Wireguard auf Debian 10 -> iptables/nftables Problem
Re: Wireguard auf Debian 10 -> iptables/nftables Problem
sry, bin zu gefrustet, hab die VM wieder gelöscht.
Scheinbar geht beides nicht gleichzeitig (Pihole und Wireguard mit nftables)
Scheinbar geht beides nicht gleichzeitig (Pihole und Wireguard mit nftables)
Re: Wireguard auf Debian 10 -> iptables/nftables Problem
Warum soll das nicht möglich sein?Avenger hat geschrieben:23.03.2020 11:36:21Scheinbar geht beides nicht gleichzeitig (Pihole und Wireguard mit nftables)
Es ist aber so, iptables ist in wg-quick (das ist ein Script) hard-codiert. Stellt sich die Frage, was passiert wenn iptables nicht vorhanden ist _und_ in keiner einzigen conf-Datei vorhanden ist bzw. gar nicht erwähnt wird? Bekommst Du dann auch diese Fehlermeldung?
EDIT:
Evtl. kannst Du WireGuard auch so konfigurieren, dass wg-quick nicht erforderlich ist bzw. ignoriert wird.
Re: Wireguard auf Debian 10 -> iptables/nftables Problem
In Zeile 129. Das beudeutet wohl, daß wg-quick ein Skript ist, das man einfach anpassen kann.
Im Übrigen, "command not found" geistert seit gefühlt 2 Jahren durch dieses Forum und hat schlicht mit der Methode zu tun, wie man sich zu root macht. Ich habe einfach keine Lust mehr, in jedem zweiten Thread zu erklären, daß es an der PATH Umgebungsvariable liegt.
Re: Wireguard auf Debian 10 -> iptables/nftables Problem
Evtl. ja, aber ich denke, wenn es möglich ist, sollte man den WireGuard ohne wg-quick konfigurieren bzw. verwenden (... damit man mit WireGuard nicht von iptables abhängig ist).
EDIT:
Z. B. entweder mit der interfaces-Datei oder mit einem Script, das mit einer eigenen service-unit gestartet wird.
Re: Wireguard auf Debian 10 -> iptables/nftables Problem
wieso läuft es denn "out of the box" wenn Pi Hole nicht installiert ist ?
ich muss wohl bei Debian 9 bleiben. Für eure Links und Beschreibungen bin ich zu blöd.
ich muss wohl bei Debian 9 bleiben. Für eure Links und Beschreibungen bin ich zu blöd.
Re: Wireguard auf Debian 10 -> iptables/nftables Problem
Wenn das keine rhetorische Frage ist, musst Du uns die vollständige Konfiguration von WireGuard und die von PiHole zeigen .Avenger hat geschrieben:23.03.2020 14:19:58wieso läuft es denn "out of the box" wenn Pi Hole nicht installiert ist ?
Re: Wireguard auf Debian 10 -> iptables/nftables Problem
Wireguard:
/etc/dhcpcd.conf
...
slaac hwaddr (von mir)
...
interface eth0 (von Pi Hole)
static ip_address=192.168.168.5/24
static routers=192.168.168.1
static domain_name_servers=127.0.0.1
IPv4 Forwarding aktiv
fehlt noch was??
Code: Alles auswählen
[Interface]
Address = 192.168.99.1/24
ListenPort = 51820
PrivateKey = ***
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
[Peer]
PublicKey = ***
AllowedIPs = 192.168.99.2/32
[Peer]
PublicKey = ***
AllowedIPs = 192.168.99.3/32
[Peer]
PublicKey = ***
AllowedIPs = 192.168.99.4/32
[Peer]
PublicKey = ***
AllowedIPs = 192.168.99.5/32
[Peer]
PublicKey = ***
AllowedIPs = 192.168.99.6/32, 192.168.74.0/24
Endpoint = ***
PersistentKeepalive = 25
/etc/dhcpcd.conf
...
slaac hwaddr (von mir)
...
interface eth0 (von Pi Hole)
static ip_address=192.168.168.5/24
static routers=192.168.168.1
static domain_name_servers=127.0.0.1
IPv4 Forwarding aktiv
fehlt noch was??
Re: Wireguard auf Debian 10 -> iptables/nftables Problem
Hast Du jetzt iptables doch installiert?Avenger hat geschrieben:25.03.2020 07:34:29Wireguard:/etc/dhcpcd.confCode: Alles auswählen
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
...
slaac hwaddr (von mir)
...
interface eth0 (von Pi Hole)
static ip_address=192.168.168.5/24
static routers=192.168.168.1
static domain_name_servers=127.0.0.1
Wie ist mit und ohne PiHole, die Ausgabe von:
Code: Alles auswählen
cat /etc/resolv.conf
Teste mal (temporär) _mit_ PiHole und mit folgender (zusätzlicher) Zeile:
Code: Alles auswählen
DNS = 1.1.1.1,1.0.0.1
Re: Wireguard auf Debian 10 -> iptables/nftables Problem
Nein, hatte iptabels nie installiert !
Aber ohne Pi Hole hat er die Regeln "genommen" @Debian10 - und Wireguard hat auch funktioniert.
Die iptables stehen in jeder Wireguard Anleitung so, habe noch nie nftables Befehle gesehen.
Im Moment läuft es bestens mit Debian9, mal schauen wann ich noch mal Buster ausprobiere. Melde mich dann wieder.
Aber ohne Pi Hole hat er die Regeln "genommen" @Debian10 - und Wireguard hat auch funktioniert.
Die iptables stehen in jeder Wireguard Anleitung so, habe noch nie nftables Befehle gesehen.
Im Moment läuft es bestens mit Debian9, mal schauen wann ich noch mal Buster ausprobiere. Melde mich dann wieder.
Re: Wireguard auf Debian 10 -> iptables/nftables Problem
Ohne PiHole wird er diese Regeln, warum auch immer, denke ich ignoriert haben. Dass diese iptables-Regeln in jeder WireGuard-Anleitung stehen ist ja OK, d. h. aber nicht, dass diese Regeln auch zwingend in der config-Datei des WireGuard eingetragen werden müssen. Ich benutze auch WireGuard und lasse diese erforderlichen iptbales-Regeln (neben anderen Regeln) mit netfilter-persistent setzen. Und es muss auch nicht zwingend iptables sein, Alternativen sind auch OK. Man muss nur schauen wie man, mit dem hard-codierten iptables aus dem wg-quick-Script, klar kommt. Ich benutze z. B. auch FreeBSD mit Wireguard, und dort hat es iptables nie gegeben. Dieses OS hat z. B. 3 verschiedene Packet-Filter zur Auswahl, von denen man sich einen raus suchen und benutzen kann.Avenger hat geschrieben:25.03.2020 11:20:59Nein, hatte iptabels nie installiert !
Aber ohne Pi Hole hat er die Regeln "genommen" @Debian10 - und Wireguard hat auch funktioniert.
Die iptables stehen in jeder Wireguard Anleitung so, habe noch nie nftables Befehle gesehen.
Jetzt geht es bei dir doch festzustellen, warum und wie WireGuard, ohne PiHole auf deinem Debian10 "funktioniert"?
Re: Wireguard auf Debian 10 -> iptables/nftables Problem
Habe mal aus Spaß Ubuntu 19.10 als VM installiert und genauso Wireguard & Pihole installiert.
Läuft einwandfrei (mit Iptables).
Dann bleibe ich vorerst bei Ubuntu @VM.
Beim Raspberry warte ich noch 1-2 Jahre bis mehr Leute Buster mit Wireguard + Pihole nutzen.
Habe den gerade erst neu eingerichtet mit Debian9.
Trotzdem danke.
Läuft einwandfrei (mit Iptables).
Dann bleibe ich vorerst bei Ubuntu @VM.
Beim Raspberry warte ich noch 1-2 Jahre bis mehr Leute Buster mit Wireguard + Pihole nutzen.
Habe den gerade erst neu eingerichtet mit Debian9.
Trotzdem danke.
Re: Wireguard auf Debian 10 -> iptables/nftables Problem
Du musst nicht mehr warten. Du kannst WireGuard mit Hilfe von systemd so konfigurieren, dass keine iptables-/nftables-Regeln (für MASQUERADE und forwarding) in der config benutzt werden müssen. Z. B.:Avenger hat geschrieben:25.03.2020 14:22:23Beim Raspberry warte ich noch 1-2 Jahre bis mehr Leute Buster mit Wireguard + Pihole nutzen.
Code: Alles auswählen
:~# ls -la /etc/systemd/network | grep -i wg0
-rw-r----- 1 root systemd-network 1252 Apr 18 14:48 wg0.netdev
-rw-r--r-- 1 root root 171 Apr 18 10:47 wg0.network
Code: Alles auswählen
IPForward=ipv4
IPMasquerade=yes
Testen (nach einem "systemctl daemon-reload && systemctl restart systemd-networkd") mit:
Code: Alles auswählen
iptables-legacy -nvx -L -t nat
Re: Wireguard auf Debian 10 -> iptables/nftables Problem
komischerweise laufen die iptables Befehle (jetzt) einwandfrei auf Buster, habe zwei RaPi damit am laufen. k.A. was damals das Problem war
IPv4 + IPv6 kein Problem.
Code: Alles auswählen
[Interface]
Address = 192.168.99.10/24, fd08::10/64
ListenPort = 51821
PrivateKey = ***
PostUp = iptables -A FORWARD -i %i -j ACCEPT
PostUp = iptables -A FORWARD -o %i -j ACCEPT
PostUp = iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostUp = ip6tables -A FORWARD -i %i -j ACCEPT
PostUp = ip6tables -A FORWARD -o %i -j ACCEPT
PostUp = ip6tables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT
PostDown = iptables -D FORWARD -o %i -j ACCEPT
PostDown = iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
PostDown = ip6tables -D FORWARD -i %i -j ACCEPT
PostDown = ip6tables -D FORWARD -o %i -j ACCEPT
PostDown = ip6tables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
Re: Wireguard auf Debian 10 -> iptables/nftables Problem
Wie sind jetzt die Ausgaben von:Avenger hat geschrieben:31.07.2020 11:16:19komischerweise laufen die iptables Befehle (jetzt) einwandfrei auf Buster, habe zwei RaPi damit am laufen. k.A. was damals das Problem war ...
Code: Alles auswählen
iptables --version
which xtables-legacy-multi
BTW: Du kannst WireGuard auf Buster auch mit systemd-networkd (d. h. ohne wg*.conf-Datei/wg/wg-quick) konfigurieren, dann werden die iptables-Regeln und das forwarding, mit Hilfe der Konfiguration von wg*.network/wg*.netdev-Dateien gesetzt.
Re: Wireguard auf Debian 10 -> iptables/nftables Problem
Na weil man dann selber keine iptables-/nftables-Regeln setzen muss. Es werden nur diese 2 Zeilen (oder gleichwertig statt "ipv4") benötigt:
Code: Alles auswählen
IPForward=ipv4
IPMasquerade=yes
Ja, aber das ist mit systemd-networkd auch so. Keine 3 Minuten, Z. B.:Avenger hat geschrieben:31.07.2020 12:56:38Bei einer Neueinrichtung (SD Karte formatiert), dauert die WG Inbetriebnahme keine 3min.
Code: Alles auswählen
:~ $ cat /etc/systemd/network/wg0.network
[Match]
Name=wg0
[Link]
MTUBytes=####
[Network]
DHCP=no
LinkLocalAddressing=no
Address=192.168.###.xxx/24
DNS=84.###.##.##
DNS=84.xxx.xx.xx
IPForward=ipv4
IPMasquerade=yes
ConfigureWithoutCarrier=true
Code: Alles auswählen
:~# cat /etc/systemd/network/wg0.netdev
[Match]
Host=<machine-ID>
[NetDev]
Name=wg0
Kind=wireguard
Description=WireGuardServer
[WireGuard]
PrivateKey = #####
ListenPort = #####
FwMark = ###
[WireGuardPeer]
#Client_xxxx
PublicKey = #####
PresharedKey = ###
AllowedIPs = 192.168.###.yyy/32