Wireguard Server ok Clients ohne Verbindung

winlin
Goto Top
Hallo Zusammen,

ich habe auf meiner Raspberry in einem Docker Container wireguard installiert. Zu erwähnen ist noch das die RPi4 per WLAN connected ist und nicht per LAN. Der Server wurde wie folgt eingerichtet:

UFW Status auf der RPI:

Start war erfolgreich mit sudo docker-compose up -d:

Konfiguration gecheckt mit sudo docker exec -it wireguard wg show:

Public IP check:

Und dann das gleiche vom container aus:

Logfile gecheckt:

wg0.conf:

peer1.conf:

Und wenn ich nun die peer1.conf nehme und auf meinem Windows 10 PC (wo schon wireguard client mit der conf eingerichtet ist erhalte ich folgenden Wireguard status:
Schnittstelle wg:
- Status: aktiv
- Öffentlicher Schlüssel (der aus der config)
- Eingangsport: 51820
- Adressen: 10.13.13.2./32
- DNS Server: 10.13.13.1
Teilnehmer:
- Öffentlicher Schlüssel (der aus der config)
- Erlaubte IPs: 0.0.0.0/0
- Endpunkt: 192.39.2xx.xx;51820
- Übertragen: 0B empfangen, 5,95KiN gesendet

Ipconfig zeigt den neuen adapter an:

Eine Internetverbindung ist leider nicht möglich.
Im Wireguard Protokoll steht folgendes:
2021-08-03 12:18:17.793: [TUN] [wg] peer(00xJ…bUXs) - Sending handshake initiation
2021-08-03 12:18:43.465: [TUN] [wg] peer(00xJ…bUXs) - Handshake did not complete after 5 seconds, retrying (try 2)

Im Router habe ich den Port 51820 freigegeben (siehe screenshot).

Kann mir einer evtl helfen?

Danke im voraus!!!
wg0
ports

Content-Key: 1118187888

Url: https://administrator.de/contentid/1118187888

Ausgedruckt am: 01.07.2022 um 22:07 Uhr

Mitglied: winlin
winlin 03.08.2021 um 12:55:40 Uhr
Goto Top
Zusätzliche Infos:

In der echt guten Beschreibung hier https://administrator.de/tutorial/merkzettel-vpn-installation-mit-wiregu ...

beziehe ich mich nun auf "Wireguard Server und Client Konfiguration".
Das IP Forwarding habe ich ja bereits in meiner o.g. compose.yml aktiviert.

Dann steht in dieser Anleitung ja auch noch unter "Konfiguration Wireguard Server" das man:

Das habe ich zwar gemacht und diese keys liegen bereit abe rich habe die peerX.conf nicht editiert sonder habe sie so genommen und dann auf dem Windows PC benutzt um den Wireguard client zu konfigurieren.

Aber was mache ich nun mit den keys??? Muss ich doch alle peerX.conf files editieren und dort die keys ersetzen?
Mitglied: winlin
winlin 03.08.2021 um 13:19:32 Uhr
Goto Top
UPDATE NR2:

Nachdem ich im Router unter DDNS die Daten erneut eingegeben hatte machte ich einen neuen Versuch - das ist dieselber ServerURL die ich in der compose file angegeben habe "mydomain-vpn.ddns.net".
Nun beim öffnen des Wireguard Clients am Windows PCs erhalte ich den Fehler von zuvor nicht mehr:
Status ist aktiv
Letzter Schlüssel tausch: vor 3 Minuten
Endpunkt: 109.192.xx.xxx:51820
Übertragen: 7,81MiB empfangen, 1.40 MiB gesendet.

Protokoll vom Wireguard client:
2021-08-03 13:15:07.923: [TUN] [wg] peer(00xJ…bUXs) - Sending keepalive packet
2021-08-03 13:15:38.648: [TUN] [wg] peer(00xJ…bUXs) - Receiving keepalive packet

Wenn ich nun die VPN Domain mydomain-vpn.ddns.net nehme um mich pr ssh anzumelden dann klapt das auch.Zudem habe ich ja auch noch zuvor im outer Oenmediavault unter den Port 81 freigegeben und da komme ich nun auch mit mydomain-vpn.ddns.net:81 drauf.

Das heisst die Connectin steht - ABER das ist ja sicherlich nicht eine gute Lösung hier, oder????
h bin für Tipps offen - Es handelt sich ja nur um einen Testaufbauface-smile
Mitglied: winlin
winlin 03.08.2021 um 13:26:22 Uhr
Goto Top
Was mich aber interessieren würde:

route print output nachdem ich wireguard client aktiviert habe:


Wieso ist das Gateway 0.0.0.0ß???
Mitglied: aqui
aqui 04.08.2021 um 11:19:30 Uhr
Goto Top
Es ist völlig unsinnig im eigenen Netzwerk NAT (Adress Translation) auf dem Tunnel Interface zu machen. In sofern sind die postroute Kommandos mit NAT völlig überflüssig und kontraproduktiv, denn sie führen zu einer routingtechnischen Einbahnstrasse (NAT Firewall).
Siehe dazu das hiesige WG Tutorial:
https://administrator.de/tutorial/merkzettel-vpn-installation-mit-wiregu ...
Mitglied: winlin
winlin 04.08.2021 um 12:39:43 Uhr
Goto Top
Ich bin nach dem offizielle. Tutorial gegangen und habe Wireguard installiert. Verstehe nicht wo ich nun den Fehler gemacht habe? Sind diese dokus falsch?
Mitglied: aqui
aqui 04.08.2021 aktualisiert um 20:19:21 Uhr
Goto Top
Ja viele sind falsch weil sie ein NAT im Tunnel machen, was völlig falsch und überflüssig ist. Solltest du also besser löschen.
Die Original Anleitung redet übrigens zu keiner Zeit davon NAT im Tunnel zu machen. face-wink
Mitglied: winlin
winlin 04.08.2021 um 20:23:22 Uhr
Goto Top
An was erkenne ich an meiner config das ich NAT gemacht habe? Ich habe einfach die docker compose yml genommen. Danach lediglich die standard Dinge noch gemacht und das wars…
Kannst mir genau sagen wonach den Fehler gemacht habe?
Mitglied: canlot
canlot 05.08.2021 aktualisiert um 22:17:42 Uhr
Goto Top
Zitat von @winlin:


wg0.conf:

Hi,

bei PostUp wird ein NAT auf das Interface eth0 erstellt (iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE)
und bei PostDown wieder gelöscht ( iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE )
Mitglied: winlin
winlin 05.08.2021 um 23:20:54 Uhr
Goto Top
Ok und was heißt das für mich? Kannst du mir sagen wie es korrekt aussehen sollte?
Mitglied: aqui
Lösung aqui 06.08.2021 aktualisiert um 11:11:05 Uhr
Goto Top
Das heisst das das NAT im eigenen Netzwerk, wie bereits mehrfach gesagt, durch das im WG integrierte Cryptokey_Routing überflüssiger Unsinn ist und du die beiden „Post...“ Kommandos dringenst entfernen solltest aus der Konfig. Siehe o.g. Wireguard „Merkzettel“.
Mitglied: winlin
winlin 06.08.2021 um 11:11:36 Uhr
Goto Top
Alles klar entfern das und deploye nochmal
Mitglied: winlin
winlin 06.08.2021 um 11:11:51 Uhr
Goto Top
Danke
Mitglied: winlin
winlin 17.08.2021 um 14:01:19 Uhr
Goto Top
Hallo Leute,

ich kam bisher nicht dazu das NAT was hier wohl falsch ist zu löschen. Also verstehe ich das richtig...ich muss das hier aus der wg0.conf löschen:

und danach den befehl ausführen:

Ist das so korrekt?
Mitglied: aqui
aqui 17.08.2021 um 14:16:00 Uhr
Goto Top
Das ist korrekt !
Masquerading hat auf den Tunnel Interfaces nichts zu suchen. Siehe dazu auch das Wireguard_Tutorial wie die Konfig Files genau auszusehen haben.