Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Wireguard zwischen Windows Client und Xubuntu Server einrichten

Mitglied: Sionzris

Sionzris (Level 1) - Jetzt verbinden

11.12.2019, aktualisiert 11:24 Uhr, 345 Aufrufe, 11 Kommentare

Hi,

ich versuche mich zurzeit an einer Einbindung meines entfernten Servers in mein LAN über Wireguard.

Wenn alles läuft soll das ganze wie folgt aussehen:

1 - Klicke auf das Bild, um es zu vergrößern

Ziel ist es, von jedem der Clients im "grünen" LAN auf den Mediaserver im "orangenen" LAN zuzugreifen.

Zurzeit hänge ich aber noch an Schritt 1 fest:

Jeweils das Endgerät direkt an den Router angeschlossen, jeder Router baut die Internetverbindung direkt auf. (Habe zurzeit einen Kabel und DSL Anschluss zum Testen)

Wireguard Verbindung steht und der PI330 (mein VPN Server) ist auch vom Mediaserver pingbar (auf der .6 sowie auf der durch Wireguard eingerichteten .254) sowie Sachen wie Freigaben und Webserver vom piHole sind auch erreichbar. Leider funktioniert kein Kontakt vom PI330 zum Mediaserver hin. Ich habe inzwischen alles mögliche an den Einstellungen von Wireguard probiert aber das hier ist das beste Ergebnis das ich erzielen konnte.

  • Beide Router haben Port Freigaben eingerichtet
  • Der ListenPort ist fest eingestellt
  • Port ist in der Firewall freigegeben
  • net.ipv4.ip_forward=1
  • net.ipv4.conf.all.proxy_arp=1

Was mir außerdem komisch vorkommt:

  • Der PI330 ist bei aktivem Wireguard Interface nicht mehr per Remote Desktop erreichbar
  • piHole scheint weiter zu funktionieren der Webserver hiervon ist aber nicht erreichbar
  • Internet am Mediaserver geht nur wenn ich direkt einen DNS Server eingebe wie z.B. 1.1.1.1. Mit dem pihole oder jeweiligen Router geht es nicht.
  • pi330 ist normal im Internet

Leider kann ich das ganze nicht so recht in Einklang miteinander bringen. Erst wenn die Verbindung zwischen Pi330 und Mediaserver bidirektional funktioniert kann ich weiter machen.
Mediaserver und Pi330 haben nur einen Ethernet Port jedoch stände am PI330 noch AC-Wlan (mit Traumverbindung) oder USB3.0 zu Gbit zur Verfügung und für den Server hätte ich noch eine Netzwerkkarte, falls es daran liegt das ich 2 Leitungen brauche (wäre jetzt meine beste Vermutung, löst aber noch nicht die Einseitige Verbindung).

Hoffentlich hat jemand eine Idee was ich falsch gemacht habe, mir fällt nichts mehr ein.

Edit1: Ist es ein Problem wenn das lokale LAN und der remote Server unterschiedliche Subnetze haben? Also 111.111.111.0/24 und 111.111.101.0/24? Tunnelnetz ist 111.111.110.0/24.
Mitglied: aqui
11.12.2019, aktualisiert um 11:43 Uhr
Deine Netzwerkskizze auf seiten der FritzBoxen ist etwas verwirrend.
Wie sind diese beiden FritzBoxen genau gekoppelt ?
Versteht man es richtig ist das eine Router Kaskade. Sprich die obere FB ist die die den eigentlichen Internet Zugang realisiert und die untere hat ihr Modem deaktiviert und macht eine Kaskaden Kopplung via LAN Port 1 auf das LAN der oberen FB. Ist das so richtig ?
Auch die sehr eigenwillige Benennung der Host IP Adressen mit einem "%" davor verwirrt eher als das sie hilft. Darf man das so verstehen das damit immer ein ".4" oder ".254" gemeint ist ?

Eine übersichtliche Darstellung aus rein Layer 3 Routing Sicht sähe dann so aus:

wireg - Klicke auf das Bild, um es zu vergrößern

Ist das so richtig ?
Ein gravierender Fehler fällt da sofort auf !
Die 111.111.... IP Adressen gehören dir nicht ! Solche öffentlichen IP Adressen die dir NICHT zugewiesen sind zu verwenden ist ein NoGo !
Hier sollten immer die privaten RFC 1918 IP Adressen verwendet werden !!!
https://de.wikipedia.org/wiki/Private_IP-Adresse#Private_Adressbereiche
Bitte warten ..
Mitglied: Sionzris
11.12.2019, aktualisiert um 11:25 Uhr
Zitat von aqui:

Versteht man es richtig ist das eine Router Kaskade. Sprich die obere FB ist die die den eigentlichen Internet Zugang realisiert und die untere hat ihr Modem deaktiviert und macht eine Kaskaden Kopplung via LAN Port 1 auf das LAN der oberen FB. Ist das so richtig ?

Ja, so soll es am Ende sein, aber zuerst will ich die VPN Verbindung in beide Richtungen stehen haben bevor ich weitere Problemquellen mit aufnehme.

Zitat von aqui:

Auch die sehr eigenwillige Benennung der Host IP Adressen mit einem "%" davor verwirrt eher als das sie hilft. Darf man das so verstehen das damit immer ein ".4" oder ".254" gemeint ist ?

Ja genau, weiss nicht mehr wo ich mir das angewöhnt habe. Werde das im Text ändern.

Die Skizze habe ich mit Paint mehr für mich gebastelt dachte aber das Sie eher hilft als verwirrt :/
Bitte warten ..
Mitglied: Sionzris
11.12.2019, aktualisiert um 11:45 Uhr
Die Skizze sieht grob richtig aus (ich habe andere Ports aber das ist ja egal), aber:

Zwischen Fritzbox 1 und 2 soll eigentlich kein Koppelnetz bestehen, sondern nur Port Weiterleitung von 1 zu 2 sowie Internetverbindung. Netzwerktraffic wird zwischen den beiden nicht benötigt. So habe ich das schon mal gemacht als ich einen Telekom-Hybrid Zwangsrouter hatte. Falls notwendig kann ich aber einen Mikrotik zur Koppelung dazwischen stecken.

Auf der 111.111.111.0/24 Seite steht (bisher und auch nicht geplant) kein VPN Server. Dort gibt es nur einen Client, welcher Wireguard als Client ausführt und sich mit dem VPN Server im 111.111.101.0/24 verbindet.
Bitte warten ..
Mitglied: aqui
11.12.2019, aktualisiert um 11:51 Uhr
Also sieht es so aus wie oben skizziert...?!
Dort kannst du sehen WO du UDP Port Forwarding eintragen musst für Wireguard.
Und wie man das WireGuard wasserdicht auf deinen Servern konfiguriert und die Connectivity checkt kannst du hier nachlesen:
https://www.heise.de/select/ct/2019/5/1551091519824850
und
https://www.heise.de/ratgeber/Einen-eigenen-VPN-Server-mit-WireGuard-bau ...
Zur der mehr als problematischen IP Adressierung deiner lokalen IP Netze ist oben ja schon alles gesagt. Damit verstösst du so ziemlich gegen alle IP Adressierungsregeln für lokale Netze. Als Anfängerfehler kann man das schon nicht mehr bezeichnen... Es sei denn du bist in Japan..?!?
inetnum: 111.96.0.0 - 111.111.255.255
descr: KDDI CORPORATION
descr: Garden Air Tower,3-10-10,Iidabashi,Chiyoda-ku,Tokyo,102-8460,Japan
country: JP
status: ALLOCATED PORTABLE
remarks: Email address for spam or abuse complaints abuse@dion.ne.jp
last-modified: 2015-12-01T22:21:21Z
source: APNIC
address: Urbannet-Kanda Bldg 4F, 3-6-2 Uchi-Kanda
address: Chiyoda-ku, Tokyo 101-0047, Japan
e-mail: hostmaster@nic.ad.jp
Bitte warten ..
Mitglied: Sionzris
11.12.2019, aktualisiert um 11:52 Uhr
Zitat von aqui:

Ein gravierender Fehler fällt da sofort auf !
Die 111.111.... IP Adressen gehören dir nicht ! Solche öffentlichen IP Adressen die dir NICHT zugewiesen sind zu verwenden ist ein NoGo !
Hier sollten immer die privaten RFC 1918 IP Adressen verwendet werden !!!
https://de.wikipedia.org/wiki/Private_IP-Adresse#Private_Adressbereiche

Ok, das lässt sich ja ändern, war halt sehr praktisch weil es viel schneller geht die IPs in allen möglichen Geräten einzutragen. Aber daran sollte es nicht scheitern oder?

Mir war nicht bewusst das es irgendjemanden stört welche IPs ich in meinem lokalen Netz nutze. Werde es umgehend ändern.
Bitte warten ..
Mitglied: Sionzris
11.12.2019 um 23:59 Uhr
Ich habe jetzt meine IPs umgestellt. 192.168.111.0 (LAN), 192.168.110 (Server) und 192.168.105.0 (Tunnel). Außerdem konnte ich meine Probleme alle beheben (gut die Routerkaskade ist noch nicht eingerichtet, das kommt aber erst am anderen Standort).

Eine Sache habe ich noch. Zurzeit sind sowohl auf meinem Xubuntu als auch auf meinem Windowsclient die Firewalls aus. Wollte das ganze ohne Ärger von denen testen. Alles was ich will funktioniert. Sogar besser als ich dachte!

Aber worauf ich hinaus will: Gibt es irgendwo eine Anleitung oder eine Liste mit Ports für Firewall Einstellungen die ich für RDP, Filesharing (SMB), MySQL (ok der erklärt sich sozusagen von selbst) und halt so typische Sachen brauche an die ich gerade nicht denke?

P.s.: Sorry nochmal wegen den IPs, ich hab mir absolut nix dabei gedacht, außer das es so 10x schneller geht die IPs in grob 30 Geräte über Fernbedienungen einzutippen.
Bitte warten ..
Mitglied: aqui
12.12.2019, aktualisiert um 13:16 Uhr
Ich habe jetzt meine IPs umgestellt.
10.111.111.0 /24 oder 10.111.101.0 /24 wären ja noch ähnlicher gewesen !

Oben in der Zeichnung fehlt noch etwas ganz Wichtiges:
In den jeweiligen Routern "FritzBox 2" und "Router" müssen zwingend noch statische Routen für die remoten Netze eingetragen werden !!
Klar, denn diese lokalen Router sind ja jeweils die Default Gateways der lokalen Geräte dort im Netz. Wenn diese den Weg in die remoten VPN Netze via WireGuard Server/Router nicht kennen werden die zum Provider geroutet und damit dann ins Nirwana !
Fazit: Ohne diese statischen Routen geht es NICHT !!!

FritzBox 2:
Zielnetz: 111.111.101.0, Maske: 255.255.255.0, Gateway: 111.111.111.4

Router:
Zielnetz: 111.111.111.0, Maske: 255.255.255.0, Gateway: 111.111.101.6

Korrigierte L3 Topologie Zeichnung:

fbwg - Klicke auf das Bild, um es zu vergrößern

Das ist jetzt mal mit der alten falschen Adressierung gemacht damit es zur o.a. Netzwerk Skizze passt und verständlicher ist.
Auf die neuen Adressen bezogen sähe es dann analog so aus sofern die Hostadressen der jeweiligen WireGuard Server gleich geblieben sind:
FritzBox 2:
Zielnetz: 192.168.101.0, Maske: 255.255.255.0, Gateway: 192.168.111.4
Router:
Zielnetz: 192.168.111.0, Maske: 255.255.255.0, Gateway: 192.168.101.6
Bitte warten ..
Mitglied: Sionzris
12.12.2019 um 16:39 Uhr
Das mit den statischen Routen war mir schon klar aber danke für den Hinweis

Habe aber bewusst nur beim "Router" welche eingetragen, da ich gar nicht möchte das jemand aus dem Server raus kommt. Der wird direkt über sein wg0 angesprochen und das reicht auch. So kann ich auch entspannt die firewall für private Netzwerke weiterlaufen lassen -ich will ja gar nicht ausbrechen. Ich glaube bei Windows wäre das eh nicht so trivial wie bei Xubuntu nur net.ipv4.ip_forward=1 und net.ipv4.conf.all.proxy_arp=1.

Vermutlich auch nicht so "richtig" aber hoffentlich nicht so schlimm wie mit meinen IPs.

Ich fühle mich allerdings immernoch sehr unsicher so ganz ohne Software Firewall (ich krieg die unter Linux einfach nicht richtig zum laufen, also ist sie jetzt deaktiviert). Klar hab ich nen NAT aber auch immerhin einen Port (IPv4 und IPv6) direkt auf den PI330 (VPN Server) für WireGuard gesetzt.
Bitte warten ..
Mitglied: aqui
12.12.2019, aktualisiert um 17:01 Uhr
Wozu denn eine Firewall ?! Ist doch Unsinn, denn die Server befinden sich ja gesichert hinter der Firewall des Routers. Ins Internet kommt also rein gar nix. Wo ist also dein Problem da ?
Einzig der Port UDP 51820 für WG hat du nach intern geöffnet aber nur auf die IP des jeweiligen VPN Servers. OK, das Optimum ist das nicht aber noch tolerabel.
Besser wäre natürlich du etablierst das VPN direkt auf dem Router damit du nicht solche Löcher in die Firewall bohren musst.
Die FritzBox kann ja VPN, die Frage ist dann welche HW "Router" ist ob der ggf. auch ein VPN Router ist oder wenn nicht du dort ggf. einen Router kaskadieren kannst oder diesen Router tauschen kannst gegen einen VPN Router.
Guckst du dazu auch hier:
https://administrator.de/wissen/ipsec-vpn-praxis-standort-kopplung-cisco ...
Bitte warten ..
Mitglied: Sionzris
12.12.2019, aktualisiert um 18:14 Uhr
Das mit dem NAT ist mir durchaus klar, und ich hoffe das hinter dem NAT, also falls sich mal etwas was einfängt der Fakt das ich auschließlich Windows und Android clients neben dem Xubuntu VPN Server habe die Viren nicht frei auf diesen hüpfen lässt.

Leider ist auch der "Router" Router nur eine Fritzbox und da ich Datenraten im Bereich von 300-400mbit im VPN anpeile, wird das mit den Firtzboxen wohl nix (lachhafte 2-3mbit wurden mir neulich gesagt). Ich habe schonmal überlegt mir eine richtige Firewall einzurichten, ich habe irgendwo noch eine mittelgroße Juniper rumfliegen, aber erstmal brauche ich eine Pause vom "ausprobieren". Das ist alles Hobby für mich und entsprechend lange brauche ich auch bis alles läuft.
Bitte warten ..
Mitglied: aqui
12.12.2019 um 22:24 Uhr
der Fakt das ich auschließlich Windows und Android clients
Wie gruselig ! Die auf die sich der ganze bekannte Viren und Malware Zirkus zu 98% konzentriert....! Aber egal, jeder bekommt das OS was er verdient !
Leider ist auch der "Router" Router nur eine Fritzbox
Wäre ja dann ideal wenn dann das nicht wäre....
von 300-400mbit im VPN anpeile,
Aussichtslos mit einer FB die wegen der schwachbrüstigen CPU gerade mal 2-3 Mbit schafft. Vergessen....!
ich habe irgendwo noch eine mittelgroße Juniper rumfliegen
Da bist du dann im Bereich der richtigen HW dafür. Ne pfSense/Opensense auf einer geeigneten Plattform kommt auch dahin.
aber erstmal brauche ich eine Pause
Macht ja auch Sinn in dieser Jahreszeit ! 🎅
Bitte warten ..
Ähnliche Inhalte
Sicherheit
WireGuard VPN einrichten Windows
Frage von darklivingSicherheit11 Kommentare

Hallo zusammen, ich hoffe das mir hier jemand helfen kann bei einem Problem mit WireGuard VPN Einstellung im Server ...

Router & Routing
VPN Wireguard bidirektional betreiben
gelöst Frage von AvengaRouter & Routing7 Kommentare

Hallo erstmal, folgendes Szenario würde ich euch gern beschreiben: Netz A: FritzBox, Raspberry Wireguard Server, IP Bereich 192.168.168.x - ...

Router & Routing
Wireguard und routing tunneling
Frage von winlinRouter & Routing1 Kommentar

Hallo Community, ich möchte gerne Wireguard Server auf einem gemieteten vServer installieren und einen entsprechenden Client auf meiner Raspi ...

Debian

Debian iptables zu nftables übersetzen für Wireguard

Frage von AvengaDebian6 Kommentare

Hallo, ich betreibe Wireguard erfolgreich auf Debian9 und Raspian9. ich würde gern auf Debian 10 umsteigen. Leider konnte mir ...

Neue Wissensbeiträge
Router & Routing

Statische Route dauerhaft einrichten unter Ubuntu 18.04 LTS

Erfahrungsbericht von the-buccaneer vor 2 TagenRouter & Routing2 Kommentare

"Kann ja nicht so schwer sein, unter Ubuntu 18.04 LTS ne statische Route einzurichten", denkt der Windows-Admin und gelegentliche ...

Microsoft

Effect on customer websites and Microsoft services and products in Chrome version 80 or later

Information von Dani vor 2 TagenMicrosoft

Guten Abend zusammen, The Stable release of the Google Chrome web browser (build 80, scheduled for release on February ...

Drucker und Scanner

Kyocera PCL Barcode Flash SD v3.0 Firmware Update installieren

Tipp von Mana vor 4 TagenDrucker und Scanner1 Kommentar

Ich hatte eine vorhandene "PCL Barcode Flash SD v3.0 Type D/E", die bisher in einem Kyocera FS-4200DN verbaut war. ...

Sicherheit
0-day Schwachstelle im Internet Explorer
Information von kgborn vor 9 TagenSicherheit3 Kommentare

In Microsofts Internet Explorer gibt es eine 0-day Schwachstelle in der Scripting Engine, die faktisch alle Browser- und Windows-Versionen ...

Heiß diskutierte Inhalte
Ausbildung
In den Beruf IT-Systemadministrator gerutscht
Frage von TorwolfAusbildung20 Kommentare

Hallo zusammen, kurz zu meiner Person, ich bin 25 Jahre alt, habe die Fachhochschulreife und eine abgeschlossene Ausbildung als ...

Outlook & Mail
Mehrere Domänen User, selber PC, großer IMAP Account, Vorgehen?
Frage von heifumaOutlook & Mail19 Kommentare

Moin, Szenario: - Windows Server 2019 AD - Ein und derselbe PC im Netzwerk soll im Laufe der Arbeitswoche ...

Windows Server
DFS Zurgriff über Domain Steuerung
Frage von opc123Windows Server18 Kommentare

Hallo, wenn ich Freigegebene Ordner über \\"Domaine.de"\Datei aufrufen möchte innerhalb des DFS Pfades, habe ich oft kurzer Zeit kein ...

Windows 10
"System" verwendet Hosts-Datei
Frage von ankauf71Windows 1014 Kommentare

Hallo zusammen! Nachdem ich heute erfolglos versucht habe die Hosts-Datei zu ändern stellte ich fest das diese von einem ...