Bullseye Wireguard - Verbindung gescheitert

[mabe]

Hallo zusammen,

Ich versuche gerade mein Notebook (bullseye, gnome) mit meinem wireguard VPN zuhause zu verbinden, bekomme aber immer nur die kryptische und wenig hilfreiche Mitteilung: "VPN - Verbindung gescheitert".

Das wireguard VPN funktioniert von meinem Android Handy und von meinem Ipad. Da liegt das Problem also nicht.

uname -a:

Code: Alles auswählen

Linux Blackbook 5.10.0-24-amd64 #1 SMP Debian 5.10.179-5 (2023-08-08) x86_64 GNU/Linux

frisch gebootet.

Debian (Gnome) ist auf einer Partition und /home auf einer anderen.

Früher hatte ich mal mit dem selben /home Manjaro+KDE am laufen, da bin ich aber nicht glücklich geworden. Also hab' ich auf einer anderen Partition debian installiert und wieder die gleiche /home genommen und bin soweit zufrieden.

Ich hatte wireguard auch in der derzeitigen Konfiguration (debian, gnome) vor ca. 1 Jahr am laufen, aber da ist mir zwischendurch der Raspi auf dem wireguard lief, abgeschmiert und jetzt habe ich eine neue Installation (s.o.), von der ich auch die peer-conf aus wireguard in die GUI des Netzwerks, wie ich sie über die "Einstellungen" bekomme, übernommen. Genau so hatte ich es vor einem Jahr auch gemacht und da hatte es funktioniert.

Leider finde ich in den logs recht wenig:
/var/log/kern.log:

Code: Alles auswählen

Aug 17 11:05:13 Blackbook kernel: [  259.766050] tun: Universal TUN/TAP device driver, 1.6
Aug 17 11:05:13 Blackbook kernel: [  259.936104] wireguard: WireGuard 1.0.0 loaded. See www.wireguard.com for information.
Aug 17 11:05:13 Blackbook kernel: [  259.936109] wireguard: Copyright (C) 2015-2019 Jason A. Donenfeld <Jason@zx2c4.com>. All Rights Reserved.

Wireguard scheint also an sich zu laufen.
lsmod | grep -i tun:

Code: Alles auswählen

ip6_udp_tunnel         16384  1 wireguard
udp_tunnel             20480  1 wireguard
tun                    61440  0

Die nmconnection-Datei in /etc/NetworkManager/system-connections sieht so aus:

Code: Alles auswählen

[connection]
id=XXXX
uuid=XXXX
type=vpn
permissions=user:XXXX:;

[vpn]
connection-dns=10.13.13.1
local-ip4=10.13.13.4
local-listen-port=51820
local-private-key=XXXX
peer-allowed-ips=0.0.0.0/0
peer-endpoint=XXXX:51820
peer-preshared-key=XXXX
peer-public-key=XXXX
service-type=org.freedesktop.NetworkManager.wireguard

[vpn-secrets]
no-secret=true

[ipv4]
dns-search=
method=auto

[ipv6]
addr-gen-mode=stable-privacy
dns-search=
method=auto

[proxy]

/var/log/messages:

Code: Alles auswählen

Aug 17 11:20:30 Blackbook gnome-shell[2670]: Removing a network device that was not added
Aug 17 11:20:31 Blackbook nm-wireguard-se[11132]: g_variant_new_string: assertion 'g_utf8_validate (string, -1, NULL)' failed
Aug 17 11:20:31 Blackbook nm-wireguard-se[11132]: g_variant_builder_add_value: assertion '!GVSB(builder)->expected_type || g_variant_is_of_type (value, GVSB(builder)->expected_type)' failed
Aug 17 11:20:31 Blackbook org.kde.kdeconnect.daemon.desktop[2853]: "Keine derartige Schnittstelle »org.freedesktop.DBus.Properties« des Objekts im Pfad /org/freedesktop/NetworkManager/ActiveConnection/12" 

Da sind wohl noch Überreste von KDE unterwegs. Aber wo? Vor 1 Jahr hat das aber auch nicht gestört.

Ich bin etwas ratlos, wo das Problem sein könnte bzw. was ich noch überprüfen könnte/sollte/müsste, um den Fehler zu beheben. Ich bin zwar kein NOOB, aber die ganzen Netzwerk-Dienste sind für mich doch eher ein schwarzes Loch. Und was ich hier zu wireguard gefunden habe, hat mir auch nicht weitergeholfen.

Könnte mir da jemand helfen?

Viele Grüße,
Mabe

[mat6937]

Ich bin etwas ratlos, wo das Problem sein könnte bzw. was ich noch überprüfen könnte/sollte/müsste, um den Fehler zu beheben. Ich bin zwar kein NOOB, aber die ganzen Netzwerk-Dienste sind für mich doch eher ein schwarzes Loch. Und was ich hier zu wireguard gefunden habe, hat mir auch nicht weitergeholfen.

Könnte mir da jemand helfen?

Ich könnte dir helfen wireguard mit systemd-networkd zu konfigurieren/benutzen, wenn Du vorher die WG-Konfiguration aus den GUIs entfernen kannst.

[mabe]

Danke für das Angebot. Da bis jetzt keine anderen hilfreichen Antworten eingegangen sind, würde ich gerne darauf zurückgreifen.
Ein Link auf eine funktionierende Anleitung würde reichen, weil ich noch nicht danach gesucht habe.
Kann ich dann auch noch per GUI das VPN ein- und ausschalten?
VG

[debilian]

Code: Alles auswählen

wg-quick up wg0

kannst ja ein Script machen, als Gui-Button

[mat6937]

Ein Link auf eine funktionierende Anleitung würde reichen, ...

Z. B.: https://wiki.ubuntuusers.de/WireGuard/# ... d-networkd
https://wiki.debian.org/WireGuard?actio ... =Wireguard und dort den Abschnitt "Step 2 - Alternative C - systemd"

[mabe]

Danke. Ich hab' die Variante von wiki.debian.org gewählt. Jetzt scheine ich dauerhaft im VPN zu sein. Ich kann zumindest weiterhin "normale" Webseiten ansurfen und nmcli zeigt mir an, dass ich mit wg0 verbunden bin.

Ich hab' allerdings das Problem, dass das remote LAN den gleichen IP Bereich hat, wie mein Netz zu Hause. Eigentlich sollte ich das mit "route add" für die paar IPs lösen können (hab' ich früher schon mal erfolgreich gemacht), auf die ich Zugriff haben möchte. Da bekomme ich dann aber nur eine Zeitüberschreitung.

Was mir nicht klar ist: Wie komme ich aus dem VPN wieder raus? Ich möchte nur gelegentlich mit dem VPN verbunden sein. wg-quick kennt mein System nicht.

[debilian]

Code: Alles auswählen

systemctl stop wg-quick@wg0

?!

[mat6937]

Ich hab' allerdings das Problem, dass das remote LAN den gleichen IP Bereich hat, wie mein Netz zu Hause.

Warum ist das bei dir ein Problem? Genau deshalb benutze ich WireGuard. Ich habe keinen Einfluss darauf, in welchem IP-Bereich (Subnetz) sich die WG-Clients (mit diversen OSs) meiner WG-Server befinden und das ist auch gut so. Und die Benutzer der WG-Clients (mit diversen OSs) haben auch keinen Einfluss darauf. Die können z. B. in einem Hotel oder auf einem Camping-Platz nicht einfach verlangen, dass das Subnetz des Routers geändert werden soll.

Was mir nicht klar ist: Wie komme ich aus dem VPN wieder raus? Ich möchte nur gelegentlich mit dem VPN verbunden sein. wg-quick kennt mein System nicht.

Ich weiß jetzt nicht, wie Du wireguard konfiguriert hast. Das Debian-Wiki zeigt mehrere Varianten. wg-quick kann mit wireguard-tools installiert werden:

Code: Alles auswählen

apt policy wireguard-tools

?

[mabe]

mabe hat geschrieben: ↑ zum Beitrag ↑
18.08.2023 15:38:28
Ich hab' allerdings das Problem, dass das remote LAN den gleichen IP Bereich hat, wie mein Netz zu Hause.

Warum ist das bei dir ein Problem? Genau deshalb benutze ich WireGuard. Ich habe keinen Einfluss darauf, in welchem IP-Bereich (Subnetz) sich die WG-Clients (mit diversen OSs) meiner WG-Server befinden und das ist auch gut so. Und die Benutzer der WG-Clients (mit diversen OSs) haben auch keinen Einfluss darauf. Die können z. B. in einem Hotel oder auf einem Camping-Platz nicht einfach verlangen, dass das Subnetz des Routers geändert werden soll.

Das remote LAN, in dem ich mich befinde ist im routing drin. Also hier in der Ferienwohnung:

Code: Alles auswählen

$ sudo route
Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
default         speedport.ip    0.0.0.0         UG    600    0        0 wlp61s0
10.13.13.0      0.0.0.0         255.255.255.0   U     0      0        0 wg0
link-local      0.0.0.0         255.255.0.0     U     1000   0        0 wlp61s0
192.168.2.0     0.0.0.0         255.255.255.0   U     600    0        0 wlp61s0

Und das ist das selbe subnetz wie bei mir zu Hause.
Wenn ich mir mit dem Handy ein WLAN aufbaue, dann wird ein anderes Subnetz verwendet und ich komme an meine Rechner zu Hause:

Code: Alles auswählen

Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
default         _gateway        0.0.0.0         UG    600    0        0 wlp61s0
10.13.13.0      0.0.0.0         255.255.255.0   U     0      0        0 wg0
link-local      0.0.0.0         255.255.0.0     U     1000   0        0 wlp61s0
192.168.229.0   0.0.0.0         255.255.255.0   U     600    0        0 wlp61s0

Und wenn ich mal ein bisschen danach suche, dann finde ich, dass andere das Problem wohl auch haben. z.B. https://serverfault.com/questions/54888 ... net-addres

Ich hab's leider immer noch nicht geschafft, einen funktionierenden wireguard-client auf mein Notebook zu bekommen und sehe, dass hier wohl viel mehr dahinter steckt als ich ursprünglich gedacht hatte. Momentan habe ich nicht die Muse, mich noch viele weitere Stunden (ich hab schon einige damit verbracht) damit auseinanderzusetzen. Deshalb lasse ich es jetzt erstmal darauf beruhen und verzichte auf ein funktionierendes VPN auf dem Notebook.

Trotzdem vielen Dank für die Hilfe.

[mat6937]

Und wenn ich mal ein bisschen danach suche, dann finde ich, dass andere das Problem wohl auch haben. z.B. https://serverfault.com/questions/54888 ... net-addres

In deinem Link geht es um:

After connecting to a remote location via OpenVPN, ...

Du benutzt aber (richtigerweise) WireGuard.