Wireguard tunnel kann nicht hergestellt werden

Hallo Zusammen, ich brauche mal wieder einen Rat von euch. Ich habe folgende Konstellation:

OPNSense FW - PromoxVE - Debian (wireguard)

Den Weg aus dem Netz über das WAN der OPNSense mit dem Port und der IP zum Debian Wireguard Server mit Webif. Zum Test scanne ich den QR Code mit dem Smartphone und das Telefon steigt mit einer Fehlermeldung aus.

Port 5000 statt 51820

Könnt ihr mir da mal bei Fehlersuche helfen?

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 669529

Url: https://administrator.de/contentid/669529

Ausgedruckt am: 15.11.2024 um 18:11 Uhr

5 Kommentare

Neuester Kommentar

N/A ist kein gültiger Hostname oder IP-Adresse. Da musst du wohl mal in die Config-Datei schauen und das korrigieren!

# Please don't modify it manually, otherwise your change might get replaced. 

# Address updated at:     2024-11-15 15:12:04.229795902 +0000 UTC
# Private Key updated at: 2024-11-15 14:27:34.412365447 +0000 UTC
[Interface]
Address = 10.252.1.0/24
ListenPort = 5000
PrivateKey = +POXikjgsroimnhoireuajbtB/79fgAAdG8=
MTU = 1450
PostUp =
PreDown =
PostDown =
Table = auto


# ID:           csrlqtth6rds7mlvjcmg
# Name:         Re Smartphone
# Email:        r@gmail.com
# Telegram:
# Created at:   2024-11-15 14:40:55.824540773 +0000 UTC
# Update at:    2024-11-15 15:27:28.003771541 +0000 UTC
[Peer]
PublicKey = äCNsdgdgsdghsdghsdgHn+JXs=
PresharedKey = 5XkJXAsegdlkömlsdglkmsgdlklksdsRr0=
AllowedIPs = 10.252.1.1/32
PersistentKeepalive = 15

Also so schaut die aus, ich erkenne da leider nicht was nicht passend ist...

Die Adresse beim [Interface] ist falsch, da steht jetzt die Netzdefinition .0/24 müsste aber sowas wie 10.252.1.10/24 sein

Und ich sehe keinen Endpoint unter [Peer] mit dem er sich denn verbinden soll?

Der ListenPort ist bei einem Client ja eigentlich egal, wichtig ist das angeben wird womit er sich verbinden soll (Endpoint)

Die Server Config in den Client importieren zu wollen ist ja wohl nicht dein Ernst 😂?!
Also erst mal ne vernünftige Client-Config erstellen und die Server Config fixen, dann klappt's auch mit der Nachbarin.

WG Server

[Interface]
Address = 10.252.1.1/24
ListenPort = 60123
PrivateKey = <private key of server>

[Peer]
PublicKey = <Public Key of peer>
AllowedIPs = 10.252.1.2/32

WG Client mit GW Redirect (falls gewünscht, ansonsten Netze in den AllowedIPs eintragen)

[Interface]
Address = 10.252.1.2/24
DNS = 1.1.1.1
PrivateKey = <private key of peer>

[Peer]
AllowedIPs = 0.0.0.0/0
Endpoint = xxx.mydomain.de:60123
PublicKey = <Public Key of server>

Das Wireguard Tutorial zu der Thematik hast du genau gelesen und entsprechend umgesetzt?? 🧐
Merkzettel: VPN Installation mit Wireguard
Was das Proxmox Netzwerk Handling der Firewall anbetrifft auch hier und hier.

Grob zu den Fehlern im o.a. WG Setup:

Völlig FALSCHE interne WG IP Adresse im Server! Dort hast du unsinnigerweise eine Netzwerk IP angegeben statt einer Host IP. Siehe dazu Adressierungshinweise im o.a. Tutorial!! Lesen hilft wirklich!
Port 5000 ist ein weltweit fest registrierter IANA Port. Sowas zu verwenden ist gelinde gesagt nicht Gentlemen like. Hier solltest du dich immer an den von Wireguard propagierten Ephemeral Ports im Bereich 49152–65535 halten!
PostUP, Table usw. Kommandos gehören da nicht rein.
Zusätzliche Preshared Keys sind überflüssig wenn man schon mit Keys arbeitet.
Die MTU ist im Default 1420 so das dein Eintrag eher kontraproduktiv ist und entfernt werden sollte.
Keepalive muss nicht so hart sein, 25 Sek. tun es auch

Korrigiere das, halte dich genau ans Tutorial dann kommt das auch sofort zum Fliegen!