(gelöst) VPN Wireguard

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
scriptorius
Beiträge: 174
Registriert: 20.02.2004 18:52:14

(gelöst) VPN Wireguard

Beitrag von scriptorius » 01.12.2019 15:01:41

Guten Tag,

ich möchte gerne zu Hause einen Wireguard-Server aufsetzen.
Dazu habe ich einige Anleitungen im Internet sowie unterschiedliche Artikel und Bücher gelesen.
Ich habe einen ds-lite Anschluss.
Hierbei möchte ich eine Server – Client Konfiguration wählen.

Als Gerät dient mit dazu ein Intel NUC DN2820FYKH.
Darauf habe ich Debian 10 (Buster) installiert, d.h. nur das Grundsystem und einen ssh-Server.

Auf folgende Weise habe ich einen Wireguard-Server installiert:

http://nopaste.debianforum.de/40929

Dies Konfiguration funktioniert NICHT.

Ich habe das Gefühl, dass mir „Puzzle-Teile“ fehlen:
Muss ich eine (IPv6) Route setzen?
Sind die Adressen für das VPN-Netz (10.66.66.0, fd42:42:42::) gut gewählt?
Muss ich noch DNS-Einstellungen vornehmen?
Zuletzt geändert von scriptorius am 09.12.2019 13:44:14, insgesamt 1-mal geändert.

Benutzeravatar
bluestar
Beiträge: 1119
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: VPN Wireguard

Beitrag von bluestar » 01.12.2019 18:29:30

scriptorius hat geschrieben: ↑ zum Beitrag ↑
01.12.2019 15:01:41
Dies Konfiguration funktioniert NICHT.
Funktioniert bei deinem Server & deinem Client IPv6 fehlerfrei? Können sich Server & Client per Ping gegenseitig erreichen?

scriptorius
Beiträge: 174
Registriert: 20.02.2004 18:52:14

Re: VPN Wireguard

Beitrag von scriptorius » 01.12.2019 18:37:21

Hi,
vielen Dank für Deine Antwort.

ping6 fd42:42:42::2
PING fd42:42:42::2(fd42:42:42::2) 56 data bytes
64 bytes from fd42:42:42::2: icmp_seq=1 ttl=64 time=24.5 ms
64 bytes from fd42:42:42::2: icmp_seq=2 ttl=64 time=44.2 ms
64 bytes from fd42:42:42::2: icmp_seq=3 ttl=64 time=66.6 ms
^C
--- fd42:42:42::2 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 5ms

Interessanterweise bekomme ich jetzt einen "handshake" hin, aber nur im eigenen Netz (über wlan)
Ja, mein Mobilfunkbetreiber versorgt mich mit einer IPv6 Adresse, hierüber klappt es allerdings nicht ...

scriptorius
Beiträge: 174
Registriert: 20.02.2004 18:52:14

Re: VPN Wireguard

Beitrag von scriptorius » 01.12.2019 18:44:42

... selbstverständlich habe ich den betreffenden Port "geöffnet".

Benutzeravatar
bluestar
Beiträge: 1119
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: VPN Wireguard

Beitrag von bluestar » 01.12.2019 19:22:09

scriptorius hat geschrieben: ↑ zum Beitrag ↑
01.12.2019 18:37:21
Ja, mein Mobilfunkbetreiber versorgt mich mit einer IPv6 Adresse, hierüber klappt es allerdings nicht ...
Hast du mal nen anderen Port versucht?

scriptorius
Beiträge: 174
Registriert: 20.02.2004 18:52:14

Re: VPN Wireguard

Beitrag von scriptorius » 01.12.2019 21:21:47

Hi,
jetzt geht es, habe mal Port 13401 getestet.
Mist, jetzt muss ich erstmal rekonstruieren, welche Einstellung es war.

Habe in der Fritzbox auch noch zweit Routen gesetzt.
Heimnetz > Netzwerk > Netzwerkeinstellungen > IPv4 Routen
10.66.66.0 255.255.255.0 192.168.xxx.xxx (WG-Server)

Heimnetz > Netzwerk > Netzwerkeinstellungen > IPv6 Routen
fd42:42:42:: 64 fe80::xxx:xxx:xxx: (WG-Server)

Außerdem habe ich bei der Client-Konfiguration den Endpoint als IPv6-Adresse gesetzt:
Endpoint = [ipv6 Adresse in eckigen Klammern]:13401

Mal testen, welche Einstellung es letztlich war...

Danke Dir ...

scriptorius
Beiträge: 174
Registriert: 20.02.2004 18:52:14

Re: VPN Wireguard

Beitrag von scriptorius » 01.12.2019 21:56:39

... habe die Einstellungen in der fritzbox zurück gesetzt.
Ebenso wieder meine dyndns-Adresse eingesetzt und es funktioniert.

Das wundert mich, weil ich in der Zwischenzeit immer mal wieder andere Ports probiert habe:
51820, 40404, 1194 usw.

Aber es funktioniert jetzt, lag dann wohl offensichtlich nur am Port.

scriptorius
Beiträge: 174
Registriert: 20.02.2004 18:52:14

Re: VPN Wireguard

Beitrag von scriptorius » 03.12.2019 18:53:06

Ist schon etwas kurios :)
Also die Anleitung da oben funktioniert (ich musste doch die routen in der fritzbox einstellen).
Mein Smartphone und Wireguard verstehen sich gut.

Nun wollte ich noch einen zweiten Client, mein Notebook, hinzufügen.
Dazu habe ich folgende Konfiguration für den zweiten Client gewählt:

Code: Alles auswählen

[Interface]
Table = off
PrivateKey = vom client2
Address = 10.66.66.3/24, fd42:42:42::3/64
DNS = 176.103.130.130,176.103.130.131

[Peer]
PublicKey = vom server
Endpoint = [ipv6-Adresse des Servers]:13401
AllowedIPs = 0.0.0.0/0, ::/0
PersistentKeepalive = 25
Zur Server-Konfiguration habe ich noch ein [peer] unten hinzugefügt:

Code: Alles auswählen

[Peer]
PublicKey = vom client2
AllowedIPs = 10.66.66.3/32, fd42:42:42::3/128
Das Ergebnis ist ein "handshake", aber den Server kann ich danach nicht "pingen".
Der Internetverkehr geht folglich am Tunnel vorbei.
Hier fehlt die richtige route.
Jetzt habe ich natürlich alles mögliche probiert, zuerst, was mir logisch erschien und dann noch den Rest - ohne erfolgreiches Ergebnis.
Wahrscheinlich ist das wieder ein triviale Sache. Hast Du noch einen Tipp?

P.S.: Zu Hause im eigenen Netz funktioniert es.
Außerhalb verbinde ich das Notebook halt viel über freifunk mit dem Interneṭ̣̣̣̣̣̣̣̣̣̣̣̣

Benutzeravatar
bluestar
Beiträge: 1119
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: VPN Wireguard

Beitrag von bluestar » 03.12.2019 23:06:37

scriptorius hat geschrieben: ↑ zum Beitrag ↑
01.12.2019 21:56:39
Das wundert mich, weil ich in der Zwischenzeit immer mal wieder andere Ports probiert habe:
51820, 40404, 1194 usw.
scriptorius hat geschrieben: ↑ zum Beitrag ↑
03.12.2019 18:53:06
P.S.: Zu Hause im eigenen Netz funktioniert es.
Außerhalb verbinde ich das Notebook halt viel über freifunk mit dem Interneṭ̣̣̣̣̣̣̣̣̣̣̣̣
Ich kenne die Freifunk-Netze nicht, die du verwendest, allerdings würde ich mal spontan darauf tippen, dass deine Port-Wahl nicht unbedingt aus Freifunk-Netzen funktionieren wird... In meinem Freifunk-Netz sind die von dir genannten Ports auch nicht offen.

scriptorius
Beiträge: 174
Registriert: 20.02.2004 18:52:14

Re: VPN Wireguard

Beitrag von scriptorius » 04.12.2019 13:43:26

Hi,
danke für die Antwort.
War mir nicht bewusst, dass hierauf zu achten ist.
Welche Ports funktionieren denn bei Dir bzw. wo kann ich erfahren, welche geeignet sind?
Was mich wundert ist, dass es mit dem Smartphone funktioniert ...

wanne
Moderator
Beiträge: 6118
Registriert: 24.05.2010 12:39:42

Re: VPN Wireguard

Beitrag von wanne » 04.12.2019 14:21:50

scriptorius hat geschrieben: ↑ zum Beitrag ↑
04.12.2019 13:43:26
Welche Ports funktionieren denn bei Dir bzw. wo kann ich erfahren, welche geeignet sind?
Das hat vermutlich nichts mit Wireguard zu tun sondern ist ein altes Fritzbox-Problem. Manchmal killt es alle Weiterleitungen auf einen Port. Kannst du danach Einstellen was du willst. Es wird nicht funktioniere. Das lässt sich nur durch einen Reset beheben.
Selbst wenn man den Rechner auf exposed host schellt dropt die Fritz!Box weiter alle Pakete an diesen Port. Lustiger weiße kann man den Port weiter per UPnP freischalten.
rot: Moderator wanne spricht, default: User wanne spricht.

Benutzeravatar
bluestar
Beiträge: 1119
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: VPN Wireguard

Beitrag von bluestar » 04.12.2019 16:54:19

Ich wildere da bei meinen Setups bei den IPSec NAT Ports (udp:500 und udp:4500).... Damit fahre ich recht gut

scriptorius
Beiträge: 174
Registriert: 20.02.2004 18:52:14

Re: VPN Wireguard

Beitrag von scriptorius » 04.12.2019 17:20:39

Danke für die Antworten.
Ja, es ist teilweise echt abenteuerlich.
Ich muss allerdings auch gestehen, dass ich noch nicht alle Zusammenhänge verstanden habe, besonders das Setzen der Routen macht mir noch Schwierigkeiten.

Vielleicht sollte ich auch erstmal eine Pause einlegen, ich habe beschäftige mich jetzt schon einige Zeit damit. Irgendwann sieht man den Wald vor lauter Bäumen nicht mehr :)

scriptorius
Beiträge: 174
Registriert: 20.02.2004 18:52:14

Re: VPN Wireguard

Beitrag von scriptorius » 05.12.2019 08:43:42

Ich habe das jetzt mal mit offenem Port 4500 im Freifunk Netz getestet:

Code: Alles auswählen

ping6 fd42:42:42::1
PING fd42:42:42::1(fd42:42:42::1) 56 data bytes
From 2a03:2260::2: icmp_seq=1 Destination unreachable: No route
From 2a03:2260::2: icmp_seq=2 Destination unreachable: No route
trotz:

Code: Alles auswählen

wg show
interface: wg0
  public key: xxx
  private key: (hidden)
  listening port: 38742

peer: xxx
  endpoint: [ipv6 Adresse des Wg-Servers]:4500
  allowed ips: 0.0.0.0/0, ::/0
  latest handshake: 8 seconds ago
  transfer: 92 B received, 180 B sent
  persistent keepalive: every 25 seconds
Zu Hause im Netz funktioniert es.
Mit dem Smartphone im selben Freifunk Netz funktioniert es auch (mit ipv6-test.com getestet).

Benutzeravatar
bluestar
Beiträge: 1119
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: VPN Wireguard

Beitrag von bluestar » 05.12.2019 09:48:26

scriptorius hat geschrieben: ↑ zum Beitrag ↑
05.12.2019 08:43:42
Ich habe das jetzt mal mit offenem Port 4500 im Freifunk Netz getestet:

Code: Alles auswählen

ping6 fd42:42:42::1
PING fd42:42:42::1(fd42:42:42::1) 56 data bytes
From 2a03:2260::2: icmp_seq=1 Destination unreachable: No route
From 2a03:2260::2: icmp_seq=2 Destination unreachable: No route
Naja du must aus einem Freifunk Netz schon deine öffentliche IPv6 Adresse als Endpunkt für die Verbindung nutzen.

Antworten