Wireguard: Verbindung über WLAN geht, über LTE (hier: Telekom) nicht
Hallöchen,
ich habe da ein Problem und bin mit meinem Latein etwas am Ende, vielleicht könnt Ihr mir ja helfen.
Ich habe bei Hetzner einen Cloud-Server bestellt und Wireguard installiert, der Server soll als Bindeglied agieren und den Zugriff von diversen Clients in ein Netzwerk bereitstellen dass über Mobilfunk (hier Telekom) angebunden ist.
Also habe ich Wireguard auf dem Server entsprechend konfiguriert, sh. hier:
und natürlich auf dem Client, sh. hier z.B. das Ipad:
Und jetzt kommt das für mich unverständlich.
Wenn ich über WLAN den Client am Ipad aufrufe und die Verbindung herstelle, dann klappt alles, sprich der Handshake ist da, es werden Daten gesendet und empfangen und die IP mit der ich rausgehe entspricht dem VPN-Server.
Trenne ich das WLAN und habe nur eine LTE-Verbindung, so funktioniert mein Wireguard-Tunnel plötzlich nicht mehr. Der Client sendet was aber es kommt nichts zurück, es findet so wie ich das sehen konnte auch kein Handshake statt.
Das ganze übrigens unabhängig vom Client, d.h. das Ipad mit direktem LTE geht nicht und auch der Raspi4, der an einem Huawei-LTE-Router hängt kriegt auch keine Verbindung.
Die Routen auf dem Server sehen wie folgt aus:
NAT ist auch an:
Was ich bis jetzt versucht habe:
- Port für Wireguard am Server auf 53 gestellt in der Hoffnung dass der Port auf jeden Fall durchgereicht wird.
- Herauszufinden ob es an IPV6 liegt, aber wieistmeineip.de meldet beim IPv6-Test nur eine IPv4-Adresse und keine IPv6.
- MTU herunterzusetzen, sowohl an Client und auch am Server, da Wireguard mit fragmentierten Paketen wohl nicht klarkommt. Hat auch nix geholfen.
Hat einer eine Idee für mich, wie es funktionieren könnte oder was da faul ist?
Am Wireguard selber kanns ja nicht liegen, über WLAN funktioniert es, aber was ist am Mobilfunk so gänzlich anderst, dass es dort nicht geht.
Danke & Gruß
Martin
ich habe da ein Problem und bin mit meinem Latein etwas am Ende, vielleicht könnt Ihr mir ja helfen.
Ich habe bei Hetzner einen Cloud-Server bestellt und Wireguard installiert, der Server soll als Bindeglied agieren und den Zugriff von diversen Clients in ein Netzwerk bereitstellen dass über Mobilfunk (hier Telekom) angebunden ist.
Also habe ich Wireguard auf dem Server entsprechend konfiguriert, sh. hier:
[Interface]
ListenPort = 53
PrivateKey = PRIVATE_KEY_SERVER
Address = 10.6.3.1/24
[Peer] # Ipad
PublicKey = 3jcfPhrNrYTEdACPtuCcqmkRe1z6X6DNhPsIHuhsRmQ=
AllowedIPs = 10.6.3.2/32
[Peer] # Windows-PC
PublicKey = GUX6UCSAy5NkK3G2kmTLiDhxbrD7x3mdQZJ+LoBolh0=
AllowedIPs = 10.6.3.3/32
[Peer] # Raspi4
PublicKey = A/hkkBOTZDFrqmjYlzKaqKoYG4OtzEkdAuR8zh9+FXU=
AllowedIPs = 10.6.3.4/32, 192.168.8.0/24und natürlich auf dem Client, sh. hier z.B. das Ipad:
[Interface]
PrivateKey = PRIVATE_KEY_IPAD
Address = 10.6.3.2/32
DNS = 8.8.8.8
[Peer]
PublicKey = ZFYiTRVCjc+wfxRKSatX4wwCWuQhiWTpBz7XtZBaoX4=
AllowedIPs = 0.0.0.0/0
Endpoint = IP_CLOUD_SERVER:53
PersistentKeepalive = 25Und jetzt kommt das für mich unverständlich.
Wenn ich über WLAN den Client am Ipad aufrufe und die Verbindung herstelle, dann klappt alles, sprich der Handshake ist da, es werden Daten gesendet und empfangen und die IP mit der ich rausgehe entspricht dem VPN-Server.
Trenne ich das WLAN und habe nur eine LTE-Verbindung, so funktioniert mein Wireguard-Tunnel plötzlich nicht mehr. Der Client sendet was aber es kommt nichts zurück, es findet so wie ich das sehen konnte auch kein Handshake statt.
Das ganze übrigens unabhängig vom Client, d.h. das Ipad mit direktem LTE geht nicht und auch der Raspi4, der an einem Huawei-LTE-Router hängt kriegt auch keine Verbindung.
Die Routen auf dem Server sehen wie folgt aus:
# ip route show
default via 172.31.1.1 dev eth0
10.6.3.0/24 dev wg0 proto kernel scope link src 10.6.3.1
172.31.1.1 dev eth0 scope link
192.168.8.0/24 dev wg0 scope linkNAT ist auch an:
#iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- 10.6.3.0/24 anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destinationWas ich bis jetzt versucht habe:
- Port für Wireguard am Server auf 53 gestellt in der Hoffnung dass der Port auf jeden Fall durchgereicht wird.
- Herauszufinden ob es an IPV6 liegt, aber wieistmeineip.de meldet beim IPv6-Test nur eine IPv4-Adresse und keine IPv6.
- MTU herunterzusetzen, sowohl an Client und auch am Server, da Wireguard mit fragmentierten Paketen wohl nicht klarkommt. Hat auch nix geholfen.
Hat einer eine Idee für mich, wie es funktionieren könnte oder was da faul ist?
Am Wireguard selber kanns ja nicht liegen, über WLAN funktioniert es, aber was ist am Mobilfunk so gänzlich anderst, dass es dort nicht geht.
Danke & Gruß
Martin
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 602663
Url: https://administrator.de/forum/wireguard-verbindung-ueber-wlan-geht-ueber-lte-hier-telekom-nicht-602663.html
Ausgedruckt am: 25.04.2025 um 13:04 Uhr
6 Kommentare
Neuester Kommentar
moin...
was hast du den bei LTE für eine IP?
wenn das keine öffentliche ist, hast du ein Problem!
Frank
was hast du den bei LTE für eine IP?
wenn das keine öffentliche ist, hast du ein Problem!
Frank
Moin,
vermutlich hast Du einen LTE-Vertrag mit CGN (Carrier grade NAT). Da bekommst Du IP-Adressen aus dem RFC1918-bereich zugeteilt, vorzugsweise aus 10.0.0.0/8, und das beißt sich mit Deinem Setup.
lks
vermutlich hast Du einen LTE-Vertrag mit CGN (Carrier grade NAT). Da bekommst Du IP-Adressen aus dem RFC1918-bereich zugeteilt, vorzugsweise aus 10.0.0.0/8, und das beißt sich mit Deinem Setup.
lks
aber was ist am Mobilfunk so gänzlich anderst, dass es dort nicht geht.
Provider nutzen wegen:https://www.heise.de/newsticker/meldung/Das-war-s-mit-IPv4-Adressen-in-E ...
wie oben schon gesagt private RFC 1918 IP Adressen
https://de.wikipedia.org/wiki/Private_IP-Adresse#Private_Adressbereiche
in ihren lokalen Funknetzen die dann per CGN (NAT) auf öffentliche IP Adressen umgesetzt werden. Genau das ist, wie oben auch schon richtig von den Kollegen vermutet, vermutlich bei dir der Fall und hattest du wohl nicht auf dem Radar ?!
Leider können wir das wegen fehlernder Information in der Beschreibung auch nur raten. Genau DAS wäre wichtig gewesen zu wissen.
Da die Telekom aber durchaus beide Bereiche betreibt kannst du mit der einfachen Umstellung auf einen anderen APN in der SIM Karte leicht auf einen Business Zugang umstellen der dir dann öffentliche IPs im Mobilfunknetz beschert. Oder eben du änderst die IP deines Wireguard Netzes auf eine etwas intelligentere interne IP Adresse die eine Überschneidung mit dem CGN Netz verhindert.
Siehe dazu auch hier:
VPNs einrichten mit PPTP
Hallo und Danke für die Infos.
Gehört hab ich von CGN schon, allerdings erstmal nicht gedacht, dass es für mich zum Problem werden könnte, dass die Telekom bevorzugt das Netz 10.0.0.0/8 nutzt ist natürlich blöd bei meiner Konfiguration.
Danke auch für die Hinweise bezüglich APN, ich werde es dann mal mit ner IP-Adresse aus dem 172er-Netz probieren, durch kurze Recherche bin ich auch darauf gekommen, dass die Telekom ja neuerdings auch einen IPv6-APN anbietet und da Wireguard ja auch IPv6 kann, dürfte dies der Königsweg sein.
Gehört hab ich von CGN schon, allerdings erstmal nicht gedacht, dass es für mich zum Problem werden könnte, dass die Telekom bevorzugt das Netz 10.0.0.0/8 nutzt ist natürlich blöd bei meiner Konfiguration.
Danke auch für die Hinweise bezüglich APN, ich werde es dann mal mit ner IP-Adresse aus dem 172er-Netz probieren, durch kurze Recherche bin ich auch darauf gekommen, dass die Telekom ja neuerdings auch einen IPv6-APN anbietet und da Wireguard ja auch IPv6 kann, dürfte dies der Königsweg sein.
Ein Fazit zum Schluß:
Nach ändern der internen IP-Adresse meines Tunnels und ändern des Ports meines Servers (53 mochte er nicht) funktioniert das ganze jetzt.
Ich danke für die Infos und schließe hiermit den Thread.
Nach ändern der internen IP-Adresse meines Tunnels und ändern des Ports meines Servers (53 mochte er nicht) funktioniert das ganze jetzt.
Ich danke für die Infos und schließe hiermit den Thread.
und da Wireguard ja auch IPv6 kann
Nur der Vollständigkeit halber: OpenVPN, IPsec, L2TP und alle anderen VPN Protokolle können natürlich auch IPv6 !! 
Case closed.
