megaadwwh
Goto Top

Wireguard tunnel kann nicht hergestellt werden

Hallo Zusammen, ich brauche mal wieder einen Rat von euch. Ich habe folgende Konstellation:

OPNSense FW - PromoxVE - Debian (wireguard)

Den Weg aus dem Netz über das WAN der OPNSense mit dem Port und der IP zum Debian Wireguard Server mit Webif. Zum Test scanne ich den QR Code mit dem Smartphone und das Telefon steigt mit einer Fehlermeldung aus.

Port 5000 statt 51820

Könnt ihr mir da mal bei Fehlersuche helfen?
share_3702451488541417407

Content-ID: 669529

Url: https://administrator.de/contentid/669529

Printed on: December 5, 2024 at 17:12 o'clock

Snuffchen
Snuffchen Nov 15, 2024 updated at 15:30:46 (UTC)
Goto Top
N/A ist kein gültiger Hostname oder IP-Adresse. Da musst du wohl mal in die Config-Datei schauen und das korrigieren!
Megaadwwh
Megaadwwh Nov 15, 2024 at 15:39:12 (UTC)
Goto Top
# Please don't modify it manually, otherwise your change might get replaced. 

# Address updated at:     2024-11-15 15:12:04.229795902 +0000 UTC
# Private Key updated at: 2024-11-15 14:27:34.412365447 +0000 UTC
[Interface]
Address = 10.252.1.0/24
ListenPort = 5000
PrivateKey = +POXikjgsroimnhoireuajbtB/79fgAAdG8=
MTU = 1450
PostUp =
PreDown =
PostDown =
Table = auto


# ID:           csrlqtth6rds7mlvjcmg
# Name:         Re Smartphone
# Email:        r@gmail.com
# Telegram:
# Created at:   2024-11-15 14:40:55.824540773 +0000 UTC
# Update at:    2024-11-15 15:27:28.003771541 +0000 UTC
[Peer]
PublicKey = äCNsdgdgsdghsdghsdgHn+JXs=
PresharedKey = 5XkJXAsegdlkömlsdglkmsgdlklksdsRr0=
AllowedIPs = 10.252.1.1/32
PersistentKeepalive = 15

Also so schaut die aus, ich erkenne da leider nicht was nicht passend ist...
Snuffchen
Snuffchen Nov 15, 2024 updated at 15:45:00 (UTC)
Goto Top
Die Adresse beim [Interface] ist falsch, da steht jetzt die Netzdefinition .0/24 müsste aber sowas wie 10.252.1.10/24 sein

Und ich sehe keinen Endpoint unter [Peer] mit dem er sich denn verbinden soll?

Der ListenPort ist bei einem Client ja eigentlich egal, wichtig ist das angeben wird womit er sich verbinden soll (Endpoint)
150940
150940 Nov 15, 2024 updated at 17:00:20 (UTC)
Goto Top
Die Server Config in den Client importieren zu wollen ist ja wohl nicht dein Ernst 😂?!
Also erst mal ne vernünftige Client-Config erstellen und die Server Config fixen, dann klappt's auch mit der Nachbarin.

WG Server
[Interface]
Address = 10.252.1.1/24
ListenPort = 60123
PrivateKey = <private key of server>

[Peer]
PublicKey = <Public Key of peer>
AllowedIPs = 10.252.1.2/32

WG Client mit GW Redirect (falls gewünscht, ansonsten Netze in den AllowedIPs eintragen)
[Interface]
Address = 10.252.1.2/24
DNS = 1.1.1.1
PrivateKey = <private key of peer>

[Peer]
AllowedIPs = 0.0.0.0/0
Endpoint = xxx.mydomain.de:60123
PublicKey = <Public Key of server>
aqui
aqui Nov 15, 2024 updated at 18:46:52 (UTC)
Goto Top
Das Wireguard Tutorial zu der Thematik hast du genau gelesen und entsprechend umgesetzt?? 🧐
Merkzettel: VPN Installation mit Wireguard
Was das Proxmox Netzwerk Handling der Firewall anbetrifft auch hier und hier.

Grob zu den Fehlern im o.a. WG Setup:
  • Völlig FALSCHE interne WG IP Adresse im Server! face-sad Dort hast du unsinnigerweise eine Netzwerk IP angegeben statt einer Host IP. Siehe dazu Adressierungshinweise im o.a. Tutorial!! Lesen hilft wirklich!
  • Port 5000 ist ein weltweit fest registrierter IANA Port. Sowas zu verwenden ist gelinde gesagt für einen Netzwerk Admin wie dich nicht Gentlemen like! Hier solltest du dich immer an die von Wireguard propagierten Ephemeral Ports im Bereich 49152–65535 halten! Wie oben und im Tutorial schon gesagt ist der Listen Port am Client nicht erforderlich sondern einzig nur auf der Serverseite!
  • PostUP, Table usw. Kommandos gehören da nicht rein.
  • Zusätzliche Preshared Keys sind überflüssig wenn man schon mit Keys arbeitet.
  • Die MTU ist im Default 1420 so das dein höherer Eintrag eher kontraproduktiv ist und entfernt werden sollte.
  • Keepalive muss nicht so hart sein, 25 Sek. tun es auch
Zum Rest hat Kollege @150940 oben schon alles gesagt. Korrigiere das und halte dich bitte genau ans Tutorial was alles haarklein auch für Laien erklärt, dann kommt das auch sofort zum Fliegen!
Megaadwwh
Megaadwwh Nov 16, 2024 at 22:29:38 (UTC)
Goto Top
@agui danke schonmal dafür, also ich bekomme nun die Verbindung vom Smartphone in das Heimnetz.

Was ist der letzte Schritt damit ich auch auf die Geräte im Heimnetz zugreifen kann?

root@wireguard:~# sudo iptables -L -v -n
sudo iptables -t nat -L -v -n
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     17   --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:60724

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     0    --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    0     0 ACCEPT     0    --  *      *       10.7.0.0/24          0.0.0.0/0

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 SNAT       0    --  *      *       10.7.0.0/24         !10.7.0.0/24          to:192.168.2.30
150940
150940 Nov 16, 2024 updated at 23:11:21 (UTC)
Goto Top
Forward Chain für das WG-Subnetz freischalten ....
iptables -A FORWARD -i wg0 -s 10.252.1.0/24 -j ACCEPT
Und nicht vergessen das IP-Forwarding zu aktivieren falls noch nicht geschehen. Aber das steht ja auch schon alles im Tut von @aqui

Bei Windows Maschinen ist zusätzlich deren Firewall für ICMP und SMB aus fremden Subnetzen freizuschalten, sonst bekommst du zu denen keine Verbindung...
aqui
aqui Nov 17, 2024 updated at 11:37:29 (UTC)
Goto Top
Das lokale LAN in dem der WG Server steht in dessen AllowedIPs eintragen! Bzw. einfach mal das WG Tutorial in aller Ruhe lesen und verstehen! face-wink
über das WAN der OPNSense mit dem Port und der IP zum Debian Wireguard Server
Das ist ein Grundproblem deines gesamten laienhaft designten VPN Setups. Das Basis Design ist schon als solches falsch, denn man fragt sich ernsthaft was ein interner WG Server im lokalen, geschützten LAN für einen tieferen Sinn hat wenn du das VPN viel sinnvoller, sicherer und performanter auf der Peripherie, sprich der OPNsense terminieren kannst.
In diesem mehr als fragwürdigen VPN Konstrukt musst du ein Loch in die Firewall bohren um ungeschützten Internet Traffic in dein lokales LAN zu lassen und dann auch noch auf einem Hypervisor. Auch ein Laie weiss das das nicht unbedingt ein gutes Design ist da die Firewall damit zum Teil ad absurdum geführt wird. Die Firewall wäre für jeden verantwortungsvollen Netzwerk Admin wie du es bist bekanntlich die deutlich bessere Location für das VPN.
Wie man der OPNsense Wireguard beibringt erklärt dir ebenfalls ein Tutorial.

Noch viel sinnvoller wäre, wenn man schon eine OPNsense in Betrieb hat, gar kein Wireguard zu verwenden und das VPN mit IKEv2 zu realisieren. Das erspart dir die unnötige Frickelei mit externer VPN Client Software und du kannst bei allen Endgeräten den so oder so immer vorhandenen bordeigenen VPN Client verwenden der das deutlich besser und sicherer mit einer Handvoll Mausklicks realisiert.
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Aber warum einfach machen wenn es umständlich auch geht?! face-wink
Megaadwwh
Megaadwwh Nov 17, 2024 at 14:01:10 (UTC)
Goto Top
Dein Feedback finde ich immer sehr wichtig und auch immer sehr auf den Boden zurückholend. Danke nochmal dafür, letztlich sollte es ein reiner Test sein, deswegen teste ich es auch nur daheim. Das Smartphone hat man dafür schnell in der Hand.

Es geht letztlich auch noch um ein anderes Netzwerk mit der möglichst besten Lösung dafür, ich denke das hier niemand "Network-Box" (200€ pro Monat) kennt, denn diese dient zur Zeit als Firewall im genannten Netzwerk, eine wahnsinnige Bremse die das ganze Netzwerk lähmt. Die soll über kurz oder lang verschwinden und durch eine andere Lösung ersetzt werden, welche das ist weiß ich leider noch nicht, bin aber für jeden Tipp dankbar, an sich dachte ich dabei an OPNSense, wobei ein Bekannter meinte das Sophos einfach wunderbar sei.

openVPN ist derzeit damit gekoppelt, da habe ich kenne zur Zeit hat nur Wireguard und openVPN, aber IPsec IKEv2 wird wahrscheinlich die beste der möglichen Lösungen sein.

Ein Zugriff auf das interne Netz ist unerlässlich damit die Angestellten von Daheim arbeiten könnten.
aqui
aqui Nov 17, 2024 at 14:09:46 (UTC)
Goto Top
letztlich sollte es ein reiner Test sein, deswegen teste ich es auch nur daheim.
Dann wollen wir es gerade nochmal durchgehen lassen... 🤣
dachte ich dabei an OPNSense, wobei ein Bekannter meinte das Sophos einfach
Dazu ist ein aktueller Thread lesenswert:
OPNSense im Unternehmen (2024)
und auch
https://www.heise.de/meinung/Analyse-und-Kommentar-Sophos-und-der-gebroc ...
openVPN ist derzeit damit gekoppelt
Etwas in die Jahre gekommen und vom VPN Durchsatz unterirdisch. Von der Frickelei mit externen VPN Software mal wieder nicht zu reden...
Ein Zugriff auf das interne Netz ist unerlässlich damit die Angestellten von Daheim arbeiten könnten.
Bekanntlich der tiefere Sinn bei jedem VPN. 😉
Megaadwwh
Megaadwwh Nov 18, 2024 at 13:30:31 (UTC)
Goto Top
Das war richtig gut, von Thomas Krenn habe ich mir schon ein paar Dinge zu Gemüte geführt und denke das ich mir die OPNSense Sache mit Support von ihm genauer anschauen werde. Ich mag OPNSense und bin echt froh dadurch meine Fritzbox ersetzt zu haben. Jedoch muss ich mein Wissen dazu noch deutlich ausbauen.
aqui
aqui Nov 29, 2024 at 11:04:55 (UTC)
Goto Top
Wenn es das denn nun war als Lösung bitte nicht vergessen deinen Tread dann auch als erledigt zu markieren!
How can I mark a post as solved?