(gelöst) VPN Wireguard

[scriptorius]

Guten Tag,

ich möchte gerne zu Hause einen Wireguard-Server aufsetzen.
Dazu habe ich einige Anleitungen im Internet sowie unterschiedliche Artikel und Bücher gelesen.
Ich habe einen ds-lite Anschluss.
Hierbei möchte ich eine Server – Client Konfiguration wählen.

Als Gerät dient mit dazu ein Intel NUC DN2820FYKH.
Darauf habe ich Debian 10 (Buster) installiert, d.h. nur das Grundsystem und einen ssh-Server.

Auf folgende Weise habe ich einen Wireguard-Server installiert:

http://nopaste.debianforum.de/40929

Dies Konfiguration funktioniert NICHT.

Ich habe das Gefühl, dass mir „Puzzle-Teile“ fehlen:
Muss ich eine (IPv6) Route setzen?
Sind die Adressen für das VPN-Netz (10.66.66.0, fd42:42:42::) gut gewählt?
Muss ich noch DNS-Einstellungen vornehmen?

[bluestar]

Dies Konfiguration funktioniert NICHT.

Funktioniert bei deinem Server & deinem Client IPv6 fehlerfrei? Können sich Server & Client per Ping gegenseitig erreichen?

[scriptorius]

Hi,
vielen Dank für Deine Antwort.

ping6 fd42:42:42::2
PING fd42:42:42::2(fd42:42:42::2) 56 data bytes
64 bytes from fd42:42:42::2: icmp_seq=1 ttl=64 time=24.5 ms
64 bytes from fd42:42:42::2: icmp_seq=2 ttl=64 time=44.2 ms
64 bytes from fd42:42:42::2: icmp_seq=3 ttl=64 time=66.6 ms
^C
--- fd42:42:42::2 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 5ms

Interessanterweise bekomme ich jetzt einen "handshake" hin, aber nur im eigenen Netz (über wlan)
Ja, mein Mobilfunkbetreiber versorgt mich mit einer IPv6 Adresse, hierüber klappt es allerdings nicht ...

[scriptorius]

... selbstverständlich habe ich den betreffenden Port "geöffnet".

[bluestar]

Ja, mein Mobilfunkbetreiber versorgt mich mit einer IPv6 Adresse, hierüber klappt es allerdings nicht ...

Hast du mal nen anderen Port versucht?

[scriptorius]

Hi,
jetzt geht es, habe mal Port 13401 getestet.
Mist, jetzt muss ich erstmal rekonstruieren, welche Einstellung es war.

Habe in der Fritzbox auch noch zweit Routen gesetzt.
Heimnetz > Netzwerk > Netzwerkeinstellungen > IPv4 Routen
10.66.66.0 255.255.255.0 192.168.xxx.xxx (WG-Server)

Heimnetz > Netzwerk > Netzwerkeinstellungen > IPv6 Routen
fd42:42:42:: 64 fe80::xxx:xxx:xxx: (WG-Server)

Außerdem habe ich bei der Client-Konfiguration den Endpoint als IPv6-Adresse gesetzt:
Endpoint = [ipv6 Adresse in eckigen Klammern]:13401

Mal testen, welche Einstellung es letztlich war...

Danke Dir ...

[scriptorius]

... habe die Einstellungen in der fritzbox zurück gesetzt.
Ebenso wieder meine dyndns-Adresse eingesetzt und es funktioniert.

Das wundert mich, weil ich in der Zwischenzeit immer mal wieder andere Ports probiert habe:
51820, 40404, 1194 usw.

Aber es funktioniert jetzt, lag dann wohl offensichtlich nur am Port.

[scriptorius]

Ist schon etwas kurios
Also die Anleitung da oben funktioniert (ich musste doch die routen in der fritzbox einstellen).
Mein Smartphone und Wireguard verstehen sich gut.

Nun wollte ich noch einen zweiten Client, mein Notebook, hinzufügen.
Dazu habe ich folgende Konfiguration für den zweiten Client gewählt:

Code: Alles auswählen

[Interface]
Table = off
PrivateKey = vom client2
Address = 10.66.66.3/24, fd42:42:42::3/64
DNS = 176.103.130.130,176.103.130.131

[Peer]
PublicKey = vom server
Endpoint = [ipv6-Adresse des Servers]:13401
AllowedIPs = 0.0.0.0/0, ::/0
PersistentKeepalive = 25

Zur Server-Konfiguration habe ich noch ein [peer] unten hinzugefügt:

Code: Alles auswählen

[Peer]
PublicKey = vom client2
AllowedIPs = 10.66.66.3/32, fd42:42:42::3/128

Das Ergebnis ist ein "handshake", aber den Server kann ich danach nicht "pingen".
Der Internetverkehr geht folglich am Tunnel vorbei.
Hier fehlt die richtige route.
Jetzt habe ich natürlich alles mögliche probiert, zuerst, was mir logisch erschien und dann noch den Rest - ohne erfolgreiches Ergebnis.
Wahrscheinlich ist das wieder ein triviale Sache. Hast Du noch einen Tipp?

P.S.: Zu Hause im eigenen Netz funktioniert es.
Außerhalb verbinde ich das Notebook halt viel über freifunk mit dem Interneṭ̣̣̣̣̣̣̣̣̣̣̣̣

[bluestar]

Das wundert mich, weil ich in der Zwischenzeit immer mal wieder andere Ports probiert habe:
51820, 40404, 1194 usw.

P.S.: Zu Hause im eigenen Netz funktioniert es.
Außerhalb verbinde ich das Notebook halt viel über freifunk mit dem Interneṭ̣̣̣̣̣̣̣̣̣̣̣̣

Ich kenne die Freifunk-Netze nicht, die du verwendest, allerdings würde ich mal spontan darauf tippen, dass deine Port-Wahl nicht unbedingt aus Freifunk-Netzen funktionieren wird... In meinem Freifunk-Netz sind die von dir genannten Ports auch nicht offen.

[scriptorius]

Hi,
danke für die Antwort.
War mir nicht bewusst, dass hierauf zu achten ist.
Welche Ports funktionieren denn bei Dir bzw. wo kann ich erfahren, welche geeignet sind?
Was mich wundert ist, dass es mit dem Smartphone funktioniert ...

[wanne]

Welche Ports funktionieren denn bei Dir bzw. wo kann ich erfahren, welche geeignet sind?

Das hat vermutlich nichts mit Wireguard zu tun sondern ist ein altes Fritzbox-Problem. Manchmal killt es alle Weiterleitungen auf einen Port. Kannst du danach Einstellen was du willst. Es wird nicht funktioniere. Das lässt sich nur durch einen Reset beheben.
Selbst wenn man den Rechner auf exposed host schellt dropt die Fritz!Box weiter alle Pakete an diesen Port. Lustiger weiße kann man den Port weiter per UPnP freischalten.

[bluestar]

Ich wildere da bei meinen Setups bei den IPSec NAT Ports (udp:500 und udp:4500).... Damit fahre ich recht gut

[scriptorius]

Danke für die Antworten.
Ja, es ist teilweise echt abenteuerlich.
Ich muss allerdings auch gestehen, dass ich noch nicht alle Zusammenhänge verstanden habe, besonders das Setzen der Routen macht mir noch Schwierigkeiten.

Vielleicht sollte ich auch erstmal eine Pause einlegen, ich habe beschäftige mich jetzt schon einige Zeit damit. Irgendwann sieht man den Wald vor lauter Bäumen nicht mehr

[scriptorius]

Ich habe das jetzt mal mit offenem Port 4500 im Freifunk Netz getestet:

Code: Alles auswählen

ping6 fd42:42:42::1
PING fd42:42:42::1(fd42:42:42::1) 56 data bytes
From 2a03:2260::2: icmp_seq=1 Destination unreachable: No route
From 2a03:2260::2: icmp_seq=2 Destination unreachable: No route

trotz:

Code: Alles auswählen

wg show
interface: wg0
  public key: xxx
  private key: (hidden)
  listening port: 38742

peer: xxx
  endpoint: [ipv6 Adresse des Wg-Servers]:4500
  allowed ips: 0.0.0.0/0, ::/0
  latest handshake: 8 seconds ago
  transfer: 92 B received, 180 B sent
  persistent keepalive: every 25 seconds

Zu Hause im Netz funktioniert es.
Mit dem Smartphone im selben Freifunk Netz funktioniert es auch (mit ipv6-test.com getestet).

[bluestar]

Ich habe das jetzt mal mit offenem Port 4500 im Freifunk Netz getestet:

Code: Alles auswählen

ping6 fd42:42:42::1
PING fd42:42:42::1(fd42:42:42::1) 56 data bytes
From 2a03:2260::2: icmp_seq=1 Destination unreachable: No route
From 2a03:2260::2: icmp_seq=2 Destination unreachable: No route

Naja du must aus einem Freifunk Netz schon deine öffentliche IPv6 Adresse als Endpunkt für die Verbindung nutzen.

[scriptorius]

Ja, ok, kann ich machen.

Jetzt mal nur so zum allgemeinen Verständnis:
Wenn ein "Handshake" erfolgt, steht doch der Tunnel, folglich müsste der Client dann "Teil" des virtuellen Netzes sein, richtig?
Dann muss ich doch innerhalb des virtuellen Netzes, den Server anpingen können, oder?

[bluestar]

Jetzt mal nur so zum allgemeinen Verständnis:
Wenn ein "Handshake" erfolgt, steht doch der Tunnel, folglich müsste der Client dann "Teil" des virtuellen Netzes sein, richtig?
Dann muss ich doch innerhalb des virtuellen Netzes, den Server anpingen können, oder?

Nur wenn dein Routing nach dem Starten von Wireguard auch korrekt ist, ansonsten läuft das Routing natürlich falsch.

[scriptorius]

Hier fehlt mir das Verständnis, kannst Du das genauer erklären?

[unitra]

Um den Fehler näher einzugrenzen wäre es hilfreich die Ausgaben von

Code: Alles auswählen

iproute2

und

Code: Alles auswählen

 traceroute 

zu untersuchen.
Und zwar. Die Verbindung vom Mobilclient funktioniert.

Code: Alles auswählen

ip link

Code: Alles auswählen

ip -6 route

1) Am Client bevor die Verbindung aufgebaut wurde
2) Am Server bevor die Verbindung aufgebaut wurde
3) Am Client nachdem die Verbindung erfolgreich aufgebaut wurde
4) Am Server nachdem die Verbindung aufgebaut wurde.

Die obigen Punkte noch einmal 1 - 4 am Client an dem die Verbindung fehlschlägt.

Hier fehlt mir das Verständnis, kannst Du das genauer erklären?

[scriptorius]

Danke für Deine Hilfsbereitschaft.
Ich komme hier zu keinem Ergebnis.
Die "Android-Client" kann ich mit Hilfe der app gut konfigurieren, das funktioniert.
Mein "Notebook-Client" funktioniert hinten und vorne nicht.
Schade, das sollte (zumindest in der Theorie) eigentlich ja ganz einfach sein, ist es scheinbar nicht.
Ich bin momentan zu genervt, um mich damit jetzt noch weiter zu beschäftigen.
Mal sehen, vielleicht komme ich noch mal dazu, wenn das ganze offiziell stable ist ...

[TomL]

Ich komme hier zu keinem Ergebnis.

Warum nimmst Du dann nicht einfach OpenVPN? Das funktioniert mit Clients mit Windows, Linux, Android, Mac..... und zwar absolut stabil, Ich nutze das mittlerweise seit 10 Jahren.... und noch nie mit Problemen.

[scriptorius]

Ehrlich gesagt habe ich davor zu großen Respekt.
Ich habe mir mal unterschiedliche Installationsanleitungen angesehen und die sind doch sehr komplex.
Hohe Komplexibilität in der Konfiguration bringt ja eine relativ hohe Fehlerwahrscheinlichkeit mit sich. Bei Wireguard hatte ich die Hoffnung, das einigermaßen hinzubekommen.
Ich bin hier nicht "vom Fach", also ich habe das nicht gelernt oder gar studiert.
Ich "ziehe mir das nebenbei rein", als Hobby sozusagen

[TomL]

Ehrlich gesagt habe ich davor zu großen Respekt.
Ich habe mir mal unterschiedliche Installationsanleitungen angesehen und die sind doch sehr komplex.

Nun ja... eigentlich ist die Einrichtung selber gar nicht so kompliziert. Ich empfinde das sogar eher als einfach. Was es kompliziert macht, ist die Notwendigkeit wissen zu müssen, wie man ein solches Netzwerk absichert. Aber genau das gilt auch exakt 1:1 für jedes andere generische Netzwerk mit Zugängen über das Internet in ein eigentlich isoliertes privates Netzwerk... auch für Wireguard. Wenn Du auf ein einfach zu handhabendes HowTo reingefallen bist, ist nichts anderes passiert, als das Du auf ein unzureichendes HowTo reingefallen bist, was Dir das zur Sicherung Deines privaten Netzwerkes notwendige Sachwissen vorenthält. Einfaches Abschreiben ohne zu wissen, was man abschreibt, enthält keinerlei Sicherheit. Nicht das Programm ist kompliziert, sondern das drumrum.

[scriptorius]

Zudem kommt, dass ich mir meistens bei solchen "Installations-Projekten" für meinen Anwendungsfall eine Anleitung aus mehreren Anleitungen "zusammen basteln" musste.
Und da fehlt mir oft das Hintergrundwissen um die Zusammenhänge und Verbindungen, damit ich die richtigen Schlüsse ziehe.
(Dann muss man in Foren immer dämliche Fragen stellen )

Im Moment ist meine Frustrationsgrenze ziemlich niedrig.
In ein paar Wochen beschäftige ich mich aber noch mal mit dem Thema VPN.

[scriptorius]

Hallo,

ich konnte es doch nicht lassen. Ich hatte das Gefühl zu nahe am Ziel zu sein.
Letztlich habe ich eine funktionierende Konfiguration gefunden.
Ein paar Sachen musste ich gegenüber dem ersten Versuch s.o. abändern; Stichworte:

- Firewall
- Client2-Konfiguration
- DNS-Server aufsetzen
- Ich musste den (Standard-) Port 51820 nehmen, da Client2 die route automatisch so setzt (?)

... um nur ein paar zu nennen.
Dies ist jetzt meine funktionierende Konfiguration:

http://nopaste.debianforum.de/40932

Die hat mich ein paar graue Haare gekostet.
Also von "mal eben" einen VPN-Server, weil so einfach, aufsetzen, ist diese Geschichte auf jeden Fall ziemlich weit entfernt.
Zumindest dann, wenn man nicht jeden Tag zu tun hat ...