WireGurad VPN: Zwischenzeitliche Internetprobleme

    Hi zusammen,

    folgender Sachverhalt:

    Von einem Büro (feste IPV4) besteht eine WireGuard Verbindung in Heimnetz (feste IPV4 (EDV KOSSMANN) + WireGuard über Fritz!Box angelegt), um vom Büro Zugang zum NAS daheim zu erhalten.

    Das klappt soweit bisher auch ganz gut ABER zwischendurch passiert es, dass das Internet im Büro nicht mehr genutzt werden kann. Dann geht nichts mehr. Nachdem die VPN Verbindung getrennt und wieder aktiviert wurde, geht dann wieder alles.

    Das ganze passiert auf zwei Geräten im Büro gleichzeitig.

    Bei beiden Laptops geht das Internet plötzlich nicht mehr

    Woran kann das liegen?

    WireGuard Config:

    Einmal editiert, zuletzt von Timotime (18. April 2023 um 10:36)

    Wird die Wireguard Verbindung im Büro jeweils von den Notebooks aufgebaut, oder gibt es eine zentrale Instanz, die den Tunnel aufbaut? Und ist diese zentrale Instanz vielleicht der Internetrouter oder ist es ein separates Gerät? Die Gegenstelle im Heimnetz ist ja vermutlich die Fritzbox, richtig?

    Es fällt auf, dass die Defaultroute auf den Tunnel geleitet wird, was ja nach der Beschreibung für den Anwendungsfall nicht nötig ist.

    Zitat

    AllowedIPs = 192.168.0.0/24,0.0.0.0/0

    Mit dieser Konfig routest du den kompletten Internettraffic durch den Tunnel, das ist bestimmt nicht notwendig. Entferne mal die 0.0.0.0/0

    Da ich deine Netzwerkkonfig jetzt nicht kenne, solltest du auf jeden fall darauf achten das die Subnetze im Büro und im Heimnetz unterschiedlich sind.

    Nutzen beide Notebooks die gleiche Wireguard client config? Oder hast du zwei verschiedene clients in der Fritzbox angelegt?

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    frank_m

    Die Verbindung wird von den Notebooks selbst aufgebaut.
    Die Gegenstelle ist die FritzBox genau. bzw. ist WireGuard auf der FritzBox konfiguriert. Das meinst du doch, oder?

    Kannst du mir da einmal auf die Sprünge helfen?
    Defaultrouter? Das ist einfach die Standardkonfig, die WireGuard mir ausgespuckt hat, nur das ich eben die Ziel IPV4 angepasst habe.

    hetti72

    Oh, okay.
    Das ist natürlich überhaupt nicht notwendig.

    Im Grunde genommen ist bei Nutzer nur die Verbindung zum NAS notwendig.
    Nutzer B darf Zugang zu allen Geräten im Ziel-Netzwerk haben.

    In der FritzBox sind zwei Verbindungen angelegt:

    Also bei den AllowIPs soll folgendes stehen: AllowedIPs = 192.168.0.0/24?

    Korrekt? Was genau bedeutet dieser Befehl dann?

    Damit haben dann beide VPN Clients Zugriff aufs gesamte Heimnetz. Wenn du einen Client nur aufs NAS lassen willst, dann solltest du für den Client

    AllowedIPs = 192.168.0.x/32,192.168.0.1/32

    verwenden. x ist dabei die IP des NAS. Die IP der Fritzbox wirst du vermutlich brauchen. Du kannst mal testen, sie wegzulassen, aber ggf. funktioniert dann der Tunnel nicht mehr.

    Zitat von Timotime

    Also bei den AllowIPs soll folgendes stehen: AllowedIPs = 192.168.0.0/24?

    Korrekt? Was genau bedeutet dieser Befehl dann?

    Mit allowed IP´s sagst du dem Wireguard Client, welchen Traffic er durch den Tunnel schicken soll.

    Mit der aktuellen Konfig wird der Client alle anfragen die an die IP´s 192.168.0.1 bis 192.168.0.254 gehen durch den Tunnel schicken.
    Wenn du das z.b. nur auf ein Gerät (wie den NAS) eingrenzen möchtest trägst z.b. die 192.168.0.100/32 ein (unter der Annahme das dein NAS die 192.168.0.100 hat)

    Da du für jeden Client eine config in der Fritzbox angelegt hast sollte es keine probleme mit der gleichzeitigen Nutzung des VPN geben.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    Super, ganz lieben Dank euch beiden.

    Bei Nutzer A habe ich

    AllowedIPs = 192.168.0.NAS/32,192.168.0.FRITZ/32


    hinterlegt.

    Bei Nutzer B

    AllowedIPs = 192.168.0.0/32

    So dürfte das passen?
    Dann schau ich mal, ob es heute wieder einen Disconnect gibt oder ob nun alles stabil läuft :)

    ---

    Jetzt sollte ich noch die Subnetzmaske im Heimnetz ändern?
    Warum ist das zu empfehlen?

    Zitat von Timotime

    Bei Nutzer B

    AllowedIPs = 192.168.0.0/32

    So dürfte das passen?

    Wenn Nutzer B auf das gesamt Heimnetz zugreifen soll wird das nicht funktionieren. Da muss dann AllowedIPs = 192.168.0.0/24 stehen.

    Die /24 ist die Subnetzmaske, damit bestimmst du wie viele bzw. welche Adressen du in deinem Subnetz erreichen kannst.

    Die /32 beschränkt das Netz auf eine einzelne Adresse und ich glaube die kann man in einem solchen Fall auch weglassen.


    Zitat von Timotime

    Jetzt sollte ich noch die Subnetzmaske im Heimnetz ändern?
    Warum ist das zu empfehlen?

    Wenn die IP Adressbereiche auf beiden Seiten des Tunnels gleich sind kann es sein das du Geräte in deinem Büronetz nicht mehr erreichen kannst, weil der Wireguard Client den Traffic durch den Tunnel schickt.

    hetti72

    Ah! Okay. Habe die 32 wieder zu 24 gemacht.

    Leider scheint das bisher allerdings nicht geholfen zu haben.

    Wir hatten soeben schon wieder das Problem, dass das Internet plötzlich nicht mehr ging (auf beiden Notebooks). Einmal den VPN deaktivieren und aktivieren und das Internet geht wieder.

    Noch eine Idee?

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
    Zitat von Timotime

    Leider scheint das bisher allerdings nicht geholfen zu haben.

    Wir hatten soeben schon wieder das Problem, dass das Internet plötzlich nicht mehr ging (auf beiden Notebooks). Einmal den VPN deaktivieren und aktivieren und das Internet geht wieder.

    Wie sind denn die Subnetze vom Büro und vom Heimnetz?
    Wenn die beide gleich sind und die beiden Router die gleiche IP haben, dann wird das ebenfalls Probleme machen.

    Deine Fritzbox im Heimnetz hat (wahrscheinlich) die 192.168.0.1. Wenn der Router im Heimnetz die gleiche IP hat, wird der Wireguard Client den traffic für den lokalen Router auch über den Tunnel schicken.

    Darum ist es wichtig das es auf beiden Seiten des Tunnels keine gleichen IP Adressen gibt.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    Mit aktiviertem VPN:

    Code
    Name Notebook:~ Nutzername$ ifconfig | grep "inet " | grep -v 127.0.0.1
    inet 192.168.100.146 netmask 0xffffff00 broadcast 192.168.100.255
    inet 192.168.0.201 --> 192.168.0.201 netmask 0xffffff00

    Ohne VPN:

    Code
    Name Notebook:~ Nutzername$ ifconfig | grep "inet " | grep -v 127.0.0.1
    inet 192.168.100.146 netmask 0xffffff00 broadcast 192.168.100.255
    Zitat von Timotime

    inet 192.168.100.146

    Das sieht jetzt erstmal gut aus. Die Client IP´s sind schonmal andere als die IP´s im Heimnetz und der Router hat dann sehr wahrscheinlich auch eine andere IP.

    Grundsätzlich würde ich sagen das die Konfig soweit ok ist und die Verbindungsabbrüche woanders herkommen

    hetti72 Super. Erstmal vielen vielen Dank bis hierhin!

    Jetzt ist natürlich die Frage, was da noch die Ursache sein kann.

    Es hängt ziemlich eindeutig mit dem VPN zusammen, da ein Neuaufbau der VPN-Verbindung sofort dafür sorgt, dass das Internet wieder funktioniert.

    Kann es etwas mit der zugeschalteten IPV4 von EDV Kossmann zu tun haben?

    Normalerweise dürfte die VPN Verbindung aber keinen Einfluss auf das lokale Internet im Büro haben (solange nicht der ganze Traffic über das VPN läuft) oder sehe ich das falsch?

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    Ich bin bei hetti72, ich glaube ebenfalls nicht, dass die Verbindungsabbrüche vom VPN kommen. Treten die Abbrüche auf, wenn kein VPN verbunden ist?

    Ansonsten wäre es hilfreich, um Falle einer Verbindungsunterbrechung folgende Kommandos in der Eingabeaufforderung auszuführen und das Ergebnis hier zu posten (Als Text in CODE Tags, nicht als Screenshot):

    ipconfig /all

    route print

    nslookup http://www.heise.de

    nslookup http://www.heise.de 8.8.8.8

    ping 193.99.144.85

    Zitat von Timotime

    Normalerweise dürfte die VPN Verbindung aber keinen Einfluss auf das lokale Internet im Büro haben (solange nicht der ganze Traffic über das VPN läuft) oder sehe ich das falsch?

    Korrekt. Mit deiner neuen Konfig müsste das lokale internet weiterhin problemlos funktionieren.

    Es könnte noch ein DNS Problem sein. In deiner Konfig wird ja die Fritzbox im Heimnetz als DNS gesetzt.

    Vielleicht liegt da das problem.

    Kannst du noch z.b. noch die 1.1.1.1 pingen wenn sonst scheinbar nix mehr geht?

    Entweder die DNS Einträge aus der Konfig mal komplett rausnehmen oder zusätzlich zur 192.168.0.1 noch einen öffentlichen DNS wie 1.1.1.1 hinzufügen.

    frank_m

    Das kann ich ehrlich gesagt nur schwer testen, da die VPN Verbindung fast den ganzen Tag gebraucht wird :(

    Gibt es den Befehl ggfls. auch für MacOs / Terminal?

    hetti72

    Werd ich beim nächsten mal probieren.
    Nochmal vielen Dank für eure Hilfe!

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.