?
Mitglied: aqui
Lösung aqui 06.08.2021 aktualisiert um 11:11:05 Uhr
Goto Top
Das heisst das das NAT im eigenen Netzwerk, wie bereits mehrfach gesagt, durch das im WG integrierte Cryptokey_Routing überflüssiger Unsinn ist und du die beiden „Post...“ Kommandos dringenst entfernen solltest aus der Konfig. Siehe o.g. Wireguard „Merkzettel“.
Mitglied: winlin
winlin 06.08.2021 um 11:11:36 Uhr
Goto Top
Alles klar entfern das und deploye nochmal
Mitglied: winlin
winlin 06.08.2021 um 11:11:51 Uhr
Goto Top
Danke
Mitglied: winlin
winlin 17.08.2021 um 14:01:19 Uhr
Goto Top
Hallo Leute,

ich kam bisher nicht dazu das NAT was hier wohl falsch ist zu löschen. Also verstehe ich das richtig...ich muss das hier aus der wg0.conf löschen:

und danach den befehl ausführen:

Ist das so korrekt?
Mitglied: aqui
aqui 17.08.2021 um 14:16:00 Uhr
Goto Top
Das ist korrekt !
Masquerading hat auf den Tunnel Interfaces nichts zu suchen. Siehe dazu auch das Wireguard_Tutorial wie die Konfig Files genau auszusehen haben.
Heiß diskutierte Beiträge
general
Frage an die IT-Administratoren in Unternehmen gelöst Fuchor2020Vor 1 TagAllgemeinOff Topic14 Kommentare

Hallo Leute, freue mich hier im Forum dabei sein zu dürfen. Da ich noch relativ neu in der IT Branche bin, befasse ich mich aktuell ...

question
BIOS-Passwort beim Neustart umgehenFreeBSDVor 1 TagFrageEntwicklung14 Kommentare

Hallo zusammen, ich bin gerade auf der Suche nach einer Lösung für folgendes Problem und zwar haben wir in der Firma mehrere Notebooks im Einsatz ...

general
Apache2 Update führt bei Webservern mit Ubuntu 18+20 und Pleask zu einem Fehler 500 mit AH10292 für jede WebseiteStefanKittelVor 18 StundenAllgemeinApache Server

Moin, vieleicht hattet Ihr heute Morgen auch schon einen Schrecken. Ich hatte ganz viele Ausfallmeldungen für Webseiten mit Fehler 500. Im Errorlog steht dann der ...

question
Merkwürdige Meldung im iPhone Safari BrowsermartenkVor 1 TagFrageiOS9 Kommentare

Hallo Gemeinschaft ich bekomme seit kurzem dieses Bild in Safari: Was bedeutet es? ...

question
Fileserverstruktur mit wenig administrativen Aufwandben1300Vor 1 TagFrageWindows Userverwaltung11 Kommentare

Mahlzeit ! aktuell haben wir im Netzwerk einen sehr durchwachsenen Fileserver, welchen ich damals so übernommen habe und mir mittlerweile zu viel wird, bezüglich administrative ...

question
Datenübertragungsrate berechnungLeuis.DavidVor 1 TagFrageHardware18 Kommentare

Die Performance eines Servers entspricht nicht mehr Ihren Erwartungen. Sie führen einen Benchmark-Test durch. Dabei wird für die Systemfestplatte (Serial ATA 6.0 Gbit/s) eine durchschnittliche ...

question
Deutsche Glasfaser immer noch IPv6 ProblemefnbaluVor 1 TagFrageRouter & Routing20 Kommentare

Hallo zusammen, bei uns hat die Deutsche Glasfaser ganz frisch mitte 2021 ausgebaut und ich habe nun deren CG-Nat Leitung mit 400 Mbit, was gegenüber ...

question
Welche Ports öffnen für web.de OnlinespeicherWinfried-HHVor 1 TagFrageCloud-Dienste11 Kommentare

Hallo in die Runde! Hat jemand von euch Erfahrung mit dem Online-Speicher von web.de? Genaugenommen mit dem Windows-Sychronierungsprogramm von web.de? Seit unser Schulträger uns eine ...