Hilfe bei 6tunnel auf VPS benötigt

AllowedIPs hat zwei Funktionen:

- Erstellen des Routings

- Ob ein Paket auf dem Interface überhaupt angefasst wird

Schau dir die erstellten Routen an.

Sowas wie 0.0.0.0/0 triggert anderen Konfigurationen.

Es wäre schon ganz gut gewesen, wenn du diese entscheidende Änderung gleich zu Beginn benannt hättest.

Was immer gehen sollte: Clients per IPv6 zur FB verbinden und nur die Ausnahmen inbound auf IPv4 über den VPS abwickeln.

Die Tage schaue ich mir das Verhalten genauer an, vielleicht ergibt sich dann der Ursprung des Problems.

Kann 6tunnel Pakete markieren, mit fwmark oder so? Dann könntest du sie von Wireguard ausschließen, bzw. daran vorbeileiten.

Ich habe mir das mal angeschaut und nachgestellt. Ich denke, ich habe eine Lösung gefunden.

Wenn der gesamte Traffic 0.0.0.0/0 über wg geroutet werden soll, baut es folgende Konstruktion auf:

ip rule show
0:      from all lookup local
32764:  from all lookup main suppress_prefixlength 0
32765:  not from all fwmark 0xca6c lookup 51820
32766:  from all lookup main
32767:  from all lookup default

ip route show table 51820
default dev wg0 scope link

Damit soll ausgehender Traffic über das Device wg0 geroutet werden. Die Details der Regel verstehe ich noch nicht, aber das muss ich jetzt noch nicht.

Stattdessen müssen wir dem IP-Stack beibringen, dass diese Regel nicht für alle gilt, diese Idee hatte frank_m im vorherigen Post.

Statt aber die Applikation die Pakete markieren zu lassen, behandeln wir Pakete mit bestimmten Ports anders. Im Paket ist mein Ziel (z.B. der Port 23456 für OpenVPN) auf dem System die Quelle, daher muss eine Regel für diesen Source-Port (sport) gesetzt werden:

ip rule add sport <freizugebenderport> lookup main

ip rule show
0:      from all lookup local
32763:  from all sport <freizugebenderport> lookup main
32764:  from all lookup main suppress_prefixlength 0
32765:  not from all fwmark 0xca6c lookup 51820
32766:  from all lookup main
32767:  from all lookup default

Der Verbindungsaufbau extern sollte nun funktionieren. In meinem Beispiel ist das ein per socat getunnelter Aufbau zu meinem IPv6-Ziel im Heimnetz:

telnet vps.meinefabelhaftedomain.de <freizugebenderport>
Connected to vps.meinefabelhaftedomain.de

Alles andere wird wie gewünscht über das Heimnetz geroutet (sollte für die verbundenen wg-Clients ebenso gelten):

traceroute -4 www.heise.de
traceroute to www.heise.de (193.99.144.85), 30 hops max, 60 byte packets
 1  10.99.99.2 (10.99.99.2)  9.983 ms  10.345 ms  10.308 ms

Den Rest des traceroutes spare ich uns, aber die 10.99.99.2 ist der wg-Endpunkt im Heimnetz.

Dazu aber noch folgende Ergänzung.

Dies behandelt natürlich nur IPv4-Traffic. Ein mobiler Client wie z.B. ein Handy wird aber in der Regel auch eine IPv6-Verbindung haben.

Dieser Traffic wird nicht über Wireguard und dem Heimrouter getunnelt.

Wir können die Komplexität steigern und auch noch eine IPv6-Konfiguration über Wireguard realisieren. Aber das vielleicht mal zu einer anderen Zeit.

Zitat von mbo77

32765: not from all fwmark 0xca6c lookup 51820

Die Regel besagt, dass aller Datenverkehr, der mit 0xca6c markiert ist, NICHT in Tabelle 51820 behandelt werden soll. Das "not" vorn bezieht sich auf die ganze restliche Regel, das macht es schwierig zu lesen.

Wireguard markiert seinen Traffic mit 0xca6c. Genau dieser Traffic wird von der Regel ausgeschlossen. Das heißt, aller Traffic ohne diese Markierung wird von der Regel bearbeitet. Die Regel sorgt also dafür, dass aller Traffic über Wireguard geleitet wird - außer der Wireguard Traffic.

Deshalb die Idee, den 6tunnel Traffic zu markieren, damit der ebenfalls nicht durch die Regel geht. Natürlich ist eine Filterung auf Basis des Ports auch möglich.