Wireguard in Dockercontainer

[simmeone]

Hallo Gemeinde,

ich habe am Wochenende versucht Wireguard zum laufen zu bekommen. Eine Verbindung bekomme ich hin, das war der einfache Teil, aber ich bekomme keinen Zugriff in mein eigentliches Netz. Wireguard läuft in einem Dockercontainer, alle Clients bekommen die IP 10.13.13.xx. Als DNS habe ich meinen lokalen Linux Server angegeben, auf dem der Container läuft: 192.168.20.15, der macht DNS und DHCP. An der FritzBox habe ich das Portforwarding konfiguriert für den VPN-Server 192.158.20.15:51820/udp. Als Firewall verwende ich shorewall, jetzt hörts auch auf. Im shorewall Log sehe ich null Einträge, daß irgendwas blokiert wird.

Hat jemand so eine Konstellation zum Laufen bekommen? Ich denke, irgendwas passt an der shorewall Konfiguration nicht.

PS: Debian stable ist am Laufen.
PPS: Laut Wireguard App auf dem Handy werden Daten ausgetauscht, wahrscheinlich nur zwischen App und VPN-Server.

[mat6937]

An der FritzBox habe ich das Portforwarding konfiguriert für den VPN-Server 192.158.20.15:51820/udp. Als Firewall verwende ich shorewall, jetzt hörts auch auf. Im shorewall Log sehe ich null Einträge, daß irgendwas blokiert wird.

Du kannst auf dem VPN-Server im syslog/dmesg, mit z. B.:

Code: Alles auswählen

echo module wireguard +p > /sys/kernel/debug/dynamic_debug/control  #aktivieren
echo module wireguard -p > /sys/kernel/debug/dynamic_debug/control  #deaktivieren

keepalive- bzw. handshake-Pakete (für wireguard) anzeigen lassen.
Wenn der kernel ohne die debug-Funktion kompiliert ist, dann mit z. B. tcpdump und dem geeigneten wg-Filter, den wg-Traffic anzeigen lassen:

Code: Alles auswählen

tcpdump -c 100 -vvveni eth0 'udp[8:4] >= 0x1000000 and udp[8:4] <= 0x4000000' 

(eth0 evtl. anpassen).

[simmeone]

Mir ist im Moment nicht ganz klar, ob ich noch eine statische Route in der FritzBox benötige oder nicht. Die FritzBox macht bei mir nur das Internet-Zeug, DHCP und DNS macht die Linux-Box, auf der auch Docker, und der Container mit Wireguard, rennt. Da habe ich Varianten gesehen, die in der FritzBox noch statische Routen angelegt haben.

[debilian]

Mir ist jetzt nicht ganz klar, warum du das wireguard nicht einfach die Fritzbox machen lässt...

gruss

[mat6937]

Mir ist im Moment nicht ganz klar, ob ich noch eine statische Route in der FritzBox benötige oder nicht.

Du kannst in der FritzBox eine statische Route für das Subnetz 10.13.13.0/24 mit dem gateway 192.168.20.15, eintragen.
BTW: Hast Du auf dem WG-VPN-Server, s-nat (MASQUERADE), für das eth0- und für das wg0-Interface konfiguriert?

[bluestar]

Mir ist im Moment nicht ganz klar, ob ich noch eine statische Route in der FritzBox benötige oder nicht. Die FritzBox macht bei mir nur das Internet-Zeug, DHCP und DNS macht die Linux-Box, auf der auch Docker, und der Container mit Wireguard, rennt. Da habe ich Varianten gesehen, die in der FritzBox noch statische Routen angelegt haben.

Wenn du aus dem Docker-Container heraus in den Netz NAT machst, dann brauchst du keine statische Route, anderenfalls brauchst du auf jeden Fall die 10.13.13.0 / 255.255.255.0 (oder /24) auf 192.168.20.15.

[mat6937]

... das wireguard nicht einfach die Fritzbox machen lässt...

BTW: Kann man mit dem (AVM-)wireguard der FritzBox, auch Clients per WG-VPN, lan-to-lan oder Client-to-lan verbinden, wenn das Subnetz der Lans identisch ist? Z. B. WG-Client1 im Lan-A (einer FritzBox), mit der IP 192.168.178.21 (Subnetz 192.168.178.0/24) und WG-Client2 im Lan-B (einer FritzBox), mit der IP 192.168.178.21 (Subnetz 192.168.178.0/24).
Die identische IP hier im Beispiel ist Absicht.

[simmeone]

Mir ist jetzt nicht ganz klar, warum du das wireguard nicht einfach die Fritzbox machen lässt...

gruss

Ich habe Wireguard in der VPN Konfig meiner FritzBox nicht gefunden, bei mir läuft eine "alte" 7490.

[debilian]

Ich habe Wireguard in der VPN Konfig meiner FritzBox nicht gefunden, bei mir läuft eine "alte" 7490.

aktuelle Firmware drauf?

[simmeone]

Ich habe Wireguard in der VPN Konfig meiner FritzBox nicht gefunden, bei mir läuft eine "alte" 7490.

aktuelle Firmware drauf?

Die letzte offizielle, die es für die 7490 gibt. Laut AVM soll dit eingeschränkt funktionieren, gucke ich noch mal.

PS: die Fritz!OS 7.51 Labor Version für die 7490 soll das wohl können.

[debilian]

schade.....

[QT]

Ich habe Wireguard in der VPN Konfig meiner FritzBox nicht gefunden, bei mir läuft eine "alte" 7490.

Für die 7490 gibts Wireguard aktuell nur in der Labor. Die finale offizielle Version mit Wireguard für die 7490 ist noch nicht raus wird aber noch kommen. Soll dann das letzte Update für die 7490 werden...

[simmeone]

Ich habe Wireguard in der VPN Konfig meiner FritzBox nicht gefunden, bei mir läuft eine "alte" 7490.

Für die 7490 gibts Wireguard aktuell nur in der Labor. Die finale offizielle Version mit Wireguard für die 7490 ist noch nicht raus wird aber noch kommen. Soll dann das letzte Update für die 7490 werden...

Jup, las ich auch gerade.

[simmeone]

Mir ist im Moment nicht ganz klar, ob ich noch eine statische Route in der FritzBox benötige oder nicht.

Du kannst in der FritzBox eine statische Route für das Subnetz 10.13.13.0/24 mit dem gateway 192.168.20.15, eintragen.
BTW: Hast Du auf dem WG-VPN-Server, s-nat (MASQUERADE), für das eth0- und für das wg0-Interface konfiguriert?

In der wg0.conf steht folgendes:

Code: Alles auswählen

PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[simmeone]

Ich bin ein Stück weiter gekommen. Nachdem ich in der wg0.conf in der Zeile PostUp noch zusätzlich

Code: Alles auswählen

iptables -t nat -A POSTROUTING -o wg0 -j MASQUERADE

eingetragen habe, funktioniert jetzt immerhin der Ping auf die FritzBox, Switch. Ein SSH auf die Linux-Box wird im Moment refused, muss ich nachschauen warum. Auch der DNS funktioniert noch nicht, da bekam ich ebenfalls ein refused. Hat jemand noch eine Idee?

PS: anscheinend muss in named.conf vom bind9 noch die allow-query aufgebohrt werden, ich kann mich errinnern, dass ich dort eine Einschränkung konfiguriert habe. Muss bis heute Abend warten

[mat6937]

Ein SSH auf die Linux-Box wird im Moment refused, muss ich nachschauen warum.

Funktioniert der Portscan auf den lauschenden Port des sshd?

[simmeone]

Grundsätzlich funktioniert der Kram jetzt, nur die interne Namensauflösung funktioniert irgendwie nicht. Internetseitenaufruf über den Tunnel tut, aber die Linux-Box erreiche ich nur über die IP-Adresse, dann klappt SSH, als auch die Samba-Freigaben. Hat diesbezüglich noch jemand eine Idee?

PS: ich mußte noch an shorewall die Policy ändern und am bind9 mußte ich die Docker-IP-Adresse hinzufügen.