5
WireGuard und Mango (GL.iNet) verbinden sich nach dc nicht neu
Hallo zusammen,
ich komme gerade nicht weiter und wäre super dankbar für Hinweise und Lösungsvorschläge!
Aufbau:
Windows Server 2019 (VM) = WireGuard Server (lokal)
GL.iNet Mango 1-x = WireGuard Client (im Umkreis von 200km verteilt)
Ziel:
Auf dem Server läuft eine Visualisierungslösung, welche Daten via ModBus TCP als Master (Server) von Clients (Mango) abruft. Die Daten werden entsprechend dargestellt und interne Nutzer erhalten Zugriff auf die Daten.
Bis jetzt funktioniert alles super und auch die ersten Tests waren erfolgreich. Nachdem wir jetzt den ersten Pilot in Betrieb genommen haben (2x Mango WireGuard Client), kommen die Router nach einem Ausfall von 1 Stunde (Server Wartungsarbeiten) nicht mehr online.
Was mich sehr wundert ist, dass WireGuard der Clients wohl noch versucht die Verbindung zum Server herzustellen, zumindest deute ich das so:
Ein Aufbau der Verbindung von einem anderen Client ist erfolgreich, nur die beiden "Dauerläufer" kommen nicht online.
Hier mal beispielhaft ein Teil der Server und Client Konfiguration:
Server
Client 1
ich komme gerade nicht weiter und wäre super dankbar für Hinweise und Lösungsvorschläge!
Aufbau:
Windows Server 2019 (VM) = WireGuard Server (lokal)
GL.iNet Mango 1-x = WireGuard Client (im Umkreis von 200km verteilt)
Ziel:
Auf dem Server läuft eine Visualisierungslösung, welche Daten via ModBus TCP als Master (Server) von Clients (Mango) abruft. Die Daten werden entsprechend dargestellt und interne Nutzer erhalten Zugriff auf die Daten.
Bis jetzt funktioniert alles super und auch die ersten Tests waren erfolgreich. Nachdem wir jetzt den ersten Pilot in Betrieb genommen haben (2x Mango WireGuard Client), kommen die Router nach einem Ausfall von 1 Stunde (Server Wartungsarbeiten) nicht mehr online.
Was mich sehr wundert ist, dass WireGuard der Clients wohl noch versucht die Verbindung zum Server herzustellen, zumindest deute ich das so:
Ein Aufbau der Verbindung von einem anderen Client ist erfolgreich, nur die beiden "Dauerläufer" kommen nicht online.
Hier mal beispielhaft ein Teil der Server und Client Konfiguration:
Server
[Interface]
PrivateKey = (KEY)
ListenPort = 51820
Address = 192.168.200.254/24
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACC$
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j A$
[Peer]
PublicKey = (KEY)
AllowedIPs = 192.168.200.2/32
[Peer]
PublicKey = (KEY)
AllowedIPs = 192.168.200.3/32Client 1
Address = 192.168.200.2/24
ListenPort = 51820
PrivateKey = (KEY)
DNS = 8.8.8.8
[Peer]
PublicKey = (KEY)
AllowedIPs = 192.168.200.0/24
Endpoint = (SERVER):51820
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 632183
Url: https://administrator.de/contentid/632183
Printed on: April 26, 2024 at 18:04 o'clock
5 Comments
Latest comment
Setz mal bitte AllowedIPs auf 0.0.0.0/0 bei dem Client.
Ich hatte mal ein Verbindungsproblem bei meinem Iphone, damit lies es sich beheben.
Ich hatte mal ein Verbindungsproblem bei meinem Iphone, damit lies es sich beheben.
Könntest du mir dazu einen Hintergrund erklären? 
Der Server hat ja immer die 192.168.200.254 - da sollte das mit 192.168.200.0/24 doch laufen?
Werde es aber mal auf einem der beiden abändern, sobald ich das nächste mal da bin. Remote habe ich leider, da ja keine Verbindung aufgebaut wird, keine Möglichkeit
Der Server hat ja immer die 192.168.200.254 - da sollte das mit 192.168.200.0/24 doch laufen?
Werde es aber mal auf einem der beiden abändern, sobald ich das nächste mal da bin. Remote habe ich leider, da ja keine Verbindung aufgebaut wird, keine Möglichkeit
Sorry ich revidiere meine Aussage von vorhin :S 0.0.0.0/0 würde den ganzen Traffic durch den Tunnel schicken.
Bei mir hat es beim Einrichten nicht funktioniert und dann habe ich es gegoogelt und auf Reddit habe ich den besagten Vorschlag gelesen.
Sofort eingetragen schon funktionierts, hab gar nicht nachgedacht was es auf sich hat. Kopf -> Wand
Zu meiner Verteidigung muss ich sagen dass es schon spät in der Nacht war. :D
Bei mir hat es beim Einrichten nicht funktioniert und dann habe ich es gegoogelt und auf Reddit habe ich den besagten Vorschlag gelesen.
Sofort eingetragen schon funktionierts, hab gar nicht nachgedacht was es auf sich hat. Kopf -> Wand
Zu meiner Verteidigung muss ich sagen dass es schon spät in der Nacht war. :D
Hi, was ich noch sehe, bei dem Server hast du kein Endpoint eingetragen.
Bewirken die iptables Regeln bei Windows irgendwas?
Du kannst das Routing von dem Server mit route print dir anschauen und rausfinden ob das Routing zu den Clients über das richtige Interface geht.
Bewirken die iptables Regeln bei Windows irgendwas?
Du kannst das Routing von dem Server mit route print dir anschauen und rausfinden ob das Routing zu den Clients über das richtige Interface geht.
Ähm ... wie meinst du ich habe keinen Endpoint am Server eingetragen? Der Server soll ja auch nicht weiter telefonieren, er nimmt die Verbindung an und ist Happy über den Traffic zwischen beispielsweise x.254 und x.010 (Server <-> Client).
Die ModBus Daten werden dann über die x.010 abgerufen und fertig. Alles Weitere läuft über den eigentlichen Ethernet Adapter via HyperV.
Ähnlich wie deine nächtliche Reddit Aktion habe ich diesen Eintrag auch aus einem Forum. Hat damit funktioniert - ich war happy
Ich verstehe es so, wie es sein sollte: Die Clients können jeweils nur mit dem Server (x.254) kommunizieren, mehr nicht.
Mal noch ein zusätzlicher Satz:
Die Clients benötigen nahezu nichts... Habe null Wert auf Gateway, DNS-Server und Co gelegt, da sie einfach nur auf den ModBus Port reagieren sollen. Kein Internet, keine Namensauflösung ...
(Sorry, ich mag heute anscheinend Punkte)
DANKE!
Die ModBus Daten werden dann über die x.010 abgerufen und fertig. Alles Weitere läuft über den eigentlichen Ethernet Adapter via HyperV.
Ähnlich wie deine nächtliche Reddit Aktion habe ich diesen Eintrag auch aus einem Forum. Hat damit funktioniert - ich war happy
Zitat von @canlot:
Du kannst das Routing von dem Server mit route print dir anschauen und rausfinden ob das Routing zu den Clients über das richtige Interface geht.
Ohhh - was ein schönes Werkzeug! Warum bin ich bisher noch nie dagegen gelaufen? Erst mal danke für den Hinweis, bei der Auswertung könntest du mir ggf. nochmal über die Finger schauen? Du kannst das Routing von dem Server mit route print dir anschauen und rausfinden ob das Routing zu den Clients über das richtige Interface geht.
Ich verstehe es so, wie es sein sollte: Die Clients können jeweils nur mit dem Server (x.254) kommunizieren, mehr nicht.
Mal noch ein zusätzlicher Satz:
Die Clients benötigen nahezu nichts... Habe null Wert auf Gateway, DNS-Server und Co gelegt, da sie einfach nur auf den ModBus Port reagieren sollen. Kein Internet, keine Namensauflösung ...
(Sorry, ich mag heute anscheinend Punkte)
DANKE!