[Gelöst] Wireguard-Server - kein Routing ins Heimnetz?

[Massa]

Hmm, ich sagte ja bereits: keine Ahnung, warum das bei mir nicht funktioniert hat - rein von meinem Netzwerkverständnis her hätte es mit den 192.168'er-Adressen genauso funktionieren müssen, wie mit den 10er...
...hat es aber nicht - warum das so ist, konnte ich nicht herausfinden.
Ich war dann einfach nur glücklich, als es plötzlich funktioniert hat - mit den 10'er-Adressen...

Übrigens waren meine Versuche mit OpenVPN als Server auch nicht erfolgreich - ich habe einfach keine Verbindung hinbekommen - vielleicht lag es bei mir ebenfalls an den verwendeten 192.168'er Adressen?!

Und nur weil es bei mir nicht funktioniert hat heißt nicht unbedingt, dass es generell nicht funktioniert...
...aber ich hake das ganze jetzt aber einfach als "seltsames und für mich nicht erklärbares Phänomen" ab

 

[Joe_57]

Hast du dabei beachtet, dass ein 10er Netz (Class A) eine andere Subnetz-Maske hat wie ein 192.168er Netz (Class C)?

 

[sf3978]

... hätte es mit den 192.168'er-Adressen genauso funktionieren müssen, wie mit den 10er...

Nur zur Info: Ich habe einen Beitrag im Internet gelesen, dass WG auf der FritzBox, mit einem 172er-Subnetz (172.16.0.0/12, Class B) auch funktioniert.

 

[Massa]

Hast du dabei beachtet, dass ein 10er Netz (Class A) eine andere Subnetz-Maske hat wie ein 192.168er Netz (Class C)?

nach meinem Wissen spielen die ehemals definierten Class-Netze heutzutage überhaupt keine Rolle mehr - und selbst wenn das 10er standardmässig ein Class A-Netz ist, definiere ich doch durch meine /24'er Subnetzmaske den Netzwerkanteil um...?!

 

[Joe_57]

Wenn dabei die ersten drei Oktette der Netzwerkadresse gleich bleiben, sollte das auch so funktionieren.
Leider wird darauf immer wieder mal vergessen!

 

[michael_wl]

Ich würde mich gerne hier ranhängen. Vielleicht hat jemand eine Idee bei meinem Problem und kann mir weiterhelfen.

Wireguard läuft auf meine Fritzbox 7490. Ich kann mich auch damit verbinden. Problem ist das die einzige erreichbare Adresse die Fritzbox selber ist. Keine einzige weitere IP Adresse ist zu erreichen.

Hier ein Bild was mir an der Fritzbox angezeigt wird. Kann auch gerne noch mehr zur Verfügung stellen wenn jemand eine Idee hat. Danke euch schon mal für jede Hilfe.



Als Ergänzung zu meiner Konfiguration. Die Fritzbox wird im LAN Betrieb verwendet hinter einem Hybrid Speedport.

 

[Massa]

Als Ergänzung zu meiner Konfiguration. Die Fritzbox wird im LAN Betrieb verwendet hinter einem Hybrid Speedport.

Poste mal die Konfigurationen (WG-Server, WG-Client).

Nur zur Sicherheit (müsste eigentlich so sein, sonst würde die Verbindung ja grundsätzlich nicht funktionieren):
Du hast ein UDP Port-Forwarding von Deiner Speedport-Box auf den WG-Port auf die FritzBox gemacht?
Und Deine Speedport-Box ist per dyndns-Dienst aus dem Internet erreichbar?

 

[michael_wl]

Hallo @Massa ,
danke schon mal für deine Antwort.
UDP Port-Forwarding auf der Speedport-Box habe ich gemacht. dyndns-Dienst funktioniert auch.


Hier meine Konfiguration:



WG-Server:

[Interface]
PrivateKey = <generierter FB-Server-Private-Key>
#Address = 10.6.0.1/24
ListenPort = 54591
### begin iPhone-Micha ###
[Peer]
PublicKey = <generierter FB-Server-Private-Key>
PresharedKey = <generierter FB-Server-PresharedKey>
AllowedIPs = 10.6.0.2/32
### end iPhone-Micha ###
### begin MacBook-Micha ###
[Peer]
PublicKey = <generierter FB-Server-Private-Key>
PresharedKey = <generierter FB-Server-PresharedKey>
AllowedIPs = 10.6.0.3/32
### end MacBook-Micha ###

WG-Client iPhone:

[Interface]
PrivateKey = <wireguard-Client-Private-Key>
Address = 10.6.0.2/24
DNS = 10.6.0.1, 192.168.1.112

[Peer]
PublicKey = <mit dem wireguard-Client generierter Public-Key>
PresharedKey = <generierter FB-Server-PresharedKey>
Endpoint = mydyndns.name:54591
AllowedIPs = 0.0.0.0/0, ::0/0

Die FritzBox ist auch immer erreichbar. Nur damit hat es sich dann auch gehabt.

 

[Massa]

kommentiere mal die PresharedKey-Zeilen aus und setze mal in die Client-Konfigurationen zum Einen Dein VPN-Netz und zum Anderen Deinen internen Netzbereich ein.
Also z.B. so: AllowedIPs = 10.6.0.0/24, 192.168.1.0/24

Die FritzBox ist auch immer erreichbar.

Was heißt bei Dir "erreichbar"?
Kannst Du die IP-Adresse der Fritte anpingen?
Geht das dann auch mit deren Hostname oder nur über die IP-Adresse?
Was ist mit anderen Rechner bei Dir im Heimnetz?

Bei mir war es übrigens so, dass die zweite DNS-Angabe beim Windows-Client als Domäne interpretiert wird, d.h. später dann als "Verbindungsspezifisches DNS-Suffix" gesetzt wird (und nicht als zweiter DNS-Server). Ob das ein Bug oder ein Feature ist, weiß ich nicht...

 

[michael_wl]

Hallo @Massa ,
ich habe das jetzt genau so umgesetzt.


Damit sind jetzt auch alle Adressen aus dem Netz erreichbar wie Google..... Soweit hatte ich das ganze auch schon mal gehabt.

Was leider auch so nicht funktioniert sind die internen Adressen außer der Fritzbox. Ich versuche das mal genau zu beschreiben.

Vom iPhone aus kann ich die Fritzbox über Mobile Daten sowohl über die IP-Adresse 192.168.1.2 als auch über den Hostnamen fritz.box erreichen. Es funktionieren sogar die FritBox Apps wie Fritz-Fon über Mobile Daten.

Nicht erreichbar ist alles andere was in meinem Heimnetz ist.
Als Beispiel der Speedport IP 192.168.1.1 oder der Raspberry IP 192.168.1.112.

Wobei ich da auch etwas nicht verstehe. Speedport IP 192.168.1.1 ist überhaupt nicht erreichbar. Werder über die IP-Adresse noch über den Hostnamen.
Auf dem Raspberry IP 192.168.1.112 erreiche ich den Apache Homepage Server welcher auch von außen aus dem öffentlichen Netz erreichbar ist.
Der PI-Hole GUI auf dem Raspberry mit IP 192.168.1.112:8093 ist wiederum nicht erreichbar.
Lasse ich den zweiten DNS 192.168.1.112 weg ist der Apache Homepage Server ebenfalls nicht erreichbar.

Ergänzung. DNS 192.168.1.112 Apache Homepage Server funktioniert nur bedingt. Es werden mir nur Texte angezeigt. Bilder werden nicht geladen.
Ergänzung 2: Ping mit einer App auf 192.168.1.1 ergibt:

Ping 192.168.1.112 gleiches Ergebnis.

Ping 192.168.1.2 FritzBox funktioniert.


Ergänzung 3:
So wie es aussieht ist über WG bei der FritzBox Schluss. Es geht nichts aus der FritzBox raus ins eigene Netz. Schade, finde keine Lösung dazu.
WG mit genau der gleichen Konfiguration auf dem Raspberry funktioniert wie es soll. Alle Traffic wird dort sauber über den Raspberry geleitet.

 

[michael_wl]

Hat jemand noch eine Idee?
Ich habe inzwischen auch Openvpn auf der Box am laufen mit genau dem gleichen Problem wie bei Wireguard. Alles nach der Box ist nicht erreichbar. Auch mit OpenVpn kann ich nur die FritzBox selber erreichen.
Wäre für jeden hinweiß dankbar.