Wireguard via Fritzbox und VPS

    iperf auf dem VPS und in deinem Heimnetz. So haben sie es in dem Screenshot offensichtlich auch getestet (wobei ich ein Freund von mehreren parallelen Streams bin und nicht nur von einem. Ist näher an der Realität, wo Daten auch nicht immer nur in einer TCP Session fließen).

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    So,

    jetzt funktioniert alles wie hier beschrieben:

    Thema

    IPv4-Erreichbarkeit via VPS und VPN (WireGuard)

    Einleitung

    Da es immer wieder Thema ist, möchte ich hier die Chance nutzen, Möglichkeiten aufzuzeigen, wie eine Erreichbarkeit via IPv4 erreicht werden kann, wenn man bei einem Provider ist, der einem keinen vollwertigen IPv4-Zugang mehr anbietet, sondern Techniken wie CG-NAT oder DS-Lite nutzt.

    Hintergrund

    Im ersten Beispiel greife ich eine Konfiguration auf, wie sie zuletzt diskutiert wurde. Dabei geht es darum, das Heimnetzwerk mithilfe eines VPS für IPv4-Clients verfügbar zu machen. Die…
    mbo77
    28. Oktober 2023 um 15:41

    Unterm Strich hat mich der Fehlerquotient der Fritzbox zur Verzweiflung gebracht.

    beste Vorgehensweise im moment wenn die Box die Konfig nicht akzeptiert:

    1. backup der box
    2. werkseinstellungen
    3. einspielen der wireguard konfiguration
    4. backup selektiv restoren

    Die Statische IPv4 route wird bei der Fritzbox-Lösung nicht benötigt

    Einmal editiert, zuletzt von zwozwo0neun (26. Januar 2024 um 07:46) aus folgendem Grund: typo

    Ich muss mich leider nochmals melden

    am Anfang lief es einwandfrei und auf einmal kann ich manche IP Adressen nicht mehr erreichen und die die funktionieren brauchen einige zeit bis diese sich öffnen.

    Wie kann man bei der Fehlersuche vorgehen?


    hier mal eine Messung von iperf:

    iperf -c 192.168.178.3 -u -b 1000M

    ------------------------------------------------------------

    Client connecting to 192.168.178.3, UDP port 5001

    Sending 1470 byte datagrams, IPG target: 11.22 us (kalman adjust)

    UDP buffer size: 9.00 KByte (default)

    ------------------------------------------------------------

    [ 1] local 10.99.99.4 port 64482 connected with 192.168.178.3 port 5001

    [ ID] Interval Transfer Bandwidth

    [ 1] 0.00-10.00 sec 725 MBytes 608 Mbits/sec

    [ 1] Sent 516863 datagrams

    [ 4] WARNING: did not receive ack of last datagram after 10 tries.

    WARN: Reporter thread may be too slow, await counter=3758131, consider increasing NUM_REPORT_STRUCTS

    traceroute zu einer funktionierenden IP

    traceroute 192.168.178.3

    traceroute to 192.168.178.3 (192.168.178.3), 64 hops max, 52 byte packets

    1 10.99.99.1 (10.99.99.1) 56.099 ms 53.021 ms 35.899 ms

    2 192.168.178.3 (192.168.178.3) 45.298 ms 45.884 ms 48.845 ms

    und hier wo es nicht funktioniert zb RaspberryMatic

    traceroute 192.168.178.9

    traceroute to 192.168.178.9 (192.168.178.9), 64 hops max, 52 byte packets

    1 10.99.99.1 (10.99.99.1) 70.098 ms 33.975 ms 37.293 ms

    2 * * *

    3 * * *

    4 * * *

    5 * * *

    client config

    endpoint: 85.:75

    allowed ips: 10.99.99.0/24, 192.168.178.0/24

    latest handshake: 2 minutes, 15 seconds ago

    transfer: 787.19 KiB received, 167.80 KiB sent

    persistent keepalive: every 25 seconds

    Zitat von zwozwo0neun

    auf einmal kann ich manche IP Adressen nicht mehr erreichen

    Manche in deinem Heimntez, oder was genau meinst du hier?

    Zitat von zwozwo0neun

    und die die funktionieren brauchen einige zeit bis diese sich öffnen.

    Was heißt "sich öffnen"?

    Zitat von zwozwo0neun

    Wie kann man bei der Fehlersuche vorgehen?

    Erzeuge Paket-traces auf beiden Seiten der Verbindung und ggf. zusätzlich auf dem VPS und der Fritzbox.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
    Zitat von frank_m

    Manche in deinem Heimntez, oder was genau meinst du hier?

    Was heißt "sich öffnen"?

    Erzeuge Paket-traces auf beiden Seiten der Verbindung und ggf. zusätzlich auf dem VPS und der Fritzbox.

    -manche bzw die meisten im Heimnetz

    -im browser mindestens 15 sekunden bis zb eine login seite von einem service im Heimnetzt kommt - sobald das geschehen ist gehts eigentlich zügig voran

    Treten die Wartezeiten immer auf, damit meine ich bei jeder Unterseite oder nur bei dem Erstzugriff?

    Hast Du die Möglichkeit einen Zugang via ssh zu nutzen? Dauert es da auch bis der Login Prompt erscheint und nach erfolgter Anmeldung ist alles andere "normal" schnell?

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    Das Fehlerbild ist immer noch unklar. In meinen Fragen hat sich Namensauflösung und vor allem Reverse Lookup versteckt. Wenn Forward und Reverse Lookup nicht richtig funktioniert, dann aüßert sich das in Langsamkeiten beim Verbindungsaufbau via ssh und Webseiten, jedoch nur beim Erstzugriff.

    hier mal ein traceroute auf den VPS und auf das angemeldete Smartphone - komisch das der erste länger gebraucht hat….

    Spoiler anzeigen

    root:~# traceroute 10.99.99.1
    traceroute to 10.99.99.1 (10.99.99.1), 30 hops max, 60 byte packets
    1 * * *
    2 * * *
    3 * * *
    4 * * *
    5 * * *
    6 * 10.99.99.1 (10.99.99.1) 13.519 ms 13.755 ms
    root:~# traceroute 10.99.99.2
    traceroute to 10.99.99.2 (10.99.99.2), 30 hops max, 60 byte packets
    1 10.99.99.2 (10.99.99.2) 0.019 ms 0.008 ms 0.006 ms
    root:~# traceroute 10.99.99.1
    traceroute to 10.99.99.1 (10.99.99.1), 30 hops max, 60 byte packets
    1 10.99.99.1 (10.99.99.1) 14.361 ms 14.960 ms 15.011 ms
    root:~# traceroute 10.99.99.2
    traceroute to 10.99.99.2 (10.99.99.2), 30 hops max, 60 byte packets
    1 10.99.99.2 (10.99.99.2) 0.026 ms 0.007 ms 0.006 ms
    root@:~#


    10.99.99.1 -> VPS

    .2 -> Smartphone

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    habe eben mal WG neu gestartet

    wg-quick down & up

    die ersten paar minuten fluppt es - dann wirds wieder zäh

    eben auch fesgestellt das sich nur eine IP ansprechen lässt x.x.x.3 mein unraid.

    ich glaube ich werde die VPS morgen bügeln -

    Einmal editiert, zuletzt von zwozwo0neun (3. Februar 2024 um 17:21)

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    Leider alles etwas unklar.

    Wie ist denn der Client mit dem Internet verbunden? Mobilfunk?

    Bitte auf dem VPS nach Login via SSH die Verbindungen beobachten:

    Zitat

    watch wg show

    Da sollte dann dein mobiler Client als Peer auftauchen:

    Zitat

    peer: <public key des client>
    endpoint: a.b.c.d:59730
    allowed ips: <ip des client>/32
    latest handshake: 10 seconds ago
    transfer: 1.58 MiB received, 438.71 KiB sent

    Sobald du auf dem Smartphone (?) die Verbindung aktivierst, sollte nach kurzer Zeit der Handshake bestätigt werden.

    Wenn ein Handshake angezeigt wird, sollte der mobile Client den VPS auf der Wireguard-Adresse anpingen können.

    Wie hast du dich denn nun entschieden, die FB einzubinden? Als separate Verbindung für den mobilen Client oder verbindet sie sich zum VPS?
    Wenn letzteres, wie sieht dort der Handshake aus?

    habe die Fritzbox nach der Anleitung hier als Client der VPS eingebunden.

    keine Extra-übungen mehr mit wireguard.


    handshake funktioniert und die 10.99xxx sind pingbar


    watch wg show auf VPS

    peer: = FRITZBOX
    endpoint: 195.97.92.17:24919
    allowed ips: 10.99.99.3/32
    latest handshake: 46 seconds ago
    transfer: 85.43 KiB received, 795.64 KiB sent
    persistent keepalive: every 25 seconds

    peer: Smartphone
    endpoint: 195.97.92.17:24837
    allowed ips: 10.99.99.2/32, 192.168.178.0/24
    latest handshake: 48 seconds ago
    transfer: 760.12 KiB received, 93.27 KiB sent
    persistent keepalive: every 25 seconds

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.