sionzris
Goto Top

Wireguard zwischen Windows Client und Xubuntu Server einrichten

Hi,

ich versuche mich zurzeit an einer Einbindung meines entfernten Servers in mein LAN über Wireguard.

Wenn alles läuft soll das ganze wie folgt aussehen:

1

Ziel ist es, von jedem der Clients im "grünen" LAN auf den Mediaserver im "orangenen" LAN zuzugreifen.

Zurzeit hänge ich aber noch an Schritt 1 fest:

Jeweils das Endgerät direkt an den Router angeschlossen, jeder Router baut die Internetverbindung direkt auf. (Habe zurzeit einen Kabel und DSL Anschluss zum Testen)

Wireguard Verbindung steht und der PI330 (mein VPN Server) ist auch vom Mediaserver pingbar (auf der .6 sowie auf der durch Wireguard eingerichteten .254) sowie Sachen wie Freigaben und Webserver vom piHole sind auch erreichbar. Leider funktioniert kein Kontakt vom PI330 zum Mediaserver hin. Ich habe inzwischen alles mögliche an den Einstellungen von Wireguard probiert aber das hier ist das beste Ergebnis das ich erzielen konnte.

  • Beide Router haben Port Freigaben eingerichtet
  • Der ListenPort ist fest eingestellt
  • Port ist in der Firewall freigegeben
  • net.ipv4.ip_forward=1
  • net.ipv4.conf.all.proxy_arp=1

Was mir außerdem komisch vorkommt:

  • Der PI330 ist bei aktivem Wireguard Interface nicht mehr per Remote Desktop erreichbar
  • piHole scheint weiter zu funktionieren der Webserver hiervon ist aber nicht erreichbar
  • Internet am Mediaserver geht nur wenn ich direkt einen DNS Server eingebe wie z.B. 1.1.1.1. Mit dem pihole oder jeweiligen Router geht es nicht.
  • pi330 ist normal im Internet

Leider kann ich das ganze nicht so recht in Einklang miteinander bringen. Erst wenn die Verbindung zwischen Pi330 und Mediaserver bidirektional funktioniert kann ich weiter machen.
Mediaserver und Pi330 haben nur einen Ethernet Port jedoch stände am PI330 noch AC-Wlan (mit Traumverbindung) oder USB3.0 zu Gbit zur Verfügung und für den Server hätte ich noch eine Netzwerkkarte, falls es daran liegt das ich 2 Leitungen brauche (wäre jetzt meine beste Vermutung, löst aber noch nicht die Einseitige Verbindung).

Hoffentlich hat jemand eine Idee was ich falsch gemacht habe, mir fällt nichts mehr ein.

Edit1: Ist es ein Problem wenn das lokale LAN und der remote Server unterschiedliche Subnetze haben? Also 111.111.111.0/24 und 111.111.101.0/24? Tunnelnetz ist 111.111.110.0/24.

Content-Key: 523774

Url: https://administrator.de/contentid/523774

Ausgedruckt am: 19.03.2024 um 02:03 Uhr

Mitglied: aqui
aqui 11.12.2019, aktualisiert am 12.03.2021 um 22:44:23 Uhr
Goto Top
Siehe auch: Merkzettel: VPN Installation mit Wireguard

Deine Netzwerkskizze auf seiten der FritzBoxen ist etwas verwirrend. face-sad
Wie sind diese beiden FritzBoxen genau gekoppelt ?
Versteht man es richtig ist das eine Router Kaskade. Sprich die obere FB ist die die den eigentlichen Internet Zugang realisiert und die untere hat ihr Modem deaktiviert und macht eine Kaskaden Kopplung via LAN Port 1 auf das LAN der oberen FB. Ist das so richtig ?
Auch die sehr eigenwillige Benennung der Host IP Adressen mit einem "%" davor verwirrt eher als das sie hilft. Darf man das so verstehen das damit immer ein ".4" oder ".254" gemeint ist ?

Eine übersichtliche Darstellung aus rein Layer 3 Routing Sicht sähe dann so aus:

wireg

Ist das so richtig ?
Ein gravierender Fehler fällt da sofort auf !
Die 111.111.... IP Adressen gehören dir nicht ! Solche öffentlichen IP Adressen die dir NICHT zugewiesen sind zu verwenden ist ein NoGo !
Hier sollten immer die privaten RFC 1918 IP Adressen verwendet werden !!!
https://de.wikipedia.org/wiki/Private_IP-Adresse#Private_Adressbereiche
Mitglied: Sionzris
Sionzris 11.12.2019 aktualisiert um 11:25:17 Uhr
Goto Top
Zitat von @aqui:

Versteht man es richtig ist das eine Router Kaskade. Sprich die obere FB ist die die den eigentlichen Internet Zugang realisiert und die untere hat ihr Modem deaktiviert und macht eine Kaskaden Kopplung via LAN Port 1 auf das LAN der oberen FB. Ist das so richtig ?

Ja, so soll es am Ende sein, aber zuerst will ich die VPN Verbindung in beide Richtungen stehen haben bevor ich weitere Problemquellen mit aufnehme.

Zitat von @aqui:

Auch die sehr eigenwillige Benennung der Host IP Adressen mit einem "%" davor verwirrt eher als das sie hilft. Darf man das so verstehen das damit immer ein ".4" oder ".254" gemeint ist ?

Ja genau, weiss nicht mehr wo ich mir das angewöhnt habe. Werde das im Text ändern.

Die Skizze habe ich mit Paint mehr für mich gebastelt dachte aber das Sie eher hilft als verwirrt :/
Mitglied: Sionzris
Sionzris 11.12.2019 aktualisiert um 11:45:43 Uhr
Goto Top
Die Skizze sieht grob richtig aus (ich habe andere Ports aber das ist ja egal), aber:

Zwischen Fritzbox 1 und 2 soll eigentlich kein Koppelnetz bestehen, sondern nur Port Weiterleitung von 1 zu 2 sowie Internetverbindung. Netzwerktraffic wird zwischen den beiden nicht benötigt. So habe ich das schon mal gemacht als ich einen Telekom-Hybrid Zwangsrouter hatte. Falls notwendig kann ich aber einen Mikrotik zur Koppelung dazwischen stecken.

Auf der 111.111.111.0/24 Seite steht (bisher und auch nicht geplant) kein VPN Server. Dort gibt es nur einen Client, welcher Wireguard als Client ausführt und sich mit dem VPN Server im 111.111.101.0/24 verbindet.
Mitglied: aqui
aqui 11.12.2019 aktualisiert um 11:51:11 Uhr
Goto Top
Also sieht es so aus wie oben skizziert...?!
Dort kannst du sehen WO du UDP Port Forwarding eintragen musst für Wireguard.
Und wie man das WireGuard wasserdicht auf deinen Servern konfiguriert und die Connectivity checkt kannst du hier nachlesen:
https://www.heise.de/select/ct/2019/5/1551091519824850
und
https://www.heise.de/ratgeber/Einen-eigenen-VPN-Server-mit-WireGuard-bau ...
Zur der mehr als problematischen IP Adressierung deiner lokalen IP Netze ist oben ja schon alles gesagt. Damit verstösst du so ziemlich gegen alle IP Adressierungsregeln für lokale Netze. Als Anfängerfehler kann man das schon nicht mehr bezeichnen... face-sad Es sei denn du bist in Japan..?!?
inetnum: 111.96.0.0 - 111.111.255.255
descr: KDDI CORPORATION
descr: Garden Air Tower,3-10-10,Iidabashi,Chiyoda-ku,Tokyo,102-8460,Japan
country: JP
status: ALLOCATED PORTABLE
remarks: Email address for spam or abuse complaints abuse@dion.ne.jp
last-modified: 2015-12-01T22:21:21Z
source: APNIC
address: Urbannet-Kanda Bldg 4F, 3-6-2 Uchi-Kanda
address: Chiyoda-ku, Tokyo 101-0047, Japan
e-mail: hostmaster@nic.ad.jp
Mitglied: Sionzris
Sionzris 11.12.2019 aktualisiert um 11:52:56 Uhr
Goto Top
Zitat von @aqui:

Ein gravierender Fehler fällt da sofort auf !
Die 111.111.... IP Adressen gehören dir nicht ! Solche öffentlichen IP Adressen die dir NICHT zugewiesen sind zu verwenden ist ein NoGo !
Hier sollten immer die privaten RFC 1918 IP Adressen verwendet werden !!!
https://de.wikipedia.org/wiki/Private_IP-Adresse#Private_Adressbereiche

Ok, das lässt sich ja ändern, war halt sehr praktisch weil es viel schneller geht die IPs in allen möglichen Geräten einzutragen. Aber daran sollte es nicht scheitern oder?

Mir war nicht bewusst das es irgendjemanden stört welche IPs ich in meinem lokalen Netz nutze. Werde es umgehend ändern.
Mitglied: Sionzris
Sionzris 11.12.2019 um 23:59:11 Uhr
Goto Top
Ich habe jetzt meine IPs umgestellt. 192.168.111.0 (LAN), 192.168.110 (Server) und 192.168.105.0 (Tunnel). Außerdem konnte ich meine Probleme alle beheben (gut die Routerkaskade ist noch nicht eingerichtet, das kommt aber erst am anderen Standort).

Eine Sache habe ich noch. Zurzeit sind sowohl auf meinem Xubuntu als auch auf meinem Windowsclient die Firewalls aus. Wollte das ganze ohne Ärger von denen testen. Alles was ich will funktioniert. Sogar besser als ich dachte!

Aber worauf ich hinaus will: Gibt es irgendwo eine Anleitung oder eine Liste mit Ports für Firewall Einstellungen die ich für RDP, Filesharing (SMB), MySQL (ok der erklärt sich sozusagen von selbst) und halt so typische Sachen brauche an die ich gerade nicht denke?

P.s.: Sorry nochmal wegen den IPs, ich hab mir absolut nix dabei gedacht, außer das es so 10x schneller geht die IPs in grob 30 Geräte über Fernbedienungen einzutippen.
Mitglied: aqui
aqui 12.12.2019 aktualisiert um 13:16:23 Uhr
Goto Top
Ich habe jetzt meine IPs umgestellt.
10.111.111.0 /24 oder 10.111.101.0 /24 wären ja noch ähnlicher gewesen ! face-wink

Oben in der Zeichnung fehlt noch etwas ganz Wichtiges:
In den jeweiligen Routern "FritzBox 2" und "Router" müssen zwingend noch statische Routen für die remoten Netze eingetragen werden !!
Klar, denn diese lokalen Router sind ja jeweils die Default Gateways der lokalen Geräte dort im Netz. Wenn diese den Weg in die remoten VPN Netze via WireGuard Server/Router nicht kennen werden die zum Provider geroutet und damit dann ins Nirwana !
Fazit: Ohne diese statischen Routen geht es NICHT !!!

FritzBox 2:
Zielnetz: 111.111.101.0, Maske: 255.255.255.0, Gateway: 111.111.111.4

Router:
Zielnetz: 111.111.111.0, Maske: 255.255.255.0, Gateway: 111.111.101.6

Korrigierte L3 Topologie Zeichnung:

fbwg

Das ist jetzt mal mit der alten falschen Adressierung gemacht damit es zur o.a. Netzwerk Skizze passt und verständlicher ist.
Auf die neuen Adressen bezogen sähe es dann analog so aus sofern die Hostadressen der jeweiligen WireGuard Server gleich geblieben sind:
FritzBox 2:
Zielnetz: 192.168.101.0, Maske: 255.255.255.0, Gateway: 192.168.111.4
Router:
Zielnetz: 192.168.111.0, Maske: 255.255.255.0, Gateway: 192.168.101.6
Mitglied: Sionzris
Sionzris 12.12.2019 um 16:39:01 Uhr
Goto Top
Das mit den statischen Routen war mir schon klar aber danke für den Hinweis face-smile

Habe aber bewusst nur beim "Router" welche eingetragen, da ich gar nicht möchte das jemand aus dem Server raus kommt. Der wird direkt über sein wg0 angesprochen und das reicht auch. So kann ich auch entspannt die firewall für private Netzwerke weiterlaufen lassen -ich will ja gar nicht ausbrechen. Ich glaube bei Windows wäre das eh nicht so trivial wie bei Xubuntu nur net.ipv4.ip_forward=1 und net.ipv4.conf.all.proxy_arp=1.

Vermutlich auch nicht so "richtig" aber hoffentlich nicht so schlimm wie mit meinen IPs.

Ich fühle mich allerdings immernoch sehr unsicher so ganz ohne Software Firewall (ich krieg die unter Linux einfach nicht richtig zum laufen, also ist sie jetzt deaktiviert). Klar hab ich nen NAT aber auch immerhin einen Port (IPv4 und IPv6) direkt auf den PI330 (VPN Server) für WireGuard gesetzt.
Mitglied: aqui
aqui 12.12.2019 aktualisiert um 17:01:25 Uhr
Goto Top
Wozu denn eine Firewall ?! Ist doch Unsinn, denn die Server befinden sich ja gesichert hinter der Firewall des Routers. Ins Internet kommt also rein gar nix. Wo ist also dein Problem da ?
Einzig der Port UDP 51820 für WG hat du nach intern geöffnet aber nur auf die IP des jeweiligen VPN Servers. OK, das Optimum ist das nicht aber noch tolerabel.
Besser wäre natürlich du etablierst das VPN direkt auf dem Router damit du nicht solche Löcher in die Firewall bohren musst.
Die FritzBox kann ja VPN, die Frage ist dann welche HW "Router" ist ob der ggf. auch ein VPN Router ist oder wenn nicht du dort ggf. einen Router kaskadieren kannst oder diesen Router tauschen kannst gegen einen VPN Router.
Guckst du dazu auch hier:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Mitglied: Sionzris
Sionzris 12.12.2019 aktualisiert um 18:14:58 Uhr
Goto Top
Das mit dem NAT ist mir durchaus klar, und ich hoffe das hinter dem NAT, also falls sich mal etwas was einfängt der Fakt das ich auschließlich Windows und Android clients neben dem Xubuntu VPN Server habe die Viren nicht frei auf diesen hüpfen lässt.

Leider ist auch der "Router" Router nur eine Fritzbox und da ich Datenraten im Bereich von 300-400mbit im VPN anpeile, wird das mit den Firtzboxen wohl nix (lachhafte 2-3mbit wurden mir neulich gesagt). Ich habe schonmal überlegt mir eine richtige Firewall einzurichten, ich habe irgendwo noch eine mittelgroße Juniper rumfliegen, aber erstmal brauche ich eine Pause vom "ausprobieren". Das ist alles Hobby für mich und entsprechend lange brauche ich auch bis alles läuft.
Mitglied: aqui
aqui 12.12.2019 um 22:24:50 Uhr
Goto Top
der Fakt das ich auschließlich Windows und Android clients
Wie gruselig ! Die auf die sich der ganze bekannte Viren und Malware Zirkus zu 98% konzentriert....! Aber egal, jeder bekommt das OS was er verdient ! face-wink
Leider ist auch der "Router" Router nur eine Fritzbox
Wäre ja dann ideal wenn dann das nicht wäre....
von 300-400mbit im VPN anpeile,
Aussichtslos mit einer FB die wegen der schwachbrüstigen CPU gerade mal 2-3 Mbit schafft. Vergessen....!
ich habe irgendwo noch eine mittelgroße Juniper rumfliegen
Da bist du dann im Bereich der richtigen HW dafür. Ne pfSense/Opensense auf einer geeigneten Plattform kommt auch dahin.
aber erstmal brauche ich eine Pause
Macht ja auch Sinn in dieser Jahreszeit ! 🎅