[gelöst]DS218 von außen erreichbar

    also die PostUp und PostDown hab ich jetzt noch NICHT entfernt.

    Hier der Client:

    Code
    root@vpn-client:/home/Chris# iptables -L -v
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination 

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination 
    5   420 ACCEPT     all  --  wg0    any     anywhere             anywhere    

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

    und hier der VPS:

    Code
    root@ubuntu:~# iptables -L -v
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination 

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination 
    0     0 ACCEPT     all  --  wg0    any     anywhere             anywhere    

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

    muss ich noch irgendwas freigeben?

    Ich hab auf dem VPS aktuell den Wireguard Port offen.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    Client

    und hier der Server

    Also der Eintrag

    Code
    10.0.0.0/32

    bei den AllowedIPs irritiert mich. Das erlaubt da quasi ausschließlich die (eine Netz-) Adresse.

    Kannst du bitte die Configs nochmal genau prüfen? Zur Not bitte erstmal nur das Extra-Netz 10.0.0.0/24 erlauben, der Rest kann später folgen.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    tatsächlich fehlte da jetzt die /24 hinter der 10.0.0.0... aber komisch... weil als ich die Sachen ein paar Beiträge weiter oben rauskopiert hab, war die da!

    Hab das jetzt mal in der wg0.conf geändert (mit wg0 down) und beim wg0 up bekam ich jetzt folgenden hinweis:

    Code
    root@ubuntu:~# wg-quick up  wg0
[#] ip link add wg0 type wireguard
[#] wg setconf wg0 /dev/fd/63
Warning: AllowedIP has nonzero host part: 10.0.0.1/24
[#] ip -4 address add 10.0.0.1/24 dev wg0
[#] ip link set mtu 1420 up dev wg0
[#] ip -4 route add 192.168.178.0/24 dev wg0

    wg show zeigt mir auf dem VPS jetzt folgendes:

    Code

    Code
    root@ubuntu:~# wg show
interface: wg0  public key: XXXXXXXXXXXX  private key: (hidden)  listening port: 51820

peer: XXXXXXX  endpoint: 94.31.84.18:46060  allowed ips: 192.168.178.0/24  latest handshake: 4 seconds ago  transfer: 968 B received, 1.73 KiB sent  persistent keepalive: every 25 seconds

peer: XXXXXXXXX=  endpoint: 94.31.84.18:39307  allowed ips: 10.0.0.0/24  transfer: 0 B received, 18.07 KiB sent  persistent keepalive: every 25 seconds

    Da fehlt jetzt die 10.0.0.0/24 unter den Allowed IPs, obwohl die in der wg0.conf definitiv so auftaucht

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    Für die Punkt-zu-Punkt-Verbindung ist das ok.

    Aber das Netz müsstest du eigentlich definieren als 10.0.0.0/24, der konkrete Host darin wäre 10.0.0.1/32.

    In deinem Fall müsste beides funktionieren. 10.0.0.0/32 hingegen hat weder noch getroffen.

    Du kannst, um deine Erfahrung zu verbessern, mal beides versuchen.

    die Notation /24 und /32 ist mir seit ein paar Tagen mitterweile tatsächlich ein Begriff...

    was ich meinte, ich kann die öffentliche IPv4 (85.xxx.xx.xx) des VPS nicht anpingen. das sollte doch funktionieren, oder?

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
    Zitat von Ice86

    was mir gerade noch auffällt... ich kann vom raspberry den VPS über die öffentliche IPv4 adresse garnicht anpingen...
    andere webseiten sind anpingbar

    Das wiederum kann natürlich andere Gründe haben. Vielleicht filter die Provider-Firewall ICMP vorab aus.

    Oder klappt der Ping, wenn der Tunnel nicht aufgebaut ist?

    ICMP war in der Firewall blockiert. habs testweise mal freigegeben, dann war die IPv4 pingbar.

    den 10.0.0.1 krieg ich aber immer noch nicht gepingt -.-

    muss der wireguard udp port in der firewall freigegeben werden?

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    soo, jetzt noch die letzten fragen:

    allowedIPs in der Serverconfig für den Peer Handy: nur 10.0.0.0/24 oder zusätzlich noch das lokale 192.168.178.0/24 Netz???

    allowedIPs in der Client Config auf dem Handy: nur 10.0.0.0/24 oder zusätzlich noch das lokale 192.168.178.0/24 Netz???

    Client Config auf dem Handy: kann ich einfach die lokale DNS IPv4 von Adguard mit übermitteln?

    muss auf dem VPS der Wireguard UDP Port in der Firewall freigegeben werden?

    Also ich habe jetzt mehr Fragen als zuvor, auch wenn du glücklich bist.

    1) Wie soll denn der Tunnel bisher funktioniert haben, wenn der Provider den Port bisher geblockt hat?

    2) Die Route auf der FB sollte bei deinen Tests gar keine Rolle spielen. Zwischen welchen Systemen hast du denn bisher getestet?
    Dass für dein NAS diese Route wichtig ist, ist klar. Denn dieses wendet sich ja an die FB. Die weiß dann, dass der rpi damit zu tun hat.

    Die AllowedIPs steuert, für welche IPs sich das Tunnelende verantwortlich fühlt und setzt die entsprechende Route.

    Dein Handy, was sich nun mit dem VPS verbindet, kann entweder den Tunnel am Ende des rpi ansprechen (10.x.y.z) oder die lokale Adresse (192.x.y.z). Dann müssen wir aber vermutlich wieder über Masquerading etc. sprechen. Denn dein Netz, von dem du mit dem Handy beim VPS landest, wird dynamisch sein. Der rpi wird nicht wissen, wo das Paket hin soll, wenn es von sonstwo herkommt.