[gelöst]DS218 von außen erreichbar

Ich würde fast behaupten schuldig im Sinne der Anklage -.-

VPS Server Config (Ionos VPS)

[Interface] 
PrivateKey = <PrivateKeyWireGuardVPS>
Address = 10.0.0.1/24
SaveConfig = true 
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o ens6 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o ens6 -j MASQUERADE
ListenPort = 51820

[Peer]
PublicKey = <PublicKeyWireGuardRaspberry>
AllowedIPs = 10.0.0.0/24, 192.168.178.0/24
PersistentKeepalive = 25

[Peer]
PublicKey = <PublicKeyWireGuardHandy>
AllowedIPs = 10.0.0.0/24,
PersistentKeepalive = 25

VPN Client Config (Raspberry)

[Interface] 
PrivateKey = <PrivateKeyWireGuardRaspberry>
Address = 10.0.0.3/24
SaveConfig = true 
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer] 
PublicKey = <PublicKeyWireGuardAmVPS>
Endpoint = <VPS_IP_Adresse>:51820 
AllowedIPs = 10.0.0.0/24
PersistentKeepalive = 25

Ja, da sind die MASQUERADE Regeln drin. Die würde ich rausnehmen und stattdessen mit statischen Routen arbeiten. Dann können sich die Systeme in beiden Richtungen erreichen.

oargh!

also sowohl server als auch client die masquerad regeln raus und dann iptables aufbauen?

pro IP und benötigten Port im lokalen Netzwerk eine für up und eine für down?

Puh -.-

hättest du n beispiel für mich? bittö? 0:-)

Auf dem VPS brauchst du keine Routen. Dafür sorgt Wireguard über die Allowed IPs.

Zu Hause brauchst du eine statische Route im Router (nicht auf dem Raspi), Ziel ist das VPN Netz und Gateway die lokale IP des Raspis.

aj ist das alles verzwickt! Ich mach 3 Kreuze, wenn das einmal läuft -.-

Also als erstes, in der VPS Config sowie in der Raspberry Wiregurd Config die Routen weg, Richtig?

zu statischen Routen in der Fritzbox hab ich folgendes gefunden:

Tragen Sie als "IPv4-Netzwerk" das IPv4-Netzwerk des mit der FRITZ!Box verbundenen Routers (192.168.11.0) ein. --> in meinem Fall das Wireguard Netzwerk, sprich 10.0.0.0. Richtig?

Tragen Sie als "Subnetzmaske" die Subnetzmaske des anderen IPv4-Netzwerks (255.255.255.0) ein --> belasse ich mal so.

Tragen Sie als "Gateway" die IPv4-Adresse des Routers im FRITZ!Box-Heimnetz (192.168.10.2) ein, der die beiden IP-Netzwerke verbindet. --> in meinem Fall die lokale IPv4 des Rasperrys? Aktivieren Sie die Option "IPv4-Route aktiv".

Zitat von Ice86

Also als erstes, in der VPS Config sowie in der Raspberry Wiregurd Config die Routen weg, Richtig?

Nein, die MASQUERADE Regeln, und auch nur die. Routen sind da gar nicht drin. Das Forwarding muss erhalten bleiben.

Zitat von Ice86

Tragen Sie als "IPv4-Netzwerk" das IPv4-Netzwerk des mit der FRITZ!Box verbundenen Routers (192.168.11.0) ein. --> in meinem Fall das Wireguard Netzwerk, sprich 10.0.0.0. Richtig?

Ja.

Zitat von Ice86

Tragen Sie als "Gateway" die IPv4-Adresse des Routers im FRITZ!Box-Heimnetz (192.168.10.2) ein, der die beiden IP-Netzwerke verbindet. --> in meinem Fall die lokale IPv4 des Rasperrys?

Ja.

Guten Morgen!

Also quasi die Änderung so:

PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o ens6 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o ens6 -j MASQUERADE

Ich würde das Semikolon mit entfernen.

Na dann wird gleich in der Mittagspause direkt der nächste Versuch mal gestartet

Die Masquerade Regeln dann auf beiden weg, sowohl Rapsi als auch VPS?

Drück die Daumen!

Masquerade Regeln sowohl auf VPS als auch Raspberry aus der Config rausgenommen. Darüberhinaus die statische Route in der Fritzbox eingerichtet.

Trotzdem gleiches Problem: ich kann vom Raspberry nicht den Server auf 10.0.0.1 anpingen.
Vom Server kann ich Teilnehmer im lokalen Netzwerk über einen Ping erreichen -.-

Auf dem VPS kannst du das Interface lokal anpingen?

Die Fritzbox kommt noch gar nicht ins Spiel, wenn du zwischen den beiden Knoten kommunizierst.

der lokale ping auf 10.0.0.1 auf dem VPS funktioniert.

Komischerweise krieg ich die 10.0.0.3 (den raspberry) aber nicht angepingt. IPs aus dem lokalen Netzwerk, also zB 192.168.178.63 (was ja auch der rasperry wär) funktionieren aber.

ich hab auf dem Raspberry jetzt auch noch Wireguard Home laufen. macht das vllt irgendwas kaputt?

Wie sehen denn die Routen auf den Knoten aus? Eigentlich sollte Wireguard die auf Basis der AllowedIPs selbst setzen, aber schauen wir mal.

siehe 6 Beiträge weiter oben.

Ipv4 Forwarding ist in der sysctl aktiviert. Mehr ist aktuell nicht

Ich sehe keinen passenden Beitrag.

Was spuckt denn

route -n

aus?

folgendes

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         85.215.57.1     0.0.0.0         UG    100    0        0 ens6
10.0.0.0        0.0.0.0         255.255.255.0   U     0      0        0 wg0
85.215.57.1     0.0.0.0         255.255.255.255 UH    100    0        0 ens6
169.254.169.254 -               255.255.255.255 !H    0      -        0 -
192.168.178.0   0.0.0.0         255.255.255.0   U     0      0        0 wg0
212.227.123.16  85.215.57.1     255.255.255.255 UGH   100    0        0 ens6
212.227.123.17  85.215.57.1     255.255.255.255 UGH   100    0        0 ens6

Ok, das ist der VPS. Der sieht gut aus. Bleibt der Raspi und die zugehörige statische Route im Router.

Da die Pings vom VPS ins Heimnetz funktionieren, bedeutet das entweder, dass MASQUERADING noch aktiv ist, oder dass die Routen stimmen.

So sieht der Raspberry aus:


Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.178.1   0.0.0.0         UG    202    0        0 eth0
10.0.0.0        0.0.0.0         255.255.255.0   U     0      0        0 wg0
192.168.178.0   0.0.0.0         255.255.255.0   U     202    0        0 eth0

Und die statische IPv4 Route in der Fritzbox, wie folgt:

IPv4 Netzwerk: 10.0.0.0
Subnetzmaske: 255.255.255.0
Gateway: 192.168.178.63 (das wär der Raspberry mit dem Wireguard Client)
Häckchen bei IPv4 Route aktiv

muss der wireguard auf dem client zwingend als root benutzer installiert werden?
ich hab mich mit nem benutzer auf dem raspi angemeldet und den kram dann mit sudo gemacht

Bitte mal PostUp und PostDown komplett aus den Configs entfernen.