Beiträge von Ice86

Krass, danke frank_m !

Und mbo77 ich les mir den Kram mal durch, kannte es bis dato noch nicht.

Und dann wird zum Abend hin oder über Weihnachten in ner hoffentlich verfügbaren ruhigen Minute mal getestet!

Männers, ich wünsch Euch schon mal frohe Festtage! Lasst Euch schmecken!

okay, jetzt bin ich wieder vollends verwirrt

Kann der Wireguard Server auf dem VPS also IPv6 zu IPv4 "übersetzen"?

Weil ich hab jetzt nur ne IPv4 Forwarding Rule drin, nämlich diese

PostUp = iptables -A FORWARD -i wg0 -j ACCEPT

und meine AllowedIPs sind auch nur aus dem 10.0.0.0/24 Subnetz eingetragen. Bzw. natürlich auch aus dem 192.168.178.0/24 Subnetz.

Das wird dann trotzdem zünden, wenn ich mit dem Handy in einem reinen IPv6 Netz bin?

Hallo Zusammen,

ich klink mich mal hier wieder ein Obwohl Wireguard mit IPv4 bis jetzt sehr stabil funktioniert, ich bin echt zufrieden!

Seit eben habe ich aber noch eine zusätzliche IPv6 in meinem Ionos VPS Tarif buchen können (ohne Aufpreis).

Die Idee ist jetzt sich eine Domain zu besorgen, dort die A und AAAA Records mit der Ionos VPS IPv4 und IPv6 zu befüllen und die Wireguard Clients auf diese Domain zu verweisen.

Somit sollten sich die Clients dann aussuchen können, ob diese über IPv6 oder IPv4 verbinden wollen, wenn ich das richtig recherchiert habe!?

Dafür bräuchte ich dann jetzt eine Erweiterung in der VPS Wireguard Server Config sowie auf dem Raspberry, der im Heimnetz als Client fungiert. Und natürlich dann in den Handyclients selbst.

Kann mir jemand anhand meiner finalen Config weiter oben im Thread mit der Syntax helfen vllt? Bittö?

In der Fritzbox müsste ich dann noch eine zweite statische Route mit der lokalen IPv6 des Rasperries eintragen, nehme ich an?

wie versprochen, hier meine WG Server Config auf dem VPS und meine WG Client Config auf dem Raspberry

WG ServerConfig auf dem VPS

[Interface]
Address = 10.0.0.1/24 ##dem Server zugewiesene IP Adresse
SaveConfig = true
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT ##Einschalten Forwarding ohne Routing Regel bei wg up 
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT ##ausschalten des Forwardings ohne Routing Regel bei wg down
ListenPort = 51820 ##Wireguard Port
PrivateKey = PrivateKeyVomServer

[Peer] ## RasperryPi Client
PublicKey = PrublicKeyVomRaspberry
AllowedIPs = 10.0.0.3/32, 192.168.178.0/24 ##Wireguard IP des Rasperry und das durchgeschleuste Heimnetz
PersistentKeepalive = 25

[Peer] ## Handy Client
PublicKey = PublicKeyVomHandy
AllowedIPs = 10.0.0.4/32 ##Wireguard IP des Handys
PersistentKeepalive = 25



WG Client Config auf dem Raspberry Pi

[Interface]
Address = 10.0.0.3/24 ##dem Client zugewiesene IP Adresse
SaveConfig = true
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT
PrivateKey = PrivateKeyVomClient

[Peer]
PublicKey = PublicKeyVomServer
AllowedIPs = 10.0.0.0/24
Endpoint = Öffentliche_IP-Adresse:51820
PersistentKeepalive = 25

Bei der Android WG App läuft die Konfiguration händisch wie folgt:

Interface
Name: such dir einen Namen für die Verbindung aus, zB. "Heimnetz"

PrivateKey vom Handy

PublicKey vom Handy

Adressen: 10.0.0.4/24

Nameserver: DNS Server (in meinem Fall eine lokale 192.168.178.xx Adresse, auf der mein Adguard Home läuft. Sonst auch 8.8.8.8

Teilnehmer:

Öffentlicher Schlüssel: PublicKey vom Server

Endpunkt: Öffentliche_IP-Adresse:51820
Erlaubte IPs: 10.0.0.0/24, 192.168.178.0/24

aah schade! Ich denke aber, Ionos wird sicherlich auch noch nachziehen mit der IPv6. Aber super Info das mit Strato für manch einen hier, der vor der gleichen Aufgabe steht.

coole Sache eigentlich!

die Änderung des Ansprechens des Endpoints über die TLD wäre dann eigentlich die einizge Änderung an der wg0 Config, oder? Natürlich neben den IPv6 Weiterleitungsregeln dann.

Man müsste dann halt nur noch sicherstellen dass der RPI eine IPv6 im lokalen Netz zugewiesen bekommt und dass sowohl auf dem VPS als auch auf dem RPI das IPv6 Forwarding aktiviert ist.

Prefix sieht so aus:

inet6 fe80::1:f8ff:fefd:ebb5 prefixlen 64

dadrunter kommt dann in der ifconfig ausgabe "ether" und noch ein paar zahlen im format

xx:xx:xx:xx:xx:xx

okay, also bräuchte ich quasi eine TLD und dort würde man im A und AAAA Record die jeweilige IPv4 sowie IPv6 Adresse des VPS angeben?

Und in der wg0.conf würde ich als Endpoint dann mit der TLD arbeiten anstatt mit der aktuell benutzten öffentlichen IPv4 Adresse?

a propos IPv6...

beim rumexperimentieren in meiner Ionos VPS XS SSH Oberfläche (also quasi auf meinem VPS über SSH) habe ich beim eingeben von "ifconfig" neben einer IPv4 Adresse (die auch in der Ionos Serververwaltung als öffentliche IP Adresse auftaucht) noch zusätzlich einen IPv6 Eintrag gesehen.

Heißt das, dass der VPS auch über IPv6 angesprochen werden kann, auch wenn das nicht bei Ionos in der Seververwaltung auftaucht?

Also momentan sieht es ja so aus, dass ich mit meinem Handy aus einem IPv4 Handynetz problemlos auf mein Heimnetzwerk komme.

Wenn ich in einem reinen IPv6 Netzwerk wäre, hätte ich mir jetzt das Fritzbox Wireguard Bordmittel eingerichtet, um auf mein Heimnetz zu kommen.

Angenommen, der VPS unterstützt jetzt beides, also IPv4 und IPv6, gibt es da eine Möglichkeit die bestehende wg0 Config so zu konfigurieren, dass die sich aussucht, ob IPv4 oder IPv6 benutzt wird?

wireguard inbetriebnahme in 54 Posts!

ich bedanke mich ganz ganz ganz herzlich für die Hilfe!!!!

heute abend werde ich noch hier meine Server- und Clientconfigs final hochladen. für die Nachwelt quasi. weil ich stark annehme, dass der ein oder andere ein ähnliches problem haben könnte. vllt hilft es ja.

das Handy der Frau und den Laptop werde ich jetzt noch ebenso einbinden und hoffe, dass das dann ein für alle mal läuft.

final würd ich noch gern über die VPS firewall sprechen wollen. der Wireguard Port UDP 51820 bleibt freigegeben, nehme ich an?

Des Weiteren sind Defaultmäßig die TCP Ports 22 (SSH), 80, 443, 8443 und 8447 freigegeben.

Den SSH Port würd ich gern schließen, wenn die finale Config steht. Wie siehts mit den anderen Ports aus? Können die offen bleiben?

wow, es funktionier!!!

das problem scheint gewesen zu sein, dass beim eintragen des zweiten peers auf dem VPS server irgendwas zerschossen wurd.

bis dato hatte ich auf dem VPS als Peers folgendes:

[Peer] //RPI
PublicKey = XXXX
AllowedIPs = 10.0.0.0/24, 192.168.178.0/24

[Peer] // Handy
PublicKey = YYYY
AllowedIPs = 10.0.0.0/24

sobald der zweite Eintrag Peer Handy dazu gekommen ist, konnte ich den RPI nicht mehr über die Wireguard Adresse pingen! iptabels -L -v hat keine Auflösung auf das WG Netz mehr gezeigt, nur auf das lokale 192.er Netz! Mit deinem letzten Post, lieber Frank, habe ich die AllowedIPs in der Severconfig jetzt die AllowedIPs der Clients geändert, sprich

[Peer] //RPI
PublicKey = XXXX
AllowedIPs = 10.0.0.3/32, 192.168.178.0/24

[Peer] // Handy
PublicKey = YYYY
AllowedIPs = 10.0.0.4/32

und es hat beim ersten mal gezündet!!!

so, es funktioniert.

ich kann sowohl vom VPS aus die lokale IP vom rpi pingen als auch die wireguard ip adresse vom rpi anpingen.

desweiteren kann ich vom rpi die wireguard ip adresse des servers pingen.

aktuell sind keine routing regeln in den configs hinterlegt. die statische ip route auf der fritzbox ist aktiv.

next step jetzt: handy als peer auf dem vps anlegen.
welche allowed ips bekommt der peer in der server config? und welche allowed ips trag ich in der client config ein?

und dann nochmal das thema routing regeln in der server config... masquerade und der driss -.-

versuch ich heut abend weiter mal. die Kids belagern mich gerad wieder

das funktionier!

also bis jetzt kann ich vom server den rpi pingen und vom pri den server pingen über die wireguard ips 10.0.0.1 (server) bzw 10.0.0.3 (rpi).

wenn ich on top vom server die lokalen ips pingen können will, bekommt die client config oder die server config das als allowed ip mitgeteilt?

und im nächsten schritt kommt die verbindung vom handy dazu.
darüber will ich ja primär die lokalen ips ansprechen

ich glaub, die euphorie war auch zu schnell da. ich werkel weiter...

hatte ja die configs so weit abgespeckt, dass in den AllowedIPs nur die 10.0.0.0/24 drin stand.

als ich versucht habe jetzt erstmal nur das heimetz wieder verfügbar zu machen mit 192.168.178.0/24, wars wieder vorbei...

ich glaube, die statischen routen aktivieren / deaktivieren, hatte damit auch nichts zu tun.

ich tüftle weiter, aber es wird wohl auf etwas recht simples hinauslaufen, wie ich befürchte: reload / restart befehl sowohl auf server als auch auf client nach änderung der wg0.conf -.-

soo, jetzt noch die letzten fragen:

allowedIPs in der Serverconfig für den Peer Handy: nur 10.0.0.0/24 oder zusätzlich noch das lokale 192.168.178.0/24 Netz???

allowedIPs in der Client Config auf dem Handy: nur 10.0.0.0/24 oder zusätzlich noch das lokale 192.168.178.0/24 Netz???

Client Config auf dem Handy: kann ich einfach die lokale DNS IPv4 von Adguard mit übermitteln?

muss auf dem VPS der Wireguard UDP Port in der Firewall freigegeben werden?

sooo, es ist pingbar! ich hab in der fritzbox die statische route deaktiviert und dann nochaml aktiviert und zack, ich kann den 10.0.0.1 anpingen! *party*

ICMP war in der Firewall blockiert. habs testweise mal freigegeben, dann war die IPv4 pingbar.

den 10.0.0.1 krieg ich aber immer noch nicht gepingt -.-

muss der wireguard udp port in der firewall freigegeben werden?

die Notation /24 und /32 ist mir seit ein paar Tagen mitterweile tatsächlich ein Begriff...

was ich meinte, ich kann die öffentliche IPv4 (85.xxx.xx.xx) des VPS nicht anpingen. das sollte doch funktionieren, oder?

was mir gerade noch auffällt... ich kann vom raspberry den VPS über die öffentliche IPv4 adresse garnicht anpingen...
andere webseiten sind anpingbar

soo, jetzt ists richtig mit 10.0.0.0/24 aber ping problematik besteht weiterhin

jau, fehler gefunden... allowed ips... 10.0.0.1!!!!