gelöst Wireguard VPN mit 2x RaspberryPI LAN zu LAN

Mitglied: danone

danone (Level 1) - Jetzt verbinden

22.11.2020, aktualisiert 03:37 Uhr, 889 Aufrufe, 24 Kommentare

Hallo zusammen,

ich habe mich die letzten Tage mit der grundsätzlichen Funktion von Wireguard auseinander gesetzt und konnte das Zielnetzwerk über verbundene Clients erreichen und auf allen Geräten arbeiten. Dazu habe ich einen Wireguard Server mit einem Raspberry PI abgebildet.

Auf den Clients dann die entsprechende APP installiert und die PeerX.conf verteilt. Eben eine Config pro Client

Jetzt möchte ich jedoch ein anderes Szenario abbilden, und zwar möchte ich das Zielnetzwerk von mehreren Geräten aus einem gemeinsamen LAN erreichen über einen weiteren Raspberry PI. ... Siehe dazu mein Bild.

PC1 PC2 PC3 (nur als Beispiel), sollen am ende das NAS erreichen und die VPN des Lokalen Raspberry PI benutzen.

Nach meiner Vorstellung habe ich den Raspberry PI auf "meiner Seite" als Client eingerichtet und den auf der "Vater Seite" als Server. Ich dachte mit einer Statischen Route in meinem Router wär es getan, leider verwirft der Raspberry auf eth0 die Pakete:
Im Edgerouter habe ich zum Test folgende Statische Routen hinterlegt:

Hier die Configs dazu:
Server Seite Vater Raspberry PI
Client Seite ICH Raspberry PI
Soweit so gut, von meinem RaspberryPI kann ich nun die gegen Seite erreichen und die gegen Seite mich.
Desweiteren kann ich das 192.168.178.0/24 von meinem Raspberry aus erreichen.

Bisher alles so wie es soll, jedoch erreiche ich von meinem 192.168.100.0/24 Netz weder das 192.168.201.0/24 Netz, noch das 192.168.178.0/24.

Ich habe das Gefühl, ich müsse noch irgendetwas in den iptables machen oder aber mir fehlt ein Teil (NAT?), damit der Raspberry auf meiner Seite nicht gleich alles verwirft...

Hat jemand Rat um am Ende die gegen Seite von allen Geräten aus zu erreichen?


vpn. - Klicke auf das Bild, um es zu vergrößern
Mitglied: Henere
22.11.2020 um 05:06 Uhr
Moin. Ohne Kaffee.
Hast Du das IP-Routing auf den Raspis aktiviert ?

Grüße Henere
Bitte warten ..
Mitglied: Visucius
22.11.2020, aktualisiert um 07:38 Uhr
Die iptable – auf "Serverseite" – ist mMn. korrekt. Meine hier funktioniert zumindest und sieht – before caffee – genauso aus.

a) Ich würde sie aber mal testhalber auf "Clientseite" deaktivieren. Die macht dort eh nur in einem Site2Site-Setup Sinn.

b) Das Fehlerbild kommt mir bekannt vor und klingt nach einem Fehler in den "Allowed-IPs" des Cients:

Bin ... immer noch ohne Kaffee ... wackelig, aber ich habe da nirgends 0/0 drin. Das klappte bei mir trotz diverser Tipp-Seiten nicht. Die "interne" VPN-NAT-Gegenstelle hat bei mir /32 und das dortige "Realnetzwerk" bekommt 0/24. Damit läufts hier seit Monaten dauerhaft stabil auch mit mehreren Clients. Du kannst aber natürlich auch erstmal nur die IP des NAS/32 nehmen.

Viel Erfolg!
Bitte warten ..
Mitglied: aqui
22.11.2020, aktualisiert um 10:54 Uhr
ch habe das Gefühl, ich müsse noch irgendetwas in den iptables machen
Ja, du machst NAT im inneren Tunnel was natürlich völliger Quatsch ist. Daraus resultieren die ganzen Probleme denn damit ist kein transparentes Routing zwischen beiden Netzen möglich. Die gesamte Verwendung von iptables und damit auch NAT ist bei eigenen Netzen ja völlig überflüssig und auch kontraproduktiv. Vergiss den Unsinn also und lasse das weg. Wozu willst du NAT in deinen eigenen Netzen machen ? Sinnfrei...und schafft durch die Routing Einbahnstrasse nur Probleme.

Dein ganzes Site-to-Site VPN Konzept ist eigentlich völlig krank und solltest du nochmals überlegen. Wozu hast du denn potente VPN Router in beiden Netzen beschafft die problemlos ein Site-to-Site VPN abbilden können ?
Es ist doch völlig unsinnig dann diese Router nicht zu nutzen und das unsinnigerweise über einen RasPi in jedem Netz zu quälen. Den Sinn und die Logik dieses VPN Konzeptes versteht doch kein Mensch ??
Benutze deine 2 VPN Router um die VPN Netzwerk Kopplung zu machen und gut iss...
Bitte warten ..
Mitglied: danone
22.11.2020 um 11:02 Uhr
Danke euch schon mal für eure Tipps,

Ein Routing ist denke ich auf keinen der Raspberrys aktiv, was müsste ich dafür tun?

ggf hier auf der Server Seit:


Auf der Client Seite habe ich den iptables Teil mal komplett deaktiviert und erreiche von PC1 immer noch nicht das "178er" Netz

Auf beiden Seiten ist übrigens "net.ipv4.ip_forward = 1" aktiv, weiß gerad nicht obs ne rolle spielt.
Bitte warten ..
Mitglied: aqui
22.11.2020, aktualisiert um 11:07 Uhr
Ein Routing ist denke ich auf keinen der Raspberrys aktiv, was müsste ich dafür tun?
Einfach einmal Tutorials lesen !
weiß gerad nicht obs ne rolle spielt.
Nein, spielt natürlich keinerlei Rolle...dzzzz
Was bei OpenVPN gilt, gilt auch bei Wireguard:
https://administrator.de/tutorial/merkzettel-vpn-installation-openvpn-56 ...

Ändert aber nichts an 2 weiteren Kardinalsfehlern:
Bitte warten ..
Mitglied: danone
22.11.2020, aktualisiert um 11:14 Uhr
Sinn oder unsinn überlass doch bitte mir!

Ich habe doch eine Frage gestellt, die jetzt wieder mit irgend einem OT Müll beantwortet werden muss.

Ich sehe du kennst dich sehr gut aus, aber warum musst du immer trollen, statt zu helfen?

OT ON:
Ich will die 2 Router nicht benutzen und die Router einfach Router sein lassen. Ich habe genügend Tests hinter mir. Der Speed der dinger ist einfach beschissen und ich schaffe nicht mehr wie 18 Mbit/s darüber, egal in welche Richtung, egal mit welchen Einstellungen (kann man sich so auch von anderen Usern bestätigen lassen)! Mit den Wireguard tests konnte ich OutOfTheBox mit mit nem Verbunden Client (über die APP) direkt 37Mbit/s von der Vater Seite holen und viel wichtiger, auf meiner FFTH Seite ging sofort mit 94Mbit die Post ab. Also lass mich doch bitte meine Grüde haben und poch nicht immer darauf rum die Router zu nehmen
Bitte warten ..
Mitglied: danone
22.11.2020 um 11:27 Uhr
Schnell mal was gelesen,
wäre das so auf der client Seite korrekt?
Bitte warten ..
Mitglied: Visucius
22.11.2020, aktualisiert um 11:51 Uhr
@aqui:

Das Thema VPN/NAT wird zwar immer beschimpft. Nur basieren alle(?) Wireguard-Anleitungen auf NATen. Zumindest die, die mir untergekommen sind - und das waren doch einige.

Für Dich ist das aber doch nen Klacks? Wir müsste denn so ein Wireguard(!)-Setup ohne NAT aussehen? Mich würde das wirklich in der Umsetzung interessieren. Nur hilft mir dabei keine Verlinkung auf die - sicherlich sehr ausgefeilte - OpenVPN-Anleitung

@danone:
Fürn Raspi gibts doch umfangreiche Anleitungen, teilweise sogar mit fertigen Scripts für Wirguard und PiHole, da ist das Routing schon fix und fertig. Ansonsten das hier prüfen: https://linuxize.com/post/how-to-set-up-wireguard-vpn-on-ubuntu-20-04/#s ...
Hier ggfs. noch den 51820 freigeben: https://www.heise.de/tipps-tricks/Ubuntu-Firewall-einrichten-4633959.htm ...
Bitte warten ..
Mitglied: Henere
22.11.2020 um 11:55 Uhr
Ein einfaches TCPDUMP auf eth0 und TUN zeigt doch was passiert.
Bitte warten ..
Mitglied: danone
22.11.2020, aktualisiert um 12:07 Uhr
@Visucius
Ich bin ja auch nach den Anleitungen vorgegangen, kenne die zb selber. Jedoch wird immer nur beschrieben wie man einem Client (zb Windows 10 PC) mit seinem Wireguard verbindet und das Netz dahinter erreicht.

Das habe ich selber bei meinen anfänglichen Tests auch so umgesetzt und dabei die Geschwindigkeit geprüft gegenüber meiner OpenVPN Lösung.
Dies hat überzeugt und jetzt versuche ich Schritt für Schritt eine Site-to-Site Lösung umzusetzten mit Wireguard.

Was jedoch nie beschrieben wird ist, wenn man den Traffic aus seinem Lan in den Tunnel bekommen möchte.

Im Prinzip will ich mir die einzel Verbindungen der Clients ersparen und nur einen Tunnel zur Gegenseite Aufbauen.

@Henere
ich bin dran, kommt sofort (Danke für deine Hilfe)
Bitte warten ..
Mitglied: danone
22.11.2020, aktualisiert um 12:18 Uhr
ETH0
Ausgelöst von hier:

Richtung 192.168.178.1



WG0
Bitte warten ..
Mitglied: Visucius
22.11.2020, aktualisiert um 12:31 Uhr
Ok, wer lesen kann ist klar im Vorteil ... soll ja doch ein Site-to-Site sein und das Problem tritt "diesseits" auf. Und ich sach noch "before coffee" ;---)

Die hier haste bestimmt schon gesehen? https://quacktacular.net/2020/04/24/site-to-site-vpn-with-wireguard-and- ...

Ich selber habe ein Site2Site mit einer "windows-Seite" leider selber nicht zu laufen gebracht. Trotz aktivem Routing. Habe dann das Setup variiert.
Bitte warten ..
Mitglied: danone
22.11.2020 um 12:34 Uhr
Auf der Gegenseite kommt weder auf eth0 noch auf wg0 in tcpdump etwas an, ausgelöst aus meinem 100er Netz

Hier ein ICMP von meinem Raspberry Richtung gegen Seite:



ETH0:
WG0:
Bitte warten ..
Mitglied: danone
22.11.2020 um 13:15 Uhr
Zitat von Visucius:

Ok, wer lesen kann ist klar im Vorteil ... soll ja doch ein Site-to-Site sein und das Problem tritt "diesseits" auf. Und ich sach noch "before coffee" ;---)

Die hier haste bestimmt schon gesehen? https://quacktacular.net/2020/04/24/site-to-site-vpn-with-wireguard-and- ...

Ich selber habe ein Site2Site mit einer "windows-Seite" leider selber nicht zu laufen gebracht. Trotz aktivem Routing. Habe dann das Setup variiert.


Habs gerade mal angesehen, im Prinzip alles ähnlich wie bei mir.
""After the image is pulled and container started, you should be able to ping between the peers on the private and WireGuard IP address.""

Das funktioniert bei mir ja auch eben vom Raspberry selber, auch hier wird wieder nichts dazu geschrieben wie es man es machen muss um aus dem "Client Netz" die Gegenseite über den Tunnel zu erreichen.

Er schreibt auch, dass ein Routing notwendig ist aber geht da nicht weiter drauf ein.

Wie gesagt eine Route ins 178er Netz zum Raspi, habe ich meinem Router aktiv.

Wenn ich tcpdump richtig lese, leitet mein Raspi tatsächlich 178er Anfragen in den Tunnel, aber anscheint kennt wg0 keine Route Richtung 178
Bitte warten ..
Mitglied: Visucius
22.11.2020 um 14:14 Uhr
@danone:
die beiden anderen LINKs (Routing aktivieren in /etc/sysctl.conf) und evtl. die Portfreigabe am Raspi hast Du auch geprüft?
Bitte warten ..
Mitglied: danone
22.11.2020 um 15:04 Uhr
Inhalt sysctl.conf:
Wo genau die müsste ich die Route aktivieren?

Was meinst du mit Portfreigabe, ich erreiche doch den Raspi auf der Gegenseite der Rest ist doch dann im LAN?
Bitte warten ..
Mitglied: Visucius
22.11.2020, aktualisiert um 16:22 Uhr
Zeile 27/28. Ist aber schon aktiv.

Neustart haste mal gemacht? Manche Einstellungen werden nicht automatisch übernommen.

Ich würde - in der Not - mal testen ob auf dem Client Raspi ne Firewall aktiv ist?! Du willst ja vom lokalen Netzwerk auf den (lokalen) Client-Raspi udn irgendwo dazwischen steht was im Weg?! Ich mache das hiemit:
https://www.heise.de/tipps-tricks/Ubuntu-Firewall-einrichten-4633959.htm ...

Ist aber - zugegebener Maßen - ein stochern im Nebel. Genauso, wie ich irgendwelche ipv6-Unterstützungen in den Routern deaktivieren würde.
Bitte warten ..
Mitglied: danone
22.11.2020 um 16:58 Uhr
eine Firewall ist nirgends dazwischen, wieso auch? außer es versteckt sich eine im OS: https://www.raspberrypi.org/software/

IPv6 spielt hier keine Rolle, denn es geht hier ja ausschließlich um ipv4 ...ich muss es nochmal erwähnen: im LAN

Der Tunnel wird ja aufgebaut, es kommt eine Verbindung zustande.

Der Raspberry Client kann die Geräte im Zielnetzwerk erreichen, so wie es sein soll.

Nebenan stehende Geräte wie PC1, 2, 3 können keine Verbindung zum Ziel Netzwerk erhalten, obwohl eine Route dafür im lokalen Router 192.168.100.1 hinterlegt ist (welcher für alle Geräte das Gateway ist).

Es steht theoretisch nichts im weg.

Wenn ich ein ICMP verfolge, geht dies bis zum eigenen WG0 Interface, kommt aber nie auf der Gegenseite an... Also muss nach meiner Auffassung irgendetwas auf meiner Seite konfiguriert werden damit es geht.

Schade, werde dann wohl doch auf "einzel Verbindungen" zurückgreifen müssen...
Bitte warten ..
Mitglied: ChriBo
23.11.2020 um 10:28 Uhr
Hi,
setze mal auf dem <Daniels-MacBook-Pro> die statische Route zu 192.168.178.0/24 über das Gateway 192.168.100.200, also ohne den Umweg über den Edge Router.
Kannst du dann auf das NAS zugreifen ?

CH
Bitte warten ..
Mitglied: danone
23.11.2020 um 23:00 Uhr
Hi,
gerade folgendes auf dem Macbook probiert:
Als Gateway im W-Lan Adapter, zusätzlich die "192.168.100.200" damit es ja da ankommt.

Erstmal geschaut ob die Verbindung noch steht:
Jetzt ein ICMP los geschickt von <Daniels-MacBook-Pro>
Parallel "tcpdump" auf "danielraspi" & "horstraspi":

ETH0 danielraspi:
WG0 danielraspi:
WG0 horstraspi:
ETH0 horstraspi:
Wo bleiben die Pakete?
Bitte warten ..
Mitglied: danone
24.11.2020, aktualisiert um 00:04 Uhr
Der Fehler lag in der Wireguard config... *auweia*

Mit folgenden Configs funktioniert es nun

danielraspi (Client):
horstraspi (Server):
Natürlich noch die statischen Routen in den beiden Routern hinterlegen und alles läuft wie gewünscht

Danke für eure Anteilnahme

LG danone
Bitte warten ..
Mitglied: Visucius
24.11.2020, aktualisiert um 07:58 Uhr
Zunächst mal Glückwunsch, dass es geht. Hm, was war es denn jetzt genau?

So wie ich das sehe, hast Du die schon von mir im 2. Post kritisierten "Allowed IPs" modifiziert. Darüber hinaus hast Du jetzt andere "IP-Table-Befehle".

Aber auf beiden Seiten der VPN unterschiedliche. Kann das sein bei Site2Site?
Bitte warten ..
Mitglied: satosan
24.11.2020, aktualisiert um 09:04 Uhr
Dein Fehler : 192.168.201.0/0 allowed IP in der Original-Config. Da gent natuerlich nix durch. Schade das ich hier nicht frueher war.

VG

Sato
Bitte warten ..
Mitglied: Visucius
24.11.2020, aktualisiert um 14:16 Uhr
Zitat von satosan:

Dein Fehler : 192.168.201.0/0 allowed IP in der Original-Config. Da gent natuerlich nix durch. Schade das ich hier nicht frueher war.

VG

Sato
Ich zitiere mal aus meinem Post von Sonntag 7.38 Uhr:

" ;b) Das Fehlerbild kommt mir bekannt vor und klingt nach einem Fehler in den "Allowed-IPs" des Cients:

Bin ... immer noch ohne Kaffee ... wackelig, aber ich habe da nirgends 0/0 drin. Das klappte bei mir trotz diverser Tipp-Seiten nicht. Die "interne" VPN-NAT-Gegenstelle hat bei mir /32 und das dortige "Realnetzwerk" bekommt 0/24. Damit läufts hier seit Monaten dauerhaft stabil auch mit mehreren Clients. Du kannst aber natürlich auch erstmal nur die IP des NAS/32 nehmen.
"

Hätte also auch nix gebracht, wärst Du vorher da gewesen
Bitte warten ..
Heiß diskutierte Inhalte
LAN, WAN, Wireless
Externes Ziel nicht erreichbar vom internen Netzwerk
Stibe88FrageLAN, WAN, Wireless16 Kommentare

Hallo Community Ich habe bei mir Homematic IP installiert. Nun kann ich seit 4 Tagen mich nicht mehr in ...

Hardware
Genauigkeit DCF77
Der-PhilFrageHardware12 Kommentare

Hallo! Es geht hier eher um eine akademische Frage, denn um eine Notwendigkeit für die IT, aber vielleicht interessiert ...

Windows Server
Fehler beim Starten Gruppenrichlinien
gelöst OSelbeckFrageWindows Server11 Kommentare

Hi, seid kurzen habe ich (Ich glaube nach einem Update bzw. Erweiterung der GPO Dateien) folgende Meldung Was köönet ...

Datenbanken
SQL Datum Uhrzeit 2 Spalten
Florian86FrageDatenbanken11 Kommentare

Hallo Zusammen, ich möchte aus einer SAP Datenbank über Datum und Zeit Daten abfragen. Datum und Zeit sind aber ...

Hardware
Neue Hard- und Software für kleine Kanzlei mit RA-Micro
SchrumpfiFrageHardware10 Kommentare

Hallo zusammen, ich lese schon länger im Forum mit und konnte so einige Probleme durch eure Hilfe lösen, dafür ...

Batch & Shell
Zeichen suchen und in die nächste Zeile was kopieren
Klaus20FrageBatch & Shell10 Kommentare

Hallo Forum, hätte mal wieder eine Frage an die Batch Profis. Habe mir mehrere Playlisten erstellt und die immer ...

Ähnliche Inhalte
Router & Routing
VPN, Wireguard, Userabmeldung?
gelöst VisuciusFrageRouter & Routing7 Kommentare

Hallo liebes Tagebuch ähhh liebe Forenteilnehmer. So im groben - ohne Wireguard - aber mit Win2016-RAS und L2TP habe ...

Router & Routing
VPN Wireguard bidirektional betreiben
gelöst AvengaFrageRouter & Routing7 Kommentare

Hallo erstmal, folgendes Szenario würde ich euch gern beschreiben: Netz A: FritzBox, Raspberry Wireguard Server, IP Bereich 192.168.168.x - ...

Sicherheit
WireGuard VPN einrichten Windows
darklivingFrageSicherheit11 Kommentare

Hallo zusammen, ich hoffe das mir hier jemand helfen kann bei einem Problem mit WireGuard VPN Einstellung im Server ...

Router & Routing
Wireguard Konfiguration OpenSuse
gelöst Florian15FrageRouter & Routing17 Kommentare

Hallo zusammen, ich versuche gerade meine alte VPN Verbindung mittels Shrewsoft und der Fritzbox abzulösen. Dabei bin ich auf ...

Debian
Backup von RaspberryPi erstellen
gelöst ahstaxFrageDebian4 Kommentare

Hallo, ich suche eine einfach zu realisierende Möglichkeit, ein Backup des Systems auf einem Raspberry Pi zu erzeugen, OHNE ...

Router & Routing
Wireguard und routing tunneling
winlinFrageRouter & Routing1 Kommentar

Hallo Community, ich möchte gerne Wireguard Server auf einem gemieteten vServer installieren und einen entsprechenden Client auf meiner Raspi ...

Neue Fragen
Administrator Magazin
11 | 2020 Virtualisierung ist aus der IT nicht mehr wegzudenken. In der November-Ausgabe des IT-Administrator Magazins dreht sich der Schwerpunkt um das Thema "Server- und Storage-Virtualisierung". Darin erfahren Sie, wie sich die Virtualisierungstechnologie entwickelt hat, welche Varianten es im Bereich Server und Speicher gibt und wie ...
Neue Beiträge
Neue Jobangebote
Server- und Storage-VirtualisierungServer- und Storage-VirtualisierungBerechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid Cloud