Brauche Hilfe für die Einrichtung Android Wireguard

laurent

Mitglied
Mitglied seit
17 Jul 2014
Beiträge
346
Punkte für Reaktionen
9
Punkte
18
Hallo

ich habe auf meinem Linuxserver Wireguard eingerichtet,war kein Problem.

Aber wie richte ich WG auf meinem Android Smartphone ein um mich mit dem Server zu verbinden?

Da gibt es zwei Dinge zu konfigurieren. Einmal "Interface" zum anderen "Teilnehmer"

Beim Interface wird der Öffentliche und Private Schlüssel per Knopfdruck generiert.

Beim Teilnehmer kommt der Öffentliche Schlüssel vom Server rein? und wo muss der Privatkey vom Server hin?

Was bedeuted "Vorab geteilter Schlüssel"?
 
Ich hab einfach Wireguard auf meinem Android-Handy installiert und danach QR-Code scannen "gesagt" und den QR-Code von der FB-Oberflache am PC eingescannt. Da gab's keine weiteren Einstellungen. War in weniger als einer Minute erledigt.
 
Zuletzt bearbeitet von einem Moderator:
Beim Teilnehmer kommt der Öffentliche Schlüssel vom Server rein? und wo muss der Privatkey vom Server hin?
Der private Schlüssel verläßt das Gerät nie. Aber der öffentliche Schlüssel des Handys muß beim Peer auf dem Server eingetragen werden. Ich habe den immer als Email an mich selbst versendet um ihn am PC auf den Server zu kopieren.
Welches System läuft auf dem Server?
 
Hallo @laurent,

wenn ich mir deine (berechtigte) Frage so durchlese, dann kommt mir der kleine Verdacht, dass es bei dir noch "ganz kleine" Lücken bei der Erstellung der benötigten Konfiguration gibt. (Frage nach dem "Vorab geteilten Schlüssel")

Du musst eine .conf für jeden Client in der Art des folgenden Beispieles erzeugen. Wo du die Schlüsselpaare und den PSK generierst, ist prinzipiell egal. Das kannst du auf dem RasPi und auch auf dem Client machen. Wichtig ist, dass du NUR auf dem jeweiligen VPN-Endpunkt (RasPi bzw. Androide) den private key für das jeweilige Gerät hast und zusätzlich den public key der Gegenstelle. Dieses Prinzip gilt überall, wo du mit einer public-key-Verschlüsselung arbeitest.
Der von dir erwähnte "Vorab geteilte Schlüssel" ist ein symmetrischer Schlüssel, welcher mit "genpsk" erzeugt wird und identisch auf beiden Geräten importiert werden KANN. Dieser PSK ist ein symmetrischer Schlüssel, welcher die kryptologische Härte des VPN steigert - er ist aber nicht (oder auch nicht gleich zu Beginn) erforderlich.

Ich habe mir angewöhnt, für jedes Gerät eine richtige Konfigurationsdatei per Texteditor zu erstellen und diese Datei dann mit einem Programm wie "qrencode" zu einem QR-Code umzuwandeln und dann direkt über die Importfunktion des WG-Clients zu importieren. Also genau so, wie Benares es beschrieben hat. Es hindert dich aber niemand daran, die einzelnen Bestandteile "händisch" oder über die Zwischenablage einzutragen.

OK?
Weitere Fragen gerne.

vy 73 de Peter


edit:
Da habe ich doch die Beispielkonfiguration vergessen …

Code:
[Interface] # <client> nach <WG-Server> <== eine reine Bezeichnung
PrivateKey = <des jeweiligen Clients für diese Verbindung>
Address = 192.168.22.xx/32, fd00:22::xx/64        # <udp-Verbindung für WG>     
DNS = 1.1.1.1,2606:4700:4700::1111                  # <entweder DNS im INet, oder ...>
# DNS = 192.168.100.32,fd00::a8fb:be0a:7c9:3ba9     # <ein pi-hole im jeweiligen Zielnetz>

[Peer] # <WG-Server im Zielnetz>
PublicKey = ölkjlökjlkjklöjlökjjkljkl=                       #... des Zielservers für diese Verbindung
PresharedKey = <der PSK für die Verbindung dieses Clients mit diesem Server>
Endpoint = <DynDNS-Name>.dynv6.net:4xxxx
AllowedIPs = 0.0.0.0/0, ::/0                # zu erreichendes Netz, 0.0.0.0 oder jeweiliges Heimnetz, testen!
 
Bei mir ist der WG-Server eine Fritzbox mit openWRT. Der dort über die GUI (Luci) verfügbare QR-Code überträgt nur einen Teil der Konfiguration, IP, erlaubte IPs und Dyndns-Name nebst Port muß man händisch ergänzen und den öffentlichen Schlüssel des Peers zurück zum Server übertragen. Das kann sich mit der nächsten openWRT-Version aber noch ändern, in der vorherigen Version war gar kein QR-Code und noch keine Keyerzeugung über Luci integriert.
 
verbunden bin ich jetzt aber ich kann mich jetzt in meinem Heimnetz mit keinem Gerät mehr verbinden und internetseite lassen sich auch nicht öffnen.

Ausgabe WG Server

Code:
interface: wg0
  public key: wVTe95iM+LhnUBWb1vxxxxxxxxxxxxxxxxxxxxxxxxx
private key: (hidden)
listening port: 51820

peer: sdHfF6SyUbMWAmffoHMcxxxxxxxxxxxxxxxxxxxxxxxxxx
endpoint: 192.168.1.160:48579
allowed ips: 192.168.206.2/32
latest handshake: 2 minutes, 36 seconds ago
transfer: 7.29 KiB received, 920 B sent
 
Da wir den Rest Deines Netzwerkes und die dort verwendeten IPs nicht kennen, kann niemand sinnvoll antworten.
 
OK,

Mein Router hat die IP 192.168.1.1
Der Server auf dem WG läuft 192.168.1.102
 
Du hast für das Wireguard-Netz eine IP aus dem gleichen Bereich verwendet wie für Dein Heimnetz. Das geht nicht.
192.168.1.160
 
Man kann das schon hinfummeln, ich benutze das auch:
proxy_arp + die passende Route
 
Habe in der Config vom Server den Endpoint geändert und wg gestartet.

aber WG zeigt in der Console immer 192.168.1.160 an.

Code:
 endpoint: 192.168.1.160:43011
  allowed ips: 192.168.206.2/32
  latest handshake: 32 seconds ago
  transfer: 6.29 KiB received, 1016 B sen

hier mal die Config vom Server

Code:
[Interface]
Address = 192.168.206.1/24
SaveConfig = true
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o ens18 -j MASQUERADE; ip6tables -A FORWARD -i wg0 -j ACCEPT; ip6tables -t nat -A POSTROUTING -o ens18 -j MASQUERADE; iptables -A>
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o ens18 -j MASQUERADE; ip6tables -D FORWARD -i wg0 -j ACCEPT; ip6tables -t nat -D POSTROUTING -o ens18 -j MASQUERADE; iptables >
ListenPort = 51820
PrivateKey = wBisUZQj5VhDyCziH91Yxxxxxxxxxxxxxxxxxxx

[Peer]
PublicKey = sdHfF6SyUbMWAmffoHMcxxxxxx
AllowedIPs = 192.168.206.2/32
Endpoint = ????????
 
AllowedIPs = 192.168.206.2/32
Auf beiden Seiten steht das in der Konfig. Damit schränkst du die Kommunikation natürlich auf exakt einen Host ein, nämlich auf 192.168.206.2. Wer ist das? Der Client? Weil der Address Eintrag fehlt oben in der Client-Konfig.

Wenn ich dein Netz so sehe, dann muss auf Client Seite der Eintrag so aussehen:
Code:
AllowedIPs = 192.168.206.0/24,192.168.1.0/24
Damit können sich die VPN Clients gegenseitig erreichen, und sie haben Zugriff aufs Heimnetz. Alternativ:
Code:
AllowedIPs = 0.0.0.0/0
Dann fließt auch der gesamte Internetverkehr durch den VPN Tunnel.

Prinzipiell: Du machst NAT im VPN Server. Das heißt u.a., beim Internetzugang über VPN baust du eine Routerkaskade. Außerdem kannst du damit nicht aus deinem Heimnetz auf die VPN Clients zugreifen. Alternative wäre eine Statische Route im Heimnetz, vorzugsweise im Default Gateway.
Ach so, und IP Forwarding muss auf dem VPN Server an sein. Das steht nicht in der Konfig, also muss man es manuell aktivieren.
 
Habe es umgeändert auf 0.0.0.0/0.Auch keine Besserung

Code:
nterface: wg0
  public key: wVTe95iM+LhnUBWb1vtt2CLxPeEzQAKhxdASxqt/DkI=
  private key: (hidden)
  listening port: 51820

peer: sdHfF6SyUbMWAmffoHMcpi1w2bYpAO3qRAWqHgfXLDo=
  endpoint: 192.168.1.160:35865
  allowed ips: 0.0.0.0/0
  latest handshake: 1 minute, 24 seconds ago
  transfer: 10.79 KiB received, 1.42 KiB sent
root@Laurentskubuntu:/home/laurent#


Ich hänge auch mal die Konfiguration der Android App ran vielleicht ist da was falsch.

Edit wo die Endpoint IP herkommt keine Ahnung.Ich weiss auch nicht wo die geändert wird.
 

Anhänge

  • Screenshot_20220210-172745_WireGuard.jpg
    Screenshot_20220210-172745_WireGuard.jpg
    250 KB · Aufrufe: 14
Zuletzt bearbeitet:
Könnte es vielleicht sein, dass der "Endpunkt" der DynDNS-Name ist, unter welchem der "Teilnehmer" (=> der Wireguard-Server) erreichbar ist?
Aber auf meine Beiträge willst du ja nicht eingehen …
 
Nur noch mal zur Klarstellung: Wenn du in deinem Heimnetz bist und eine VPN Verbindung zu deinem Heimnetz aufbaust, dann wird das natürlich nicht funktionieren. Für den realen Einsatz musst du die Verbindung von außen aufbauen, z.B. über Mobilfunk. Die Endpunkte müssen entsprechend angepasst werden. Ggf. auch die PersistentKeepAlive Option aktivieren.
 
Ich finde, gerade das funktioniert dank Wireguard trotzdem, auch wenn es wirklich keinen Sinn macht. Ist halt so, wie wenn man eine zweite LAN-Karte ins eigene LAN hätte, wenn man das so an einem PC im eigenen Heimnetz aufsetzt.

Hier mal die WG-Konfi, die mir meine FB für den Zugang generiert hat. Heimnetz ist 192.168.0.0/24, .1 ist der Router. example.com steht für meinen DDNS-Namen. .203 knüpft dort an, wo meine bisherigen IPSec-VoIP-Zugänge aufhören.
Code:
[Interface]
PrivateKey = KPT0L8C7IzJ9n...
Address = 192.168.0.203/32
DNS = 192.168.0.1, FB7590-1

[Peer]
PublicKey = zQNzS1cyOrsg/2...
PresharedKey = LyceeBRIe49kfS/12q...
AllowedIPs = 192.168.0.0/24, 0.0.0.0/0
Endpoint = example.com:51022
PersistentKeepalive = 25

Edit:
Der Zugriff auf alle internen Geräte und auch ins Internet klappt damit problemlos, nur die Fritzbox selbst verhält sich, wie wenn man von außen käme (Anmeldung mit User/Passwort anstatt nur Passwort). Aber das ist auch vom Handy aus so, egal ob im eigenen WLAN oder wirklich von extern.
 
Zuletzt bearbeitet von einem Moderator:
Ich finde, gerade das funktioniert dank Wireguard trotzdem, auch wenn es wirklich keinen Sinn macht.
Das kommt halt immer drauf an. Wenn das Routing im VPN Client so verändert wird, dass der VPN Server plötzlich im VPN Tunnel gesucht wird, dann wird es nicht funktionieren. Bei @laurent kann das so sein.
 
@Peter_Lehmann
Ich bin auf deinen Beitrag eingegangen sonst wäre ich nicht soweit gekommen.
Ich habe gedacht zum ausprobieren reicht das Heimnetz.
Ich wusste nicht das es damit nicht funktioniert.
 
Das kommt halt immer drauf an. Wenn das Routing im VPN Client so verändert wird, dass der VPN Server plötzlich im VPN Tunnel gesucht wird, dann wird es nicht funktionieren
Kommt es nicht auf die Metrik der beiden Interfaces an? Ich schau mir das mal bei Gelegenheit genauer an.
 
Jetzt habe ich es soweit hinbekommen das ich über Mobil auf mein Heimnetz komme.Kann auf meinen Server zugreifen mit ssh und samba.Auch Fritzphon funktioniert.

Was aber nicht funktioniert Sind die Browser.Ich bekomme keine Seite geladen. Als Namenserver habe ich den von Google in der App 8.8.8.8, 8.8.4.4 andere habe ich auch ausprobiert.

Was kann das sein?
 

Zurzeit aktive Besucher

Statistik des Forums

Themen
245,874
Beiträge
2,241,707
Mitglieder
373,176
Neuestes Mitglied
tom.ip
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.