Beiträge von Ice86

wg show zeigt mir auf dem VPS jetzt folgendes:

Code

root@ubuntu:~# wg show
interface: wg0  public key: XXXXXXXXXXXX  private key: (hidden)  listening port: 51820

peer: XXXXXXX  endpoint: 94.31.84.18:46060  allowed ips: 192.168.178.0/24  latest handshake: 4 seconds ago  transfer: 968 B received, 1.73 KiB sent  persistent keepalive: every 25 seconds

peer: XXXXXXXXX=  endpoint: 94.31.84.18:39307  allowed ips: 10.0.0.0/24  transfer: 0 B received, 18.07 KiB sent  persistent keepalive: every 25 seconds

Da fehlt jetzt die 10.0.0.0/24 unter den Allowed IPs, obwohl die in der wg0.conf definitiv so auftaucht

tatsächlich fehlte da jetzt die /24 hinter der 10.0.0.0... aber komisch... weil als ich die Sachen ein paar Beiträge weiter oben rauskopiert hab, war die da!

Hab das jetzt mal in der wg0.conf geändert (mit wg0 down) und beim wg0 up bekam ich jetzt folgenden hinweis:

root@ubuntu:~# wg-quick up  wg0
[#] ip link add wg0 type wireguard
[#] wg setconf wg0 /dev/fd/63
Warning: AllowedIP has nonzero host part: 10.0.0.1/24
[#] ip -4 address add 10.0.0.1/24 dev wg0
[#] ip link set mtu 1420 up dev wg0
[#] ip -4 route add 192.168.178.0/24 dev wg0

Client

interface: wg0
  public key: HierStehtDerPublicKey
  private key: (hidden)
  listening port: 46060

peer: HierstehtEinKey
  endpoint: IPvomVPS:51820
  allowed ips: 10.0.0.0/24
  latest handshake: 28 seconds ago
  transfer: 9.02 KiB received, 13.68 KiB sent
  persistent keepalive: every 25 seconds

und hier der Server

interface: wg0
  public key: hierStehtEinPublicKey
  private key: (hidden)
  listening port: 51820

peer: HierStehtAuchEinKeyVPS
  endpoint: 94.31.84.18:46060
  allowed ips: 10.0.0.0/32, 192.168.178.0/24
  latest handshake: 2 minutes, 1 second ago
  transfer: 14.29 KiB received, 11.37 KiB sent
  persistent keepalive: every 25 seconds

peer: HierStehtEinKeyHandy
  endpoint: 94.31.84.18:39307
  allowed ips: 10.0.0.0/24
  transfer: 0 B received, 174.30 KiB sent
  persistent keepalive: every 25 seconds

also die PostUp und PostDown hab ich jetzt noch NICHT entfernt.

Hier der Client:

root@vpn-client:/home/Chris# iptables -L -v
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination 

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination 
    5   420 ACCEPT     all  --  wg0    any     anywhere             anywhere    

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination 

und hier der VPS:

root@ubuntu:~# iptables -L -v
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination 

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination 
    0     0 ACCEPT     all  --  wg0    any     anywhere             anywhere    

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination 

muss ich noch irgendwas freigeben?

Ich hab auf dem VPS aktuell den Wireguard Port offen.

muss der wireguard auf dem client zwingend als root benutzer installiert werden?
ich hab mich mit nem benutzer auf dem raspi angemeldet und den kram dann mit sudo gemacht

So sieht der Raspberry aus:


Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.178.1   0.0.0.0         UG    202    0        0 eth0
10.0.0.0        0.0.0.0         255.255.255.0   U     0      0        0 wg0
192.168.178.0   0.0.0.0         255.255.255.0   U     202    0        0 eth0

Und die statische IPv4 Route in der Fritzbox, wie folgt:

IPv4 Netzwerk: 10.0.0.0
Subnetzmaske: 255.255.255.0
Gateway: 192.168.178.63 (das wär der Raspberry mit dem Wireguard Client)
Häckchen bei IPv4 Route aktiv

folgendes

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         85.215.57.1     0.0.0.0         UG    100    0        0 ens6
10.0.0.0        0.0.0.0         255.255.255.0   U     0      0        0 wg0
85.215.57.1     0.0.0.0         255.255.255.255 UH    100    0        0 ens6
169.254.169.254 -               255.255.255.255 !H    0      -        0 -
192.168.178.0   0.0.0.0         255.255.255.0   U     0      0        0 wg0
212.227.123.16  85.215.57.1     255.255.255.255 UGH   100    0        0 ens6
212.227.123.17  85.215.57.1     255.255.255.255 UGH   100    0        0 ens6

siehe 6 Beiträge weiter oben.

Ipv4 Forwarding ist in der sysctl aktiviert. Mehr ist aktuell nicht

der lokale ping auf 10.0.0.1 auf dem VPS funktioniert.

Komischerweise krieg ich die 10.0.0.3 (den raspberry) aber nicht angepingt. IPs aus dem lokalen Netzwerk, also zB 192.168.178.63 (was ja auch der rasperry wär) funktionieren aber.

ich hab auf dem Raspberry jetzt auch noch Wireguard Home laufen. macht das vllt irgendwas kaputt?

Masquerade Regeln sowohl auf VPS als auch Raspberry aus der Config rausgenommen. Darüberhinaus die statische Route in der Fritzbox eingerichtet.

Trotzdem gleiches Problem: ich kann vom Raspberry nicht den Server auf 10.0.0.1 anpingen.
Vom Server kann ich Teilnehmer im lokalen Netzwerk über einen Ping erreichen -.-

Na dann wird gleich in der Mittagspause direkt der nächste Versuch mal gestartet

Die Masquerade Regeln dann auf beiden weg, sowohl Rapsi als auch VPS?

Drück die Daumen!

Guten Morgen!

Also quasi die Änderung so:

PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o ens6 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o ens6 -j MASQUERADE

aj ist das alles verzwickt! Ich mach 3 Kreuze, wenn das einmal läuft -.-

Also als erstes, in der VPS Config sowie in der Raspberry Wiregurd Config die Routen weg, Richtig?

zu statischen Routen in der Fritzbox hab ich folgendes gefunden:

Tragen Sie als "IPv4-Netzwerk" das IPv4-Netzwerk des mit der FRITZ!Box verbundenen Routers (192.168.11.0) ein. --> in meinem Fall das Wireguard Netzwerk, sprich 10.0.0.0. Richtig?

Tragen Sie als "Subnetzmaske" die Subnetzmaske des anderen IPv4-Netzwerks (255.255.255.0) ein --> belasse ich mal so.

Tragen Sie als "Gateway" die IPv4-Adresse des Routers im FRITZ!Box-Heimnetz (192.168.10.2) ein, der die beiden IP-Netzwerke verbindet. --> in meinem Fall die lokale IPv4 des Rasperrys? Aktivieren Sie die Option "IPv4-Route aktiv".

oargh!

also sowohl server als auch client die masquerad regeln raus und dann iptables aufbauen?

pro IP und benötigten Port im lokalen Netzwerk eine für up und eine für down?

Puh -.-

hättest du n beispiel für mich? bittö? 0:-)

Ich würde fast behaupten schuldig im Sinne der Anklage -.-

VPS Server Config (Ionos VPS)

[Interface] 
PrivateKey = <PrivateKeyWireGuardVPS>
Address = 10.0.0.1/24
SaveConfig = true 
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o ens6 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o ens6 -j MASQUERADE
ListenPort = 51820

[Peer]
PublicKey = <PublicKeyWireGuardRaspberry>
AllowedIPs = 10.0.0.0/24, 192.168.178.0/24
PersistentKeepalive = 25

[Peer]
PublicKey = <PublicKeyWireGuardHandy>
AllowedIPs = 10.0.0.0/24,
PersistentKeepalive = 25

VPN Client Config (Raspberry)

[Interface] 
PrivateKey = <PrivateKeyWireGuardRaspberry>
Address = 10.0.0.3/24
SaveConfig = true 
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer] 
PublicKey = <PublicKeyWireGuardAmVPS>
Endpoint = <VPS_IP_Adresse>:51820 
AllowedIPs = 10.0.0.0/24
PersistentKeepalive = 25

Im wiefern?

Also ich sitz hinter nem CG Nat, Deutsche Glasfaser.

Aber es hieß ja hier, das ist egal, weil der Client über IPv4 verbindet

ich hab angefangen mit der Wireguard Config zu spielen.
Ionos VPS XS eingerichtet. Wireguard als Server konfiguriert.

Auf dem Raspberry Pi hab ich das Raspberry OS Lite Legacy installiert. Wireguard drauf und als Client konfiguriert.

Ich kann vom Server Geräte in meinem Heimnetz anpingen, wie zB. die Fritzbox oder die NAS.

Aber vom Raspberry krieg ich es nicht hin den Server anzupingen, also 10.0.0.1.

Jemand eine Idee warum das so ist?

Bandbreite ist genug da!

Super, danke sehr!

wenn ich jetzt noch Adguard Home auf dem gleichen Raspi installieren will, auf dem der Wireguard Client läuft und sich mit dem VPS verbindet...

Sollte der Adguard in nen Docker Container oder kann der auch "normal" auf dem Raspi?

Aim: ich will vom Handy n Full Tunnel haben, der den Adguard DNS nutzt, wenn ich unterwegs bin, und auch Werbung blockt.

In der Client Config vom Handy würd ich dann die Adguard DNS Adresse eintragen und ich weiß nicht, ob der sich verschluckt, wenn Raspi Wireguard Client IP gleich der Adguard DNS IP ist