(gelöst) VPN Wireguard

[scriptorius]

Guten Tag,

ich möchte gerne zu Hause einen Wireguard-Server aufsetzen.
Dazu habe ich einige Anleitungen im Internet sowie unterschiedliche Artikel und Bücher gelesen.
Ich habe einen ds-lite Anschluss.
Hierbei möchte ich eine Server – Client Konfiguration wählen.

Als Gerät dient mit dazu ein Intel NUC DN2820FYKH.
Darauf habe ich Debian 10 (Buster) installiert, d.h. nur das Grundsystem und einen ssh-Server.

Auf folgende Weise habe ich einen Wireguard-Server installiert:

http://nopaste.debianforum.de/40929

Dies Konfiguration funktioniert NICHT.

Ich habe das Gefühl, dass mir „Puzzle-Teile“ fehlen:
Muss ich eine (IPv6) Route setzen?
Sind die Adressen für das VPN-Netz (10.66.66.0, fd42:42:42::) gut gewählt?
Muss ich noch DNS-Einstellungen vornehmen?

[bluestar]

Dies Konfiguration funktioniert NICHT.

Funktioniert bei deinem Server & deinem Client IPv6 fehlerfrei? Können sich Server & Client per Ping gegenseitig erreichen?

[scriptorius]

Hi,
vielen Dank für Deine Antwort.

ping6 fd42:42:42::2
PING fd42:42:42::2(fd42:42:42::2) 56 data bytes
64 bytes from fd42:42:42::2: icmp_seq=1 ttl=64 time=24.5 ms
64 bytes from fd42:42:42::2: icmp_seq=2 ttl=64 time=44.2 ms
64 bytes from fd42:42:42::2: icmp_seq=3 ttl=64 time=66.6 ms
^C
--- fd42:42:42::2 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 5ms

Interessanterweise bekomme ich jetzt einen "handshake" hin, aber nur im eigenen Netz (über wlan)
Ja, mein Mobilfunkbetreiber versorgt mich mit einer IPv6 Adresse, hierüber klappt es allerdings nicht ...

[scriptorius]

... selbstverständlich habe ich den betreffenden Port "geöffnet".

[bluestar]

Ja, mein Mobilfunkbetreiber versorgt mich mit einer IPv6 Adresse, hierüber klappt es allerdings nicht ...

Hast du mal nen anderen Port versucht?

[scriptorius]

Hi,
jetzt geht es, habe mal Port 13401 getestet.
Mist, jetzt muss ich erstmal rekonstruieren, welche Einstellung es war.

Habe in der Fritzbox auch noch zweit Routen gesetzt.
Heimnetz > Netzwerk > Netzwerkeinstellungen > IPv4 Routen
10.66.66.0 255.255.255.0 192.168.xxx.xxx (WG-Server)

Heimnetz > Netzwerk > Netzwerkeinstellungen > IPv6 Routen
fd42:42:42:: 64 fe80::xxx:xxx:xxx: (WG-Server)

Außerdem habe ich bei der Client-Konfiguration den Endpoint als IPv6-Adresse gesetzt:
Endpoint = [ipv6 Adresse in eckigen Klammern]:13401

Mal testen, welche Einstellung es letztlich war...

Danke Dir ...

[scriptorius]

... habe die Einstellungen in der fritzbox zurück gesetzt.
Ebenso wieder meine dyndns-Adresse eingesetzt und es funktioniert.

Das wundert mich, weil ich in der Zwischenzeit immer mal wieder andere Ports probiert habe:
51820, 40404, 1194 usw.

Aber es funktioniert jetzt, lag dann wohl offensichtlich nur am Port.

[scriptorius]

Ist schon etwas kurios
Also die Anleitung da oben funktioniert (ich musste doch die routen in der fritzbox einstellen).
Mein Smartphone und Wireguard verstehen sich gut.

Nun wollte ich noch einen zweiten Client, mein Notebook, hinzufügen.
Dazu habe ich folgende Konfiguration für den zweiten Client gewählt:

Code: Alles auswählen

[Interface]
Table = off
PrivateKey = vom client2
Address = 10.66.66.3/24, fd42:42:42::3/64
DNS = 176.103.130.130,176.103.130.131

[Peer]
PublicKey = vom server
Endpoint = [ipv6-Adresse des Servers]:13401
AllowedIPs = 0.0.0.0/0, ::/0
PersistentKeepalive = 25

Zur Server-Konfiguration habe ich noch ein [peer] unten hinzugefügt:

Code: Alles auswählen

[Peer]
PublicKey = vom client2
AllowedIPs = 10.66.66.3/32, fd42:42:42::3/128

Das Ergebnis ist ein "handshake", aber den Server kann ich danach nicht "pingen".
Der Internetverkehr geht folglich am Tunnel vorbei.
Hier fehlt die richtige route.
Jetzt habe ich natürlich alles mögliche probiert, zuerst, was mir logisch erschien und dann noch den Rest - ohne erfolgreiches Ergebnis.
Wahrscheinlich ist das wieder ein triviale Sache. Hast Du noch einen Tipp?

P.S.: Zu Hause im eigenen Netz funktioniert es.
Außerhalb verbinde ich das Notebook halt viel über freifunk mit dem Interneṭ̣̣̣̣̣̣̣̣̣̣̣̣

[bluestar]

Das wundert mich, weil ich in der Zwischenzeit immer mal wieder andere Ports probiert habe:
51820, 40404, 1194 usw.

P.S.: Zu Hause im eigenen Netz funktioniert es.
Außerhalb verbinde ich das Notebook halt viel über freifunk mit dem Interneṭ̣̣̣̣̣̣̣̣̣̣̣̣

Ich kenne die Freifunk-Netze nicht, die du verwendest, allerdings würde ich mal spontan darauf tippen, dass deine Port-Wahl nicht unbedingt aus Freifunk-Netzen funktionieren wird... In meinem Freifunk-Netz sind die von dir genannten Ports auch nicht offen.

[scriptorius]

Hi,
danke für die Antwort.
War mir nicht bewusst, dass hierauf zu achten ist.
Welche Ports funktionieren denn bei Dir bzw. wo kann ich erfahren, welche geeignet sind?
Was mich wundert ist, dass es mit dem Smartphone funktioniert ...

[wanne]

Welche Ports funktionieren denn bei Dir bzw. wo kann ich erfahren, welche geeignet sind?

Das hat vermutlich nichts mit Wireguard zu tun sondern ist ein altes Fritzbox-Problem. Manchmal killt es alle Weiterleitungen auf einen Port. Kannst du danach Einstellen was du willst. Es wird nicht funktioniere. Das lässt sich nur durch einen Reset beheben.
Selbst wenn man den Rechner auf exposed host schellt dropt die Fritz!Box weiter alle Pakete an diesen Port. Lustiger weiße kann man den Port weiter per UPnP freischalten.

[bluestar]

Ich wildere da bei meinen Setups bei den IPSec NAT Ports (udp:500 und udp:4500).... Damit fahre ich recht gut

[scriptorius]

Danke für die Antworten.
Ja, es ist teilweise echt abenteuerlich.
Ich muss allerdings auch gestehen, dass ich noch nicht alle Zusammenhänge verstanden habe, besonders das Setzen der Routen macht mir noch Schwierigkeiten.

Vielleicht sollte ich auch erstmal eine Pause einlegen, ich habe beschäftige mich jetzt schon einige Zeit damit. Irgendwann sieht man den Wald vor lauter Bäumen nicht mehr

[scriptorius]

Ich habe das jetzt mal mit offenem Port 4500 im Freifunk Netz getestet:

Code: Alles auswählen

ping6 fd42:42:42::1
PING fd42:42:42::1(fd42:42:42::1) 56 data bytes
From 2a03:2260::2: icmp_seq=1 Destination unreachable: No route
From 2a03:2260::2: icmp_seq=2 Destination unreachable: No route

trotz:

Code: Alles auswählen

wg show
interface: wg0
  public key: xxx
  private key: (hidden)
  listening port: 38742

peer: xxx
  endpoint: [ipv6 Adresse des Wg-Servers]:4500
  allowed ips: 0.0.0.0/0, ::/0
  latest handshake: 8 seconds ago
  transfer: 92 B received, 180 B sent
  persistent keepalive: every 25 seconds

Zu Hause im Netz funktioniert es.
Mit dem Smartphone im selben Freifunk Netz funktioniert es auch (mit ipv6-test.com getestet).

[bluestar]

Ich habe das jetzt mal mit offenem Port 4500 im Freifunk Netz getestet:

Code: Alles auswählen

ping6 fd42:42:42::1
PING fd42:42:42::1(fd42:42:42::1) 56 data bytes
From 2a03:2260::2: icmp_seq=1 Destination unreachable: No route
From 2a03:2260::2: icmp_seq=2 Destination unreachable: No route

Naja du must aus einem Freifunk Netz schon deine öffentliche IPv6 Adresse als Endpunkt für die Verbindung nutzen.