chrisproud
Goto Top

WireGuard und Mango (GL.iNet) verbinden sich nach dc nicht neu

Hallo zusammen,

ich komme gerade nicht weiter und wäre super dankbar für Hinweise und Lösungsvorschläge!

Aufbau:
Windows Server 2019 (VM) = WireGuard Server (lokal)
GL.iNet Mango 1-x = WireGuard Client (im Umkreis von 200km verteilt)

Ziel:
Auf dem Server läuft eine Visualisierungslösung, welche Daten via ModBus TCP als Master (Server) von Clients (Mango) abruft. Die Daten werden entsprechend dargestellt und interne Nutzer erhalten Zugriff auf die Daten.

Bis jetzt funktioniert alles super und auch die ersten Tests waren erfolgreich. Nachdem wir jetzt den ersten Pilot in Betrieb genommen haben (2x Mango WireGuard Client), kommen die Router nach einem Ausfall von 1 Stunde (Server Wartungsarbeiten) nicht mehr online.
Was mich sehr wundert ist, dass WireGuard der Clients wohl noch versucht die Verbindung zum Server herzustellen, zumindest deute ich das so:
wg_client

Ein Aufbau der Verbindung von einem anderen Client ist erfolgreich, nur die beiden "Dauerläufer" kommen nicht online.

Hier mal beispielhaft ein Teil der Server und Client Konfiguration:

Server
[Interface]
PrivateKey = (KEY)
ListenPort = 51820
Address = 192.168.200.254/24
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACC$
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j A$

[Peer]
PublicKey = (KEY)
AllowedIPs = 192.168.200.2/32

[Peer]
PublicKey = (KEY)
AllowedIPs = 192.168.200.3/32

Client 1
Address = 192.168.200.2/24
ListenPort = 51820
PrivateKey = (KEY)
DNS = 8.8.8.8

[Peer]
PublicKey = (KEY)
AllowedIPs = 192.168.200.0/24
Endpoint = (SERVER):51820

Content-ID: 632183

Url: https://administrator.de/contentid/632183

Printed on: December 3, 2024 at 11:12 o'clock

canlot
canlot Dec 16, 2020 at 11:07:34 (UTC)
Goto Top
Setz mal bitte AllowedIPs auf 0.0.0.0/0 bei dem Client.
Ich hatte mal ein Verbindungsproblem bei meinem Iphone, damit lies es sich beheben.
chrisproud
chrisproud Dec 16, 2020 at 11:16:31 (UTC)
Goto Top
Könntest du mir dazu einen Hintergrund erklären? face-smile
Der Server hat ja immer die 192.168.200.254 - da sollte das mit 192.168.200.0/24 doch laufen?

Werde es aber mal auf einem der beiden abändern, sobald ich das nächste mal da bin. Remote habe ich leider, da ja keine Verbindung aufgebaut wird, keine Möglichkeit face-sad
canlot
canlot Dec 16, 2020 at 13:21:28 (UTC)
Goto Top
Sorry ich revidiere meine Aussage von vorhin :S 0.0.0.0/0 würde den ganzen Traffic durch den Tunnel schicken.
Bei mir hat es beim Einrichten nicht funktioniert und dann habe ich es gegoogelt und auf Reddit habe ich den besagten Vorschlag gelesen.

Sofort eingetragen schon funktionierts, hab gar nicht nachgedacht was es auf sich hat. Kopf -> Wand
Zu meiner Verteidigung muss ich sagen dass es schon spät in der Nacht war. :D
canlot
canlot Dec 16, 2020 at 13:37:08 (UTC)
Goto Top
Hi, was ich noch sehe, bei dem Server hast du kein Endpoint eingetragen.
Bewirken die iptables Regeln bei Windows irgendwas?

Du kannst das Routing von dem Server mit route print dir anschauen und rausfinden ob das Routing zu den Clients über das richtige Interface geht.
chrisproud
chrisproud Dec 16, 2020 at 14:00:06 (UTC)
Goto Top
Zitat von @canlot:

Hi, was ich noch sehe, bei dem Server hast du kein Endpoint eingetragen.
Ähm ... wie meinst du ich habe keinen Endpoint am Server eingetragen? Der Server soll ja auch nicht weiter telefonieren, er nimmt die Verbindung an und ist Happy über den Traffic zwischen beispielsweise x.254 und x.010 (Server <-> Client).
Die ModBus Daten werden dann über die x.010 abgerufen und fertig. Alles Weitere läuft über den eigentlichen Ethernet Adapter via HyperV.

Zitat von @canlot:

Bewirken die iptables Regeln bei Windows irgendwas?
Ähnlich wie deine nächtliche Reddit Aktion habe ich diesen Eintrag auch aus einem Forum. Hat damit funktioniert - ich war happy face-smile

Zitat von @canlot:

Du kannst das Routing von dem Server mit route print dir anschauen und rausfinden ob das Routing zu den Clients über das richtige Interface geht.
Ohhh - was ein schönes Werkzeug! Warum bin ich bisher noch nie dagegen gelaufen? Erst mal danke für den Hinweis, bei der Auswertung könntest du mir ggf. nochmal über die Finger schauen? face-smile
Ich verstehe es so, wie es sein sollte: Die Clients können jeweils nur mit dem Server (x.254) kommunizieren, mehr nicht.
winprintdir
winprint

Mal noch ein zusätzlicher Satz:
Die Clients benötigen nahezu nichts... Habe null Wert auf Gateway, DNS-Server und Co gelegt, da sie einfach nur auf den ModBus Port reagieren sollen. Kein Internet, keine Namensauflösung ...

(Sorry, ich mag heute anscheinend Punkte)

DANKE!