[Erledigt] Keine Verbindung zum Wireguard VPN

Aurrias

Neuer User
Mitglied seit
10 Nov 2019
Beiträge
13
Punkte für Reaktionen
1
Punkte
1
Hallo zusammen,

ich hatte mich hier schon ein wenig schlau gemacht, dass es hier wohl notwendig wäre, um eine Verbindung zum Raspberry Pi zu bekommen, bei dem Wireguard installiert, hier eine Statische IP-Route einzurichten.

Ich bin mir leider nur unsicher welche Werte ich da eingeben müsste. Portfreigaben wurden auch schon eingerichtet.

Wireguard wurde über diese Anleitung eingerichtet. Als DNS hatte ich hier die feste IP vom Raspberry PI eingerichtet.

Meine Fritzbox 7590 hat die IP-Adresse 192.168.101.4
Mein Raspberrry PI hat die feste IP-Adresse 192.168.101.37

Ich hoffe jemand von euch kann mir da, bitte, weiterhelfen.

Mfg Aurrias
 
Zuletzt bearbeitet:
Hallo Aurrias,

Du hast leider nicht geschrieben, wie weit Du schon gekommen bist, z.B. ob die Verbindung zwischen VPN-Client und VPN-Server funktioniert. Daher kann man nur vermuten, wo es gerade genau hängt. Daher hier etwas zur "statischen Route" auf der Fritzbox.

Ich habe ein OpenVPN eingerichtet. Wenn die Verbindung zwischen VPN-Client und VPN-Server steht, können IP-Pakete vom VPN-Client zum VPN-Server und vom diesen zu anderen Rechnern im Netz des VPN-Servers gesendet werden. Der VPN-Client benötigt hierzu natürlich eine entsprechende Route (192.168.101.0/24 -> 10.10.10.1). Der VPN-Server muß IP-Forwarding durchführen.

Diese anderen Rechner werden aber ihre Antwort an das Default-Gateway senden, sofern man nicht auf ihnen die spezielle Rück-Route zum VPN-Server konfiguriert (10.10.10.0/24 -> 192.168.101.37). Mit der statischen Route auf dem Default-Gateway kann man das Problem zentral lösen. Das wird in dem von Dir verlinkten Beitrag auch in den Kommentaren erläutert. Hier ein Bild, wie das in Deiner Fritzbox wohl aussehen müßte:

Route.png

Grüße.
 
Hallo Aurrias,

Du musst in den Netzwerkeinstellungen eine statische IPv4 Route anlegen:

IPv4-Netzwerk: 10.10.10.0
Subnetzmaske: 255.255.255.0
Gateway: 192.168.101.37
 
Hallo und vielen Dank für die Antworten.

Ich hatte jetzt die IP-Route soweit eingestellt und leider brachte dies keinen richtigen Erfolg. Es kam hier eine Verbindung zwischen Client und Server zustande.

Ich werde anhand einer anderen Anleitung den VPN mit Wireguard einrichten.

Ich werde euch, hier morgen informieren, ob es mit dieser Anleitung geklappt hat.
 
Hallo Aurrias!

Ich bin schon vor etlichen Monaten mit meinem umfangreichen VPN-Netz (Netz: ein "Dreieck" zwischen "Eifel" - "Sachsen" - und "Dänemark" sowie von jedem dort stehenden WG-Server auf RasPi zu bzw. von bis zu jeweils 10 Clients) vom AVM-VPN zu Wireguard gewechselt.
Bei der Ersteinrichtung habe ich mich gründlich in der Originaldokumentation des Projektes, im Ubuntu-Wiki und letztendlich bei den vielen guten und sehr hilfreichen Beiträgen von heise.de (gg: wireguard c't) informiert. Letzteres die absolute Empfehlung. Wenn du das exakt abarbeitest, MUSS es funktionieren. Für mich kamen diese Beiträge leider zu spät, so dass ich die "Ochsentour" gehen musste.

Zuerst einige Fragen an dich:
- Was hast du für einen DSL-Zugang (echten Dualstack oder dessen verkrüppelte Version "DS-lite")
- Wie teilst du den jeweiligen Gegenstellen die IP des zu erreichenden Servers mit (welcher DynDNS-Dienst wird genutzt)
- Welche IP-Version soll genutzt werden.
- Wie sollen deine WG-Server mitbekommen, wenn die IP der Gegenstelle sich ändert (Zwangstrennung, nur wichtig bei mehreren WG-Servern untereinander)
- Was genau, ist der gegenwärtige Stand? (was sagt "wg" auf dem RasPi)

Zur statischen Route wurde ja schon einiges gesagt.
Und die interne Weiterleitung (udp und verwendeter WG-Port auf den WG-Server) ist bestimmt auch schon eingerichtet?

MfG Peter

edit:
"Als DNS hatte ich hier die feste IP vom Raspberry PI eingerichtet."
Was meinst du damit? Hast du auf dem RasPi einen DNS-Server wie bspw. "pi-hole" installiert? Wenn nicht, dann als DNS-Eintrag für die Clients zuerst mal einen offiziellen DNS (bspw. 1.1.1.1) nehmen. Wenn alles funktioniert, kannst du immer noch die IP der F!B oder einen pi-hole nehmen.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Aurrias
Hallo Peter,

erstmal will ich deine Fragen beantworten:

- Was hast du für einen DSL-Zugang (echten Dualstack oder dessen verkrüppelte Version "DS-lite")
Ich hab VDSL über die Telekom mit echten Dualstack

- Wie teilst du den jeweiligen Gegenstellen die IP des zu erreichenden Servers mit (welcher DynDNS-Dienst wird genutzt)
Hierfür würde ich gerne MyFritz benutzen.

- Welche IP-Version soll genutzt werden.
Hier bin ich gerade überfragt und weiß nicht was du damit meinst.

- Wie sollen deine WG-Server mitbekommen, wenn die IP der Gegenstelle sich ändert (Zwangstrennung, nur wichtig bei mehreren WG-Servern untereinander)
Ich will hier enur einen WG-Server benutzen der als Empfänger dienen soll für mehrere Clienten bzw. einen Travel Router

- Was genau, ist der gegenwärtige Stand? (was sagt "wg" auf dem RasPi)
Momentan befindet sich der RasPi wieder im Ursprungszustand, nachdem er gestern Abend, auf nichts mehr reagiert hat. Das Betriebssystem Buster lite ist wieder im Ursprungszustand aufgespielt worden.

Die Interne Weiterleitung hatte ich auch soweit eingerichtet.

Vielen Dank schonmal für deinen Tipp und ich werde mir auch diesen heise Artikel auch durchlesen.
 
Danke für deine Antworten auf meine Fragen.
Mit IP-Version meinte ich v4 oder v6 ;-) WG kann nämlich unter beiden Versionen arbeiten und auch IPv4 und v6 übertragen.

Nutzung von MyFritz:
Hier kann es passieren, dass der externe Client durch die ebenfalls mitgeteilte IPv6 (der F!B) verwirrt wird. Zum Testen evtl. mal in der F!B die IPv6-Unterstützung deaktivieren und einen reinen IPv4-Zugang nutzen. Ich habe mir den Dienst "dynv6.com" zu Nutze gemacht und für beide IP-Versionen je einen eigenen DynDNS-Namen angelegt. Bei reinem IPv4 entspricht die offizielle IP des WG-Servers ja auch der der F!B. Bei IPv6 ist die per MyFritz angezeigte IP die der F!B und der WG-Server holt sich eine eigene IPv6, welche du dann nicht erreichst. Deshalb muss (zumindest bei IPv6) der DynDNS-Client direkt auf dem WG-Server installiert sein. (Zum Testen kannst du natürlich auch mal temporär die per "ip a s" auf dem Androiden angezeigte IPv6 im Client eintragen, aber diese Frickelei ist wirklich nur zum Testen.)

Lese dir dann mal den Artikel aus c't 15/2019 "Schutz ausrollen" durch. Wie schon geschrieben, wenn du den exakt abarbeitest, funktioniert es "mit an Sicherheit grenzender Wahrscheinlichkeit" sofort. Es gab auch noch ein paar ergänzende Artikel, (FAQ), aber die sind, wenn du die c't nicht abonniert hast, nicht unbedingt nötig.

MfG Peter
 
Ah ok!

Ich würde es dann eher so wie du machen, und für IPv4 und v6 jeweils einen eigenen dyndns dann einrichten, wenn MyFritz, da solche Probleme macht.

Oder reicht das wie von dir beschrieben wenn es einen dyndns nur für IPv6 gibt?

Mfg Aurrias
 
Welches Update? Gebe mal hier im Forum den entsprechenden Befehl ein.
Oder meinst du den Patch von der c't? (wget https://ct.de ... patch) Hier kannst du mal nach dem wget ein -4 setzen, damit es per IPv4 passiert.
 
Hab es mittlerweile hingekriegt, dass es geupdatet wird auf dynv6.

Nun hab ich aber das Problem, dass wieder keine Verbindung, vom Clienten, auf den Server hergestellt werden kann.

Ich hab sogar schon die Domains von dynv6 in den DNS-Rebind-Schutz Liste für Ausnahmen aufgenommen, aber das brachte leider auch keine Abhilfe.

Zumindest zeigt wg show das es keine Verbindung gab.

Edit: Nach einen Versuch auch über einen Laptop im Netzwerk gab das Log folgendes aus:
019-11-11 20:22:15.327474: [TUN] [client1] peer(XL) - Handshake did not complete after 5 seconds, retrying (try 2)
2019-11-11 20:22:15.329313: [TUN] [client1] peer(XL) - Sending handshake initiation
2019-11-11 20:22:20.581535: [TUN] [client1] peer(XL) - Handshake did not complete after 5 seconds, retrying (try 2)
 
Zuletzt bearbeitet:
Ich gehe davon aus, dass dein VPN mit IPv4 laufen soll.
Stimmt die per "ping" auf dem via Mobilfunk eingebuchten Client mit der in der F!B angezeigten IP überein? (Erreicht der Client überhaupt "außerhäusig" den Server?) (*)
Hast du zu deinen Tests deinen Internetzugang mal auf "nur IPv4" geschaltet (alles raus, was Probleme machen könnte)?
Poste mal die wg0.conf deines RasPis (natürlich nur anonymisiert mit <secretKey> und angedeutetem DynDNS-Name!)
Poste die vollständige Konsolenausgabe der Befehle "wg-quick up wg0" und "wg-quick down wg0". Natürlich auch wieder mit erkennben und leicht anonymisierten Daten.
=> Ich will sehen, ob dein WG-Server überhaupt richtig läuft.
(*) Du kannst mir gerne mal deinen dynv6-Namen per PN schicken. Ich schicke dir dann die angezeigte IP zurück. Damit wenigstens das funktioniert.
 
Hier einmal meine wg0.conf:
[Interface]
ListenPort=40404
PrivateKey=(key)

[Peer]
PublicKey=(key)
AllowedIPs=192.168.42.100,fd00:42::100


Ausgabe von wg-quick wg0 -> wg-quick: `wg0' already exists
und von wg-quick down wg0 war die Ausgabe: [#] ip link delete dev wg0

Die dynv6-Namen schicke ich dir dann gleich zu.
 
Das sieht doch schon mal ganz gut aus. OK, der wg0 war schon aktiv. Einmal geht eben nur.
Du hast jetzt mit "wg-quick down wg0" die Schnittstelle deaktiviert => dann aktiviere sie wieder mit "wg-quick-up wg0" (das up hattest du bestimmt nur vergessen zu posten).
Und dann wieder die Ausgaben von wg-quick und von wg posten.

Tipp:
1.) Du kannst in der .conf Kommentare einfügen. Also bspw. [peer] # Client xyz Sonst siehst du nicht mehr durch, wenn es mal "viele" werden.
2.) Lege dir eine kleine Textdatei an, wo du tabellarisch zu jedem Server/Client die PrivateKeys und die PublicKeys reinkopierst. Dann kannst du besser sicherstellen, dass immer die richtigen Keys verwendet werden.

Wird schon ...

Du kannst gerne weitere Ergebnisse und Fragen posten. Der "IT-Rentner" geht jetzt noch eine Runde mit dem Hund und dann ins Bett. Ich mache morgen gerne weiter.

MfG Peter
 
Hier nun meine weiteren Ergebnisse.

Einmal von wg-quick up wg0:
[#] ip link add wg0 type wireguard
[#] wg setconf wg0 /dev/fd/63
[#] ip link set mtu 1420 up dev wg0
[#] ip -6 route add fd00:42::100/128 dev wg0
[#] ip -4 route add 192.168.42.100/32 dev wg0

dann von wg:
interface: wg0
public key: (key)
private key: (hidden)
listening port: 40404

peer: (key)
allowed ips: 192.168.42.100/32, fd00:42::100/128

Ich denke mal wir befinden uns auf den richtigen Weg!

Edit um 22:08 Uhr: ich hab es endlich geschafft! Es lag das einer der Schlüssel falsch war. Nun geht alles und es konnte eine Verbindung hergestellt werden! Danke dir nochmals Peter!

Mfg Aurrias
 
Zuletzt bearbeitet:
Edit um 22:08 Uhr: ich hab es endlich geschafft! Es lag das einer der Schlüssel falsch war. Nun geht alles und es konnte eine Verbindung hergestellt werden!

Das Ergebnis freut mich sehr.
Und was den 2. Satz betrifft, dann erinnere ich an mein 2. aus meinem letzten Beitrag.
Mit einem Server und einem Client kann man das alles noch "freihändig" machen. Wenn man noch einen zusätzlichen PSK einfügt, wird es schon ganz leicht unübersichtlich. Und wenn man dann(so wie bei mir) ein richtiges Netz mit mehreren Servern (LAN to LAN) und jeweils vielen Clients aufbaut, geht es nicht mehr "aus dem Kopf".

Wenn du weitere Fragen hast, bitte gerne.

MfG Peter
 
Hallo Peter,

ich hatte nun für einen Travel Router (GL-AR750s-ext) eine weitere Config angelegt. Das Problem ist nur mit der ist kein Internetzugriff möglich und ich weiß leider nicht woran es liegt.

Hier nochmal meine wg0.conf:
Code:
[Interface]
ListenPort=40404
PrivateKey=Key

#IPv6
[Peer]
PublicKey=Key
AllowedIPs=192.168.42.100,fd00:42::100

#Slate
[Peer]
PublicKey=Key
AllowedIPs=192.168.42.101

und hier meine Client2.conf:
Code:
[Interface]
PrivateKey=Key
Address=192.168.42.101/24
DNS=1.1.1.1

[Peer]
PublicKey=key
Endpoint=name.dynv6.net:40404
AllowedIPs=0.0.0.0/0
PersistentKeepalive = 25

Ein Handshake ist möglich mit dem Wireguard Server nur klappt leider nicht die Verbindung ins Internet.

Evtl. kann mir ja jemand hier weiterhelfen.

Mfg Aurrius
 
Ich schaue es mir morgen an. Der Hund ...
 
Hallo Aurrius,

tut mir leid, ich habs doch wirklich heute vergessen.
Also, in deinen beiden conf kann ich keinen Fehler sehen. Du schreibst ja auch, dass der Handshake funktioniert. Damit funktionieren die Namensauflösung des WG-Servers und der Tunnel.
(Ich würde nur noch immer den Eintrag für IPv6 anfügen, so wie du es in der wg0.conf machst.)

Überprüfe bitte noch einmal das Routing in der F!B.
Und dann verstehe ich noch nicht ganz, was du mit dem Travel Router genau machen willst. (Unterwegs per WLAN auf diesen Router und dann per VPN nach Hause?)
Willst du dann in deinem Heimnetz ein Gerät erreichen oder lediglich durch die F!B ins Internet?

MfG Peter
 
Hallo Peter,

kein Problem! Das Routing der Fritz!Box werde ich gleich mal kontrollieren. Wobei wo könnte da der Fehler liegen?

Der Travel soll dafür dienen, dass ich Geräte die ich benutze, sich dann mit dem VPN darüber auch verbinden und ich nicht für jedes Gerät ein neue Config machen muss. Dazu soll darüber einmal im Heimnetz ein Gerät erreicht werden wie auch der Internetzugang über die F!B gewährleistet werden.

Mfg Aurrias
 
Na ja ...
Ob diese Vorgehensweise wirklich die richtige ist, wage ich zu bezweifeln.
Wo siehst du das Problem, in deinem WG-Server mehrere (oder "viele") Clients einzutragen? Und wo siehst du das Problem, auf deinen Clients jeweils das Programm bzw. die App "Wireguard" zu installieren und eine Clientkonfiguration durchzuführen? Bei den (beiden mir bekannten) Apps für den Androiden kann die conf sogar innerhalb weniger Sekunden per QR-Code importiert werden. (Ja, steht auch alles in den bekannten Artikeln in der c't.) Und die WG-App für die WinDOSe ist sogar richtig gut gelungen.

Also einen Vorteil sehe ich bei deiner Konfiguration beim besten Willen nicht. Aber einen großen Nachteil!
OHNE eine Installation von WG auf deinen Clients bist du immer auf deinen Mobilrouter festgenagelt. Hast du ihn mal nicht mit oder gehst du über ein fremdes WLAN ins Netzt, sendest du "barfuß". Gerade bei öffentlichen Hotspots (oder bei den von bevorzugten und immer weiter verbreiteten "Freifunk"-Netzen) wird grundsätzlich das WLAN unverschlüsselt betrieben. Willst du etwa dann lieber deinen Mobilrouter benutzen, wo du "kostenloses" WLAN haben kannst?

Ich vergebe in meiner wg0.conf für alle meine eigenen Clients und für die Schlaufernsprechgeräte der Familie meines Sohnes je einen eigenen Zugang (also IP und Schlüsselpaar). Das tut weder mir noch meinen drei WG-Servern weh. Wichtig (wie schon geschrieben) ist die erwähnte Liste mit den Schlüsseln und IPs. Und auf allen (meinen) Geräten startet der WG-Client immer automatisch. Somit kann ich das nicht einmal vergessen.


MfG Peter
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.