(gelöst) VPN Wireguard
-
- Beiträge: 174
- Registriert: 20.02.2004 18:52:14
(gelöst) VPN Wireguard
Guten Tag,
ich möchte gerne zu Hause einen Wireguard-Server aufsetzen.
Dazu habe ich einige Anleitungen im Internet sowie unterschiedliche Artikel und Bücher gelesen.
Ich habe einen ds-lite Anschluss.
Hierbei möchte ich eine Server – Client Konfiguration wählen.
Als Gerät dient mit dazu ein Intel NUC DN2820FYKH.
Darauf habe ich Debian 10 (Buster) installiert, d.h. nur das Grundsystem und einen ssh-Server.
Auf folgende Weise habe ich einen Wireguard-Server installiert:
http://nopaste.debianforum.de/40929
Dies Konfiguration funktioniert NICHT.
Ich habe das Gefühl, dass mir „Puzzle-Teile“ fehlen:
Muss ich eine (IPv6) Route setzen?
Sind die Adressen für das VPN-Netz (10.66.66.0, fd42:42:42::) gut gewählt?
Muss ich noch DNS-Einstellungen vornehmen?
ich möchte gerne zu Hause einen Wireguard-Server aufsetzen.
Dazu habe ich einige Anleitungen im Internet sowie unterschiedliche Artikel und Bücher gelesen.
Ich habe einen ds-lite Anschluss.
Hierbei möchte ich eine Server – Client Konfiguration wählen.
Als Gerät dient mit dazu ein Intel NUC DN2820FYKH.
Darauf habe ich Debian 10 (Buster) installiert, d.h. nur das Grundsystem und einen ssh-Server.
Auf folgende Weise habe ich einen Wireguard-Server installiert:
http://nopaste.debianforum.de/40929
Dies Konfiguration funktioniert NICHT.
Ich habe das Gefühl, dass mir „Puzzle-Teile“ fehlen:
Muss ich eine (IPv6) Route setzen?
Sind die Adressen für das VPN-Netz (10.66.66.0, fd42:42:42::) gut gewählt?
Muss ich noch DNS-Einstellungen vornehmen?
Zuletzt geändert von scriptorius am 09.12.2019 13:44:14, insgesamt 1-mal geändert.
Re: VPN Wireguard
Funktioniert bei deinem Server & deinem Client IPv6 fehlerfrei? Können sich Server & Client per Ping gegenseitig erreichen?
-
- Beiträge: 174
- Registriert: 20.02.2004 18:52:14
Re: VPN Wireguard
Hi,
vielen Dank für Deine Antwort.
ping6 fd42:42:42::2
PING fd42:42:42::2(fd42:42:42::2) 56 data bytes
64 bytes from fd42:42:42::2: icmp_seq=1 ttl=64 time=24.5 ms
64 bytes from fd42:42:42::2: icmp_seq=2 ttl=64 time=44.2 ms
64 bytes from fd42:42:42::2: icmp_seq=3 ttl=64 time=66.6 ms
^C
--- fd42:42:42::2 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 5ms
Interessanterweise bekomme ich jetzt einen "handshake" hin, aber nur im eigenen Netz (über wlan)
Ja, mein Mobilfunkbetreiber versorgt mich mit einer IPv6 Adresse, hierüber klappt es allerdings nicht ...
vielen Dank für Deine Antwort.
ping6 fd42:42:42::2
PING fd42:42:42::2(fd42:42:42::2) 56 data bytes
64 bytes from fd42:42:42::2: icmp_seq=1 ttl=64 time=24.5 ms
64 bytes from fd42:42:42::2: icmp_seq=2 ttl=64 time=44.2 ms
64 bytes from fd42:42:42::2: icmp_seq=3 ttl=64 time=66.6 ms
^C
--- fd42:42:42::2 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 5ms
Interessanterweise bekomme ich jetzt einen "handshake" hin, aber nur im eigenen Netz (über wlan)
Ja, mein Mobilfunkbetreiber versorgt mich mit einer IPv6 Adresse, hierüber klappt es allerdings nicht ...
-
- Beiträge: 174
- Registriert: 20.02.2004 18:52:14
Re: VPN Wireguard
... selbstverständlich habe ich den betreffenden Port "geöffnet".
Re: VPN Wireguard
Hast du mal nen anderen Port versucht?scriptorius hat geschrieben:01.12.2019 18:37:21Ja, mein Mobilfunkbetreiber versorgt mich mit einer IPv6 Adresse, hierüber klappt es allerdings nicht ...
-
- Beiträge: 174
- Registriert: 20.02.2004 18:52:14
Re: VPN Wireguard
Hi,
jetzt geht es, habe mal Port 13401 getestet.
Mist, jetzt muss ich erstmal rekonstruieren, welche Einstellung es war.
Habe in der Fritzbox auch noch zweit Routen gesetzt.
Heimnetz > Netzwerk > Netzwerkeinstellungen > IPv4 Routen
10.66.66.0 255.255.255.0 192.168.xxx.xxx (WG-Server)
Heimnetz > Netzwerk > Netzwerkeinstellungen > IPv6 Routen
fd42:42:42:: 64 fe80::xxx:xxx:xxx: (WG-Server)
Außerdem habe ich bei der Client-Konfiguration den Endpoint als IPv6-Adresse gesetzt:
Endpoint = [ipv6 Adresse in eckigen Klammern]:13401
Mal testen, welche Einstellung es letztlich war...
Danke Dir ...
jetzt geht es, habe mal Port 13401 getestet.
Mist, jetzt muss ich erstmal rekonstruieren, welche Einstellung es war.
Habe in der Fritzbox auch noch zweit Routen gesetzt.
Heimnetz > Netzwerk > Netzwerkeinstellungen > IPv4 Routen
10.66.66.0 255.255.255.0 192.168.xxx.xxx (WG-Server)
Heimnetz > Netzwerk > Netzwerkeinstellungen > IPv6 Routen
fd42:42:42:: 64 fe80::xxx:xxx:xxx: (WG-Server)
Außerdem habe ich bei der Client-Konfiguration den Endpoint als IPv6-Adresse gesetzt:
Endpoint = [ipv6 Adresse in eckigen Klammern]:13401
Mal testen, welche Einstellung es letztlich war...
Danke Dir ...
-
- Beiträge: 174
- Registriert: 20.02.2004 18:52:14
Re: VPN Wireguard
... habe die Einstellungen in der fritzbox zurück gesetzt.
Ebenso wieder meine dyndns-Adresse eingesetzt und es funktioniert.
Das wundert mich, weil ich in der Zwischenzeit immer mal wieder andere Ports probiert habe:
51820, 40404, 1194 usw.
Aber es funktioniert jetzt, lag dann wohl offensichtlich nur am Port.
Ebenso wieder meine dyndns-Adresse eingesetzt und es funktioniert.
Das wundert mich, weil ich in der Zwischenzeit immer mal wieder andere Ports probiert habe:
51820, 40404, 1194 usw.
Aber es funktioniert jetzt, lag dann wohl offensichtlich nur am Port.
-
- Beiträge: 174
- Registriert: 20.02.2004 18:52:14
Re: VPN Wireguard
Ist schon etwas kurios 
Also die Anleitung da oben funktioniert (ich musste doch die routen in der fritzbox einstellen).
Mein Smartphone und Wireguard verstehen sich gut.
Nun wollte ich noch einen zweiten Client, mein Notebook, hinzufügen.
Dazu habe ich folgende Konfiguration für den zweiten Client gewählt:
Zur Server-Konfiguration habe ich noch ein [peer] unten hinzugefügt:
Das Ergebnis ist ein "handshake", aber den Server kann ich danach nicht "pingen".
Der Internetverkehr geht folglich am Tunnel vorbei.
Hier fehlt die richtige route.
Jetzt habe ich natürlich alles mögliche probiert, zuerst, was mir logisch erschien und dann noch den Rest - ohne erfolgreiches Ergebnis.
Wahrscheinlich ist das wieder ein triviale Sache. Hast Du noch einen Tipp?
P.S.: Zu Hause im eigenen Netz funktioniert es.
Außerhalb verbinde ich das Notebook halt viel über freifunk mit dem Interneṭ̣̣̣̣̣̣̣̣̣̣̣̣

Also die Anleitung da oben funktioniert (ich musste doch die routen in der fritzbox einstellen).
Mein Smartphone und Wireguard verstehen sich gut.
Nun wollte ich noch einen zweiten Client, mein Notebook, hinzufügen.
Dazu habe ich folgende Konfiguration für den zweiten Client gewählt:
Code: Alles auswählen
[Interface]
Table = off
PrivateKey = vom client2
Address = 10.66.66.3/24, fd42:42:42::3/64
DNS = 176.103.130.130,176.103.130.131
[Peer]
PublicKey = vom server
Endpoint = [ipv6-Adresse des Servers]:13401
AllowedIPs = 0.0.0.0/0, ::/0
PersistentKeepalive = 25
Code: Alles auswählen
[Peer]
PublicKey = vom client2
AllowedIPs = 10.66.66.3/32, fd42:42:42::3/128
Der Internetverkehr geht folglich am Tunnel vorbei.
Hier fehlt die richtige route.
Jetzt habe ich natürlich alles mögliche probiert, zuerst, was mir logisch erschien und dann noch den Rest - ohne erfolgreiches Ergebnis.
Wahrscheinlich ist das wieder ein triviale Sache. Hast Du noch einen Tipp?
P.S.: Zu Hause im eigenen Netz funktioniert es.
Außerhalb verbinde ich das Notebook halt viel über freifunk mit dem Interneṭ̣̣̣̣̣̣̣̣̣̣̣̣
Re: VPN Wireguard
scriptorius hat geschrieben:01.12.2019 21:56:39Das wundert mich, weil ich in der Zwischenzeit immer mal wieder andere Ports probiert habe:
51820, 40404, 1194 usw.
Ich kenne die Freifunk-Netze nicht, die du verwendest, allerdings würde ich mal spontan darauf tippen, dass deine Port-Wahl nicht unbedingt aus Freifunk-Netzen funktionieren wird... In meinem Freifunk-Netz sind die von dir genannten Ports auch nicht offen.scriptorius hat geschrieben:03.12.2019 18:53:06P.S.: Zu Hause im eigenen Netz funktioniert es.
Außerhalb verbinde ich das Notebook halt viel über freifunk mit dem Interneṭ̣̣̣̣̣̣̣̣̣̣̣̣
-
- Beiträge: 174
- Registriert: 20.02.2004 18:52:14
Re: VPN Wireguard
Hi,
danke für die Antwort.
War mir nicht bewusst, dass hierauf zu achten ist.
Welche Ports funktionieren denn bei Dir bzw. wo kann ich erfahren, welche geeignet sind?
Was mich wundert ist, dass es mit dem Smartphone funktioniert ...
danke für die Antwort.
War mir nicht bewusst, dass hierauf zu achten ist.
Welche Ports funktionieren denn bei Dir bzw. wo kann ich erfahren, welche geeignet sind?
Was mich wundert ist, dass es mit dem Smartphone funktioniert ...
Re: VPN Wireguard
Das hat vermutlich nichts mit Wireguard zu tun sondern ist ein altes Fritzbox-Problem. Manchmal killt es alle Weiterleitungen auf einen Port. Kannst du danach Einstellen was du willst. Es wird nicht funktioniere. Das lässt sich nur durch einen Reset beheben.scriptorius hat geschrieben:04.12.2019 13:43:26Welche Ports funktionieren denn bei Dir bzw. wo kann ich erfahren, welche geeignet sind?
Selbst wenn man den Rechner auf exposed host schellt dropt die Fritz!Box weiter alle Pakete an diesen Port. Lustiger weiße kann man den Port weiter per UPnP freischalten.
rot: Moderator wanne spricht, default: User wanne spricht.
Re: VPN Wireguard
Ich wildere da bei meinen Setups bei den IPSec NAT Ports (udp:500 und udp:4500).... Damit fahre ich recht gut
-
- Beiträge: 174
- Registriert: 20.02.2004 18:52:14
Re: VPN Wireguard
Danke für die Antworten.
Ja, es ist teilweise echt abenteuerlich.
Ich muss allerdings auch gestehen, dass ich noch nicht alle Zusammenhänge verstanden habe, besonders das Setzen der Routen macht mir noch Schwierigkeiten.
Vielleicht sollte ich auch erstmal eine Pause einlegen, ich habe beschäftige mich jetzt schon einige Zeit damit. Irgendwann sieht man den Wald vor lauter Bäumen nicht mehr
Ja, es ist teilweise echt abenteuerlich.
Ich muss allerdings auch gestehen, dass ich noch nicht alle Zusammenhänge verstanden habe, besonders das Setzen der Routen macht mir noch Schwierigkeiten.
Vielleicht sollte ich auch erstmal eine Pause einlegen, ich habe beschäftige mich jetzt schon einige Zeit damit. Irgendwann sieht man den Wald vor lauter Bäumen nicht mehr

-
- Beiträge: 174
- Registriert: 20.02.2004 18:52:14
Re: VPN Wireguard
Ich habe das jetzt mal mit offenem Port 4500 im Freifunk Netz getestet:
trotz:
Zu Hause im Netz funktioniert es.
Mit dem Smartphone im selben Freifunk Netz funktioniert es auch (mit ipv6-test.com getestet).
Code: Alles auswählen
ping6 fd42:42:42::1
PING fd42:42:42::1(fd42:42:42::1) 56 data bytes
From 2a03:2260::2: icmp_seq=1 Destination unreachable: No route
From 2a03:2260::2: icmp_seq=2 Destination unreachable: No route
Code: Alles auswählen
wg show
interface: wg0
public key: xxx
private key: (hidden)
listening port: 38742
peer: xxx
endpoint: [ipv6 Adresse des Wg-Servers]:4500
allowed ips: 0.0.0.0/0, ::/0
latest handshake: 8 seconds ago
transfer: 92 B received, 180 B sent
persistent keepalive: every 25 seconds
Mit dem Smartphone im selben Freifunk Netz funktioniert es auch (mit ipv6-test.com getestet).
Re: VPN Wireguard
Naja du must aus einem Freifunk Netz schon deine öffentliche IPv6 Adresse als Endpunkt für die Verbindung nutzen.scriptorius hat geschrieben:05.12.2019 08:43:42Ich habe das jetzt mal mit offenem Port 4500 im Freifunk Netz getestet:Code: Alles auswählen
ping6 fd42:42:42::1 PING fd42:42:42::1(fd42:42:42::1) 56 data bytes From 2a03:2260::2: icmp_seq=1 Destination unreachable: No route From 2a03:2260::2: icmp_seq=2 Destination unreachable: No route