Wireguard mit Deutsche Glasfaser

  • Hallo,


    ich hatte Wireguard auf meinem Debian Server und meinem Android Handy eingerichtet und es funktionierte an meinem DSL Anschluss wunderbar.

    Nun habe ich ja mit DG Carrier Grade NAT und nur noch eine IPv6 Adresse.


    Ich hätte jetzt erwartet, dass Wireguard mit folgenden Änderungen weiter funktioniert:

    1) Statt der myfritz-Domain wird eine Dyndns-Domain welche auf die IPv6 meines Servers verweist verwendet (z.b. server.dynv6.net)

    2) In der FritzBox sind keine Änderungen nötig, vorausgesetzt, unter Portforwarding war vorher auch schon die Freigabe der IPv6 des Wireguard-Port (UDP) eingestellt.


    Ist das richtig?


    Das Problem:

    Ich habe die Verbindung zuhause ausprobiert und es schien zu funktionieren. Jetzt bin ich im Urlaub und ich habe keinen Zugriff auf meinen Server. Ich weiß nicht, woran das liegen kann... Ob ich beim Test vielleicht noch im WLAN war...?

    Wie auch immer: auch unter meiner myfritz-Adresse habe ich keinen Zugriff auf meine Fritzbox. Ich kann also (2) nicht verifizieren. (1) habe ich verifiziert. Woran kann das liegen?


    Gibt es noch etwas, was ich von hier aus machen kann?


    Gruß,

    Hendrik

  • Ja, gerade geprüft.

    Die die Wireguard App sagt übrigens

    Gesendet 134 Byte

    Empfangen 0 Byte.


    Wenn ich als Adresse statt meiner dyndns Adresse bewusst eine falsche angebe, meckert Wireguard auch und kann keine Verbindung aufbauen.

    Will sagen: es scheint ja tatsächlich eine Verbindung aufgebaut zu werden.

  • Hallo,


    ich hab es jetzt mal auf einem Windows Endgerät ausprobiert:

    Code
    2021-12-25 21:41:34.580: [TUN] [Heimnetz] Handshake for peer 1 (100.66.40.241:51820) did not complete after 5 seconds, retrying (try 2)
    2021-12-25 21:41:34.580: [TUN] [Heimnetz] Sending handshake initiation to peer 1 (100.66.40.241:51820)


    Das wiederholt sich ständig.


    Ich bin jetzt aber zwei Schritte weiter:

    1) wenn ich als Endpoint die ipv6 Adresse angebe, statt meine Dyndns-Domain, dann kommt der Tunnel richtig zu Stande.

    2) wenn ich die IP meines Servers angebe, dann komme ich auch auf den Webserver und SSH Server meines Servers. Die Namensauflösung funktionierte aber vorher auch nicht (selbst mit der Fritz.Box als DNS)


    Das Problem zu (1) scheint, dass die IPv4 Adresse, die hinter meiner dyndns-Adresse liegt keine öffentlich erreichbare ist, aber Wireguard wohl per default diese verwendet.



    Code
    [Interface]
    PrivateKey = xx
    Address = 10.192.122.2/32
    DNS = 8.8.8.8
    
    [Peer]
    PublicKey = yy
    AllowedIPs = 0.0.0.0/0
    Endpoint = [1234:1234:1234:1234:222:4dff:feaa:27bb]:51820


    Edit:

    So, es funktioniert:

    1) bei meinem Dyndns-Provider habe ich die IPv6 Adresse gelöscht. Das zwingt Wireguard dann IPv6 zu nutzen.

    2) DNS= [IP der Fritzbox] und dann funktionier die Namensauflösung über hostname.fritz.box. Wäre noch schön, wenn auch hostname (ohne .fritz.box) funktionieren würde. Aber ansonsten bin ich zufrieden.


    Gruß,

    Hendrik



    Gruß,

    Hendrik

  • Das Problem zu (1) scheint, dass die IPv4 Adresse, die hinter meiner dyndns-Adresse liegt keine öffentlich erreichbare ist, aber Wireguard wohl per default diese verwendet.

    Man darf natürlich nicht seine IPv4 Adresse beim dyndns Provider hinterlegen, wenn die nicht öffentlich erreichbar ist. Und es liegt nicht an Wiregaurd, ob IPv4 oder IPv6 verwendet wird, sondern am PC. Da kann man konfigurieren, was bevorzugt wird.


    DNS= [IP der Fritzbox] und dann funktionier die Namensauflösung über hostname.fritz.box. Wäre noch schön, wenn auch hostname (ohne .fritz.box) funktionieren würde.

    Das funktioniert, wenn die Domain deiner VPN Clients ebenfalls "fritz.box" ist. Heißt, wenn du an einer Fritzbox hängst oder es so eingestellt hast.

  • Hallo,


    ich habe da noch ein wenig recherchiert: Wie oben beschrieben bevorzugt Windows ja schon v6. Aber bei Wireguard ist bekannt, dass es dies nicht tut. Ist also tatsächlich ein Wireguard-Problem, da wohl ansonsten die Konvention ist v6 zu bevorzugen.


    Aber klar, das Problem ist die falsche IPv4 im A-Record.


    Gruß,

    Hendrik

  • Nein. Ich weiß nicht, was der da veranstaltet, aber das ist Unsinn. Vielleicht liegt es am Mac, aber unter Windows, Linux und Android nutzt WG bei der Verwendung von Hostnamen bevorzugt IPv6, wenn das OS es bevorzugt. Einen Raspi hab ich bei mir auf IPv4 gezwungen, weil dort momentan die IPv6 Verbindung schlecht ist, das ging über die IP. Bei Hostnamen nur IPv6.

  • Tja, das kann ich dir leider nicht sagen. Ich hab bei mir halt auch nichts geändert, und da nutzt es IPv6.


    Ah: Nachtrag: WG nutzt die Adresse, mit der es das letzte Mal Erfolg hatte. Steht sogar so in der Doku. Das erklärt die Unterschiede.

  • Tja, das kann ich dir leider nicht sagen. Ich hab bei mir halt auch nichts geändert, und da nutzt es IPv6.


    Ah: Nachtrag: WG nutzt die Adresse, mit der es das letzte Mal Erfolg hatte. Steht sogar so in der Doku. Das erklärt die Unterschiede.

    Deswegen habe ich immer einen zweiten Zugang für die Fälle das einer ausfällt. Ich nutze aktuell tailscale. Da kannst du nicht alles machen was wireguard kann, aber einen wireguard Zugang wieder auf die Beine zu helfen geht damit wunderbar. Für Fernzugriff auf dein Heimnetz ist es auch ausreichend. Was bei mir da fehlt, ist ein Tunnel ins Internet, d.h. Hotel -> Heimnetz -> Internet

  • ....Was bei mir da fehlt, ist ein Tunnel ins Internet, d.h. Hotel -> Heimnetz -> Internet

    Ich nutze seit kurzem auch tailscale von Unterwegs (Andr.-Handy, Windows 10 Surface, Debian Netbook) zu einem RasPi in meinem Heimnetz. Funktioniert wunderbar.


    Wenn ich im tailscale-Client als "Exit Node" meinen RasPi einstelle, bin ich der Meinung, geht auch "...Hotel -> Heimnetz -> Internet...", also VPN-Tunnel von unterwegs nach Hause und von dort raus ins Internet und zurück.


    Tailscale geht für mich besser als Wireguard, da tailscale sowohl IPv4 als auch IPv6 kann. Von Unterwegs kann tailscale ein VPN nach Hause aufbauen, egal ob mein Unterwegs-Gerät gerade mit IPv4 oder IPv6 verbunden ist. Wireguard kann bei mir leider nur IPv6 zu IPv6 (da bei mein Deutsche Glasfaser Anschluss zu Hause nur eine öffentliche IPv6-Adresse hat). Die meisten WLAN-Hotspots kann ich mit Wireguard nicht nutzen, mit tailscale aber schon.

  • Wireguard kann bei mir leider nur IPv6 zu IPv6 (da bei mein Deutsche Glasfaser Anschluss zu Hause nur eine öffentliche IPv6-Adresse hat).

    Ja, wenn man seinen Wireguard Server zu Hause laufen lässt, dann muss man mit dieser Einschränkung leider leben. Die Alternative ist ein IPv4 -> IPv6 Portmapper, z.B. auf einem kleinen VPS oder bei einem Dienstleister (da hat man dann aber keine freie Portwahl). Die große Variante ist dann ein VPS, auf dem der Wireguard Server läuft und zu dem sich alle Clients verbinden.

  • Warum Wireguard mit Einschränkungen und/oder externen Dienstleistern (und Kosten), wenn mit tailscale alles ohne Probleme direkt, einfach, fast “Zero Config” funktioniert?

    Tailscale hat als Basis Wireguard, es nimmt aber die Probleme von Wireguard weg.

  • Warum Wireguard mit Einschränkungen und/oder externen Dienstleistern (und Kosten), wenn mit tailscale alles ohne Probleme direkt, einfach, fast “Zero Config” funktioniert?

    Weil das Konstrukt von tailscale erfordert, dass die Zugangsdaten zum WG VPN dort bekannt sind und mindestens der Verbindungsaufbau über deren Server läuft - ggf. je nach Verbindungsendpunkten auch der gesamte Datenverkehr.


    Wenn etwas für dich umsonst ist, bist du das Produkt. Nie vergessen.