Wireguard. Tunnel besteht, aber Daten gehen nicht übers VPN
SERVER: Debian System
Client: Debian System
+SERVER-Config:
Verbindung besteht also
+Client-Config
Besteht also auch Clientseitig.
Ping in alle Richtungen gehen auch. Frage ich nun aber die IP-Adresse ab kommt meine dynamische IPv6 Adresse.
Es müsste aber die 109.+++.+++.38 sein.
Wo kann ich anfangen zu suchen ?
Habt Dank
1
2
2
uname -a
Linux WireGuard 5.10.0-26-amd64 #1 SMP Debian 5.10.197-1 (2023-09-29) x86_64 GNU/Linux
Client: Debian System
1
Linux debian-1 5.10.0-21-amd64 #1 SMP Debian 5.10.162-1 (2023-01-21) x86_64 GNU/Linux
+SERVER-Config:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
nano /etc/wireguard/wg0.conf
[Interface]
Address = 10.8.0.1/24
SaveConfig = false
PostUp = ufw route allow in on wg0 out on ens32
PostUp = iptables -t nat -I POSTROUTING -o ens32 -j MASQUERADE
PostUp = ip6tables -t nat -I POSTROUTING -o ens32 -j MASQUERADE
PostUp = iptables -t nat -A PREROUTING -i ens32 -d 109.+++.+++.38 -p tcp --dport 1234 -j DNAT --to-destination 10.8.0.2:1234
PostUp = iptables -A FORWARD -i ens32 -p tcp --dport 8444 -d 10.8.0.2 -j ACCEPT
PreDown = ufw route delete allow in on wg0 out on ens32
PreDown = iptables -t nat -D POSTROUTING -o ens32 -j MASQUERADE
PreDown = ip6tables -t nat -D POSTROUTING -o ens32 -j MASQUERADE
ListenPort = 51820
PrivateKey = 0M+++++Uw=
[Peer]
PublicKey = FP+++++U8=
AllowedIPs = 10.8.0.0/24
wg
interface: wg0
public key: Q/++++BE=
private key: (hidden)
listening port: 51820
peer: FP+++++U8=
endpoint: 84.+++.+++.192:36209
allowed ips: 10.8.0.0/24
latest handshake: 1 minute, 28 seconds ago
transfer: 1.42 KiB received, 656 B sent
Verbindung besteht also
+Client-Config
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
nano /etc/wireguard/wg-client1.conf
[Interface]
# Define the IP address for the client - must be matched with wg0 on Wireguard Server
Address = 10.8.0.2/24
# specific DNS Server
DNS = 1.1.1.1
# Private key for the client - client1.key
PrivateKey = gN+++++Gc=
[Peer]
# Public key of the Wireguard server - server.pub
PublicKey = Q/+++++BE=
# Allow all traffic to be routed via Wireguard VPN
AllowedIPs = 0.0.0.0/0
# Public IP address of the Wireguard Server
Endpoint = 109.+++.+++.38:51820
# Sending Keepalive every 25 sec
PersistentKeepalive = 25
wg
interface: wg-client1
public key: FP+++++U8=
private key: (hidden)
listening port: 36209
fwmark: 0xca6c
peer: Q/Hu+++++BE=
endpoint: 109.+++.+++.38:51820
allowed ips: 0.0.0.0/0
latest handshake: 54 seconds ago
transfer: 308 B received, 1.07 KiB sent
persistent keepalive: every 25 seconds
Besteht also auch Clientseitig.
Ping in alle Richtungen gehen auch. Frage ich nun aber die IP-Adresse ab kommt meine dynamische IPv6 Adresse.
Es müsste aber die 109.+++.+++.38 sein.
1
2
2
curl ifconfig.me
2003:d7:xxx:2d00:20c:xxx:fe86:3556
1
2
3
4
5
6
7
2
3
4
5
6
7
route -n
Kernel-IP-Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
0.0.0.0 192.168.2.1 0.0.0.0 UG 0 0 0 ens33
10.8.0.0 0.0.0.0 255.255.255.0 U 0 0 0 wg-client1
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 ens33
192.168.2.1 0.0.0.0 255.255.255.255 UH 0 0 0 ens33
Wo kann ich anfangen zu suchen ?
Habt Dank
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 22561362840
Url: https://administrator.de/forum/wireguard-tunnel-besteht-aber-daten-gehen-nicht-uebers-vpn-22561362840.html
Ausgedruckt am: 11.01.2025 um 07:01 Uhr
5 Kommentare
Neuester Kommentar
Normal, weil du in Wireguard keine IPv6 Konfiguration und auch kein IPv6 GW-Redirect für den Client gesetzt hast. IPv6 wird aber eben vom Client bevorzugt genutzt sofern es vom Ziel angeboten wird, deswegen geht es nicht über den Tunnel sondern direkt über deine globale IPv6 raus ... Just simple Routing Basics
Gib dem Server und Client jeweils eine IPv6 im WG Netz und mach ein IPv6 GW Redirect ::/0 im WG Client. Wenn du kein öffentliches IPv6 Sbunet am vServer hast kannst du am vServer auch ein UniqueLocal Netz im WG Tunnel über die öffentliche IPv6 des vServer NATen.
Gruß Katrin
Gib dem Server und Client jeweils eine IPv6 im WG Netz und mach ein IPv6 GW Redirect ::/0 im WG Client. Wenn du kein öffentliches IPv6 Sbunet am vServer hast kannst du am vServer auch ein UniqueLocal Netz im WG Tunnel über die öffentliche IPv6 des vServer NATen.
Gruß Katrin
Zitat von @lord-icon:
ach f**k... ich hab die spielwiese extra genutzt um die befehle mitzuschreiben.
Da hatte ich auch IPv6 deaktiviert weil ich das nicht benötige
somit sollte dein Hinweis die Lösung sein.... mal schauen ^^
ach f**k... ich hab die spielwiese extra genutzt um die befehle mitzuschreiben.
Da hatte ich auch IPv6 deaktiviert weil ich das nicht benötige
somit sollte dein Hinweis die Lösung sein.... mal schauen ^^
Das fehlt aber noch mehr nämlich die gesamte IPv6 Adressierung an Server und Client IPv6 Forward Rule und AllowedIPs ....
Server:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
[Interface]
Address = 10.8.0.1/24,fd55:aaaa:bbbb:cccc::1/64
SaveConfig = false
PostUp = ufw route allow in on wg0 out on ens32
PostUp = iptables -t nat -I POSTROUTING -o ens32 -j MASQUERADE
PostUp = ip6tables -t nat -I POSTROUTING -o ens32 -j MASQUERADE
PostUp = ip6tables -A FORWARD -i wg0 -o ens32 -j ACCEPT
PostUp = iptables -t nat -A PREROUTING -i ens32 -d 109.+++.+++.38 -p tcp --dport 1234 -j DNAT --to-destination 10.8.0.2:1234
PostUp = iptables -A FORWARD -i ens32 -p tcp --dport 8444 -d 10.8.0.2 -j ACCEPT
PreDown = ufw route delete allow in on wg0 out on ens32
PreDown = iptables -t nat -D POSTROUTING -o ens32 -j MASQUERADE
PreDown = ip6tables -t nat -D POSTROUTING -o ens32 -j MASQUERADE
ListenPort = 51820
PrivateKey = 0M+++++Uw=
[Peer]
PublicKey = FP+++++U8=
AllowedIPs = 10.8.0.2/32,fd55:aaaa:bbbb:cccc::2/128
Client
1
2
3
4
5
6
7
8
9
10
2
3
4
5
6
7
8
9
10
[Interface]
Address = 10.8.0.2/24,fd55:aaaa:bbbb:cccc::2/64
DNS = 1.1.1.1
PrivateKey = gN+++++Gc=
[Peer]
PublicKey = Q/+++++BE=
AllowedIPs = 0.0.0.0/0,::/0
Endpoint = 109.+++.+++.38:51820
PersistentKeepalive = 25
So geht der Client auch mit der IPv6 des vServer ins Netz sofern die Gegenstelle es auch anbietet.
Besser wäre es noch wenn du das öffentliche IPv6 Subnetz per Subnetz-Maske auf WAN und WG Interface aufteilst (kleiner machst, z.B. per 72er Maske) und den Clients dann direkt eine öffentliche IPv6 im WG Netz verpasst, dann würde auch das hässliche IPv6 NAT entfallen .